(0) exportieren Drucken
Alle erweitern

Domänencontroller-Diagnoseprogramm ("dcdiag.exe")

Letzte Aktualisierung: Februar 2010

Betrifft: Windows Server 2003 with SP1

Welche Funktion hat "DCDiag.exe"?

Dieses Befehlszeilenprogramm analysiert den Status eines Domänencontrollers oder aller Domänencontroller in einer Gesamtstruktur und meldet eventuelle Probleme, um die Problembehandlung zu vereinfachen. DCDiag.exe besteht aus zahlreichen Tests, die einzeln oder als Teil einer Gruppe ausgeführt werden können, um die Fehlerfreiheit des Domänencontrollers zu überprüfen.

Programmanforderungen

  • Abgesehen von den unten angeführten Ausnahmen können alle Befehle in DCDiag unter Windows XP Professional und unter der Windows Server 2003-Produktfamilie ausgeführt werden (Mitgliedsserver und Domänencontroller).

  • Der neue Befehl DCDIAG /TEST:DNS kann die DNS-Fehlerfreiheit von Domänencontrollern mit Windows 2000 Server (SP3 oder höher) oder Domänencontrollern der Windows Server 2003-Produktfamilie überprüfen, wenn er über die Konsole von Mitgliedcomputern mit Windows XP oder Windows Server 2003 oder Domänencontrollern mit Windows Server 2003 ausgeführt wird.

Für wen ist diese Funktion gedacht?

Diese Funktion ist für folgende Anwender von Interesse:

  • DNS-Administratoren

  • Administratoren von Domänencontrollern

  • Benutzer von DCDiag.exe

Welche neue Funktionalität wurde in Windows Server 2003 Service Pack 1 für diese Funktion hinzugefügt?

In Windows Server 2003 Service Pack 1 gibt es zwei bedeutende Verbesserungen bezüglich DCDiag:

  • DCDIAG /TEST:DNS zum Überprüfen der DNS-Fehlerfreiheit

  • DCDIAG /CheckSecurityError zur Erkennung von Sicherheitskonfigurationen, die möglicherweise die Active Directory-Replikation fehlschlagen lassen.

Die Details dieser neuen Erweiterungen werden weiter unten beschrieben.

Neue DNS-Diagnosetests

Detaillierte Beschreibung

DCDiag.exe wurde in Windows Server 2003 Service Pack 1 erweitert und verfügt jetzt über neue DNS-Funktionen zum Berichten über die gesamte DNS-Fehlerfreiheit von Domänencontrollern. Sieben neue DNS-gestützte Tests können einzeln oder zeitgleich ausgeführt werden. Diese Tests können auf einem Domänencontroller oder auf allen Domänencontrollern in einer Active Directory-Gesamtstruktur ausgeführt werden. Nach Abschluss der Tests präsentiert DCDiag.exe eine Zusammenfassung der Ergebnisse, einschließlich detaillierter Informationen zu jedem der getesteten Domänencontroller.

noteHinweis
Die neuen DNS-Tests setzen Anmeldeinformationen als Mitglied der Gruppe Organisations-Admins voraus.

Die neuen DNS-Tests können nur für Windows 2000 Server-Domänencontroller (SP3 oder höher) oder Domänencontroller der Windows Server 2003-Produktfamilie ausgeführt werden.

Befehlszeilensyntax

Windows Server 2003 SP1 dcdiag verwendet dieselbe Standardsyntax wie frühere Versionen von dcdiag. Die Syntax für die Ausführung der neuen DNS-Tests lautet wie folgt:

Dcdiag /test:DNS [/DnsBasic | /DnsForwarders | /DnsDelegation | /DnsDynamicUpdate | /DnsRecordRegistration | /DnsResolveExtName [/DnsInternetName: Internetname ] | /DnsAll] [/f: Protokolldatei ] [/ferr: Protokollfehler ] /S: Domänencontrollername [/e] [/v]

 

Parameter Beschreibung

/test:DNS

Führt alle sieben Teiltests, ausgenommen /DnsInternetName, für die Gruppe der Domänencontroller innerhalb des Bereichs aus. Die gebräuchlichsten DCDIAG-Befehlszeilenargumente sind DCDIAG /TEST:DNS /V /S:Domänencontrollername zur Ausführung der sechs DNS-Standardteiltests für einen einzelnen Domänencontroller oder DCDIAG /TEST:DNS /V /E zur Ausführung der sechs DNS-Standardteiltests für alle Domänencontroller in der Testgesamtstruktur des Konsolencomputers. DCDIAG /TEST:DNS stimmt mit dem Befehl /DnsAll überein, wenn einzelne Teiltests nicht definiert sind.

