工具名稱:DcDiag
工具出處:MS Support Tools
工具類型:命令行工具
當前環境:Win2003 SP1 + R2,DC
主要功能:
DcDiag是域控制器診斷工具,通過各種診斷測試,用來分析當前林或域中域控制器狀態,生成相應的檢測報告。DcDiag可以說是域控制器診斷全能工具,當DC出現問題卻無法判斷具體故障原因時,首選使用DcDiag工具對DC進行一次全面診斷,查看檢測報告,從而縮小問題範圍以及定位問題!
DcDiag工具由對系統的一系列測試和校驗構成,可以根據用戶的選擇,針對不同的範圍(林,域)對域控制器進行不同項目的診斷測試,主要測試項目有:
1:連通性
2:複製
3:拓樸完整性
4:檢查NC Head安全描述符
5:檢查登錄權
6:獲取DC位置
7:驗證安全邊界
8:驗證FSMO角色
9:驗證信任關係
10:DNS
一:DcDiag工具語法格式
DcDiag.exe /s:<Domain Controller> [/u:<Domain>\<Username> /p:*|<Password>|""]
二:主要參數說明:
/s:Domain Controller - 指定測試的DC,默認測試本機。
/n:Naming Context - 指定測試時關聯的名稱上下文。似乎只能使用域名稱上下文,無法測試Schema,Configration等名稱上下文。
域名稱上下文可以使用域的DNS名稱,NetBios名稱或DN名稱。
/u:Domain\Username /p: - 用指定的帳號密碼連接DC,此時該帳號的密碼爲顯示密碼。
如:DcDiag /u:superlan.vmtest.com\administrator /p:1qa2ws3ed
/e - 測試整個企業(整個林)中所有DC的狀況
/q - 只顯示錯誤信息
/i - 忽略多餘的錯誤信息
/ferr - 將致命錯誤輸出重定向指定的文件
非默認測試項包括:拓撲,對方服務器是否關閉,安全通道輸出範圍以及DNS動態註冊等。
/skip:Test - 指定不進行診斷的測試項,必須與/c配合使用。
/test:Test - 只運行單一測試項,但連通測試不跳過
具體測試項有:
Connectivity - 連通性。測試DC是否在DNS中登記註冊,Ping測試以及LDAP/RPC的可用性。
Replications - 檢測DC之間的複製情況
Topology - 檢查KCC是否爲所有DC生成完整的鏈接拓撲
CutoffServers - 檢查因複製夥伴不可用而沒有接受到的複製的DC
NCSecDesc - 檢查在名稱上下文頭中的安全描述符是否有適當的複製權限
NetLogon - 檢查是否有進行復制的適當登錄權限
Advertising - 檢查每個DC是否已公告它自己能夠執行的角色。如果 Net Logon 服務停止或未能啓動,則此測試將失敗。
KnowsOfRoleHolders - 檢查DC是否可以與FSMO操作主機正常聯繫
Intersite - 檢查會阻止或暫時中止站點間複製的故障,並嘗試預測 KCC 能夠恢復之前需要的時間。
FSMOCheck - 檢查DC是否能聯繫密鑰發行中心 (KDC)、時間服務器、首選時間服務器、主目錄服務器(主域控制器 (PDC))和全局編錄服務器。
RidManager - 檢查是否可訪問 RID 主機,以及 RID 主機是否包含正確的信息。
如果本地計算機帳號丟失,使用/RecreateMachineAccount進行嘗試修復
如果本地計算機帳號標誌不正確,使用/FixMachineAccount進行嘗試修復
ObjectsReplicated - 檢查 Machine Account 和 DSA 對象是否已複製
frsevent - 檢查FRS是否存在錯誤記錄
kccevent - 檢查 KCC是否存在錯誤記錄。
RegisterInDNS - 檢查DC是否在DNS中註冊
Cro***efValidation - 檢查交叉引用是否有效
VerifyReference - 檢查對於 FRS 和“複製”基礎結構系統參數的正確與完整性
三:使用示例
四:一個完整的DcDiag診斷信息註解
五:參考資料