Freigeben über


DCDiag

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016

DCDiag.exe analysiert den Status von Domänencontrollern (DC) in einer Gesamtstruktur oder einem Unternehmen und meldet alle Probleme zur Problembehandlung. Als Endbenutzerberichtsprogramm ist DCDiag ein Befehlszeilentool, das detaillierte Kenntnisse darüber kapselt, wie ein ungewöhnliches Verhalten im System identifiziert werden kann.

DcDiag ist standardmäßig sofort verfügbar, wenn er bei einem DC angemeldet ist. Eine alternative Methode für den Zugriff auf DCDiag besteht darin, die Remoteserver-Verwaltungstools (REMOTE Server Administration Tools, RSAT) auf Ihrem Gerät zu installieren. DCDiag muss mit Administratorrechten an einer Eingabeaufforderung mit erhöhten Rechten (CMD) oder PowerShell ausgeführt werden.

DCDiag besteht aus einem Framework für die Ausführung von Tests und einer Reihe von Tests, um verschiedene Funktionsbereiche des Systems zu überprüfen. Dieses Framework wählt aus, welcher DC gemäß Bereichsdirektiven vom Benutzer getestet wird, z. B. Unternehmens-, Standort- oder Einzelserver. Das Testen der Gesamtkonnektivität und Reaktionsfähigkeit des DC umfasst die Überprüfung:

  • Der DC kann sich in DNS befinden.
  • Der DC antwortet auf ICMP-Pings (Internet Control Message Protocol)
  • Der DC ermöglicht die LDAP-Konnektivität (Lightweight Directory Access Protocol) durch Bindung an die Instanz.
  • Der DC ermöglicht die Bindung an die AD RPC-Schnittstelle mithilfe der DsBindWithCred-Funktion .

Hinweis

Das Blockieren von ICMP verhindert, dass DCDiag wie beabsichtigt funktioniert. Während das Blockieren von ICMP am Internet-Edge Ihres Netzwerks empfohlen wird, führt die interne Blockierung von ICMP-Datenverkehr zu administrativen Problemen, die ältere Gruppenrichtlinien, die Erkennung von Black Hole Routern oder ineffiziente MTU-Größen aufgrund fehlender Ermittlungsoption unterbrechen. Problembehandlungstools wie ping.exe oder tracert.exe sind ebenfalls betroffen.

DCDiag-Syntax

dcdiag [/s:<DomainController>] [/n:<NamingContext>] [/u:<Domain>\<UserName> /p:{* | <Password> | ""}] [{/a | /e}] [{/q | /v}] [/i] [/f:<LogFile>] [/c [/skip:<Test>]] [/test:<Test>] [/fix] [{/h | /?}] [/ReplSource:<SourceDomainController>]

DCDiag verwendet die folgenden Parameter:

Parameter BESCHREIBUNG
/s:<DomainController> Gibt den Namen des Servers an, für den der Befehl ausgeführt werden soll. Wenn dieser Parameter nicht angegeben ist, werden die Tests für den lokalen Domänencontroller ausgeführt.

Dieser Parameter wird für DcPromo- und RegisterInDns-Tests ignoriert, die nur lokal ausgeführt werden können.
/n:<NamingContext> Verwendet NamingContext als Namenskontext zum Testen. Sie können Domänen in NetBIOS, Domain Name System (DNS) oder im Distinguished Name Format angeben.
/u:<Domain>\<UserName> /p:{<Password> | ""} Verwendet "Domäne\Benutzername". DCDiag verwendet die aktuellen Anmeldeinformationen des Benutzers (oder Prozesses), der angemeldet ist. Wenn alternative Anmeldeinformationen erforderlich sind, verwenden Sie die folgenden Optionen, um diese Anmeldeinformationen für die Bindung mit Kennwort als Kennwort anzugeben: Verwenden Sie Anführungszeichen ("") für ein leeres oder NULL-Kennwort. Verwenden Sie das Platzhalterzeichen (*), um das Kennwort einzugeben.
/ein Testet alle Server auf diesem AD DS-Standort.
/e Testet alle Server im Unternehmen. Dadurch wird /a außer Kraft gesetzt.
/q Ruhig. Druckt nur Fehlermeldungen.
/v Wortreich. Druckt erweiterte Informationen.
/beheben Betrifft nur den MachineAccount-Test. Dieser Parameter bewirkt, dass der Test die Dienstprinzipalnamen (SERVICE Principal Names, SPNs) auf dem Computerkontoobjekt des Domänencontrollers korrigiert.
/f:<LogFile> Leitet alle Ausgaben an eine Protokolldatei um.
/c Umfassend. Führt alle Tests außer DCPromo und RegisterInDNS aus, einschließlich nicht standardmäßiger Tests. Optional können Sie diesen Parameter mit dem /skip Parameter verwenden, um die angegebenen Tests zu überspringen.

