寫在前面:
這是一直想寫但一直在猶豫的系列,因爲系列準備介紹的沒有那種包治百病,靈丹妙藥式的工具,只有日常維護和排錯過程中常用工具。這些工具都包含在MS Support Tools或Resource Tools中,微軟網站或工具自帶的使用幫助中已有相應的使用說明,網絡中也有許多類似的文章可以參考。從這點來說,再整理這樣的系列,未免有畫蛇添足之嫌。但另一方面,MS Support Tools和Resource Tools包含的工具如此之多,多數又缺少工具功能和使用範圍介紹,在實際環境中遇到故障時,有時無法確定該使用哪種適當工具進行故障定位和排錯。且對於部分人而言,閱讀英文說明文檔是一件痛苦的事情,以至於對這些經典工具望而卻步,在論壇中也經常可以看到“某某AD工具如何使用”諸如此類的求助帖子。
整理這個系列,一方面是幫助自己梳理常用的這些工具使用文檔,方便日常的工作和管理。另一方面也希望能對剛接觸活動目錄管理的新手如何使用這些工具起指導入門的作用。
至於文章中工具功能和參數的解釋,大部分是通過查看工具自帶幫助翻譯理解而成,由於英文水平和理解能力有限,肯定存在理解偏差或完全錯誤的地方,歡迎大家指正,畢竟良好的交流和溝通氛圍,是學習技術重要的途徑!
這是一直想寫但一直在猶豫的系列,因爲系列準備介紹的沒有那種包治百病,靈丹妙藥式的工具,只有日常維護和排錯過程中常用工具。這些工具都包含在MS Support Tools或Resource Tools中,微軟網站或工具自帶的使用幫助中已有相應的使用說明,網絡中也有許多類似的文章可以參考。從這點來說,再整理這樣的系列,未免有畫蛇添足之嫌。但另一方面,MS Support Tools和Resource Tools包含的工具如此之多,多數又缺少工具功能和使用範圍介紹,在實際環境中遇到故障時,有時無法確定該使用哪種適當工具進行故障定位和排錯。且對於部分人而言,閱讀英文說明文檔是一件痛苦的事情,以至於對這些經典工具望而卻步,在論壇中也經常可以看到“某某AD工具如何使用”諸如此類的求助帖子。
整理這個系列,一方面是幫助自己梳理常用的這些工具使用文檔,方便日常的工作和管理。另一方面也希望能對剛接觸活動目錄管理的新手如何使用這些工具起指導入門的作用。
至於文章中工具功能和參數的解釋,大部分是通過查看工具自帶幫助翻譯理解而成,由於英文水平和理解能力有限,肯定存在理解偏差或完全錯誤的地方,歡迎大家指正,畢竟良好的交流和溝通氛圍,是學習技術重要的途徑!
工具名稱:DcDiag
工具出處:MS Support Tools
工具類型:命令行工具
當前環境:Win2003 SP1 + R2,DC
主要功能:
DcDiag是域控制器診斷工具,通過各種診斷測試,用來分析當前林或域中域控制器狀態,生成相應的檢測報告。DcDiag可以說是域控制器診斷全能工具,當DC出現問題卻無法判斷具體故障原因時,首選使用DcDiag工具對DC進行一次全面診斷,查看檢測報告,從而縮小問題範圍以及定位問題!
