工具名稱:DcDiag
工具出處:MS Support Tools
工具型別:命令列工具
當前環境:Win2003 SP1 + R2,DC
主要功能:
DcDiag是域控制器診斷工具,通過各種診斷測試,用來分析當前林或域中域控制器狀態,生成相應的檢測報告。DcDiag可以說是域控制器診斷全能工具,當DC出現問題卻無法判斷具體故障原因時,首選使用DcDiag工具對DC進行一次全面診斷,檢視檢測報告,從而縮小問題範圍以及定位問題!
DcDiag工具由對系統的一系列測試和校驗構成,可以根據使用者的選擇,針對不同的範圍(林,域)對域控制器進行不同專案的診斷測試,主要測試專案有:
1:連通性
2:複製
3:拓樸完整性
4:檢查NC Head安全描述符
5:檢查登入權
6:獲取DC位置
7:驗證安全邊界
8:驗證FSMO角色
9:驗證信任關係
10:DNS
工具出處:MS Support Tools
工具型別:命令列工具
當前環境:Win2003 SP1 + R2,DC
主要功能:
DcDiag是域控制器診斷工具,通過各種診斷測試,用來分析當前林或域中域控制器狀態,生成相應的檢測報告。DcDiag可以說是域控制器診斷全能工具,當DC出現問題卻無法判斷具體故障原因時,首選使用DcDiag工具對DC進行一次全面診斷,檢視檢測報告,從而縮小問題範圍以及定位問題!
DcDiag工具由對系統的一系列測試和校驗構成,可以根據使用者的選擇,針對不同的範圍(林,域)對域控制器進行不同專案的診斷測試,主要測試專案有:
1:連通性
2:複製
3:拓樸完整性
4:檢查NC Head安全描述符
5:檢查登入權
6:獲取DC位置
7:驗證安全邊界
8:驗證FSMO角色
9:驗證信任關係
10:DNS
一:DcDiag工具語法格式
DcDiag.exe /s:<Domain Controller> [/u:<Domain><Username> /p:*|<Password>|””]
[/hqv] [/n:<Naming Context>] [/f:<Log>] [/ferr:<Errlog>]
[/skip:<Test>] [/test:<Test>]
DcDiag.exe /s:<Domain Controller> [/u:<Domain><Username> /p:*|<Password>|””]
[/hqv] [/n:<Naming Context>] [/f:<Log>] [/ferr:<Errlog>]
[/skip:<Test>] [/test:<Test>]
二:主要引數說明:
/s:Domain Controller – 指定測試的DC,預設測試本機。
/n:Naming Context – 指定測試時關聯的名稱上下文。似乎只能使用域名稱上下文,無法測試Schema,Configration等名稱上下文。
域名稱上下文可以使用域的DNS名稱,NetBios名稱或DN名稱。
/u:DomainUsername /p: – 用指定的帳號密碼連線DC,此時該帳號的密碼為顯示密碼。
如:DcDiag /u:superlan.vmtest.comadministrator /p:1qa2ws3ed
/a – 測試當前站點所有DC
/e – 測試整個企業(整個林)中所有DC的狀況
/q – 只顯示錯誤資訊
/v – 顯示詳細檢測報告
/i – 忽略多餘的錯誤資訊
/fix – 僅對 MachineAccount 測試有影響。此引數會使測試過程對目錄伺服器的計算機帳戶物件上的服務主體名稱 (SPN) 進行修復
/f – 將資訊報告輸出到指定的檔案
/ferr – 將致命錯誤輸出重定向指定的檔案
/c – 診斷除 DcPromo 和 RegisterInDNS 之外的所有測試專案,包括非預設的測試。
非預設測試項包括:拓撲,對方伺服器是否關閉,安全通道輸出範圍以及DNS動態註冊等。
/skip:Test - 指定不進行診斷的測試項,必須與/c配合使用。
/test:Test – 只執行單一測試項,但連通測試不跳過
具體測試項有:
Connectivity – 連通性。測試DC是否在DNS中登記註冊,Ping測試以及LDAP/RPC的可用性。
Replications – 檢測DC之間的複製情況