Die folgenden Tests werden standardmäßig nicht ausgeführt:
  • Topologie
  • CutoffServer
  • OutboundSecureChannels.
/h oder /? Zeigt die Hilfe an der Eingabeaufforderung an.
/Test:<Test> Führt diesen Test nur aus. Der Verbindungstest kann nicht mit dem /skip Parameter übersprungen werden.
/ReplSource:<SourceDomainController> Testet die Verbindung zwischen dem Domänencontroller, auf dem Sie den Befehl und den Quelldomänencontroller ausführen. (Dieser Parameter wird für den CheckSecurityError-Test verwendet.)

SourceDomainController ist der DNS-Name, der NetBIOS-Name oder der distinguished Name eines echten oder potenziellen Servers, der der Quelldomänencontroller für die Replikation ist, wie durch ein reales oder potenzielles Verbindungsobjekt dargestellt.

BEKANNTE DCDiag-Tests

In der folgenden Tabelle werden bekannte Tests angezeigt, die standardmäßig ausgeführt werden, sofern nicht anders angegeben.

Testen BESCHREIBUNG
Werbung Überprüft, ob jeder Domänencontroller sich selbst in den Rollen angibt, die er ausführen kann. Dieser Test überprüft, ob die öffentliche DsGetDcName-Funktion , die von Computern zum Auffinden von Domänencontrollern verwendet wird, alle DCs korrekt findet.

Dieser Test schlägt fehl, wenn der Netlogon-Dienst beendet oder nicht gestartet werden konnte. Wenn der Key Distribution Key (KDC)-Dienst beendet wird, schlägt der Advertising-Test fehl, da das von DsGetDcName zurückgegebene Flag keine KDC enthält. Wenn Port 88 über TCP und UDP in einer Firewall blockiert wird, besteht der Advertising-Test, obwohl der KDC keine Kerberos-Tickets-Anforderungen beantworten kann.
PrüfenSDRefDom Überprüft, ob alle Anwendungsverzeichnispartitionen über entsprechende Sicherheitsbeschreibungsreferenzdomänen verfügen.

Dieser Test verwendet LDAP und überprüft Referenzobjekte , die sich in cn=partitions,cn=configuration,dc=<forest root domain> enthalten die richtigen Domänennamen in ihren msDS-SDReferenceDomain-Attributen .
CheckSecurityFehler Der Test wird standardmäßig nicht ausgeführt. Führt verschiedene Sicherheitsprüfungen für Fehler im Zusammenhang mit den Sicherheitskomponenten des DC aus, z. B. Probleme mit der Sicherheitsrichtlinie oder die Sicherheitsdatenbank mithilfe von LDAP, RPC, RPC über SMB und ICMP. Es überprüft Folgendes:
  • Mindestens ein KDC ist für jede Domäne online und erreichbar.
  • Das Computerobjekt für DCs wurde auf andere DCs repliziert.
  • Wenn die Paketfragmentierung von Kerberos über UDP möglicherweise ein Problem auf der Grundlage der aktuellen MTU-Größe ist, indem nicht fragmentierte ICMP-Pakete gesendet werden.
  • Dass es keine Replikations- oder KCC-Verbindungsprobleme (Knowledge Consistency Checker) für verbundene Partner gibt, indem sie die Funktion DsReplicaGetInfo abfragen, um sicherheitsbezogene Fehler zu erhalten.
  • Wenn das DCs-Computerkonto in Active Directory (AD) als Teil der Standard-OU "Domänencontroller" zusammen mit den richtigen UserAccountControl-Flags für DCs vorhanden ist, werden die richtigen ServerReference-Attribute festgelegt und die mindestens erforderlichen Dienstprinzipalnamen (Service Principal Names, SPN) konfiguriert.