DcDiag工具由對系統的一系列測試和校驗構成,可以根據用戶的選擇,針對不同的範圍(林,域)對域控制器進行不同項目的診斷測試,主要測試項目有:
1:連通性
2:複製
3:拓樸完整性
4:檢查NC Head安全描述符
5:檢查登錄權
6:獲取DC位置
7:驗證安全邊界
8:驗證FSMO角色
9:驗證信任關係
10:DNS
一:DcDiag工具語法格式
DcDiag.exe /s:<Domain Controller> [/u:<Domain>\<Username> /p:*|<Password>|""]
[/hqv] [/n:<Naming Context>] [/f:<Log>] [/ferr:<Errlog>]
[/skip:<Test>] [/test:<Test>]
DcDiag.exe /s:<Domain Controller> [/u:<Domain>\<Username> /p:*|<Password>|""]
[/hqv] [/n:<Naming Context>] [/f:<Log>] [/ferr:<Errlog>]
[/skip:<Test>] [/test:<Test>]
二:主要參數說明:
/s:Domain Controller - 指定測試的DC,默認測試本機。
/n:Naming Context - 指定測試時關聯的名稱上下文。似乎只能使用域名稱上下文,無法測試Schema,Configration等名稱上下文。
域名稱上下文可以使用域的DNS名稱,NetBios名稱或DN名稱。
/u:Domain\Username /p: - 用指定的帳號密碼連接DC,此時該帳號的密碼爲顯示密碼。
如:DcDiag /u:superlan.vmtest.com\administrator /p:1qa2ws3ed
/a - 測試當前站點所有DC
/e - 測試整個企業(整個林)中所有DC的狀況
/q - 只顯示錯誤信息
/v - 顯示詳細檢測報告
/i - 忽略多餘的錯誤信息
/fix - 僅對 MachineAccount 測試有影響。此參數會使測試過程對目錄服務器的計算機帳戶對象上的服務主體名稱 (SPN) 進行修復
/f - 將信息報告輸出到指定的文件
/ferr - 將致命錯誤輸出重定向指定的文件
/c - 診斷除 DcPromo 和 RegisterInDNS 之外的所有測試項目,包括非默認的測試。
非默認測試項包括:拓撲,對方服務器是否關閉,安全通道輸出範圍以及DNS動態註冊等。
/skip:Test - 指定不進行診斷的測試項,必須與/c配合使用。
/test:Test - 只運行單一測試項,但連通測試不跳過
具體測試項有:
Connectivity - 連通性。測試DC是否在DNS中登記註冊,Ping測試以及LDAP/RPC的可用性。
Replications - 檢測DC之間的複製情況
Topology - 檢查KCC是否爲所有DC生成完整的鏈接拓撲
CutoffServers - 檢查因複製夥伴不可用而沒有接受到的複製的DC
NCSecDesc - 檢查在名稱上下文頭中的安全描述符是否有適當的複製權限
NetLogon - 檢查是否有進行復制的適當登錄權限
Advertising - 檢查每個DC是否已公告它自己能夠執行的角色。如果 Net Logon 服務停止或未能啓動,則此測試將失敗。
KnowsOfRoleHolders - 檢查DC是否可以與FSMO操作主機正常聯繫
Intersite - 檢查會阻止或暫時中止站點間複製的故障,並嘗試預測 KCC 能夠恢復之前需要的時間。
FSMOCheck - 檢查DC是否能聯繫密鑰發行中心 (KDC)、時間服務器、首選時間服務器、主目錄服務器(主域控制器 (PDC))和全局編錄服務器。
RidManager - 檢查是否可訪問 RID 主機,以及 RID 主機是否包含正確的信息。
MachineAccount - 檢查機器的帳戶是否包含正確信息。
如果本地計算機帳號丟失,使用/RecreateMachineAccount進行嘗試修復
如果本地計算機帳號標誌不正確,使用/FixMachineAccount進行嘗試修復
Services - 檢查DC服務是否在運行正常
OutboundSecureChannels 檢查當前域中所有DC的安全通道。
ObjectsReplicated - 檢查 Machine Account 和 DSA 對象是否已複製
frssysvol - 檢查SYSVOL文件夾共享狀態。
frsevent - 檢查FRS是否存在錯誤記錄
kccevent - 檢查 KCC是否存在錯誤記錄。
systemlog - 檢查系統是否無錯誤運行。
DCPromo - 檢查DC上的DNS記錄是否正常
RegisterInDNS - 檢查DC是否在DNS中註冊
CrossRefValidation - 檢查交叉引用是否有效
CheckSDRefDom - 檢查目錄分區的安全
VerifyReplicas - 檢查複製服務器上目錄分區的安全性
VerifyReference - 檢查對於 FRS 和“複製”基礎結構系統參數的正確與完整性
