AD維護(hù)管理工具dcdiag詳解.docxVIP

AD維護(hù)管理工具DCdian詳解工具名稱：DcDiag工具出處：MS Support Tools工具類型：命令行工具當(dāng)前環(huán)境：Win2003 SP1 + R2,DC主要功能：DcDiag是域控制器診斷工具，通過各種診斷測(cè)試，用來分析當(dāng)前林或域中域控制器狀態(tài)，生成相應(yīng)的檢測(cè)報(bào)告。DcDiag可以說是域控制器診斷全能工具，當(dāng)DC出現(xiàn)問題卻無法判斷具體故障原因時(shí)，首選使用DcDiag工具對(duì)DC進(jìn)行一次全面診斷，查看檢測(cè)報(bào)告，從而縮小問題范圍以及定位問題!DcDiag工具由對(duì)系統(tǒng)的一系列測(cè)試和校驗(yàn)構(gòu)成，可以根據(jù)用戶的選擇，針對(duì)不同的范圍（林，域）對(duì)域控制器進(jìn)行不同項(xiàng)目的診斷測(cè)試，主要測(cè)試項(xiàng)目有：1：連通性2：復(fù)制3：拓樸完整性4：檢查NC Head安全描述符5：檢查登錄權(quán)6：獲取DC位置7：驗(yàn)證安全邊界8：驗(yàn)證FSMO角色9：驗(yàn)證信任關(guān)系10：DNS一：DcDiag工具語法格式DcDiag.exe /s: /u: /p:*|/hqv /n: /f: /ferr:/skip: /test:二：主要參數(shù)說明：/s:Domain Controller - 指定測(cè)試的DC，默認(rèn)測(cè)試本機(jī)。/n:Naming Context - 指定測(cè)試時(shí)關(guān)聯(lián)的名稱上下文。似乎只能使用域名稱上下文，無法測(cè)試Schema,Configration等名稱上下文。 域名稱上下文可以使用域的DNS名稱，NetBios名稱或DN名稱。/u:DomainUsername /p: - 用指定的帳號(hào)密碼連接DC，此時(shí)該帳號(hào)的密碼為顯示密碼。 如：DcDiag /u:administrator /p:1qa2ws3ed/a - 測(cè)試當(dāng)前站點(diǎn)所有DC/e - 測(cè)試整個(gè)企業(yè)(整個(gè)林)中所有DC的狀況/q - 只顯示錯(cuò)誤信息/v - 顯示詳細(xì)檢測(cè)報(bào)告/i - 忽略多余的錯(cuò)誤信息/fix - 僅對(duì) MachineAccount 測(cè)試有影響。此參數(shù)會(huì)使測(cè)試過程對(duì)目錄服務(wù)器的計(jì)算機(jī)帳戶對(duì)象上的服務(wù)主體名稱 (SPN) 進(jìn)行修復(fù)/f - 將信息報(bào)告輸出到指定的文件/ferr - 將致命錯(cuò)誤輸出重定向指定的文件/c - 診斷除 DcPromo 和 RegisterInDNS 之外的所有測(cè)試項(xiàng)目，包括非默認(rèn)的測(cè)試。 非默認(rèn)測(cè)試項(xiàng)包括：拓?fù)?，?duì)方服務(wù)器是否關(guān)閉，安全通道輸出范圍以及DNS動(dòng)態(tài)注冊(cè)等。/skip:Test -指定不進(jìn)行診斷的測(cè)試項(xiàng)，必須與/c配合使用。/test:Test -只運(yùn)行單一測(cè)試項(xiàng)，但連通測(cè)試不跳過具體測(cè)試項(xiàng)有：Connectivity - 連通性。測(cè)試DC是否在DNS中登記注冊(cè)，Ping測(cè)試以及LDAP/RPC的可用性。Replications - 檢測(cè)DC之間的復(fù)制情況Topology - 檢查KCC是否為所有DC生成完整的鏈接拓?fù)銫utoffServers - 檢查因復(fù)制伙伴不可用而沒有接受到的復(fù)制的DCNCSecDesc - 檢查在名稱上下文頭中的安全描述符是否有適當(dāng)?shù)膹?fù)制權(quán)限NetLogon - 檢查是否有進(jìn)行復(fù)制的適當(dāng)?shù)卿洐?quán)限Advertising 檢查每個(gè)DC是否已公告它自己能夠執(zhí)行的角色。如果 Net Logon 服務(wù)停止或未能啟動(dòng)，則此測(cè)試將失敗。KnowsOfRoleHolders 檢查DC是否可以與FSMO操作主機(jī)正常聯(lián)系Intersite - 檢查會(huì)阻止或暫時(shí)中止站點(diǎn)間復(fù)制的故障，并嘗試預(yù)測(cè) KCC 能夠恢復(fù)之前需要的時(shí)間。