Wenn der Parameter "/ReplSource " hinzugefügt wird, überprüft der Partner außerdem Folgendes:
  • Die Zeitverkniffung zwischen den Servern, um zu überprüfen, ob es weniger als 300 Sekunden (5 Minuten) für Kerberos ist. Die Kerberos-Richtlinie wird nicht überprüft, um festzustellen, ob die zulässige Schiefe geändert wurde.
  • Berechtigungen für alle Namenskontexte (z. B. Schema, Konfiguration usw.) für den Quell-DC, der Replikations- und Verbindungsfunktionen zwischen DCs überprüft.
  • Konnektivität, um zu überprüfen, ob der Benutzer, der DCDiag ausführt, eine Verbindung mit sysVOL- und NETLOGON-Freigaben ohne Sicherheitsfehler herstellen und lesen kann.
  • Der Zugriff auf diesen Computer über die Netzwerkberechtigung auf dem DC wird überprüft, um zu überprüfen, ob er von den Gruppen "Administratoren", " Authentifizierte Benutzer" und "Jeder " gehalten wird.
  • Das Computerobjekt des DC wird überprüft, um sicherzustellen, dass es sich um die neueste Version auf den DCs handelt. Dies geschieht, um die Replikationskonvergenz zusammen mit der Überprüfung von Versionen, USNs, Ursprungsservern und Zeitstempeln zu beweisen.
Konnektivität Überprüft, ob DSA und DNS mithilfe von LDAP und RPC registriert und erreichbar sind.
CrossRefValidation Ruft eine Liste der Namenskontexte ab, die sich in cn=partitions,cn=configuration,dc=<forest root domain> with their cross references and then validates them similar to the CheckSDRefDom test using LDAP. Dieser Test untersucht die Attribute "nCName", "dnsRoot", "nETBIOSName" und "systemFlags":
  • Stellen Sie sicher, dass DNs-Namen nicht ungültig oder NULL sind.
  • Bestätigen Sie, dass DNs von CNF oder 0ADEL nicht geändert wurden.
  • Stellen Sie sicher, dass systemFlags für dieses Objekt korrekt sind.
  • Rufen Sie leere (verwaiste) Replikatgruppen auf.
CutoffServer Testet die AD-Replikation, um sicherzustellen, dass keine DCs ohne funktionierende Verbindungsobjekte zwischen Partnern vorhanden sind. Alle Server, die eingehende oder ausgehende Daten von DCs nicht replizieren können, gelten als "ausgeschnitten" mit der DsReplicaSyncAll-Funktion , die die Replikation auf den DCs auslöst. Verwenden Sie den /e Parameter mit Vorsicht, wenn es schlecht implementierte WAN-Verbindungen gibt, die mithilfe von Zeitplänen sauber gehalten werden.

Wenn kein Server kontaktiert werden kann oder für LDAP im Netzwerk nicht verfügbar ist, werden keine Fehler- oder Testergebnisse bereitgestellt, auch wenn der /v Parameter angegeben ist. Dieser Test verwendet RPC.
DcPromo (Englisch) Testet anhand des Servers, der in den Client-DNS-Einstellungen angegeben ist, wenn die Infrastruktur die erforderlichen Anforderungen erfüllt, um Ihr Gerät auf einen DC zu bewerben. Dieser Test verwendet DNS im Netzwerk und überprüft:
  • Wenn mindestens ein Netzwerkadapter einen primären DNS-Server festgelegt hat.
  • Wenn ein nicht zusammenhängender Namespace basierend auf dem DNS-Suffix vorhanden ist.
  • Diese vorgeschlagene autoritative DNS-Zone kann kontaktiert werden.
  • Wenn dynamische DNS-Updates für den A-Eintrag des Servers möglich sind. Sie überprüft sowohl die Einstellung für die autoritative DNS-Zone als auch die Clientregistrierungskonfiguration für DnsUpdateOnAllAdapters und DisableDynamicUpdate.
  • Wenn ein LDAP-DClocator-Eintrag wie _ldap._tcp.dc._msdcs.<Domäne> wird zurückgegeben, wenn Sie vorhandene Gesamtstrukturen abfragen.

Die folgenden Argumente sind erforderlich:
  • /DnsDomain:<Active_Directory_Domain_DNS_Name>
    • Für die Verwendung dieses Parameters ist eines der folgenden Argumente erforderlich: /ChildDomain, , /NewForest, /NewTree/ReplicaDC
  • Wenn /NewTree angegeben, ist das folgende Argument erforderlich:
    • /ForestRoot:<Forest_Root_Domain_DNS_Name>
DFSREvent Dieser Test überprüft die Integrität des DFSR-Diensts (Distributed File System Replication), indem die Warnung des DFSR-Ereignisprotokolls und fehlereinträge aus den letzten 24 Stunden überprüft wird. Dieser Test verwendet RPC und EventLog Remoting-Protokoll.
Domain Name System (DNS) Testet unternehmensweite DNS-Integritätsprüfungen mithilfe von DNS-, RPC- und WMI-Protokollen. Wird nicht standardmäßig ausgeführt und muss explizit angefordert werden. Siehe DNS-Syntax.
FrsEreignis Überprüft, ob fehler im Ereignisprotokoll des Dateireplikationsdiensts (FILE Replication Service, FRS) aus den letzten 24 Stunden auftreten, da die fehlerhafte Replikation der SysVol-Freigabe Richtlinienprobleme verursachen kann. Dieser Test verwendet RPC und EventLog Remoting-Protokoll.
Standortübergreifend Überprüft auf Fehler, die die standortübergreifende Replikation verhindern oder vorübergehend anhalten würden, und prognostiziert, wie lange die Wiederherstellung des KCC dauern würde. Dieser Test verwendet DRS-Funktionen, um nach Bedingungen zu suchen, die eine standortübergreifende AD-Replikation innerhalb eines bestimmten Standorts oder aller Standorte verhindern würden, indem:
  • Suchen und Herstellen einer Verbindung mit den Intersite Topology Generators (ISTG).
  • Suchen und Herstellen einer Verbindung mit den Brückenkopfservern
  • Melden von Replikationsfehlern nach dem Auslösen einer Replikation.
  • Die Überprüfung aller DCs innerhalb von Websites mit eingehenden Verbindungen zu dieser Website ist verfügbar.
  • Überprüfen der KCC-Werte für IntersiteFailuresAllowed - und MaxFailureTimeForIntersiteLink-Außerkraftsetzungen innerhalb des Registrierungsschlüssels: KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters.