/test:DNS [DNS test]

Führt den angegebenen DNS-Test durch. Wurde kein Test angegeben, wird standardmäßig /DnsAll durchgeführt.

/DnsBasic

Führt DNS-Standardtests durch, einschließlich der Netzwerkkonnektivität, DNS-Clientkonfiguration, Dienstverfügbarkeit und Zonenexistenz.

/DnsForwarders

Führt die /DnsBasic-Tests durch und überprüft die Konfiguration von Weiterleitungen.

/DnsDelegation

Führt die /DnsBasic-Tests durch und überprüft die Richtigkeit von Delegierungen.

/DnsDynamicUpdate

Führt /DnsBasic-Tests durch und ermittelt, ob dynamische Updates in der Active Directory-Zone aktiviert sind.

/DnsRecordRegistration

Führt die /DnsBasic-Tests durch und überprüft, ob A-, CNAME- und bekannte SRV-Einträge registriert sind. Erstellt zudem einen Bericht anhand der Ergebnisse.

/DnsResolveExtName [/DnsInternetName: Internetname ]

Führt die /DnsBasic-Tests durch und versucht, einen Intranet- oder Internetbeispielnamen aufzulösen. Wurde /DnsInternetName nicht angegeben, versucht der Befehl, den Namen www.microsoft.com aufzulösen. Wurde /DnsInternetName angegeben, versucht der Befehl, den vom Benutzer bereitgestellten Internetnamen aufzulösen.

/DnsAll

Führt alle Tests durch, ausgenommen von DnsResolveExtName test,, und generiert einen Bericht.

/f: Protokolldatei

Leitet die Ausgabe an die vom Benutzer bereitgestellte Protokolldatei um.

/ferr: Protokollfehler

Leitet die Ausgabe schwerwiegender Fehler an eine gesonderte Protokolldatei um.

/s: Domänencontrollername

Gibt den Domänencontroller an, der getestet werden soll.

/e

Alle von /test:DNS angegebenen Tests werden auf allen Domänencontrollern in der Active Directory-Gesamtstruktur durchgeführt.

/v

Ausführlich. Präsentiert Informationen über erfolgreiche Testergebnisse, zusätzlich zu Informationen über Fehler und Warnungen. (Wird der Parameter /v nicht verwendet, werden nur Informationen zu Fehlern und Warnungen angezeigt.) Microsoft empfiehlt die Verwendung des /v-Parameters, wenn Fehler oder Warnungen in der Zusammenfassungstabelle enthalten sind.

Unternehmens-DNS-Infrastruktur-Test (/e)

  • Wird /test:DNS zusammen mit dem /e-Parameter ausgeführt, werden alle von test:/DNS angegebenen Tests für alle Domänencontroller in der Active Directory-Gesamtstruktur durchgeführt.

noteHinweis
Bei Verwendung des /e-Parameters können die Laufzeiten von DNS-Tests in großen Unternehmen erheblich sein. Domänencontroller und DNS-Server, die offline sind, erhöhen die Laufzeit aufgrund langer Zeitüberschreitungen von RPC und sonstiger Protokolle.

Verbindungstest

  • Der Verbindungstest ist obligatorisch und wird vor jedem anderen dcdiag-Test ausgeführt.

  • Beim Verbindungstest wird ermittelt, ob Domänencontroller in DNS registriert sind, der Befehl ping ausgeführt werden kann und die LDAP/RPC-Konnektivität hergestellt ist.

  • Schlägt der Verbindungstest für einen Controller fehl, wird dieser Domänencontroller keinen weiteren Tests unterzogen.

noteHinweis
Der Verbindungstest wurde in SP1 nicht geändert, ist jedoch zu Informationszwecken in diesem Dokument enthalten.

