《[2017年整理]AD维护管理工具dcdiag详解》由会员分享,可在线阅读,更多相关《[2017年整理]AD维护管理工具dcdiag详解(8页珍藏版)》请在金锄头文库上搜索。
1、AD 维护管理工具 DCdian 详解工具名称:DcDiag工具出处:MS Support Tools工具类型:命令行工具当前环境:Win2003 SP1 + R2,DC主要功能:DcDiag 是域控制器诊断工具,通过各种诊断测试,用来分析当前林或域中域控制器状态,生成相应的检测报告。DcDiag 可以说是域控制器诊断全能工具,当 DC 出现问题却无法判断具体故障原因时,首选使用 DcDiag 工具对 DC 进行一次全面诊断,查看检测报告,从而缩小问题范围以及定位问题!DcDiag 工具由对系统的一系列测试和校验构成,可以根据用户的选择,针对不同的范围(林,域)对域控制器进行不同项目的诊断测试
2、,主要测试项目有:1 :连通性2 :复制3 :拓朴完整性4 :检查 NC Head 安全描述符5 :检查登录权6 :获取 DC 位置7 :验证安全边界8 :验证 FSMO 角色9 :验证信任关系10:DNS一:DcDiag 工具语法格式DcDiag.exe /s: /u: /p:*|/hqv /n: /f: /ferr:/skip: /test:二:主要参数说明:/s:Domain Controller - 指定测试的 DC,默认测试本机。/n:Naming Context - 指定测试时关联的名称上下文。似乎只能使用域名称上下文,无法测试 Schema,Configration 等名称上下文
3、。域名称上下文可以使用域的 DNS 名称,NetBios 名称或 DN 名称。/u:DomainUsername /p: - 用指定的帐号密码连接 DC,此时该帐号的密码为显示密码。如:DcDiag /u:administrator /p:1qa2ws3ed/a - 测试当前站点所有 DC/e - 测试整个企业(整个林)中所有 DC 的状况/q - 只显示错误信息 /v - 显示详细检测报告/i - 忽略多余的错误信息/fix - 仅对 MachineAccount 测试有影响。此参数会使测试过程对目录服务器的计算机帐户对象上的服务主体名称 (SPN) 进行修复/f - 将信息报告输出到指定的
4、文件/ferr - 将致命错误输出重定向指定的文件/c - 诊断除 DcPromo 和 RegisterInDNS 之外的所有测试项目,包括非默认的测试。非默认测试项包括:拓扑,对方服务器是否关闭,安全通道输出范围以及 DNS 动态注册等。/skip:Test -指定不进行诊断的测试项,必须与/c 配合使用。/test:Test - 只运行单一测试项,但连通测试不跳过具体测试项有:Connectivity - 连通性。测试 DC 是否在 DNS 中登记注册, Ping 测试以及 LDAP/RPC 的可用性。Replications - 检测 DC 之间的复制情况Topology - 检查 KC
5、C 是否为所有 DC 生成完整的链接拓扑CutoffServers - 检查因复制伙伴不可用而没有接受到的复制的 DCNCSecDesc - 检查在名称上下文头中的安全描述符是否有适当的复制权限NetLogon - 检查是否有进行复制的适当登录权限Advertising 检查每个 DC 是否已公告它自己能够执行的角色。如果 Net Logon 服务停止或未能启动,则此测试将失败。KnowsOfRoleHolders 检查 DC 是否可以与 FSMO 操作主机正常联系Intersite - 检查会阻止或暂时中止站点间复制的故障,并尝试预测 KCC 能够恢复之前需要的时间。FSMOCheck -
6、检查 DC 是否能联系密钥发行中心 (KDC)、时间服务器、首选时间服务器、主目录服务器(主域控制器 (PDC))和全局编录服务器。RidManager - 检查是否可访问 RID 主机,以及 RID 主机是否包含正确的信息。MachineAccount 检查机器的帐户是否包含正确信息。如果本地计算机帐号丢失,使用/RecreateMachineAccount 进行尝试修复如果本地计算机帐号标志不正确,使用/FixMachineAccount 进行尝试修复Services - 检查 DC 服务是否在运行正常OutboundSecureChannels 检查当前域中所有 DC 的安全通道。Obj
7、ectsReplicated - 检查 Machine Account 和 DSA 对象是否已复制frssysvol - 检查 SYSVOL 文件夹共享状态。frsevent - 检查 FRS 是否存在错误记录kccevent - 检查 KCC 是否存在错误记录。systemlog - 检查系统是否无错误运行。DCPromo - 检查 DC 上的 DNS 记录是否正常 RegisterInDNS - 检查 DC 是否在 DNS 中注册CrossRefValidation - 检查交叉引用是否有效CheckSDRefDom - 检查目录分区的安全VerifyReplicas - 检查复制服务器上
8、目录分区的安全性VerifyReference - 检查对于 FRS 和“复制” 基础结构系统参数的正确与完整性VerifyEnterpriseReferences - 检查整个企业范围内的所有 DC 上系统参数是否正确与完整 (Win2003 SP1 新增功能 )CheckSecurityError - 检测可能会造成 AD 复制失败的安全配置DNS - 检查整个企业内的 DNS 健康性。DNS 测试子项有:/DnsBasic - 基本 DNS 测试,包括网络连接性、DNS 客户端配置、服务可用性和区域存在性。/DnsForwarders - /DnsBasic 测试,还检查转发器的配置/D
