工具名稱:DcDiag
工具出處:MS Support Tools
工具類型:命令行工具
當前環境:Win2003 SP1 + R2,DC
主要功能:
DcDiag是域控制器診斷工具,經過各類診斷測試,用來分析當前林或域中域控制器狀態,生成相應的檢測報告。DcDiag能夠說是域控制器診斷全能工具,當DC出現問題卻沒法判斷具體故障緣由時,首選使用DcDiag工具對DC進行一次全面診斷,查看檢測報告,從而縮小問題範圍以及定位問題!
DcDiag工具由對系統的一系列測試和校驗構成,能夠根據用戶的選擇,針對不一樣的範圍(林,域)對域控制器進行不一樣項目的診斷測試,主要測試項目有:
1:連通性
2:複製
3:拓樸完整性
4:檢查NC Head安全描述符
5:檢查登陸權
6:獲取DC位置
7:驗證安全邊界
8:驗證FSMO角色
9:驗證信任關係
10:DNSios
一:DcDiag工具語法格式
DcDiag.exe /s:<Domain Controller> [/u:<Domain>\<Username> /p:*|<Password>|""]
[/hqv] [/n:<Naming Context>] [/f:<Log>] [/ferr:<Errlog>]
[/skip:<Test>] [/test:<Test>]安全
二:主要參數說明:
/s:Domain Controller - 指定測試的DC,默認測試本機。
/n:Naming Context - 指定測試時關聯的名稱上下文。彷佛只能使用域名稱上下文,沒法測試Schema,Configration等名稱上下文。
域名稱上下文能夠使用域的DNS名稱,NetBios名稱或DN名稱。
/u:Domain\Username /p: - 用指定的賬號密碼鏈接DC,此時該賬號的密碼爲顯示密碼。
如:DcDiag /u:superlan.vmtest.com\administrator /p:1qa2ws3ed
/a - 測試當前站點全部DC
/e - 測試整個企業(整個林)中全部DC的情況
/q - 只顯示錯誤信息
/v - 顯示詳細檢測報告
/i - 忽略多餘的錯誤信息
/fix - 僅對 MachineAccount 測試有影響。此參數會使測試過程對目錄服務器的計算機賬戶對象上的服務主體名稱 (SPN) 進行修復
/f - 將信息報告輸出到指定的文件
/ferr - 將致命錯誤輸出重定向指定的文件
/c - 診斷除 DcPromo 和 RegisterInDNS 以外的全部測試項目,包括非默認的測試。
非默認測試項包括:拓撲,對方服務器是否關閉,安全通道輸出範圍以及DNS動態註冊等。
/skip:Test - 指定不進行診斷的測試項,必須與/c配合使用。
/test:Test - 只運行單一測試項,但連通測試不跳過
具體測試項有:
Connectivity - 連通性。測試DC是否在DNS中登記註冊,Ping測試以及LDAP/RPC的可用性。
Replications - 檢測DC之間的複製狀況
Topology - 檢查KCC是否爲全部DC生成完整的連接拓撲
CutoffServers - 檢查因複製夥伴不可用而沒有接受到的複製的DC
NCSecDesc - 檢查在名稱上下文頭中的安全描述符是否有適當的複製權限
NetLogon - 檢查是否有進行復制的適當登陸權限
Advertising - 檢查每一個DC是否已公告它本身可以執行的角色。若是 Net Logon 服務中止或未能啓動,則此測試將失敗。
KnowsOfRoleHolders - 檢查DC是否能夠與FSMO操做主機正常聯繫
Intersite - 檢查會阻止或暫時停止站點間複製的故障,並嘗試預測 KCC 可以恢復以前須要的時間。
FSMOCheck - 檢查DC是否能聯繫密鑰發行中心 (KDC)、時間服務器、首選時間服務器、主目錄服務器(主域控制器 (PDC))和全局編錄服務器。
RidManager - 檢查是否可訪問 RID 主機,以及 RID 主機是否包含正確的信息。
MachineAccount - 檢查機器的賬戶是否包含正確信息。
若是本地計算機賬號丟失,使用/RecreateMachineAccount進行嘗試修復
若是本地計算機賬號標誌不正確,使用/FixMachineAccount進行嘗試修復