Der /a Parameter /e muss verwendet werden, da keine Website bereitgestellt wird, die die Ausführung des Tests ermöglicht, aber tatsächliche Tests überspringt. Dieser Test verwendet RPC über das Netzwerk, um die Replikationsaspekte zu testen und Registrierungsverbindungen aufzufordern, nach NTDS-Überschreibungseinträgen zu suchen. LDAP wird auch verwendet, um Verbindungsinformationen zu finden.
KccEreignis Dieser Test fragt die KCC auf dem DC nach Fehlern und Warnungen ab, die in den letzten 15 Minuten im Ereignisprotokoll der Verzeichnisdienste generiert wurden. Der Schwellenwert von 15 Minuten ist unabhängig vom Registrierungswert der Repl-Topologieaktualisierung (s) auf dem DC.

Wenn Firewallregeln diesen Test fehlschlagen lassen, lesen Sie KB2512643 , die die Aktivierung dieser Regeln abdeckt, damit der Test erfolgreich ausgeführt werden kann. Dieser Test verwendet RPC zusammen mit dem EventLog Remoting-Protokoll.
KnowsOfRoleHolders Dieser Test gibt die Kenntnisse der DCs über die fünf Rollen "Flexible Single Master Operation(FSMO)" zurück, überprüft jedoch nicht alle DCs auf Konsistenz. Die Verwendung des /e Parameters stellt Daten für den Vergleich bereit. Dieser Test verwendet RPC, um DSListRoles innerhalb der Funktionen des Verzeichnisreplikationsdiensts (Directory Replication Service , DRS) zurückzugeben.
MaschinenKonto Überprüft, ob das Computerkonto ordnungsgemäß registriert ist und ob die Dienste mit LDAP und RPC über SMB angekündigt werden, einschließlich überprüfung:

Dieser Test verfügt auch über zwei Reparaturoptionen:
  • /RecreateMachineAccount - Erstellt ein fehlendes DC-Computerobjekt neu. Dies ist kein empfohlener Fix, da keine untergeordneten Objekte eines DC neu erstellt werden, z. B. FRS- und DFSR-Abonnements. Die bewährte Methode besteht darin, eine gültige SystemState-Sicherung zu verwenden, um das gelöschte Objekt und untergeordnete Objekte des DC autoritativ wiederherzustellen. Wenn Sie diese Option verwenden, muss der DC ordnungsgemäß herabgestuft und heraufgestuft werden, um alle fehlenden Beziehungen zu reparieren.
  • /FixMachineAccount – Fügt das UserAccountControl-Flags TRUSTED_FOR_DELEGATION und SERVER_TRUST_ACCOUNT einem DCs-Computerobjekt hinzu. Die Verwendung dieser Reparaturoption wird bevorzugt, wenn Sie versuchen, diese Flags selbst über ADSIEDIT oder andere LDAP-Editoren festzulegen.
NCSecDesc Überprüft Berechtigungen für alle Namenskontexte (z. B. Schema, Konfiguration usw.) auf dem Quell-DC, um zu überprüfen, ob die Replikation und Konnektivität zwischen DCs funktioniert. Es stellt sicher, dass Unternehmensdomänencontroller und Administratorengruppen über die richtigen Mindestberechtigungen verfügen, was derselbe Test ist, der innerhalb von CheckSecurityError durchgeführt wurde. Dieser Test verwendet LDAP.
NetLogons Überprüft, ob der Benutzer, der DCDiag ausführt, eine Verbindung mit sysVOL- und NETLOGON-Freigaben ohne Sicherheitsfehler herstellen und lesen kann. Außerdem wird überprüft, ob die Gruppe "Administratoren", " Authentifizierte Benutzer" und "Jeder" den Zugriff auf diesen Computer über die Netzwerkberechtigung auf dem DC hat.
ObjekteRepliziert Überprüft, ob die Machine Account- und Directory System Agent (DSA)-Objekte repliziert wurden. Zwei Objekte werden standardmäßig überprüft und sind in jedem DC vorhanden und auf allen anderen DCs auf dem neuesten Stand:
  • CN=NTDS-Einstellungen
  • CN=<DC-Name>