9、nsDelegation - /DnsBasic 测试,还检查委派配置/DnsDynamicUpdate - /DnsBasic 测试,还检查是否配置动态更新/DnsRecordRegistration - /DnsBasic 测试,检查是否已注册 A、CNAME 和已知的 SRV 记录。此外,还根据结果创建清单报告/DnsResolveExtName - /DnsBasic 测试,还尝试解析指定的域名名称 ./DnsInternetName - /DnsBasic 测试,还尝试解析指定域名/DnsAll - 除了/DnsResolveExtName 外的所有 DNS 测试项三:使用示例DcD
10、iag 参数众多,且可以组合使用,下面只给出基本的使用示例,对用法做一简单描述。1:最简单的用法,诊断当前 DC 状况DcDiag2:测试当前 DC 的连通性dcdiag /s:vmtest /test:connetivity3:测试整个林拓扑结构dcdiag /e /test:Topology4: DCPromo 参数用法。注:DcPromo 主要是当使用 AD 安装向导或通过 DCPromo 命令安装 AD 出错时使用测试是否可以在当前服务器上新建一个林dcdiag /test:dcpromo /dnsdomain: /newforest测试是否可以在当前服务器上新建树 dcdiag /t
11、est:DCpromo /dnsdomain: /newtree /forestRoot:测试是否可以在当前服务器上新建子域dcdiag /test:dcpromo /dnsdomain: /childDomain测试是否可以在当前服务器上安装辅助 DCdcdiag /test:dcpromo /dnsdomain: /ReplicaDC 5:测试 DC 是否在 DNS 中注册Dcdiag /v /test:RegisterInDns /Dnsdomain:6:DNS 诊断最简单用法,测试除/DnsResolveExtName 之外的六项子测试dcdiag /test:dns基本测试:执行基本
12、 DNS 测试,包括网络连接性、DNS 客户端配置、服务可用性和区域存在性dcdiag /test:dns /DnsBasic测试 DnsBasic 和转发器dcdiag /v /test:dns /dnsForwarders测试 DnsBasic 和解析指定的域名Dcdiag /v /test:dns /dnsinternetname:*详解 windows 2000 域诊断工具 Dcdiag Dcdiag.exe 是域控制器诊断工具,如所周知,windows2000 对网络功能进行了很多加强,本诊断工具仅在网络环境下才能使用,单机环境不可能遇到的域控制器.也就遑论对域控制器进行诊断了Dcd
13、iag 可以分析目录林或组织中的域控制器状态,并生成一个报告,报告将所有通过诊断测试得到的问题汇集在自身中,当管理人员或技术支持人员分析问题和排除故障时候,依此作为判断的参考资料 DcDiag 本身可以向终端用户报告问题,在程序中,已经封装有详细的、关于如何识别系统不正常状态的功能和相关知识。如果将 DcDiag 理解为一个框架的话,那么,这个框架就是由(对系统的)一系列测试和校验构成的当然,既然是测试,这些测试就必须以一定的顺序进行程序依照用户的选择来进行域控制器的诊断测试,从范围上说,测试可以是针对组织单位、站点或者是单一服务器的某些项,也可以针对所有项目进行完整的测试从执行方法上说,测试
14、既可以指定某一项目,也可以跳过某些无必要的项目通常应有下列项目: 连通性 复制 拓补完整性 检查 NC Head 安全描述符 检查登录权 取得域控制器位置 安全边界 检查任务或脚色. 信任关系的验证在以前介绍的 NetDiag 连通测试工具中也有关于信任关系验证的项目(可以参考本人上一篇连通测试工具中的介绍)二.使用语法:dcdiag /s:DomainController /n:NamingContext /u:DomainUsername /p:* | Password | /a | /e /q | /v /i /f:LogFile /ferr:ErrLog /c /skip:Test /
15、test:Test /h | /?参数含义及说明:/s:DomainController 域控制器使用的主服务器,这是一个必须的参数,不可省去。/n:NamingContext 指定测试的时候关联的系统,域可以指定 NetBIOS、DNS 或别的系统。/u:DomainUsername /p:* | Password | 使用”域/用户名”所附的信任凭证时的提示符号,其实就是密码的显示符号,例如,我们在键入密码时,通常显示的并不是密码本身,而是*符号也有使用作为显示符号的/a 测试网站的所有的服务器。/e 在整个规划中测试所有的服务器,并忽略选项/a/q 在空闲的时间内打印错误信息报告。/v 打印详细的信息报告/i 忽略多余的错误信息。/f:LogFile 将所有的信息报告改为输出到由 LogFile 命名的登记文件中,也就是不再将信息报告输出到系统默认的登记文件。/ferr:E
