AD管理维护与排错工具之DcDiag

工具名称： DcDiag 工具出处： MS Support Tools 工具类型：命令行工具 当前环境： Win2003 SP1 + R2,DC 主要功能： 　　 DcDiag 是域控制器诊断工具，通过各种诊断测试，用来分析当前林或域中域控制器状态，生成相应的检测报告。 DcDiag 可以说是域控制器诊断全能工具，当 DC 出现问题却无法判断具体故障原因时，首选使用 DcDiag 工具对 DC 进行一次全面诊断，查看检测报告，从而缩小问题范围以及定位问题 ! 　　 DcDiag 工具由对系统的一系列测试和校验构成，可以根据用户的选择，针对不同的范围（林，域）对域控制器进行不同项目的诊断测试，主要测试项目有： 　　 1 ：连通性 　　 2 ：复制 　　 3 ：拓朴完整性 　　 4 ：检查 NC Head 安全描述符 　　 5 ：检查登录权 　　 6 ：获取 DC 位置 　　 7 ：验证安全边界 　　 8 ：验证 FSMO 角色 　　 9 ：验证信任关系 　　 10 ： DNS   一： DcDiag 工具语法格式 　　 DcDiag.exe /s:<Domain Controller> [/u:<Domain>\<Username> /p:*|<Password>|""] [/hqv] [/n:<Naming Context>] [/f:<Log>] [/ferr:<Errlog>] [/skip:<Test>] [/test:<Test>]   二：主要参数说明： 　　 /s:Domain Controller - 指定测试的 DC ，默认测试本机。 　　 /n:Naming Context - 指定测试时关联的名称上下文。似乎只能使用域名称上下文，无法测试 Schema,Configration 等名称上下文。 　　　　　　　　　　 域名称上下文可以使用域的 DNS 名称， NetBios 名称或 DN 名称。 　　 /u:Domain\Username /p: - 用指定的帐号密码连接 DC ，此时该帐号的密码为显示密码。 　　 如： DcDiag /u:superlan.vmtest.com\administrator /p:1qa2ws3ed /a - 测试当前站点所有 DC 　　 /e - 测试整个企业 ( 整个林 ) 中所有 DC 的状况 　　 /q - 只显示错误信息        /v - 显示详细检测报告　 　　 /i - 忽略多余的错误信息        /fix - 仅对 MachineAccount 测试有影响。此参数会使测试过程对目录服务器的计算机帐户对象上的服务主体名称 (SPN) 进行修复        /f - 将信息报告输出到指定的文件 　　 /ferr - 将致命错误输出重定向指定的文件        /c - 诊断除 DcPromo 和 RegisterInDNS 之外的所有测试项目，包括非默认的测试。 　 　　非默认测试项包括：拓扑，对方服务器是否关闭，安全通道输出范围以及 DNS 动态注册等。 　　 /skip:Test - 　指定不进行诊断的测试项，必须与 /c 配合使用。 　　 /test:Test -  只运行单一测试项，但连通测试不跳过 　　　　　具体测试项有： 　　　　　　　 Connectivity - 连通性。测试 DC 是否在 DNS 中登记注册， Ping 测试以及 LDAP/RPC 的可用性。 　　　　　　　 Replications - 检测 DC 之间的复制情况 　　　　　　　 Topology - 检查 KCC 是否为所有 DC 生成完整的链接拓扑 　　　　　　　 CutoffServers - 检查因复制伙伴不可用而没有接受到的复制的 DC 　　　　　　　 NCSecDesc - 检查在名称上下文头中的安全描述符是否有适当的复制权限 　　　　　　　 NetLogon - 检查是否有进行复制的适当登录权限 　　　　　　　 Advertising －　检查每个 DC 是否已公告它自己能够执行的角色。如果 Net Logon 服务停止或未能启动，则此测试将失败。 　　　　　　　 KnowsOfRoleHolders － 检查 DC 是否可以与 FSMO 操作主机正常联系 　　　　　　　 Intersite - 检查会阻止或暂时中止站点间复制的故障，并尝试预测 KCC 能够恢复之前需要的时间。 　　　　　　　 FSMOCheck - 检查 DC 是否能联系密钥发行中心 (KDC) 、时间服务器、首选时间服务器、主目录服务器（主域控制器 (PDC) ）和全局编录服务器。 　　　　　　　 RidManager - 检查是否可访问 RID 主机，以及 RID 主机是否包含正确的信息。                         MachineAccount － 检查机器的帐户是否包含正确信息。 　　　　　　　　　　　　　　　　如果本地计算机帐号丢失，使用 /RecreateMachineAccount 进行尝试修复 　　　　　　　　　　　　　　　　如果本地计算机帐号标志不正确，使用 /FixMachineAccount 进行尝试修复                         Services - 检查 DC 服务是否在运行正常                         OutboundSecureChannels 检查当前域中所有 DC 的安全通道。 　　　　　　　 ObjectsReplicated - 检查 Machine Account 和 DSA 对象是否已复制                         frssysvol - 检查 SYSVOL 文件夹共享状态。 　　　　　　　 frsevent -  检查 FRS 是否存在错误记录 　　　　　　　 kccevent -  检查 KCC 是否存在错误记录。                         