AD維護(hù)管理工具詳解(一)(共8頁(yè))

1、精選優(yōu)質(zhì)文檔-傾情為你奉上AD維護(hù)管理工具詳解（一）dcdiag 2010-11-03 11:30:26標(biāo)簽：  工具名稱：DcDiag工具出處：MS Support Tools工具類型：命令行工具當(dāng)前環(huán)境：Win2003 SP1 + R2,DC主要功能：DcDiag是域控制器診斷工具，通過各種診斷測(cè)試，用來(lái)分析當(dāng)前林或域中域控制器狀態(tài)，生成相應(yīng)的檢測(cè)報(bào)告。DcDiag可以說是域控制器診斷全能工具，當(dāng)DC出現(xiàn)問題卻無(wú)法判斷具體故障原因時(shí)，首選使用DcDiag工具對(duì)DC進(jìn)行一次全面診斷，查看檢測(cè)報(bào)告，從而縮小問題范圍以及定位問題!DcDiag工具由對(duì)系統(tǒng)的一系列測(cè)試和校驗(yàn)構(gòu)成，可以根據(jù)

2、用戶的選擇，針對(duì)不同的范圍（林，域）對(duì)域控制器進(jìn)行不同項(xiàng)目的診斷測(cè)試，主要測(cè)試項(xiàng)目有：1：連通性2：復(fù)制3：拓樸完整性4：檢查NC Head安全描述符5：檢查登錄權(quán)6：獲取DC位置7：驗(yàn)證安全邊界8：驗(yàn)證FSMO角色9：驗(yàn)證信任關(guān)系10：DNS 一：DcDiag工具語(yǔ)法格式DcDiag.exe /s:<Domain Controller> /u:<Domain><Username> /p:*|<Password>|""        &#

3、160;      /hqv /n:<Naming Context> /f:<Log> /ferr:<Errlog>               /skip:<Test> /test:<Test> 二：主要參數(shù)說明：/s:Domain Controller - 指定測(cè)試的DC，默認(rèn)測(cè)試本機(jī)。/n:Naming Cont

4、ext - 指定測(cè)試時(shí)關(guān)聯(lián)的名稱上下文。似乎只能使用域名稱上下文，無(wú)法測(cè)試Schema,Configration等名稱上下文。 域名稱上下文可以使用域的DNS名稱，NetBios名稱或DN名稱。/u:DomainUsername /p: - 用指定的帳號(hào)密碼連接DC，此時(shí)該帳號(hào)的密碼為顯示密碼。 如：DcDiag /u:administrator /p:1qa2ws3ed      /a - 測(cè)試當(dāng)前站點(diǎn)所有DC/e - 測(cè)試整個(gè)企業(yè)(整個(gè)林)中所有DC的狀況/q - 只顯示錯(cuò)誤信息    &#

5、160;  /v - 顯示詳細(xì)檢測(cè)報(bào)告/i - 忽略多余的錯(cuò)誤信息       /fix - 僅對(duì) MachineAccount 測(cè)試有影響。此參數(shù)會(huì)使測(cè)試過程對(duì)目錄服務(wù)器的計(jì)算機(jī)帳戶對(duì)象上的服務(wù)主體名稱 (SPN) 進(jìn)行修復(fù)       /f - 將信息報(bào)告輸出到指定的文件/ferr - 將致命錯(cuò)誤輸出重定向指定的文件       /c - 診斷除 DcPromo

6、和 RegisterInDNS 之外的所有測(cè)試項(xiàng)目，包括非默認(rèn)的測(cè)試。 非默認(rèn)測(cè)試項(xiàng)包括：拓?fù)洌瑢?duì)方服務(wù)器是否關(guān)閉，安全通道輸出范圍以及DNS動(dòng)態(tài)注冊(cè)等。/skip:Test -指定不進(jìn)行診斷的測(cè)試項(xiàng)，必須與/c配合使用。/test:Test -  只運(yùn)行單一測(cè)試項(xiàng)，但連通測(cè)試不跳過具體測(cè)試項(xiàng)有：Connectivity - 連通性。測(cè)試DC是否在DNS中登記注冊(cè)，Ping測(cè)試以及LDAP/RPC的可用性。Replications - 檢測(cè)DC之間的復(fù)制情況Topology - 檢查KCC是否為所有DC生成完整的鏈接拓?fù)銫utoffServers - 檢查因復(fù)制伙伴不可用而

7、沒有接受到的復(fù)制的DCNCSecDesc - 檢查在名稱上下文頭中的安全描述符是否有適當(dāng)?shù)膹?fù)制權(quán)限NetLogon - 檢查是否有進(jìn)行復(fù)制的適當(dāng)?shù)卿洐?quán)限Advertising 檢查每個(gè)DC是否已公告它自己能夠執(zhí)行的角色。如果 Net Logon 服務(wù)停止或未能啟動(dòng)，則此測(cè)試將失敗。KnowsOfRoleHolders 檢查DC是否可以與FSMO操作主機(jī)正常聯(lián)系Intersite - 檢查會(huì)阻止或暫時(shí)中止站點(diǎn)間復(fù)制的故障，并嘗試預(yù)測(cè) KCC 能夠恢復(fù)之前需要的時(shí)間。FSMOCheck - 檢查DC是否能聯(lián)系密鑰發(fā)行中心 (KDC)、時(shí)間服務(wù)器、首選時(shí)間服務(wù)器、主目錄服務(wù)器（主域控制器 (PDC)

