DCDiag

適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016

DCDiag.exe は、フォレストまたは企業内のドメイン コントローラー (DC) の状態を分析し、トラブルシューティングに役立つ問題を報告します。 DCDiag は、エンド ユーザー レポート プログラムとして、システムの異常な動作を特定する方法に関する詳細な知識をカプセル化するコマンド ライン ツールです。

既定では、DCDiag は DC にログインするとすぐに使用できます。 DCDiag にアクセスする別の方法は、デバイスにリモート サーバー管理ツール (RSAT) をインストールすることです。 DCDiag は、管理者特権のコマンド プロンプト (CMD) または PowerShell から管理者権限で実行する必要があります。

DCDiag は、テストを実行するためのフレームワークと、システムのさまざまな機能領域を検証するための一連のテストで構成されています。 このフレームワークでは、エンタープライズ、サイト、単一サーバーなど、ユーザーからのスコープ ディレクティブに従ってテストされる DC を選択します。 DC の全体的な接続性と応答性のテストには、次の検証が含まれます。

  • DC は DNS に配置できます
  • DC がインターネット制御メッセージ プロトコル (ICMP) ping に応答する
  • DC は、インスタンスにバインドすることでライトウェイト ディレクトリ アクセス プロトコル (LDAP) 接続を許可します
  • DC では、DsBindWithCred 関数を使用して AD RPC インターフェイスにバインドできます。

Note

ICMP をブロックすると、DCDiag が意図したとおりに機能できなくなります。 ICMP のブロックはネットワークのインターネット エッジで推奨されますが、内部的に ICMP トラフィックをブロックすると、従来のグループ ポリシー、ブラック ホール ルーターの検出、検出オプションがないために非効率的な MTU サイズが壊れる管理上の問題が発生します。 ping.exetracert.exeなどのトラブルシューティング ツールも影響を受ける。

DCDiag syntax

dcdiag [/s:<DomainController>] [/n:<NamingContext>] [/u:<Domain>\<UserName> /p:{* | <Password> | ""}] [{/a | /e}] [{/q | /v}] [/i] [/f:<LogFile>] [/c [/skip:<Test>]] [/test:<Test>] [/fix] [{/h | /?}] [/ReplSource:<SourceDomainController>]

DCDiag では、次のパラメーターを使用します。

Parameter Description
/s:<DomainController> コマンドを実行するサーバーの名前を指定します。 このパラメーターが指定されていない場合、テストはローカル ドメイン コントローラーに対して実行されます。

このパラメーターは、ローカルでのみ実行できる DcPromo および RegisterInDns テストでは無視されます。
/n:<NamingContext> テストする名前付けコンテキストとして NamingContext を使用します。 ドメインは、NetBIOS、ドメイン ネーム システム (DNS)、または識別名形式で指定できます。
/u:<Domain>\<UserName> /p:{<Password> |""} Uses Domain\UserName. DCDiag は、ログオンしているユーザー (またはプロセス) の現在の資格情報を使用します。 代替資格情報が必要な場合は、パスワードとしてパスワードを使用してバインドするための資格情報を指定するには、次のオプションを使用します。空または null のパスワードには引用符 ("") を使用します。 パスワードの入力を求めるメッセージを表示するには、ワイルドカード文字 (*) を使用します。
/a この AD DS サイト上のすべてのサーバーをテストします。
/e 企業内のすべてのサーバーをテストします。 これにより、 /aがオーバーライドされます。
/q Quiet. エラー メッセージのみを出力します。
/v Verbose. 拡張情報を出力します。
/fix MachineAccount テストにのみ影響します。 このパラメーターにより、テストでドメイン コントローラーのマシン アカウント オブジェクトのサービス プリンシパル名 (SPN) が修正されます。
/f:<LogFile> すべての出力をログ ファイルにリダイレクトします。
/c Comprehensive. 既定以外のテストを含め、DCPromo と RegisterInDNS を除くすべてのテストを実行します。 必要に応じて、このパラメーターを /skip パラメーターと共に使用して、指定したテストをスキップできます。