Sie können den /objectdn:dn Parameter mit dem /n:nc Parameter verwenden, um ein zusätzliches zu überprüfende Objekt anzugeben. Dieser Test erfolgt mithilfe von RPC mit DRS-Funktionen.
AusgehendeSecureChannels Dieser Test wird nicht standardmäßig ausgeführt. Es überprüft, ob sichere Kanäle von allen Domänencontrollern in der Domäne zu den durch den /testdomain Parameter angegebenen Domänen vorhanden sind. Der /nositerestriction Parameter verhindert, dass DCDiag den Test auf die Domänencontroller am Standort beschränkt.
RegisterInDNS Überprüft, ob der Verzeichnisserver die DNS-Einträge des Verzeichnisservers registrieren kann. Diese Einträge müssen in DNS vorhanden sein, damit andere Computer diesen Verzeichnisserver für die <Active_Directory_Domain_DNS_Name> Domäne suchen können. Dies meldet auch, ob Änderungen an der vorhandenen DNS-Infrastruktur erforderlich sind. Der Parameter /DnsDomain:<Active_Directory_Domain_DNS_Name> muss verwendet werden. Diese Testüberprüfungen:
  • Die autorisierende DNS-Zone kann kontaktiert werden.
  • Wenn mindestens ein Netzwerkadapter einen primären DNS-Server festgelegt hat.
  • Wenn Sie einen nicht zusammenhängenden Namespace basierend auf dem DNS-Suffix haben würden.
  • Die vorgeschlagene autoritative DNS-Zone kann kontaktiert werden.
  • Wenn dynamische DNS-Updates für den A-Eintrag des Servers möglich sind. Es überprüft einstellungen für die autoritative DNS-Zone und die Clientregistrierungskonfiguration von DnsUpdateOnAllAdapters und DisableDynamicUpdate.
  • Wenn ein LDAP-DClocator-Eintrag wie _ldap._tcp.dc._msdcs.<Domäne> wird zurückgegeben, wenn Sie vorhandene Gesamtstrukturen abfragen.
Replikationen Bei diesem Test werden alle AD-Replikationsverbindungsobjekte auf alle Benennungskontexte in angegebenen DC(n) überprüft, wenn:
  • Der letzte Replikationsversuch war erfolgreich oder gibt einen Fehler zurück.
  • Diese Replikation ist deaktiviert.
  • Die Replikationslatenz beträgt mehr als 12 Stunden.
RidManager (Englisch) Überprüft, ob auf den Master des relativen Bezeichners (RID) zugegriffen werden kann und ob:
  • Sie enthält die richtigen Informationen.
  • Kann über einen DsBind gefunden und kontaktiert werden.
  • Verfügt über gültige RID-Poolwerte.

Der Rolleninhaber muss online und für DCs zugänglich sein, um Sicherheitsprinzipale (Benutzer, Computer und Gruppen) sowie weitere DCs zu erstellen, die innerhalb einer Domäne heraufgestuft werden sollen. Dieser Test verwendet LDAP und RPC.
Dienste Dieser Test überprüft, ob verschiedene AD-abhängige Dienste ausgeführt, zugänglich und auf bestimmte Starttypen festgelegt sind. Diese Dienste werden automatisch gestartet und in einem freigegebenen Prozess ausgeführt, sofern nicht anders angegeben:
  • DFSR (wird in einem eigenen Prozess ausgeführt)
  • DNSCACHE
  • VERANSTALTUNGSSYSTEM
  • IISADMIN (Bei Verwendung der SMTP-basierten AD-Replikation)
  • ISMSERV
  • KDC
  • NETLOGON
  • NTDS
  • NTFRS (wird in einem eigenen Prozess ausgeführt)
  • RPCSS
  • SAMSS
  • SERVER
  • SMTPSVC (Bei Verwendung der SMTP-basierten AD-Replikation)
  • W32TIME (wird automatisch oder manuell gestartet)
  • WORKSTATION