Topology – 檢查KCC是否為所有DC生成完整的連結拓撲
CutoffServers – 檢查因複製夥伴不可用而沒有接受到的複製的DC
NCSecDesc – 檢查在名稱上下文頭中的安全描述符是否有適當的複製許可權
NetLogon – 檢查是否有進行復制的適當登入許可權
Advertising - 檢查每個DC是否已公告它自己能夠執行的角色。如果 Net Logon 服務停止或未能啟動,則此測試將失敗。
KnowsOfRoleHolders - 檢查DC是否可以與FSMO操作主機正常聯絡
Intersite – 檢查會阻止或暫時中止站點間複製的故障,並嘗試預測 KCC 能夠恢復之前需要的時間。
FSMOCheck – 檢查DC是否能聯絡金鑰發行中心 (KDC)、時間伺服器、首選時間伺服器、主目錄伺服器(主域控制器 (PDC))和全域性編錄伺服器。
RidManager – 檢查是否可訪問 RID 主機,以及 RID 主機是否包含正確的資訊。
MachineAccount - 檢查機器的帳戶是否包含正確資訊。
如果本地計算機帳號丟失,使用/RecreateMachineAccount進行嘗試修復
如果本地計算機帳號標誌不正確,使用/FixMachineAccount進行嘗試修復
Services – 檢查DC服務是否在執行正常
OutboundSecureChannels 檢查當前域中所有DC的安全通道。
ObjectsReplicated – 檢查 Machine Account 和 DSA 物件是否已複製
frssysvol – 檢查SYSVOL資料夾共享狀態。
frsevent – 檢查FRS是否存在錯誤記錄
kccevent – 檢查 KCC是否存在錯誤記錄。
systemlog – 檢查系統是否無錯誤執行。
DCPromo – 檢查DC上的DNS記錄是否正常
RegisterInDNS – 檢查DC是否在DNS中註冊
CrossRefValidation – 檢查交叉引用是否有效
CheckSDRefDom – 檢查目錄分割槽的安全
VerifyReplicas – 檢查複製伺服器上目錄分割槽的安全性
VerifyReference – 檢查對於 FRS 和“複製”基礎結構系統引數的正確與完整性
VerifyEnterpriseReferences – 檢查整個企業範圍內的所有DC上系統引數是否正確與完整
/s:Domain Controller – 指定測試的DC,預設測試本機。
/n:Naming Context – 指定測試時關聯的名稱上下文。似乎只能使用域名稱上下文,無法測試Schema,Configration等名稱上下文。
域名稱上下文可以使用域的DNS名稱,NetBios名稱或DN名稱。
/u:DomainUsername /p: – 用指定的帳號密碼連線DC,此時該帳號的密碼為顯示密碼。
如:DcDiag /u:superlan.vmtest.comadministrator /p:1qa2ws3ed
/a – 測試當前站點所有DC
/e – 測試整個企業(整個林)中所有DC的狀況
/q – 只顯示錯誤資訊
/v – 顯示詳細檢測報告
/i – 忽略多餘的錯誤資訊
/fix – 僅對 MachineAccount 測試有影響。此引數會使測試過程對目錄伺服器的計算機帳戶物件上的服務主體名稱 (SPN) 進行修復
/f – 將資訊報告輸出到指定的檔案
/ferr – 將致命錯誤輸出重定向指定的檔案
/c – 診斷除 DcPromo 和 RegisterInDNS 之外的所有測試專案,包括非預設的測試。
非預設測試項包括:拓撲,對方伺服器是否關閉,安全通道輸出範圍以及DNS動態註冊等。
/skip:Test - 指定不進行診斷的測試項,必須與/c配合使用。
/test:Test – 只執行單一測試項,但連通測試不跳過
具體測試項有:
Connectivity – 連通性。測試DC是否在DNS中登記註冊,Ping測試以及LDAP/RPC的可用性。
Replications – 檢測DC之間的複製情況
Topology – 檢查KCC是否為所有DC生成完整的連結拓撲
CutoffServers – 檢查因複製夥伴不可用而沒有接受到的複製的DC