次のテストは既定では実行されません。
  • Topology
  • CutoffServers
  • OutboundSecureChannels.
/h または /? コマンド プロンプトにヘルプを表示します。
/test:<Test> このテストのみを実行します。 /skip パラメーターを使用して接続テストをスキップすることはできません。
/ReplSource:<SourceDomainController> コマンドを実行するドメイン コントローラーとソース ドメイン コントローラーの間の接続をテストします。 (このパラメーターは CheckSecurityError テストに使用されます)。

SourceDomainController は、実際または潜在的な接続オブジェクトで表される、レプリケーションのソース ドメイン コントローラーとなる実際または潜在的なサーバーの DNS 名、NetBIOS 名、または識別名です。

DCDiag の既知のテスト

次の表に、特に指定がない限り、既定で実行される既知のテストを示します。

Test Description
Advertising 各ドメイン コントローラーが、実行できるロール内で自身をアドバタイズするかどうかを確認します。 このテストでは、コンピューターがドメイン コントローラーを見つけるために使用するパブリック DsGetDcName 関数が、DC を正しく見つけることを検証します。

Netlogon サービスが停止しているか、開始に失敗した場合、このテストは失敗します。 キー配布キー (KDC) サービスが停止すると、DsGetDcName から返されるフラグに KDC が含まれていないため、Advertising テストは失敗します。 TCP および UDP 経由のポート 88 がファイアウォールでブロックされている場合、KDC が Kerberos チケット要求に応答できないにもかかわらず、Advertising テストは合格します。
CheckSDRefDom すべてのアプリケーション ディレクトリ パーティションに適切なセキュリティ記述子参照ドメインがあることを確認します。

このテストでは、LDAP を使用、cn=partitions,cn=configuration,dc=<forest root domain>msDS-SDReferenceDomain 属性に正しいドメイン名が含まれていることを検証します。
CheckSecurityError テストはデフォルトでは実行 されません 。 LDAP、RPC、RPC over SMB、ICMP を使用したセキュリティ ポリシーまたはセキュリティ データベースの問題など、DC のセキュリティ コンポーネントに関連するエラーに関するさまざまなセキュリティ チェックを実行します。 It checks:
  • 少なくとも 1 つの KDC がドメインごとにオンラインであり、到達可能です。
  • その DC コンピューター オブジェクトが他の DC にレプリケートされました。
  • UDP 経由の Kerberos のパケット断片化が、断片化していない ICMP パケットを送信することによって、現在の MTU サイズに基づく問題になる可能性がある場合。
  • 関数 DsReplicaGetInfo に対してクエリを実行してセキュリティ関連のエラーを取得することで、接続されたパートナーのレプリケーションまたはナレッジ整合性チェッカー (KCC) 接続の問題がないこと。
  • DC コンピューター アカウントが、既定の ドメイン コントローラー OU の一部として Active Directory (AD) に存在し、DC の正しい UserAccountControl フラグが存在する場合、正しい ServerReference 属性が設定され、最低限必要なサービス プリンシパル名 (SPN) が構成されます。

/ReplSource パラメーターが追加されると、パートナーは以下もチェックします。
  • Kerberos で 300 秒 (5 分) 未満かどうかを確認するためにサーバー間で計算される時間スキュー。 許可されたスキューが変更されたかどうかを確認するために Kerberos ポリシーはチェック されません
  • DC 間のレプリケーションと接続機能を検証するソース DC 上のすべての名前付けコンテキスト (スキーマ、構成など) に対するアクセス許可。
  • DCDiag を実行しているユーザーが、セキュリティ エラーなしで SYSVOL 共有と NETLOGON 共有に接続して読み取ることができることを検証するための接続。
  • DC 上 のネットワーク特権からこのコンピューターにアクセス するがチェックされ、 管理者認証済みユーザー、および Everyone グループによって保持されていることを確認します。
  • DC のコンピューター オブジェクトは、DC の最新バージョンであることを確認するためにチェックされます。 これは、バージョン、USN、発信元サーバー、タイムスタンプのチェックとともに、 レプリケーションの収束を 証明するために行われます。
Connectivity DSA と DNS が登録され、LDAP と RPC を使用して到達可能であることを確認します。
CrossRefValidation >にある名前付けコンテキストのリストを相互参照とともに取得し、LDAP を使用した CheckSDRefDom テストと同様に検証します。 このテストでは、nCName、dnsRoot、nETBIOSName、systemFlags の各属性を次のように検索します。
  • DN 名が無効または null でないことを確認します。
  • DN が CNF または 0ADEL によって変更されていないことを確認します。
  • そのオブジェクトに対して systemFlags が正しいことを確認します。
  • 空の (孤立した) レプリカ セットを呼び出します。
CutoffServers AD レプリケーションをテストして、パートナー間の接続オブジェクトが動作しない DC がないことを確認します。 どの DC からも受信または送信をレプリケートできないサーバーは、DC でレプリケーションをトリガーする DsReplicaSyncAll 関数を使用して切断されたと見なされます。 スケジュールを使用してクリーンな状態に保たれている実装が不十分な WAN リンクがある場合は、 /e パラメーターを慎重に使用してください。