FSMOCheck - 檢查DC是否能聯(lián)系密鑰發(fā)行中心 (KDC)、時(shí)間服務(wù)器、首選時(shí)間服務(wù)器、主目錄服務(wù)器（主域控制器 (PDC)）和全局編錄服務(wù)器。RidManager - 檢查是否可訪問 RID 主機(jī)，以及 RID 主機(jī)是否包含正確的信息。MachineAccount 檢查機(jī)器的帳戶是否包含正確信息。如果本地計(jì)算機(jī)帳號(hào)丟失，使用/RecreateMachineAccount進(jìn)行嘗試修復(fù)如果本地計(jì)算機(jī)帳號(hào)標(biāo)志不正確，使用/FixMachineAccount進(jìn)行嘗試修復(fù)Services - 檢查DC服務(wù)是否在運(yùn)行正常OutboundSecureChannels 檢查當(dāng)前域中所有DC的安全通道。ObjectsReplicated - 檢查 Machine Account 和 DSA 對(duì)象是否已復(fù)制frssysvol - 檢查SYSVOL文件夾共享狀態(tài)。frsevent -檢查FRS是否存在錯(cuò)誤記錄kccevent -檢查 KCC是否存在錯(cuò)誤記錄。systemlog - 檢查系統(tǒng)是否無錯(cuò)誤運(yùn)行。DCPromo - 檢查DC上的DNS記錄是否正常RegisterInDNS - 檢查DC是否在DNS中注冊(cè)CrossRefValidation - 檢查交叉引用是否有效CheckSDRefDom - 檢查目錄分區(qū)的安全VerifyReplicas - 檢查復(fù)制服務(wù)器上目錄分區(qū)的安全性VerifyReference - 檢查對(duì)于 FRS 和“復(fù)制”基礎(chǔ)結(jié)構(gòu)系統(tǒng)參數(shù)的正確與完整性VerifyEnterpriseReferences - 檢查整個(gè)企業(yè)范圍內(nèi)的所有DC上系統(tǒng)參數(shù)是否正確與完整(Win2003 SP1新增功能)CheckSecurityError - 檢測(cè)可能會(huì)造成AD復(fù)制失敗的安全配置DNS - 檢查整個(gè)企業(yè)內(nèi)的DNS健康性。DNS測(cè)試子項(xiàng)有：/DnsBasic - 基本DNS測(cè)試，包括網(wǎng)絡(luò)連接性、DNS客戶端配置、服務(wù)可用性和區(qū)域存在性。/DnsForwarders -/DnsBasic 測(cè)試，還檢查轉(zhuǎn)發(fā)器的配置/DnsDelegation - /DnsBasic 測(cè)試，還檢查委派配置/DnsDynamicUpdate - /DnsBasic測(cè)試,還檢查是否配置動(dòng)態(tài)更新/DnsRecordRegistration - /DnsBasic測(cè)試,檢查是否已注冊(cè)A、CNAME和已知的SRV記錄。此外，還根據(jù)結(jié)果創(chuàng)建清單報(bào)告/DnsResolveExtName - /DnsBasic測(cè)試，還嘗試解析指定的域名名稱./DnsInternetName - /DnsBasic測(cè)試，還嘗試解析指定域名/DnsAll - 除了/DnsResolveExtName外的所有DNS測(cè)試項(xiàng)三：使用示例DcDiag參數(shù)眾多，且可以組合使用，下面只給出基本的使用示例，對(duì)用法做一簡(jiǎn)單描述。1：最簡(jiǎn)單的用法,診斷當(dāng)前DC狀況DcDiag2：測(cè)試當(dāng)前DC的連通性dcdiag /s:vmtest /test:connetivity3：測(cè)試整個(gè)林拓?fù)浣Y(jié)構(gòu)dcdiag /e /test:Topology4：DCPromo參數(shù)用法。