NCSecDesc – 檢查在名稱上下文頭中的安全描述符是否有適當的複製許可權
NetLogon – 檢查是否有進行復制的適當登入許可權
Advertising - 檢查每個DC是否已公告它自己能夠執行的角色。如果 Net Logon 服務停止或未能啟動,則此測試將失敗。
KnowsOfRoleHolders - 檢查DC是否可以與FSMO操作主機正常聯絡
Intersite – 檢查會阻止或暫時中止站點間複製的故障,並嘗試預測 KCC 能夠恢復之前需要的時間。
FSMOCheck – 檢查DC是否能聯絡金鑰發行中心 (KDC)、時間伺服器、首選時間伺服器、主目錄伺服器(主域控制器 (PDC))和全域性編錄伺服器。
RidManager – 檢查是否可訪問 RID 主機,以及 RID 主機是否包含正確的資訊。
MachineAccount - 檢查機器的帳戶是否包含正確資訊。
如果本地計算機帳號丟失,使用/RecreateMachineAccount進行嘗試修復
如果本地計算機帳號標誌不正確,使用/FixMachineAccount進行嘗試修復
Services – 檢查DC服務是否在執行正常
OutboundSecureChannels 檢查當前域中所有DC的安全通道。
ObjectsReplicated – 檢查 Machine Account 和 DSA 物件是否已複製
frssysvol – 檢查SYSVOL資料夾共享狀態。
frsevent – 檢查FRS是否存在錯誤記錄
kccevent – 檢查 KCC是否存在錯誤記錄。
systemlog – 檢查系統是否無錯誤執行。
DCPromo – 檢查DC上的DNS記錄是否正常
RegisterInDNS – 檢查DC是否在DNS中註冊
CrossRefValidation – 檢查交叉引用是否有效
CheckSDRefDom – 檢查目錄分割槽的安全
VerifyReplicas – 檢查複製伺服器上目錄分割槽的安全性
VerifyReference – 檢查對於 FRS 和“複製”基礎結構系統引數的正確與完整性
VerifyEnterpriseReferences – 檢查整個企業範圍內的所有DC上系統引數是否正確與完整
(Win2003 SP1新增功能)
CheckSecurityError – 檢測可能會造成AD複製失敗的安全配置
DNS – 檢查整個企業內的DNS健康性。
DNS測試子項有:
/DnsBasic – 基本DNS測試,包括網路連線性、DNS客戶端配置、服務可用性和區域存在性。
/DnsForwarders – /DnsBasic 測試,還檢查轉發器的配置
/DnsDelegation – /DnsBasic 測試,還檢查委派配置
/DnsDynamicUpdate – /DnsBasic測試,還檢查是否配置動態更新
/DnsRecordRegistration – /DnsBasic測試,檢查是否已註冊A、CNAME和已知的SRV記錄。此外,還根據結果建立清單報告
/DnsResolveExtName – /DnsBasic測試,還嘗試解析指定的域名名稱.
/DnsInternetName – /DnsBasic測試,還嘗試解析指定域名
/DnsAll – 除了/DnsResolveExtName外的所有DNS測試項
CheckSecurityError – 檢測可能會造成AD複製失敗的安全配置
DNS – 檢查整個企業內的DNS健康性。
DNS測試子項有:
/DnsBasic – 基本DNS測試,包括網路連線性、DNS客戶端配置、服務可用性和區域存在性。
/DnsForwarders – /DnsBasic 測試,還檢查轉發器的配置
/DnsDelegation – /DnsBasic 測試,還檢查委派配置
/DnsDynamicUpdate – /DnsBasic測試,還檢查是否配置動態更新
/DnsRecordRegistration – /DnsBasic測試,檢查是否已註冊A、CNAME和已知的SRV記錄。此外,還根據結果建立清單報告
/DnsResolveExtName – /DnsBasic測試,還嘗試解析指定的域名名稱.