サーバーに接続できない場合、またはネットワーク上の LDAP で使用できない場合は、 /v パラメーターが指定されている場合でも、エラーやテスト結果は提供されません。 このテストでは RPC を使用します。
DcPromo インフラストラクチャがデバイスを DC に昇格するために必要な要件を満たしているかどうかを、クライアント DNS 設定で指定されたサーバーに対してテストします。 このテストでは、ネットワーク上の DNS を使用し、以下を確認します。
  • 少なくとも 1 つのネットワーク アダプターにプライマリ DNS サーバーが設定されている場合。
  • DNS サフィックスに基づいて不整合な名前空間がある場合。
  • その提案された権限のある DNS ゾーンに接続できます。
  • サーバーの A レコードに対して動的 DNS 更新が可能な場合。 DnsUpdateOnAllAdapters と DisableDynamicUpdate の権限のある DNS ゾーンとクライアント レジストリ構成の両方の設定を確認します。
  • _ldap._tcp.dc._msdcs.< などの LDAP DClocator レコードの場合domain> は、既存のフォレストのクエリを実行するときに返されます。

次の引数が必要です。
  • /DnsDomain:<Active_Directory_Domain_DNS_Name>
    • このパラメーターを使用するには、次のいずれかの引数が必要です: /ChildDomain/NewForest/NewTree、または /ReplicaDC
  • /NewTreeを指定する場合は、次の引数が必要です。
    • /ForestRoot:<Forest_Root_Domain_DNS_Name>
DFSREvent このテストでは、過去 24 時間の DFSR イベント ログの警告とエラー エントリをチェックすることで、分散ファイル システム レプリケーション (DFSR) サービスの™正常性を検証します。 このテストでは、RPC と EventLog リモート処理プロトコルを使用します。
DNS DNS、RPC、および WMI プロトコルを使用して、エンタープライズ全体の DNS 正常性チェックをテストします。 既定では実行されず、明示的に要求する必要があります。 「DNS 構文」を参照してください。
FrsEvent SysVol 共有のレプリケーションが失敗するとポリシーの問題が発生する可能性があるため、過去 24 時間のファイル レプリケーション サービス (FRS) イベント ログにエラーがあるかどうかを確認します。 このテストでは、RPC と EventLog リモート処理プロトコルを使用します。
Intersite サイト間レプリケーションを妨げたり一時的に保持したりする障害をチェックし、KCC の復旧にかかる時間を予測します。 このテストでは、DRS 関数を使用して、特定のサイトまたはすべてのサイト内のサイト間 AD レプリケーションを妨げる条件を確認します。
  • サイト間トポロジ ジェネレーター (ISTG) の検索と接続。
  • ブリッジヘッド サーバーの検索と接続。
  • レプリケーションをトリガーした後のレプリケーションエラーを報告します。
  • このサイトへの受信接続を使用して、サイト内のすべての DC を検証できます。
  • レジストリ キー内の IntersiteFailuresAllowedMaxFailureTimeForIntersiteLink の KCC 値のオーバーライドを確認する: KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters

/aパラメーターまたは /e パラメーターは、サイトを提供しないとテストの実行が許可されますが、実際のテストはスキップされるため、使用する必要があります。 このテストでは、ネットワーク経由で RPC を使用してレプリケーションの側面をテストし、レジストリ接続に NTDS オーバーライド エントリを確認するよう求めます。 LDAP は、接続情報の検索にも使用されます。
KccEvent このテストでは、過去 15 分間に Directory Services イベント ログで生成されたエラーと警告について、DC 上の KCC に対してクエリを実行します。 15 分のしきい値は、DC の Repl トポロジ更新期間 (秒) レジストリ値に関係なく行われます。

ファイアウォールルールがこのテストの失敗の原因となっている場合は、これらのルールを有効にしてテストを成功させるための KB2512643 を参照してください。 このテストでは、EVENTLog リモート処理プロトコルと共に RPC を使用します。
KnowsOfRoleHolders このテストでは、5 つのフレキシブル シングル マスター操作 (FSMO) ロールに関する DC の知識が返されますが、すべての DC の知識で一貫性がチェックされるわけではありません。 /e パラメーターを使用すると、比較用のデータが提供されます。 このテストでは、RPC を使用して、ディレクトリ レプリケーション サービス (DRS) 関数内の DSListRoles を返します。
MachineAccount マシン アカウントが正しく登録されているかどうか、およびサービスが LDAP と RPC over SMB を使用してアドバタイズされているかどうかを確認します。次のチェックを含みます。
  • DC のコンピューター アカウントが AD に存在します。
  • これはドメイン コントローラー OU 内にあります。
  • DC の正しい UserAccountControl フラグがあります。
  • 正しい ServerReference 属性が設定されています。
  • 最小 サービス プリンシパル名 (SPN) が設定されています。 このテストは、同じ内部テストを使用するため、 CheckSecurityError と同じです。

このテストには、次の 2 つの修復オプションもあります。
  • /RecreateMachineAccount - 不足している DC コンピューター オブジェクトを再作成します。 これは、FRS や DFSR サブスクリプションなどの DC の子オブジェクトを再作成しないため、推奨される修正プログラム ではありません 。 ベスト プラクティスは、有効な SystemState バックアップを使用して、DC の削除されたオブジェクトと子オブジェクトを権限を持って復元することです。 このオプションを使用する場合、不足しているすべてのリレーションシップを修復するには、DC を適切に降格して昇格する必要があります。
  • /FixMachineAccount - UserAccountControl フラグ TRUSTED_FOR_DELEGATIONSERVER_TRUST_ACCOUNT を DC コンピューター オブジェクトに追加します。 ADSIEDIT やその他の LDAP エディターを使用してこれらのフラグを自分で設定するよりも、この修復オプションを使用することをお勧めします。
NCSecDesc ソース DC のすべての名前付けコンテキスト (スキーマ、構成など) に対するアクセス許可をチェックして、DC 間のレプリケーションと接続が機能することを検証します。 これにより、エンタープライズ ドメイン コントローラー管理者グループに、CheckSecurityError 内で実行されるのと同じテストである適切な最小アクセス許可が付与されます。 このテストでは LDAP を使用します。
NetLogons DCDiag を実行しているユーザーが、セキュリティ エラーなしで SYSVOL 共有と NETLOGON 共有に接続して読み取ることができることを検証します。 また、 管理者認証されたユーザーおよびすべてのユーザーが 、DC のネットワーク特権 からこのコンピューターにアクセスでき ることも確認します。
ObjectsReplicated マシン アカウントとディレクトリ システム エージェント (DSA) オブジェクトがレプリケートされていることを確認します。 既定では、2 つのオブジェクトが検証され、各 DC に存在し、他のすべての DC で最新の状態になっています。
  • CN=NTDS Settings
  • CN=<DC 名>