Diese Dienstnamen werden im Registrierungspfad HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servicesaufgeführt. Dieser Test verwendet RPC und das Remoteprotokoll des Dienststeuerungs-Managers .
SysVolCheck (Englisch) Dieser Test liest den Registrierungsschlüssel "Netlogon SysVolReady" vor, um zu überprüfen, ob SYSVOL bereit ist. Der Wertname muss mit dem Wert 1 vorhanden sein, um diesen Test zu bestehen und funktioniert entweder mit FRS oder DFSR replizierten SYSVOLs. Es wird nicht überprüft, ob auf die SYSVOL- und NELOGON-Freigaben zugegriffen werden kann, da dies von CheckSecurityError ausgeführt wird. Dieser Test verwendet RPC über SMB.
SystemProtokoll Überprüft die Integrität des Systemereignisprotokolls, indem Einträge aus den letzten 60 Minuten auf Fehler und Warnungen gelesen und geschrieben werden. Dieser Test verwendet RPC und das Remoteprotokoll des Dienststeuerungs-Managers .
Topologie Überprüft, ob die generierte AD-Replikationstopologie für alle DSAs vollständig verbunden ist. Dieser Test wird nicht standardmäßig ausgeführt und muss explizit ausgeführt werden. Es überprüft Folgendes:
  • Wenn die automatische Generierung der standortinternen Topologie deaktiviert ist.
  • Wenn die automatische Websitetopologiegenerierung deaktiviert ist.
  • Bei getrennten Topologien (fehlende Verbindungsobjekte), sowohl upstream als auch downstream von jedem Referenz-DC.

Dieser Test verwendet RPC, LDAP und DsReplicaSyncAll mit dem Flag DS_REPSYNCALL_DO_NOT_SYNC, was bedeutet, dass die Replikationstopologie analysiert und überprüft wird, ohne änderungen tatsächlich replizieren zu müssen. Dieser Test überprüft nicht die Verfügbarkeit von Replikationspartnern. Wenn ein Partner offline ist, treten in diesem Test keine Fehler auf. Außerdem wird nicht getestet, ob der Zeitplan geschlossen ist und die Replikation verhindert wird. Um diese aktiven Replikationsergebnisse anzuzeigen, verwenden Sie Testreplikationen oder CutoffServers.
VerifyEnterpriseReferences Überprüft, ob die angegebenen Systemverweise für die FRS- und Replikationsinfrastruktur für alle Objekte im Unternehmen auf jedem Domänencontroller intakt sind. Dazu gehören die folgenden DC-Websiteattribute und -Objekte:
  • frsComputerReference: cn=domain system volume (sysvol share),cn=ntfrs subscriptions,cn=<DC Name,ou>=domänencontroller,DC=<domain>
  • frsComputerReferenceBL: cn=<DC Name,cn>=domain system volume (sysvol share),cn=file replication service,cn=system,dc=<domain>
  • hasMasterNCs: cn=ntds settings,cn=<DC Name,cn>=<site,cn>=sites,cn=configuration,dc=<domain>
  • msDFSR-ComputerReference: cn=<DC Name,cn>=topology,cn=domain system volume,cn=dfsr-blobalsettings,cn=system,dc=<domain>
  • msDFSR-ComputerReferenceBL: cn=<DC Name,ou>=Domänencontroller,dc=<domain>
  • nCName: cn=<partition name,cn>=partitions,cn=partitions,cn=configuration,dc=<domain>
  • ServerReference: cn=<DC name,cn>=<site,cn>=sites,cn=configuration,dc=<domain>
  • ServerReferenceBL: cn=<DC Name,ou>=Domänencontroller,dc=<domain>

Die beiden DFSR-Tests werden nur ausgeführt, wenn die Domänenfunktionsebene Windows Server 2008 oder höher ist. Dies bedeutet, dass ein erwarteter Fehler auftritt, wenn DFSR nicht zu SYSVOL migriert wurde. Dieser Test verwendet LDAP und nur die angegebenen DCs werden kontaktiert.
VerifyReferences Überprüft, ob bestimmte Systemverweise für die FRS- und Replikationsinfrastruktur intakt sind. Dieser Test überprüft Computerreferenzattribute für einen einzelnen DC, einschließlich der folgenden DC-Websiteattribute und -objekte:
  • frsComputerReference: cn=domain system volume (sysvol share),cn=ntfrs subscriptions,cn=<DC Name,ou>=domänencontroller,DC=<domain>
  • frsComputerReferenceBL: cn=<DC Name,cn>=domain system volume (sysvol share),cn=file replication service,cn=system,dc=<domain>
  • msDFSR-ComputerReference: cn=<DC Name,cn>=topology,cn=domain system volume,cn=dfsr-blobalsettings,cn=system,dc=<domain>
  • msDFSR-ComputerReferenceBL: cn=<DC Name,ou>=Domänencontroller,dc=<domain>
  • ServerReference: cn=<DC name,cn>=<site,cn>=sites,cn=configuration,dc=<domain>
  • ServerReferenceBL: cn=<DC Name,ou>=Domänencontroller,dc=<domain>

Dieser Test verwendet LDAP und ähnelt dem VerifyEnterpriseRefrences-Test , mit der Ausnahme, dass partitionsübergreifende Verweise oder alle anderen DC-Objekte nicht überprüft werden.
VerifyReplicas (Replikate verifizieren) Überprüft, ob alle Anwendungsverzeichnispartitionen auf allen Replikatservern vollständig instanziiert werden. Es wird überprüft, ob der angegebene Server die Anwendungspartitionen hostet, die durch seine Crossref-Attribute im Partitionscontainer angegeben sind. Sie funktioniert wie CheckSDRefDom , mit der Ausnahme, dass keine Ausgabedaten angezeigt und das Hosting überprüft werden. Dieser Test verwendet LDAP.