VerifyEnterpriseReferences - 檢查整個企業範圍內的所有DC上系統參數是否正確與完整
/s:Domain Controller - 指定測試的DC,默認測試本機。
/n:Naming Context - 指定測試時關聯的名稱上下文。似乎只能使用域名稱上下文,無法測試Schema,Configration等名稱上下文。
域名稱上下文可以使用域的DNS名稱,NetBios名稱或DN名稱。
/u:Domain\Username /p: - 用指定的帳號密碼連接DC,此時該帳號的密碼爲顯示密碼。
如:DcDiag /u:superlan.vmtest.com\administrator /p:1qa2ws3ed
/a - 測試當前站點所有DC
/e - 測試整個企業(整個林)中所有DC的狀況
/q - 只顯示錯誤信息
/v - 顯示詳細檢測報告
/i - 忽略多餘的錯誤信息
/fix - 僅對 MachineAccount 測試有影響。此參數會使測試過程對目錄服務器的計算機帳戶對象上的服務主體名稱 (SPN) 進行修復
/f - 將信息報告輸出到指定的文件
/ferr - 將致命錯誤輸出重定向指定的文件
/c - 診斷除 DcPromo 和 RegisterInDNS 之外的所有測試項目,包括非默認的測試。
非默認測試項包括:拓撲,對方服務器是否關閉,安全通道輸出範圍以及DNS動態註冊等。
/skip:Test - 指定不進行診斷的測試項,必須與/c配合使用。
/test:Test - 只運行單一測試項,但連通測試不跳過
具體測試項有:
Connectivity - 連通性。測試DC是否在DNS中登記註冊,Ping測試以及LDAP/RPC的可用性。
Replications - 檢測DC之間的複製情況
Topology - 檢查KCC是否爲所有DC生成完整的鏈接拓撲
CutoffServers - 檢查因複製夥伴不可用而沒有接受到的複製的DC
NCSecDesc - 檢查在名稱上下文頭中的安全描述符是否有適當的複製權限
NetLogon - 檢查是否有進行復制的適當登錄權限
Advertising - 檢查每個DC是否已公告它自己能夠執行的角色。如果 Net Logon 服務停止或未能啓動,則此測試將失敗。
KnowsOfRoleHolders - 檢查DC是否可以與FSMO操作主機正常聯繫
Intersite - 檢查會阻止或暫時中止站點間複製的故障,並嘗試預測 KCC 能夠恢復之前需要的時間。
FSMOCheck - 檢查DC是否能聯繫密鑰發行中心 (KDC)、時間服務器、首選時間服務器、主目錄服務器(主域控制器 (PDC))和全局編錄服務器。
RidManager - 檢查是否可訪問 RID 主機,以及 RID 主機是否包含正確的信息。
MachineAccount - 檢查機器的帳戶是否包含正確信息。
如果本地計算機帳號丟失,使用/RecreateMachineAccount進行嘗試修復
如果本地計算機帳號標誌不正確,使用/FixMachineAccount進行嘗試修復
Services - 檢查DC服務是否在運行正常
OutboundSecureChannels 檢查當前域中所有DC的安全通道。
ObjectsReplicated - 檢查 Machine Account 和 DSA 對象是否已複製
frssysvol - 檢查SYSVOL文件夾共享狀態。
frsevent - 檢查FRS是否存在錯誤記錄
kccevent - 檢查 KCC是否存在錯誤記錄。
systemlog - 檢查系統是否無錯誤運行。
DCPromo - 檢查DC上的DNS記錄是否正常
RegisterInDNS - 檢查DC是否在DNS中註冊
CrossRefValidation - 檢查交叉引用是否有效
CheckSDRefDom - 檢查目錄分區的安全
VerifyReplicas - 檢查複製服務器上目錄分區的安全性
VerifyReference - 檢查對於 FRS 和“複製”基礎結構系統參數的正確與完整性
VerifyEnterpriseReferences - 檢查整個企業範圍內的所有DC上系統參數是否正確與完整
(Win2003 SP1新增功能)
CheckSecurityError - 檢測可能會造成AD複製失敗的安全配置
DNS - 檢查整個企業內的DNS健康性。
DNS測試子項有:
/DnsBasic - 基本DNS測試,包括網絡連接性、DNS客戶端配置、服務可用性和區域存在性。
/DnsForwarders - /DnsBasic 測試,還檢查轉發器的配置
/DnsDelegation - /DnsBasic 測試,還檢查委派配置
/DnsDynamicUpdate - /DnsBasic測試,還檢查是否配置動態更新
/DnsRecordRegistration - /DnsBasic測試,檢查是否已註冊A、CNAME和已知的SRV記錄。此外,還根據結果創建清單報告
/DnsResolveExtName - /DnsBasic測試,還嘗試解析指定的域名名稱.