/objectdn:dn パラメーターと共に /n:nc パラメーターを使用して、チェックする追加のオブジェクトを指定できます。 このテストは、DRS 関数で RPC を使用して行われます。
OutboundSecureChannels このテストは既定では実行されません。 セキュリティで保護されたチャネルが、ドメイン内のすべてのドメイン コントローラーから、 /testdomain パラメーターで指定されたドメインに存在することを確認します。 /nositerestriction パラメーターを指定すると、DCDiag がサイト内のドメイン コントローラーにテストを制限できなくなります。
RegisterInDNS ディレクトリ サーバーがディレクトリ サーバー ロケーター DNS レコードを登録できるかどうかをテストします。 他のコンピューターが<Active_Directory_Domain_DNS_Name> ドメインのこのディレクトリ サーバーを見つけるには、これらのレコードが DNS に存在する必要があります。 これにより、既存の DNS インフラストラクチャに変更が必要かどうかも報告されます。 パラメーター /DnsDomain:<Active_Directory_Domain_DNS_Name> を使用する必要があります。 このテストでは、次の項目がチェックされます。
  • 権限のある DNS ゾーンに接続できます。
  • 少なくとも 1 つのネットワーク アダプターにプライマリ DNS サーバーが設定されている場合。
  • DNS サフィックスに基づく 不結合の名前空間 がある場合。
  • 提案された権限のある DNS ゾーンに接続できます。
  • サーバーの A レコードに対して動的 DNS 更新が可能な場合。 権限のある DNS ゾーンの設定と、 DnsUpdateOnAllAdaptersDisableDynamicUpdate のクライアント レジストリ構成をチェックします。
  • _ldap._tcp.dc._msdcs.< などの LDAP DClocator レコードの場合domain> は、既存のフォレストのクエリを実行するときに返されます。
Replications このテストでは、次の場合に、指定された DC 上のすべての名前付けコンテキストについて、すべての AD レプリケーション 接続オブジェクトをチェックします。
  • 最後に試行されたレプリケーションが成功したか、エラーが返されます。
  • そのレプリケーションは無効になっています。
  • レプリケーションの待機時間が 12 時間を超えています。
RidManager 相対識別子 (RID) マスターにアクセスできるかどうか、および次の場合を検査します。
  • 適切な情報が含まれています。
  • DsBind を介して検索および接続できます。
  • 有効な RID プール値があります。

DC がセキュリティ プリンシパル (ユーザー、コンピューター、グループ) を作成できるだけでなく、ドメイン内でさらに DC を昇格させるには、ロール所有者がオンラインでアクセスできる必要があります。 このテストでは、LDAP と RPC を使用します。
Services このテストでは、さまざまな AD 依存サービスが実行され、アクセス可能であり、特定の開始の種類に設定されていることを検証します。 特に指定がない限り、これらのサービスは自動的に開始され、共有プロセスで実行されます。
  • DFSR (独自のプロセスで実行)
  • DNSCACHE
  • EVENTSYSTEM
  • IISADMIN (SMTP ベースの AD レプリケーションを使用している場合)
  • ISMSERV
  • KDC
  • NETLOGON
  • NTDS
  • NTFRS (独自のプロセスで実行)
  • RPCSS
  • SAMSS
  • SERVER
  • SMTPSVC (SMTP ベースの AD レプリケーションを使用している場合)
  • W32TIME (自動的または手動で開始)
  • WORKSTATION

これらのサービス名は、 のレジストリパス HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servicesに一覧表示されます。 このテストでは、RPC と Service Control Manager リモート プロトコルを使用します。
SysVolCheck このテストでは、DC の Netlogon SysVolReady レジストリ キーを読み取り、SYSVOL の準備ができていることを検証します。 このテストに合格するには、値名が 1 である必要があり、FRS または DFSR でレプリケートされた SYSVOL で動作します。 これは CheckSecurityError によって実行されるため、SYSVOL 共有と NELOGON 共有にアクセスできるかどうかはチェックされません。 このテストでは、SMB 経由の RPC を使用します。
SystemLog 過去 60 分間のエントリを読み書きして、エラーや警告がないかシステム イベント ログの正常性を検証します。 このテストでは、RPC と Service Control Manager リモート プロトコルを使用します。
Topology 生成された AD レプリケーション トポロジが、すべての DSA に対して完全に接続されていることを確認します。 このテストは既定では実行されないため、明示的に実行する必要があります。 It checks:
  • サイト内トポロジの自動生成が無効になっている場合。
  • サイト間トポロジの自動生成が無効になっている場合。
  • 切断されたトポロジ (接続オブジェクトがない) の場合は、各参照 DC のアップストリームとダウンストリームの両方。

このテストでは、フラグ DS_REPSYNCALL_DO_NOT_SYNC を付けて RPC、LDAP、および DsReplicaSyncAll を使用するため、変更を実際にレプリケートせずにレプリケーション トポロジを分析および検証します。 このテストでは、レプリケーション パートナーの可用性は検証されません。 パートナーをオフラインにしても、このテストでエラーは発生しません。 また、スケジュールが閉じられているかどうかもテストされないため、レプリケーションが妨けられます。 これらのアクティブなレプリケーション結果を確認するには、テストのレプリケーションまたはカットオフサーバーを使用します
VerifyEnterpriseReferences 指定されたシステム参照が、各ドメイン コントローラー上の企業内のすべてのオブジェクトにわたって FRS およびレプリケーション インフラストラクチャに対してそのままであることを確認します。 これには、次の DC サイト属性とオブジェクトが含まれます。
  • frsComputerReference: cn=ドメイン システム ボリューム (sysvol 共有)、cn=ntfrs サブスクリプション、cn=<DC 名>、ou=ドメイン コントローラー、DC=<ドメイン>
  • frsComputerReferenceBL: cn=<DC 名>,cn=ドメイン システム ボリューム (sysvol 共有),cn=ファイル レプリケーション サービス,cn=システム,dc=<ドメイン>
  • hasMasterNC: cn=ntds 設定、cn=<DC 名>、cn=<site>、cn=sites、cn=configuration、dc=<domain>
  • msDFSR-ComputerReference: cn=<DC 名>,cn=topology,cn=domain system volume,cn=dfsr-blobalsettings,cn=system,dc=<domain>
  • msDFSR-ComputerReferenceBL: cn=<DC 名>、ou=ドメイン コントローラー、dc=<domain>
  • nCName: cn=<パーティション名>,cn=パーティション,cn=構成,dc=<ドメイン>
  • サーバー参照: cn=<DC 名>,cn=<site>,cn=sites,cn=configuration,dc=<domain>
  • ServerReferenceBL: cn=<DC 名>,ou=ドメイン コントローラー,dc=<domain>

2 つの DFSR テストは、ドメイン機能レベルが Windows Server 2008 以降の場合にのみ実行されます。 これは、 DFSR が SYSVOL に移行されていない場合に、予期されるエラーが発生することを意味します。 このテストでは LDAP が使用され、指定された DC のみが接続されます。
VerifyReferences 特定のシステム参照が FRS およびレプリケーション インフラストラクチャに対してそのままであることを確認します。 このテストでは、次の DC サイト属性とオブジェクトを含む、1 つの DC のコンピューター参照属性を検証します。
  • frsComputerReference: cn=ドメイン システム ボリューム (sysvol 共有)、cn=ntfrs サブスクリプション、cn=<DC 名>、ou=ドメイン コントローラー、DC=<ドメイン>
  • frsComputerReferenceBL: cn=<DC 名>,cn=ドメイン システム ボリューム (sysvol 共有),cn=ファイル レプリケーション サービス,cn=システム,dc=<ドメイン>
  • msDFSR-ComputerReference: cn=<DC 名>,cn=topology,cn=domain system volume,cn=dfsr-blobalsettings,cn=system,dc=<domain>
  • msDFSR-ComputerReferenceBL: cn=<DC 名>、ou=ドメイン コントローラー、dc=<domain>
  • サーバー参照: cn=<DC 名>,cn=<site>,cn=sites,cn=configuration,dc=<domain>
  • ServerReferenceBL: cn=<DC 名>,ou=ドメイン コントローラー,dc=<domain>