Hinweis

Konnektivitätsprüfungen auf Domänencontrollern, die im Netzwerk registriert sind und eine Verbindung mit anderen Ressourcen wie DNS, LDAP und RPC herstellen, können nicht übersprungen werden.

DNS-Syntax

dcdiag /test:DNS [/DnsBasic | /DnsForwarders | /DnsDelegation | /DnsDynamicUpdate | /DnsRecordRegistration | /DnsResolveExtName [/DnsInternetName:<InternetName>] | /DnsAll] [/f:<LogFile>] [/x:<XMLLog.xml>] [/xsl:<XSLFile.xsl> or <XSLTFile.xslt>] [/s:<DomainController>] [/e] [/v]

Der DNS-Test verwendet die folgenden Parameter:

Parameter BESCHREIBUNG
/test:DNS Führt den angegebenen DNS-Test aus. Wenn kein Test angegeben ist, wird standardmäßig auf /DnsAll.
/DnsBasic Führt grundlegende DNS-Tests aus, einschließlich Netzwerkkonnektivität, DNS-Clientkonfiguration, Dienstverfügbarkeit und Zonenexistenz.
/DnsForwarders Führt die /DnsBasic Tests aus und überprüft auch die Konfiguration von Weiterleitungen.
/DnsDelegation Führt die /DnsBasic Tests aus und überprüft auch nach ordnungsgemäßen Delegierungen.
/DnsDynamicUpdate Führt /DnsBasic Tests aus und ermittelt außerdem, ob die dynamische Aktualisierung in der Active Directory-Zone aktiviert ist.
/DnsRecordRegistrierung Führt die /DnsBasic Tests aus und überprüft außerdem, ob die Adresseinträge (A), kanonischer Name (CNAME) und bekannte SrV-Ressourceneinträge registriert sind. Erstellt außerdem einen Bestandsbericht basierend auf den Testergebnissen.
/DnsResolveExtName [/DnsInternetName:\<InternetName>] Führt die /DnsBasic Tests aus und versucht auch, InternetName aufzulösen. Wenn /DnsInternetName nicht angegeben, wird versucht, den Namen <www.microsoft.com>aufzulösen. Wenn /DnsInternetName angegeben, wird versucht, den vom Benutzer angegebenen Internetnamen aufzulösen.
/DnsAlle Führt alle Tests mit Ausnahme des /DnsResolveExtName Tests aus und generiert einen Bericht.
/f:<LogFile> Leitet alle Ausgaben an eine Protokolldatei um.
/s:<DomainController> Führt die Tests für den Domänencontroller aus. Wenn dieser Parameter nicht angegeben ist, werden die Tests für den lokalen Domänencontroller ausgeführt.
/e Führt alle Tests aus, die für /test:DNS alle Domänencontroller in der Active Directory-Gesamtstruktur angegeben sind.
/v Wortreich. Stellt erweiterte Informationen zu erfolgreichen Testergebnissen zusätzlich zu Informationen zu Fehlern und Warnungen dar.
Wenn der /v Parameter nicht verwendet wird, werden nur Fehler- und Warnungsinformationen bereitgestellt. Verwenden Sie den /v Schalter, wenn Fehler oder Warnungen in der Zusammenfassungstabelle gemeldet werden.
/x:<XMLLog.xml> Leitet alle Ausgaben an xmllog.xmlum. Dieser Parameter funktioniert nur mit der /test:DNS Option.
/xsl:<XSLFile.xsl> oder
/xsl:<XSLTFile.xslt>
Fügt die Verarbeitungsanweisungen hinzu, die auf das angegebene Blatt verweisen. Dieser Parameter funktioniert nur mit der /test:DNS /x:<XMLLog.xml Option.

Hinweis

Laufzeiten für DNS-Tests können in großen Unternehmen erheblich sein, wenn der /e Parameter verwendet wird. Domänencontroller und DNS-Server, die offline sind, erhöhen die Laufzeiten aufgrund langer Zeiträume für RPC und andere Protokolle.