/DnsInternetName - /DnsBasic測試,還嘗試解析指定域名
/DnsAll - 除了/DnsResolveExtName外的所有DNS測試項
CheckSecurityError - 檢測可能會造成AD複製失敗的安全配置
DNS - 檢查整個企業內的DNS健康性。
DNS測試子項有:
/DnsBasic - 基本DNS測試,包括網絡連接性、DNS客戶端配置、服務可用性和區域存在性。
/DnsForwarders - /DnsBasic 測試,還檢查轉發器的配置
/DnsDelegation - /DnsBasic 測試,還檢查委派配置
/DnsDynamicUpdate - /DnsBasic測試,還檢查是否配置動態更新
/DnsRecordRegistration - /DnsBasic測試,檢查是否已註冊A、CNAME和已知的SRV記錄。此外,還根據結果創建清單報告
/DnsResolveExtName - /DnsBasic測試,還嘗試解析指定的域名名稱.
/DnsInternetName - /DnsBasic測試,還嘗試解析指定域名
/DnsAll - 除了/DnsResolveExtName外的所有DNS測試項
三:使用示例
DcDiag參數衆多,且可以組合使用,下面只給出基本的使用示例,對用法做一簡單描述。
1:最簡單的用法,診斷當前DC狀況
>DcDiag
2:測試當前DC的連通性
>dcdiag /s:vmtest /test:connetivity
3:測試整個林拓撲結構
>dcdiag /e /test:Topology
4:DCPromo參數用法。注:DcPromo主要是當使用AD安裝嚮導或通過DCPromo命令安裝AD出錯時使用
測試是否可以在當前服務器上新建一個林
>dcdiag /test:dcpromo /dnsdomain:vmtest.com /newforest
![]()
>dcdiag /s:vmtest /test:connetivity
3:測試整個林拓撲結構
>dcdiag /e /test:Topology
4:DCPromo參數用法。注:DcPromo主要是當使用AD安裝嚮導或通過DCPromo命令安裝AD出錯時使用
測試是否可以在當前服務器上新建一個林
>dcdiag /test:dcpromo /dnsdomain:vmtest.com /newforest
測試是否可以在當前服務器上新建樹 >dcdiag /test:DCpromo /dnsdomain:vmtest.com /newtree /forestRoot:vmtest.com
測試是否可以在當前服務器上新建子域
>dcdiag /test:dcpromo /dnsdomain:vmtest.com /childDomain
測試是否可以在當前服務器上安裝輔助DC
>dcdiag /test:dcpromo /dnsdomain:vmtest.com /ReplicaDC
>dcdiag /test:dcpromo /dnsdomain:vmtest.com /childDomain
測試是否可以在當前服務器上安裝輔助DC
>dcdiag /test:dcpromo /dnsdomain:vmtest.com /ReplicaDC
5:測試DC是否在DNS中註冊
>Dcdiag /v /test:RegisterInDns /Dnsdomain:vmtest.com
>Dcdiag /v /test:RegisterInDns /Dnsdomain:vmtest.com
6:DNS診斷
最簡單用法,測試除/DnsResolveExtName之外的六項子測試
>dcdiag /test:dns
最簡單用法,測試除/DnsResolveExtName之外的六項子測試
>dcdiag /test:dns
基本測試:執行基本 DNS 測試,包括網絡連接性、DNS 客戶端配置、服務可用性和區域存在性
>dcdiag /test:dns /DnsBasic
>dcdiag /test:dns /DnsBasic
測試DnsBasic和轉發器
>dcdiag /v /test:dns /dnsForwarders
測試DnsBasic和解析指定的域名
>Dcdiag /v /test:dns /dnsinternetname:[url]www.baidu.com[/url]
>dcdiag /v /test:dns /dnsForwarders
測試DnsBasic和解析指定的域名
>Dcdiag /v /test:dns /dnsinternetname:[url]www.baidu.com[/url]
四:一個完整的DcDiag診斷信息註解
參考鏈接:[url]http://hi.baidu.com/maxhan/blog/item/783ccafceb979d87b901a0c5.html[/url]
參考鏈接:[url]http://hi.baidu.com/maxhan/blog/item/783ccafceb979d87b901a0c5.html[/url]
本文出自 “我兒子真帥!” 博客,轉載請與作者聯繫!