このテストでは LDAP を使用し、パーティションの相互参照や他のすべての DC オブジェクトをチェックしない点を除いて、 VerifyEnterpriseRefrences テストと似ています。
VerifyReplicas すべてのアプリケーション ディレクトリ パーティションが、すべてのレプリカ サーバーで完全にインスタンス化されていることを確認します。 指定されたサーバーが、パーティション コンテナー内の crossref 属性で指定されたアプリケーション パーティションをホストしていることを確認します。 CheckSDRefDomのように動作しますが、出力データを表示せず、ホスティングを検証します。 このテストでは LDAP を使用します。

Note

ネットワークに登録され、DNS、LDAP、RPC などの他のリソースに接続するドメイン コントローラーの接続チェックはスキップ できません

DNS syntax

dcdiag /test:DNS [/DnsBasic | /DnsForwarders | /DnsDelegation | /DnsDynamicUpdate | /DnsRecordRegistration | /DnsResolveExtName [/DnsInternetName:<InternetName>] | /DnsAll] [/f:<LogFile>] [/x:<XMLLog.xml>] [/xsl:<XSLFile.xsl> or <XSLTFile.xslt>] [/s:<DomainController>] [/e] [/v]

DNS テストでは、次のパラメーターを使用します。

Parameter Description
/test:DNS 指定した DNS テストを実行します。 テストが指定されていない場合は、既定で /DnsAll
/DnsBasic ネットワーク接続、DNS クライアント構成、サービスの可用性、ゾーンの存在など、基本的な DNS テストを実行します。
/DnsForwarders /DnsBasic テストを実行し、フォワーダーの構成も確認します。
/DnsDelegation /DnsBasicテストを実行し、適切な委任をチェックします。
/DnsDynamicUpdate /DnsBasicテストを実行し、Active Directory ゾーンで動的更新が有効になっているかどうかを判断します。
/DnsRecordRegistration /DnsBasic テストを実行し、アドレス (A)、正規名 (CNAME)、既知のサービス (SRV) リソース レコードが登録されているかどうかを確認します。 さらに、テスト結果に基づいてインベントリ レポートを作成します。
/DnsResolveExtName [/DnsInternetName:\<InternetName>] /DnsBasic テストを実行し、InternetName の解決も試みます。 /DnsInternetNameが指定されていない場合は、<www.microsoft.com>名前の解決を試みます。 /DnsInternetNameが指定されている場合は、ユーザーが指定したインターネット名の解決を試みます。
/DnsAll /DnsResolveExtName テストを除くすべてのテストを実行し、レポートを生成します。
/f:<LogFile> すべての出力をログ ファイルにリダイレクトします。
/s:<DomainController> ドメイン コントローラーに対してテストを実行します。 このパラメーターが指定されていない場合、テストはローカル ドメイン コントローラーに対して実行されます。
/e Active Directory フォレスト内のすべてのドメイン コントローラーに対して、 /test:DNS で指定されたすべてのテストを実行します。
/v Verbose. エラーと警告に関する情報に加えて、成功したテスト結果に関する拡張情報を表示します。
/v パラメーターを使用しない場合は、エラーと警告の情報のみを提供します。 概要テーブルでエラーまたは警告が報告された場合は、 /v スイッチを使用します。
/x:<XMLLog.xml> すべての出力を xmllog.xmlにリダイレクトします。 このパラメーターは、 /test:DNS オプションでのみ機能します。
/xsl:<XSLFile.xsl> または
/xsl:<XSLTFile.xslt>		 指定したシートを参照する処理命令を追加します。 このパラメーターは、 /test:DNS /x:<XMLLog.xml オプションでのみ機能します。

Note

/e パラメーターを使用する場合、大企業では DNS テストの実行時間が重要になる可能性があります。 オフラインのドメイン コントローラーと DNS サーバーは、RPC やその他のプロトコルのタイムアウト期間が長いため、実行時間が長くなります。

Examples

Connectivity test

ローカル ドメインで一連の接続テストを実行するには、次のコマンドを実行します。

dcdiag

正常な接続テスト出力:

Directory Server Diagnosis


Performing initial setup:

   Trying to find home server...

   Home Server = MapleWaffle-WS22

   * Identified AD Forest. 
   Done gathering initial info.