8、）和全局編錄服務(wù)器。RidManager - 檢查是否可訪問 RID 主機(jī)，以及 RID 主機(jī)是否包含正確的信息。                        MachineAccount 檢查機(jī)器的帳戶是否包含正確信息。如果本地計(jì)算機(jī)帳號(hào)丟失，使用/RecreateMachineAccount進(jìn)行嘗試修復(fù)如果本地計(jì)算機(jī)帳號(hào)標(biāo)志不正確，使用/FixMach

9、ineAccount進(jìn)行嘗試修復(fù)                        Services - 檢查DC服務(wù)是否在運(yùn)行正常                   &#

10、160;    OutboundSecureChannels 檢查當(dāng)前域中所有DC的安全通道。ObjectsReplicated - 檢查 Machine Account 和 DSA 對(duì)象是否已復(fù)制                        frssysvol - 檢查SYSVOL文件夾共享狀態(tài)。frsevent

11、-  檢查FRS是否存在錯(cuò)誤記錄kccevent -  檢查 KCC是否存在錯(cuò)誤記錄。                        systemlog - 檢查系統(tǒng)是否無(wú)錯(cuò)誤運(yùn)行。           

12、60;            DCPromo - 檢查DC上的DNS記錄是否正常                     RegisterInDNS - 檢查DC是否在DNS中注冊(cè)CrossRefValidation - 檢查交叉引用是否有效  &#

13、160;                  CheckSDRefDom - 檢查目錄分區(qū)的安全                        VerifyReplicas - 檢查

14、復(fù)制服務(wù)器上目錄分區(qū)的安全性VerifyReference - 檢查對(duì)于 FRS 和“復(fù)制”基礎(chǔ)結(jié)構(gòu)系統(tǒng)參數(shù)的正確與完整性                        VerifyEnterpriseReferences - 檢查整個(gè)企業(yè)范圍內(nèi)的所有DC上系統(tǒng)參數(shù)是否正確與完整      

15、0;                (Win2003 SP1新增功能)                       CheckSecurityError - 檢測(cè)可能會(huì)造成AD復(fù)制失敗的安全配置 &#

16、160;                     DNS - 檢查整個(gè)企業(yè)內(nèi)的DNS健康性。                         

17、;        DNS測(cè)試子項(xiàng)有：                                 /DnsBasic - 基本DNS測(cè)試，包括網(wǎng)絡(luò)連接性、DNS客戶端配置、服務(wù)可用性和區(qū)

18、域存在性。                                /DnsForwarders -  /DnsBasic 測(cè)試，還檢查轉(zhuǎn)發(fā)器的配置         

19、;                       /DnsDelegation - /DnsBasic 測(cè)試，還檢查委派配置                    

20、0;           /DnsDynamicUpdate - /DnsBasic測(cè)試,還檢查是否配置動(dòng)態(tài)更新                               

21、60;/DnsRecordRegistration - /DnsBasic測(cè)試,檢查是否已注冊(cè)A、CNAME和已知的SRV記錄。此外，還根據(jù)結(jié)果創(chuàng)建清單報(bào)告                               /DnsResolveExtName - /DnsBasic測(cè)試，還嘗試

22、解析指定的域名名稱.                               /DnsInternetName - /DnsBasic測(cè)試，還嘗試解析指定域名          

23、0;                    /DnsAll - 除了/DnsResolveExtName外的所有DNS測(cè)試項(xiàng)三：使用示例    DcDiag參數(shù)眾多，且可以組合使用，下面只給出基本的使用示例，對(duì)用法做一簡(jiǎn)單描述。    1：最簡(jiǎn)單的用法,診斷當(dāng)前DC狀況    &

24、#160;  >DcDiag     2：測(cè)試當(dāng)前DC的連通性      >dcdiag /s:vmtest /test:connetivity     3：測(cè)試整個(gè)林拓?fù)浣Y(jié)構(gòu)     >dcdiag /e /test:Topology         

25、0;4：DCPromo參數(shù)用法。注：DcPromo主要是當(dāng)使用AD安裝向?qū)Щ蛲ㄟ^DCPromo命令安裝AD出錯(cuò)時(shí)使用       測(cè)試是否可以在當(dāng)前服務(wù)器上新建一個(gè)林       >dcdiag /test:dcpromo /dnsdomain: /newforest               測(cè)試是

26、否可以在當(dāng)前服務(wù)器上新建樹       >dcdiag /test:DCpromo /dnsdomain: /newtree /forestRoot:        測(cè)試是否可以在當(dāng)前服務(wù)器上新建子域       >dcdiag /test:dcpromo /dnsdomain: /childDomain        測(cè)試是否可以在當(dāng)前服務(wù)器上安裝輔助DC       >dcdiag /test:dcpromo /dnsdomain: