AD管理維護與排錯工具系列一：DcDiag

寫在前面：
    這是一直想寫但一直在猶豫的系列，由於系列準備介紹的沒有那種包治百病,靈丹妙藥式的工具，只有平常維護和排錯過程當中經常使用工具。這些工具都包含在MS Support Tools或Resource Tools中，微軟網站或工具自帶的使用幫助中已有相應的使用說明，網絡中也有許多相似的文章能夠參考。從這點來講，再整理這樣的系列，未免有多此一舉之嫌。但另外一方面，MS Support Tools和Resource Tools包含的工具如此之多，多數又缺乏工具功能和使用範圍介紹，在實際環境中遇到故障時，有時沒法肯定該使用哪一種適當工具進行故障定位和排錯。且對於部分人而言，閱讀英文說明文檔是一件痛苦的事情，以致於對這些經典工具望而卻步，在論壇中也常常能夠看到「某某AD工具如何使用」諸如此類的求助帖子。
    整理這個系列，一方面是幫助本身梳理經常使用的這些工具使用文檔，方便平常的工做和管理。另外一方面也但願能對剛接觸活動目錄管理的新手如何使用這些工具起指導入門的做用。
    至於文章中工具功能和參數的解釋，大部分是經過查看工具自帶幫助翻譯理解而成，因爲英文水平和理解能力有限，確定存在理解誤差或徹底錯誤的地方，歡迎你們指正，畢竟良好的交流和溝通氛圍，是學習技術重要的途徑!

 

---

工具名稱：DcDiag
工具出處：MS Support Tools
工具類型：命令行工具
當前環境：Win2003 SP1 + R2,DC
主要功能：
　　DcDiag是域控制器診斷工具，經過各類診斷測試，用來分析當前林或域中域控制器狀態，生成相應的檢測報告。DcDiag能夠說是域控制器診斷全能工具，當DC出現問題卻沒法判斷具體故障緣由時，首選使用DcDiag工具對DC進行一次全面診斷，查看檢測報告，從而縮小問題範圍以及定位問題!
　　DcDiag工具由對系統的一系列測試和校驗構成，能夠根據用戶的選擇，針對不一樣的範圍（林，域）對域控制器進行不一樣項目的診斷測試，主要測試項目有：
　　1：連通性
　　2：複製
　　3：拓樸完整性
　　4：檢查NC Head安全描述符
　　5：檢查登陸權
　　6：獲取DC位置
　　7：驗證安全邊界
　　8：驗證FSMO角色
　　9：驗證信任關係
　　10：DNS

 

一：DcDiag工具語法格式
　　DcDiag.exe /s:<Domain Controller> [/u:<Domain>\<Username> /p:*|<Password>|""]
               [/hqv] [/n:<Naming Context>] [/f:<Log>] [/ferr:<Errlog>]
               [/skip:<Test>] [/test:<Test>]

 

二：主要參數說明：
　　/s:Domain Controller - 指定測試的DC，默認測試本機。
　　/n:Naming Context - 指定測試時關聯的名稱上下文。彷佛只能使用域名稱上下文，沒法測試Schema,Configration等名稱上下文。
　　　　　　　　　　 域名稱上下文可使用域的DNS名稱，NetBios名稱或DN名稱。
　　/u:Domain\Username /p: - 用指定的賬號密碼鏈接DC，此時該賬號的密碼爲顯示密碼。
　　 如：DcDiag /u:superlan.vmtest.com\administrator /p:1qa2ws3ed
      /a - 測試當前站點全部DC
　　/e - 測試整個企業(整個林)中全部DC的情況
　　/q - 只顯示錯誤信息
       /v - 顯示詳細檢測報告　
　　/i - 忽略多餘的錯誤信息
       /fix - 僅對 MachineAccount 測試有影響。此參數會使測試過程對目錄服務器的計算機賬戶對象上的服務主體名稱 (SPN) 進行修復
       /f - 將信息報告輸出到指定的文件
　　/ferr - 將致命錯誤輸出重定向指定的文件
       /c - 診斷除 DcPromo 和 RegisterInDNS 以外的全部測試項目，包括非默認的測試。
　 　　非默認測試項包括：拓撲，對方服務器是否關閉，安全通道輸出範圍以及DNS動態註冊等。
　　/skip:Test -　指定不進行診斷的測試項，必須與/c配合使用。
　　/test:Test -  只運行單一測試項，但連通測試不跳過
　　　　　具體測試項有：
　　　　　　　Connectivity - 連通性。測試DC是否在DNS中登記註冊，Ping測試以及LDAP/RPC的可用性。
　　　　　　　Replications - 檢測DC之間的複製狀況
　　　　　　　Topology - 檢查KCC是否爲全部DC生成完整的連接拓撲
　　　　　　　CutoffServers - 檢查因複製夥伴不可用而沒有接受到的複製的DC
　　　　　　　NCSecDesc - 檢查在名稱上下文頭中的安全描述符是否有適當的複製權限
　　　　　　　NetLogon - 檢查是否有進行復制的適當登陸權限
　　　　　　　Advertising －　檢查每一個DC是否已公告它本身可以執行的角色。若是 Net Logon 服務中止或未能啓動，則此測試將失敗。
　　　　　　　KnowsOfRoleHolders － 檢查DC是否能夠與FSMO操做主機正常聯繫
　　　　　　　Intersite - 檢查會阻止或暫時停止站點間複製的故障，並嘗試預測 KCC 可以恢復以前須要的時間。
　　　　　　　FSMOCheck - 檢查DC是否能聯繫密鑰發行中心 (KDC)、時間服務器、首選時間服務器、主目錄服務器（主域控制器 (PDC)）和全局編錄服務器。
　　　　　　　RidManager - 檢查是否可訪問 RID 主機，以及 RID 主機是否包含正確的信息。
                        MachineAccount － 檢查機器的賬戶是否包含正確信息。
　　　　　　　　　　　　　　　　若是本地計算機賬號丟失，使用/RecreateMachineAccount進行嘗試修復
　　　　　　　　　　　　　　　　若是本地計算機賬號標誌不正確，使用/FixMachineAccount進行嘗試修復
                        Services - 檢查DC服務是否在運行正常
                        OutboundSecureChannels 檢查當前域中全部DC的安全通道。
　　　　　　　ObjectsReplicated - 檢查 Machine Account 和 DSA 對象是否已複製
                        frssysvol - 檢查SYSVOL文件夾共享狀態。
　　　　　　　frsevent -  檢查FRS是否存在錯誤記錄
　　　　　　　kccevent -  檢查 KCC是否存在錯誤記錄。
                        systemlog - 檢查系統是否無錯誤運行。
                        DCPromo - 檢查DC上的DNS記錄是否正常                     
　　　　　　　RegisterInDNS - 檢查DC是否在DNS中註冊
　　　　　　　Cro***efValidation - 檢查交叉引用是否有效
                     　CheckSDRefDom - 檢查目錄分區的安全
                        VerifyReplicas - 檢查複製服務器上目錄分區的安全性
　　　　　　　VerifyReference - 檢查對於 FRS 和「複製」基礎結構系統參數的正確與完整性
                        VerifyEnterpriseReferences - 檢查整個企業範圍內的全部DC上系統參數是否正確與完整