Beispiele

Konnektivitätstest

Führen Sie den folgenden Befehl aus, um eine Reihe von Verbindungstests in der lokalen Domäne auszuführen:

dcdiag

Eine erfolgreiche Verbindungstestausgabe:

Directory Server Diagnosis


Performing initial setup:

   Trying to find home server...

   Home Server = MapleWaffle-WS22

   * Identified AD Forest. 
   Done gathering initial info.


Doing initial required tests

   
   Testing server: Default-First-Site-Name\MAPLEWAFFLE-WS2

      Starting test: Connectivity

         ......................... MAPLEWAFFLE-WS2 passed test Connectivity


Doing primary tests

      Testing server: Default-First-Site-Name\MAPLEWAFFLE-WS2

      Starting test: Advertising
         ......................... MAPLEWAFFLE-WS2 passed test Advertising

      Starting test: FrsEvent
         ......................... MAPLEWAFFLE-WS2 passed test FrsEvent

      Starting test: DFSREvent
         ......................... MAPLEWAFFLE-WS2 passed test DFSREvent

      Starting test: SysVolCheck
         ......................... MAPLEWAFFLE-WS2 passed test SysVolCheck

      Starting test: KccEvent
         ......................... MAPLEWAFFLE-WS2 passed test KccEvent

      Starting test: KnowsOfRoleHolders
         ......................... MAPLEWAFFLE-WS2 passed test KnowsOfRoleHolders

      Starting test: MachineAccount
         ......................... MAPLEWAFFLE-WS2 passed test MachineAccount

      Starting test: NCSecDesc
         ......................... MAPLEWAFFLE-WS2 passed test NCSecDesc

      Starting test: NetLogons
         ......................... MAPLEWAFFLE-WS2 passed test NetLogons

      Starting test: ObjectsReplicated
         ......................... MAPLEWAFFLE-WS2 passed test ObjectsReplicated

      Starting test: Replications
         ......................... MAPLEWAFFLE-WS2 passed test Replications

      Starting test: RidManager
         ......................... MAPLEWAFFLE-WS2 passed test RidManager

      Starting test: Services
         ......................... MAPLEWAFFLE-WS2 passed test Services

      Starting test: SystemLog
         ......................... MAPLEWAFFLE-WS2 passed test SystemLog

      Starting test: VerifyReferences
         ......................... MAPLEWAFFLE-WS2 passed test VerifyReferences
 
   Running partition tests on : ForestDnsZones

      Starting test: CheckSDRefDom
         ......................... ForestDnsZones passed test CheckSDRefDom

      Starting test: CrossRefValidation
         ......................... ForestDnsZones passed test CrossRefValidation

   Running partition tests on : DomainDnsZones

      Starting test: CheckSDRefDom
         ......................... DomainDnsZones passed test CheckSDRefDom

      Starting test: CrossRefValidation
         ......................... DomainDnsZones passed test CrossRefValidation
   
   Running partition tests on : Schema

      Starting test: CheckSDRefDom
         ......................... Schema passed test CheckSDRefDom

      Starting test: CrossRefValidation
         ......................... Schema passed test CrossRefValidation
   
   Running partition tests on : Configuration

      Starting test: CheckSDRefDom
         ......................... Configuration passed test 
         CheckSDRefDom

      Starting test: CrossRefValidation
         ......................... Configuration passed test 
         CrossRefValidation
   
   Running partition tests on : corp

      Starting test: CheckSDRefDom
         ......................... corp passed test CheckSDRefDom

      Starting test: CrossRefValidation
         ......................... corp passed test CrossRefValidation
   
   Running enterprise tests on : corp.contoso.com

      Starting test: LocatorCheck
         ......................... corp.contoso.com passed test
         LocatorCheck

      Starting test: Intersite
         ......................... corp.contoso.com passed test 
         Intersite

Führen Sie den folgenden Befehl aus, um eine Reihe von Verbindungstests auf einem bestimmten Domänencontroller auszuführen:

dcdiag /s:<DomainControllerName>

Es sollte ähnliche Ergebnisse wie der lokale Test generieren, wenn keine Probleme auftreten.

Ausgabe in eine Protokolldatei

DCDiag kann die Ausgabeergebnisse in einer Textdatei speichern, indem Sie Folgendes ausführen:

dcdiag /s:<DomainControllerName> /f:<FileName.txt>

Wenn kein <FilePath> Wert angegeben ist, werden die Ergebnisse standardmäßig gespeichert C:\Users\<UserName>\<FileName.txt> .

Führen Sie Folgendes aus, um an einem bestimmten Speicherort zu speichern:

dcdiag /s:<DomainControllerName> /f:<DriveLetter>\<FilePath>\<FileName.txt>

Siehe auch

Erläuterung zur Befehlszeilensyntax