Active Directory im Gesundheits-Check – kostenlos mit dem ISW AD Health Check

Windows Server 2025

Active Directory · Tooling

Active Directory im Gesundheits-Check – kostenlos mit dem ISW AD Health Check

Lesezeit ca. 4 Minuten · von IT-Service Walter

Ein Active Directory läuft selten von heute auf morgen aus dem Ruder – es schleicht sich. Eine ausgehebelte Replikation hier, ein DC mit vollem Systemlaufwerk dort, ein vergessenes NTLMv1 oder ein deaktivierter AD-Papierkorb: Einzeln unscheinbar, in Summe ein Risiko. Genau hier setzt der ISW AD Health Check an – ein Werkzeug, das alle Domain Controller automatisch ermittelt und je DC rund 60 Einzelprüfungen durchführt. Und das Beste vorweg: Das Tool darf kostenlos genutzt werden.

Warum ein regelmäßiger AD-Gesundheits-Check?

Das Active Directory ist das Fundament fast jeder Windows-Infrastruktur – Anmeldung, Gruppenrichtlinien, Zertifikate, Exchange, Dateifreigaben hängen daran. Fällt die Replikation aus oder driftet die Zeit auseinander, merkt man das oft erst, wenn Anmeldungen scheitern oder Kerberos-Tickets ungültig werden. Ein periodischer Check macht solche Probleme sichtbar, bevor sie zum Störfall werden – und liefert nebenbei eine saubere Dokumentation für Audits (Stichwort BSI IT-Grundschutz, ISO 27001, NIS2).

Was der ISW AD Health Check prüft

Die Prüfungen sind in neun Bereiche gegliedert. Jeder Wert wird automatisch nach dem Ampelprinzip bewertet, sodass Auffälligkeiten sofort ins Auge fallen.

Identität & Basis
Hostname, Standort, OS-Version/Build, IPv4, gehaltene FSMO-Rollen.
Konnektivität & Zeit
Ping, DNS-Auflösung, DNS-Server/Forwarder, Scavenging, NTP-Quelle, Zeitabweichung, LDAP/LDAPS-Antwortzeiten.
Hardware & OS
Uptime, Speicherplatz (System + alle Volumes), RAM, CPU-Auslastung, ausstehender Neustart.
Dienste
DNS, NetLogon, KDC, ADWS sowie die korrekte Server-Rolle.
DCDIAG (21 Tests)
Von Connectivity über Replications und RidManager bis FSMO-Check – mit automatischer Spracherkennung des Outputs.
Ereignisse (8 h)
Warnungen, Fehler und kritische Einträge im System-Log sowie KCC-Ereignisse.
Replikation
Ausstehende Vorgänge, Replikationsfehler, maximale Verzögerung, SYSVOL/NETLOGON-Freigaben, FRS vs. DFSR.
AD Health
Tombstone Lifetime, AD-Papierkorb, KRBTGT-Passwortalter, NTLMv1-Status.

Das Ampelprinzip – mit klaren Schwellen

Statt nackter Zahlen liefert der Health Check eine Bewertung. Einige Beispiele, wie die Ampel gesetzt wird:

  •  Zeitabweichung: bis 1 Sekunde grün, bis 5 Sekunden gelb, darüber rot.
  •  Systemplatz: ab 15 % frei grün, unter 5 % rot.
  •  LDAP-Bind: bis 150 ms grün, über 500 ms rot.
  •  KRBTGT-Passwortalter: bis 180 Tage grün, über ein Jahr rot.
  •  AD-Papierkorb & NTLMv1: Papierkorb aktiv = grün; NTLMv1 aktiv = rot.
Sicherheitsrelevant: Gerade ein deaktivierter AD-Papierkorb, ein altes KRBTGT-Passwort oder noch zugelassenes NTLMv1 sind typische Findings, die in Audits regelmäßig auffallen – und die der Health Check auf einen Blick markiert.

Übersichtliche Darstellung & Reports

Die Ergebnisse erscheinen in einem transponierten Raster: Prüffelder als Zeilen, Domain Controller als Spalten. So vergleicht man mehrere DCs direkt nebeneinander. Für die Weitergabe stehen drei Wege bereit:

  •  HTML-Report – vollständiger, farbcodierter Bericht inkl. Forest-Zusammenfassung und Legende.
  •  CSV-Export – alle Werte als UTF-8-CSV, direkt in Excel auswertbar.
  •  E-Mail-Versand – Report als Anhang, Outlook-kompatibler Nachrichtentext, SMTP frei konfigurierbar (Passwort AES-256-verschlüsselt gespeichert).

Voraussetzungen

Der Health Check läuft auf Windows Server 2016 bis 2025 bzw. Windows 10/11 (mit der .NET-10-Desktop-Runtime). Ausgeführt wird er mit Domänen-Administrationsrechten. Das benötigte ActiveDirectory-PowerShell-Modul ist auf Domain Controllern bereits vorhanden; auf Member-Servern oder Arbeitsstationen wird es über die RSAT nachinstalliert. Für dcdiag, repadmin und w32tm wird Windows PowerShell 5.1 genutzt.

Gut zu wissen: Jeder Domain Controller wird in einem eigenen Prozess geprüft. Das sorgt für einen sauberen Fortschrittsbalken und einen jederzeit möglichen, harten Abbruch – auch in großen, mehrdomänigen Umgebungen.

Fazit

Der ISW AD Health Check verdichtet rund 60 Einzelprüfungen je DC zu einem klaren Ampelbild – von der Replikation bis zu sicherheitsrelevanten Einstellungen. Wer sein Active Directory regelmäßig prüft, erkennt Probleme früh und hat zugleich eine prüffähige Dokumentation in der Hand. Und da das Tool kostenlos nutzbar ist, gibt es keinen Grund, den nächsten Check aufzuschieben. Download > Entpacken > Starten

Mehr Tools und Handbücher rund um Active Directory, PKI, Exchange und Sicherheit gibt es unter www.isw-adtools.de.

© 2026 IT-Service Walter