注：DcPromo主要是當(dāng)使用AD安裝向?qū)Щ蛲ㄟ^DCPromo命令安裝AD出錯(cuò)時(shí)使用測(cè)試是否可以在當(dāng)前服務(wù)器上新建一個(gè)林dcdiag /test:dcpromo /dnsdomain: /newforest測(cè)試是否可以在當(dāng)前服務(wù)器上新建樹dcdiag /test:DCpromo /dnsdomain: /newtree /forestRoot:測(cè)試是否可以在當(dāng)前服務(wù)器上新建子域dcdiag /test:dcpromo /dnsdomain: /childDomain測(cè)試是否可以在當(dāng)前服務(wù)器上安裝輔助DCdcdiag /test:dcpromo /dnsdomain: /ReplicaDC5：測(cè)試DC是否在DNS中注冊(cè)Dcdiag /v /test:RegisterInDns /Dnsdomain:6：DNS診斷最簡(jiǎn)單用法,測(cè)試除/DnsResolveExtName之外的六項(xiàng)子測(cè)試dcdiag /test:dns基本測(cè)試：執(zhí)行基本 DNS 測(cè)試，包括網(wǎng)絡(luò)連接性、DNS 客戶端配置、服務(wù)可用性和區(qū)域存在性dcdiag /test:dns /DnsBasic測(cè)試DnsBasic和轉(zhuǎn)發(fā)器dcdiag /v /test:dns /dnsForwarders測(cè)試DnsBasic和解析指定的域名Dcdiag /v /test:dns /dnsinternetname:*詳解windows 2000域診斷工具Dcdiag Dcdiag.exe是域控制器診斷工具，如所周知，windows2000對(duì)網(wǎng)絡(luò)功能進(jìn)行了很多加強(qiáng)，本診斷工具僅在網(wǎng)絡(luò)環(huán)境下才能使用，單機(jī)環(huán)境不可能遇到的域控制器.也就遑論對(duì)域控制器進(jìn)行診斷了Dcdiag可以分析目錄林或組織中的域控制器狀態(tài)，并生成一個(gè)報(bào)告，報(bào)告將所有通過診斷測(cè)試得到的問題匯集在自身中，當(dāng)管理人員或技術(shù)支持人員分析問題和排除故障時(shí)候，依此作為判斷的參考資料 DcDiag本身可以向終端用戶報(bào)告問題，在程序中，已經(jīng)封裝有詳細(xì)的、關(guān)于如何識(shí)別系統(tǒng)不正常狀態(tài)的功能和相關(guān)知識(shí)。如果將DcDiag理解為一個(gè)框架的話，那么，這個(gè)框架就是由（對(duì)系統(tǒng)的）一系列測(cè)試和校驗(yàn)構(gòu)成的當(dāng)然，既然是測(cè)試，這些測(cè)試就必須以一定的順序進(jìn)行程序依照用戶的選擇來進(jìn)行域控制器的診斷測(cè)試，從范圍上說，測(cè)試可以是針對(duì)組織單位、站點(diǎn)或者是單一服務(wù)器的某些項(xiàng)，也可以針對(duì)所有項(xiàng)目進(jìn)行完整的測(cè)試從執(zhí)行方法上說，測(cè)試既可以指定某一項(xiàng)目，也可以跳過某些無必要的項(xiàng)目通常應(yīng)有下列項(xiàng)目： 連通性 復(fù)制 拓補(bǔ)完整性 檢查 NC Head 安全描述符 檢查登錄權(quán) 取得域控制器位置 安全邊界 檢查任務(wù)或腳色. 信任關(guān)系的驗(yàn)證在以前介紹的NetDiag連通測(cè)試工具中也有關(guān)于信任關(guān)系驗(yàn)證的項(xiàng)目（可以參考本人上一篇連通測(cè)試工具中的介紹） 二.使用語法：dcdiag /s:DomainController /n:NamingContext /u:DomainUsername /p:* | Password | /a | /e /q | /v /i /f:LogFile /ferr:ErrLog /c /skip:Test /test:Test /h | /? 參數(shù)含義及說明：/s:DomainController 域控制器使用的主服務(wù)器，這是一個(gè)必須的參數(shù)，不可省去。/n:NamingContext 指定測(cè)試的時(shí)候關(guān)聯(lián)的系統(tǒng)，域可以指定NetBIOS、DNS或別的系統(tǒng)。/u:DomainUsername /p:* | Password | 使用”域/用戶名”所附的信任憑證時(shí)的提示符號(hào)，其實(shí)就是密碼的顯示符號(hào)，例如，我們?cè)阪I入密碼時(shí)，通常顯示的并不是密碼本身，而是*符號(hào)也有使用作為顯示符號(hào)的/a 測(cè)試網(wǎng)站的所有的服務(wù)器。/e 在整個(gè)規(guī)劃中測(cè)試所有的服務(wù)器，并忽略選項(xiàng)/a/q 在空閑的時(shí)間內(nèi)打印錯(cuò)誤信息報(bào)告。