Services - 檢查DC服務是否在運行正常
OutboundSecureChannels 檢查當前域中全部DC的安全通道。
ObjectsReplicated - 檢查 Machine Account 和 DSA 對象是否已複製
frssysvol - 檢查SYSVOL文件夾共享狀態。
frsevent - 檢查FRS是否存在錯誤記錄
kccevent - 檢查 KCC是否存在錯誤記錄。
systemlog - 檢查系統是否無錯誤運行。
DCPromo - 檢查DC上的DNS記錄是否正常
RegisterInDNS - 檢查DC是否在DNS中註冊
Cro***efValidation - 檢查交叉引用是否有效
CheckSDRefDom - 檢查目錄分區的安全
VerifyReplicas - 檢查複製服務器上目錄分區的安全性
VerifyReference - 檢查對於 FRS 和「複製」基礎結構系統參數的正確與完整性
VerifyEnterpriseReferences - 檢查整個企業範圍內的全部DC上系統參數是否正確與完整服務器
(Win2003 SP1新增功能)
CheckSecurityError - 檢測可能會形成AD複製失敗的安全配置
DNS - 檢查整個企業內的DNS健康性。
DNS測試子項有:
/DnsBasic - 基本DNS測試,包括網絡鏈接性、DNS客戶端配置、服務可用性和區域存在性。
/DnsForwarders - /DnsBasic 測試,還檢查轉發器的配置
/DnsDelegation - /DnsBasic 測試,還檢查委派配置
/DnsDynamicUpdate - /DnsBasic測試,還檢查是否配置動態更新
/DnsRecordRegistration - /DnsBasic測試,檢查是否已註冊A、CNAME和已知的SRV記錄。此外,還根據結果建立清單報告
/DnsResolveExtName - /DnsBasic測試,還嘗試解析指定的域名名稱.
/DnsInternetName - /DnsBasic測試,還嘗試解析指定域名
/DnsAll - 除了/DnsResolveExtName外的全部DNS測試項網絡
三:使用示例
DcDiag參數衆多,且能夠組合使用,下面只給出基本的使用示例,對用法作一簡單描述。
1:最簡單的用法,診斷當前DC情況
>DcDiagdom
2:測試當前DC的連通性
>dcdiag /s:vmtest /test:connetivity
3:測試整個林拓撲結構
>dcdiag /e /test:Topology
4:DCPromo參數用法。注:DcPromo主要是當使用AD安裝嚮導或經過DCPromo命令安裝AD出錯時使用
測試是否能夠在當前服務器上新建一個林
>dcdiag /test:dcpromo /dnsdomain:vmtest.com /newforest
ide
測試是否能夠在當前服務器上新建樹 >dcdiag /test:DCpromo /dnsdomain:vmtest.com /newtree /forestRoot:vmtest.com工具
測試是否能夠在當前服務器上新建子域
>dcdiag /test:dcpromo /dnsdomain:vmtest.com /childDomain
測試是否能夠在當前服務器上安裝輔助DC
>dcdiag /test:dcpromo /dnsdomain:vmtest.com /ReplicaDC 測試
5:測試DC是否在DNS中註冊
>Dcdiag /v /test:RegisterInDns /Dnsdomain:vmtest.comspa
6:DNS診斷
最簡單用法,測試除/DnsResolveExtName以外的六項子測試
>dcdiag /test:dns命令行
基本測試:執行基本 DNS 測試,包括網絡鏈接性、DNS 客戶端配置、服務可用性和區域存在性
>dcdiag /test:dns /DnsBasic
測試DnsBasic和轉發器
>dcdiag /v /test:dns /dnsForwarders
測試DnsBasic和解析指定的域名
>Dcdiag /v /test:dns /dnsinternetname:www.baidu.com