systemlog - 检查系统是否无错误运行。                         DCPromo - 检查 DC 上的 DNS 记录是否正常                       　　　　　　　 RegisterInDNS - 检查 DC 是否在 DNS 中注册 　　　　　　　 CrossRefValidation - 检查交叉引用是否有效                      　 CheckSDRefDom - 检查目录分区的安全                         VerifyReplicas - 检查复制服务器上目录分区的安全性 　　　　　　　 VerifyReference - 检查对于 FRS 和“复制”基础结构系统参数的正确与完整性                         VerifyEnterpriseReferences - 检查整个企业范围内的所有 DC 上系统参数是否正确与完整                        (Win2003 SP1 新增功能 ) CheckSecurityError - 检测可能会造成 AD 复制失败的安全配置                        DNS - 检查整个企业内的 DNS 健康性。                                  DNS 测试子项有：                                  /DnsBasic - 基本 DNS 测试，包括网络连接性、 DNS 客户端配置、服务可用性和区域存在性。                                 /DnsForwarders -  /DnsBasic 测试，还检查转发器的配置                                 /DnsDelegation - /DnsBasic 测试，还检查委派配置                                 /DnsDynamicUpdate - /DnsBasic 测试 , 还检查是否配置动态更新                                 /DnsRecordRegistration - /DnsBasic 测试 , 检查是否已注册 A 、 CNAME 和已知的 SRV 记录。此外，还根据结果创建清单报告                                /DnsResolveExtName - /DnsBasic 测试，还尝试解析指定的域名名称 . /DnsInternetName - /DnsBasic 测试，还尝试解析指定域名                                /DnsAll - 除了 /DnsResolveExtName 外的所有 DNS 测试项 三：使用示例     DcDiag 参数众多，且可以组合使用，下面只给出基本的使用示例，对用法做一简单描述。     1 ：最简单的用法 , 诊断当前 DC 状况        >DcDiag       2 ：测试当前 DC 的连通性       >dcdiag /s:vmtest /test:connetivity 3 ：测试整个林拓扑结构      >dcdiag /e /test:Topology 4 ： DCPromo 参数用法。注： DcPromo 主要是当使用 AD 安装向导或通过 DCPromo 命令安装 AD 出错时使用        测试是否可以在当前服务器上新建一个林        >dcdiag /test:dcpromo /dnsdomain:vmtest.com /newforest 测试是否可以在当前服务器上新建树        >dcdiag /test:DCpromo /dnsdomain:vmtest.com /newtree /forestRoot:vmtest.com          测试是否可以在当前服务器上新建子域        >dcdiag /test:dcpromo /dnsdomain:vmtest.com /childDomain 测试是否可以在当前服务器上安装辅助 DC >dcdiag /test:dcpromo /dnsdomain:vmtest.com /ReplicaDC            5 ：测试 DC 是否在 DNS 中注册         >Dcdiag /v /test:RegisterInDns /Dnsdomain:vmtest.com        6 ： DNS 诊断         最简单用法 , 测试除 /DnsResolveExtName 之外的六项子测试         >dcdiag /test:dns         基本测试：执行基本 DNS 测试，包括网络连接性、 DNS 客户端配置、服务可用性和区域存在性         >dcdiag /test:dns /DnsBasic           测试 DnsBasic 和转发器         >dcdiag /v /test:dns /dnsForwarders 测试 DnsBasic 和解析指定的域名         >Dcdiag /v /test:dns /dnsinternetname:[url]www.baidu.com[/url]   四：一个完整的 DcDiag 诊断信息注解         参考链接： [url]http://hi.baidu.com/maxhan/blog/item/783ccafceb979d87b901a0c5.html[/url]   五：参考资料         [url]http://technet2.microsoft.com/windowsserver/zh-chs/library/5237db58-a1e8-40cd-ae8a-7f52848a90f22052.mspx?mfr=true[/url]