/v 打印詳細(xì)的信息報(bào)告/i 忽略多余的錯(cuò)誤信息。/f:LogFile 將所有的信息報(bào)告改為輸出到由LogFile命名的登記文件中，也就是不再將信息報(bào)告輸出到系統(tǒng)默認(rèn)的登記文件。/ferr:ErrLog 將致命的錯(cuò)誤信息改為輸出到由ErrLog.命名的、單獨(dú)的登記文件中，與上一條類似/c 運(yùn)行所有測(cè)試項(xiàng)目，包括非默認(rèn)的測(cè)試當(dāng)然如果已經(jīng)確定某些項(xiàng)目無需測(cè)試，可以使用/skip 開關(guān)來指定哪些測(cè)試可以跳過。所謂非默認(rèn)的測(cè)試是指下列幾項(xiàng)： 拓補(bǔ) 對(duì)方服務(wù)器是否關(guān)閉服務(wù)器 安全通道輸出范圍.skip:Test 用skip開關(guān)指出要跳過不測(cè)的項(xiàng)目，必須在使用/c（選擇完全測(cè)試）的時(shí)候才能用這個(gè)來配合 ，并且注意在命令行中不能出現(xiàn)互相矛盾的選擇項(xiàng)。/test:Test 只運(yùn)行單一測(cè)試,但連通測(cè)試不可跳過, 并且在命令行中注意不能出現(xiàn)互相矛盾的選擇不論指定進(jìn)行哪些測(cè)試，或要指定跳過哪些測(cè)試，都必須使用以下的名字:Connectivity 連通性測(cè)試域控制器是否在DNS（域名解析服務(wù)系統(tǒng)）已經(jīng)登記注冊(cè)、或通過Ping測(cè)試，并已經(jīng)具備LDAP/RPC的連用性.Replications復(fù)制 檢查域控制器之間的復(fù)制.Topology 拓補(bǔ)檢查全部域控制器的所有鏈結(jié)的拓補(bǔ)（結(jié)構(gòu)）CutoffServers 檢查服務(wù)器因?qū)Ψ椒?wù)器關(guān)閉而還沒有接受到的復(fù)制NCSecDesc 以名子為關(guān)聯(lián)信息檢查安全描述符NetLogons 檢查登陸權(quán)限是否適當(dāng)，如果適當(dāng)則允許復(fù)制繼續(xù)進(jìn)行LocatorGetDc 檢查每個(gè)域控制器是否有可以關(guān)閉的廣告Intersite 檢查臨時(shí)位際的復(fù)制RolesHeld 檢查已知的全局任務(wù)占有者（role-holders）、可能的位置及其響應(yīng)RidManager 檢測(cè)RID是否可訪問以及相關(guān)信息的正確性MachineAccount 檢查計(jì)算機(jī)賬號(hào)信息.Services 檢測(cè)域控制器服務(wù)的運(yùn)行OutboundSecureChannels 從所指定的域中檢查安全通道ObjectsReplicated 檢查計(jì)算機(jī)賬號(hào)和DSA 對(duì)象的復(fù)制/h | /? 顯示幫助信息 三.驗(yàn)證及發(fā)現(xiàn)的問題這個(gè)工具只能運(yùn)行于在命令行中仿照以前介紹的命令行窗口的打開方法，打開該窗口后，在提示符后面鍵入：dcdiag？或dcdiag/h ，可以顯示幫助信息大概是這個(gè)工具的項(xiàng)目太多吧！顯示出來的幫助信息很長(zhǎng)，對(duì)工具中的每個(gè)測(cè)試項(xiàng)目的使用方法，都有很詳細(xì)的介紹如果想仔細(xì)研究，建議把這些信息保存到一個(gè)文件中，便于以后仔細(xì)研究要保存這些幫助信息，可以在命令行窗口中顯示出完整的幫助信息后，鼠標(biāo)移動(dòng)至屏幕下面托盤中命令行窗口的圖標(biāo)上后，點(diǎn)擊右鍵，會(huì)出現(xiàn)一個(gè)菜單，其中有編輯一項(xiàng)，再將鼠標(biāo)移動(dòng)至編輯，自動(dòng)會(huì)顯示出下一層菜單，先點(diǎn)擊全選、后點(diǎn)擊復(fù)制，就可以將其粘貼到記事本等窗口中保存起來從顯示的信息看，其內(nèi)容與上面（第二部分）介紹的有不少出入同是一個(gè)工具，其專門的幫助文檔和用？得出的幫助信息不一樣，在Support Tools中已經(jīng)不是第一次遇到，其中原因我始終沒有搞清楚經(jīng)對(duì)照發(fā)現(xiàn)，以下項(xiàng)目就是幫助文檔中沒有的：/fix: 安全修復(fù)frssysvol - 這個(gè)測(cè)試用來檢查文件（以及系統(tǒng)卷）復(fù)制系統(tǒng)是否準(zhǔn)