Doing initial required tests

   
   Testing server: Default-First-Site-Name\MAPLEWAFFLE-WS2

      Starting test: Connectivity

         ......................... MAPLEWAFFLE-WS2 passed test Connectivity


Doing primary tests

      Testing server: Default-First-Site-Name\MAPLEWAFFLE-WS2

      Starting test: Advertising
         ......................... MAPLEWAFFLE-WS2 passed test Advertising

      Starting test: FrsEvent
         ......................... MAPLEWAFFLE-WS2 passed test FrsEvent

      Starting test: DFSREvent
         ......................... MAPLEWAFFLE-WS2 passed test DFSREvent

      Starting test: SysVolCheck
         ......................... MAPLEWAFFLE-WS2 passed test SysVolCheck

      Starting test: KccEvent
         ......................... MAPLEWAFFLE-WS2 passed test KccEvent

      Starting test: KnowsOfRoleHolders
         ......................... MAPLEWAFFLE-WS2 passed test KnowsOfRoleHolders

      Starting test: MachineAccount
         ......................... MAPLEWAFFLE-WS2 passed test MachineAccount

      Starting test: NCSecDesc
         ......................... MAPLEWAFFLE-WS2 passed test NCSecDesc

      Starting test: NetLogons
         ......................... MAPLEWAFFLE-WS2 passed test NetLogons

      Starting test: ObjectsReplicated
         ......................... MAPLEWAFFLE-WS2 passed test ObjectsReplicated

      Starting test: Replications
         ......................... MAPLEWAFFLE-WS2 passed test Replications

      Starting test: RidManager
         ......................... MAPLEWAFFLE-WS2 passed test RidManager

      Starting test: Services
         ......................... MAPLEWAFFLE-WS2 passed test Services

      Starting test: SystemLog
         ......................... MAPLEWAFFLE-WS2 passed test SystemLog

      Starting test: VerifyReferences
         ......................... MAPLEWAFFLE-WS2 passed test VerifyReferences
 
   Running partition tests on : ForestDnsZones

      Starting test: CheckSDRefDom
         ......................... ForestDnsZones passed test CheckSDRefDom

      Starting test: CrossRefValidation
         ......................... ForestDnsZones passed test CrossRefValidation

   Running partition tests on : DomainDnsZones

      Starting test: CheckSDRefDom
         ......................... DomainDnsZones passed test CheckSDRefDom

      Starting test: CrossRefValidation
         ......................... DomainDnsZones passed test CrossRefValidation
   
   Running partition tests on : Schema

      Starting test: CheckSDRefDom
         ......................... Schema passed test CheckSDRefDom

      Starting test: CrossRefValidation
         ......................... Schema passed test CrossRefValidation
   
   Running partition tests on : Configuration

      Starting test: CheckSDRefDom
         ......................... Configuration passed test 
         CheckSDRefDom

      Starting test: CrossRefValidation
         ......................... Configuration passed test 
         CrossRefValidation
   
   Running partition tests on : corp

      Starting test: CheckSDRefDom
         ......................... corp passed test CheckSDRefDom

      Starting test: CrossRefValidation
         ......................... corp passed test CrossRefValidation
   
   Running enterprise tests on : corp.contoso.com

      Starting test: LocatorCheck
         ......................... corp.contoso.com passed test
         LocatorCheck

      Starting test: Intersite
         ......................... corp.contoso.com passed test 
         Intersite

特定のドメイン コントローラーで一連の接続テストを実行するには、次のコマンドを実行します。

dcdiag /s:<DomainControllerName>

問題が発生しない場合は、ローカル テストと同様の結果が生成されます。

ログ ファイルへの出力

DCDiag は、次のコマンドを実行して、出力結果をテキスト ファイルに保存できます。

dcdiag /s:<DomainControllerName> /f:<FileName.txt>

<FilePath>が指定されていない場合、結果は既定でC:\Users\<UserName>\<FileName.txt>に保存されます。

特定の場所に保存するには、次のコマンドを実行します。

dcdiag /s:<DomainControllerName> /f:<DriveLetter>\<FilePath>\<FileName.txt>

See also

コマンド ライン構文の記号

  • Last updated on