/DnsInternetName – /DnsBasic測試,還嘗試解析指定域名
/DnsAll – 除了/DnsResolveExtName外的所有DNS測試項
三:使用示例
DcDiag引數眾多,且可以組合使用,下面只給出基本的使用示例,對用法做一簡單描述。
1:最簡單的用法,診斷當前DC狀況
>DcDiag
2:測試當前DC的連通性
>dcdiag /s:vmtest /test:connetivity
3:測試整個林拓撲結構
>dcdiag /e /test:Topology
4:DCPromo引數用法。注:DcPromo主要是當使用AD安裝嚮導或通過DCPromo命令安裝AD出錯時使用
測試是否可以在當前伺服器上新建一個林
>dcdiag /test:dcpromo /dnsdomain:vmtest.com /newforest
>dcdiag /s:vmtest /test:connetivity
3:測試整個林拓撲結構
>dcdiag /e /test:Topology
4:DCPromo引數用法。注:DcPromo主要是當使用AD安裝嚮導或通過DCPromo命令安裝AD出錯時使用
測試是否可以在當前伺服器上新建一個林
>dcdiag /test:dcpromo /dnsdomain:vmtest.com /newforest
測試是否可以在當前伺服器上新建樹 >dcdiag /test:DCpromo /dnsdomain:vmtest.com /newtree /forestRoot:vmtest.com
測試是否可以在當前伺服器上新建子域
>dcdiag /test:dcpromo /dnsdomain:vmtest.com /childDomain
測試是否可以在當前伺服器上安裝輔助DC
>dcdiag /test:dcpromo /dnsdomain:vmtest.com /ReplicaDC
>dcdiag /test:dcpromo /dnsdomain:vmtest.com /childDomain
測試是否可以在當前伺服器上安裝輔助DC
>dcdiag /test:dcpromo /dnsdomain:vmtest.com /ReplicaDC
5:測試DC是否在DNS中註冊
>Dcdiag /v /test:RegisterInDns /Dnsdomain:vmtest.com
>Dcdiag /v /test:RegisterInDns /Dnsdomain:vmtest.com
6:DNS診斷
最簡單用法,測試除/DnsResolveExtName之外的六項子測試
>dcdiag /test:dns
最簡單用法,測試除/DnsResolveExtName之外的六項子測試
>dcdiag /test:dns
基本測試:執行基本 DNS 測試,包括網路連線性、DNS 客戶端配置、服務可用性和區域存在性
>dcdiag /test:dns /DnsBasic
>dcdiag /test:dns /DnsBasic
測試DnsBasic和轉發器
>dcdiag /v /test:dns /dnsForwarders
測試DnsBasic和解析指定的域名
>Dcdiag /v /test:dns /dnsinternetname:[url]www.baidu.com[/url]
>dcdiag /v /test:dns /dnsForwarders
測試DnsBasic和解析指定的域名
>Dcdiag /v /test:dns /dnsinternetname:[url]www.baidu.com[/url]
四:一個完整的DcDiag診斷資訊註解
參考連結:[url]http://hi.baidu.com/maxhan/blog/item/783ccafceb979d87b901a0c5.html[/url]
參考連結:[url]http://hi.baidu.com/maxhan/blog/item/783ccafceb979d87b901a0c5.html[/url]
本文轉自q狼的誘惑 51CTO部落格,原文連結:http://blog.51cto.com/liangrui/367197,如需轉載請自行聯絡原作者