---

                       (Win2003 SP1新增功能)
                       CheckSecurityError - 檢測可能會形成AD複製失敗的安全配置
                       DNS - 檢查整個企業內的DNS健康性。
                                 DNS測試子項有：
                                 /DnsBasic - 基本DNS測試，包括網絡鏈接性、DNS客戶端配置、服務可用性和區域存在性。
                                /DnsForwarders -  /DnsBasic 測試，還檢查轉發器的配置
                                /DnsDelegation - /DnsBasic 測試，還檢查委派配置
                                /DnsDynamicUpdate - /DnsBasic測試,還檢查是否配置動態更新
                                /DnsRecordRegistration - /DnsBasic測試,檢查是否已註冊A、CNAME和已知的SRV記錄。此外，還根據結果建立清單報告
                               /DnsResolveExtName - /DnsBasic測試，還嘗試解析指定的域名名稱.
                               /DnsInternetName - /DnsBasic測試，還嘗試解析指定域名
                               /DnsAll - 除了/DnsResolveExtName外的全部DNS測試項

三：使用示例
    DcDiag參數衆多，且能夠組合使用，下面只給出基本的使用示例，對用法作一簡單描述。
    1：最簡單的用法,診斷當前DC情況
       >DcDiag

 

    2：測試當前DC的連通性
      >dcdiag /s:vmtest /test:connetivity
 
    3：測試整個林拓撲結構
     >dcdiag /e /test:Topology
      
    4：DCPromo參數用法。 注：DcPromo主要是當使用AD安裝嚮導或經過DCPromo命令安裝AD出錯時使用
       測試是否能夠在當前服務器上新建一個林
       >dcdiag /test:dcpromo /dnsdomain:vmtest.com /newforest
       

       測試是否能夠在當前服務器上新建樹       >dcdiag /test:DCpromo /dnsdomain:vmtest.com /newtree /forestRoot:vmtest.com

 

       測試是否能夠在當前服務器上新建子域
       >dcdiag /test:dcpromo /dnsdomain:vmtest.com /childDomain
 
       測試是否能夠在當前服務器上安裝輔助DC
       >dcdiag /test:dcpromo /dnsdomain:vmtest.com /ReplicaDC    

 

     5：測試DC是否在DNS中註冊
        >Dcdiag /v /test:RegisterInDns /Dnsdomain:vmtest.com

 

     6：DNS診斷
        最簡單用法,測試除/DnsResolveExtName以外的六項子測試
        >dcdiag /test:dns

        基本測試：執行基本 DNS 測試，包括網絡鏈接性、DNS 客戶端配置、服務可用性和區域存在性
        >dcdiag /test:dns /DnsBasic

 

        測試DnsBasic和轉發器
        >dcdiag /v /test:dns /dnsForwarders
   
        測試DnsBasic和解析指定的域名
        >Dcdiag /v /test:dns /dnsinternetname:[url]www.baidu.com[/url]

 

四：一個完整的DcDiag診斷信息註解
        參考連接： [url]http://hi.baidu.com/maxhan/blog/item/783ccafceb979d87b901a0c5.html[/url]

 

五：參考資料
        [url]http://technet2.microsoft.com/windowsserver/zh-chs/library/5237db58-a1e8-40cd-ae8a-7f52848a90f22052.mspx?mfr=true[/url]