DNS-Standardtest (/DnsBasic)

  • Durch den DNS-Standardtest wird bestätigt, dass die folgenden grundlegenden Dienste auf Domänencontrollern, die mittels dcdiag getestet werden, ausgeführt werden und zur Verfügung stehen:

    • DNS-Clientdienst

    • Netlogon-Anmeldedienst

    • KDC-Dienst

    • DNS-Serverdienst (sofern DNS auf dem Domänencontroller installiert ist)

  • Durch den DNS-Standardtest wird bestätigt, dass Netzwerkverbindungen für jeden Domänencontroller hergestellt sind, indem die Erreichbarkeit der DNS-Server auf allen Adaptern überprüft wird.

  • Der DNS-Standardtest bestätigt, dass der A-Eintrag jedes Domänencontrollers auf mindestens einem der auf dem Client konfigurierten DNS-Server registriert ist.

  • Führt ein Domänencontroller den DNS-Serverdienst aus, bestätigt der DNS-Standardtest, dass die Active Directory-Domänenzone und der SOA-Eintrag (Start of Authority, Autoritätsursprung) für die Active Directory-Domänenzone vorhanden sind.

  • Der DNS-Standardtest überprüft, ob die Stammzone (.) vorhanden ist.

Weiterleitungstest (/DnsForwarders)

noteHinweis
Dieser Test wird nur durchgeführt, wenn der fragliche Domänencontroller den Microsoft DNS-Serverdienst ausführt.

  • Der Weiterleitungstest ermittelt, ob die Rekursion aktiviert ist.

  • Wurden Weiterleitungen oder Stammhinweise konfiguriert, bestätigt der Weiterleitungstest, dass alle Weiterleitungen oder Stammhinweise auf dem DNS-Server funktionieren und dass der Domänencontrollerlocator-Eintrag _ldap._tcp.<Gesamtstrukturdomäne> aufgelöst wurde. (Die Auflösung des Domänencontrollerlocator-Eintrags _ldap._tcp.<Gesamtstrukturdomäne> wird nicht bei Weiterleitungen oder Stammhinweisen versucht, die auf dem Gesamtstrukturdomänencontroller konfiguriert wurden.)

Delegierungstest (/DnsDelegation)

noteHinweis
Dieser Test wird nur durchgeführt, wenn der fragliche Domänencontroller den Microsoft DNS-Serverdienst ausführt.

  • Durch den Delegierungstest wird bestätigt, dass es sich beim delegierten Namensserver um einen funktionierenden DNS-Server handelt.

  • Beim Delegierungstest wird überprüft, ob Delegierungen unterbrochen wurden. Dabei wird sichergestellt, dass alle NS-Einträge in der Active Directory-Domänenzone, in der sich der Zieldomänencontroller befindet, über entsprechende Glue A-Einträge verfügen.

Test für dynamische Updates (/DnsDynamicUpdate)

  • Der Test für dynamische Updates bestätigt, dass die Active Directory-Domänenzone für sichere dynamische Updates konfiguriert ist und führt die Registrierung eines Testeintrags (_dcdiag_test_record) durch. Der Testeintrag wird anschließend gelöscht.

Eintragsregistrierungstest (/DnsRecordRegistration)

  • Beim Eintragsregistrierungstest wird die Registrierung aller wesentlichen Domänencontrollerlocator-Einträge auf allen DNS-Servern überprüft, die auf den einzelnen Adaptern der Domänencontroller konfiguriert sind. Bei diesem Test werden die folgenden Einträge zurückgegeben:

     

    Eintrag Beschreibung

    CNAME GUID

    Die als kanonischer Name (CNAME) des DNS-Servers registrierte GUID.

    A

    Der Hostadressen-Ressourceneintrag (A-Ressourceneintrag). Ordnet einem DNS-Domänennamen einer IPv4 (Internet Protocol, Version 4)-32-Bit-Adresse zu.

    LDAP SRV

    Der Dienstlocator-Ressourceneintrag (SRV) für den LDAP-Dienst.

    GC SRV

    Der Dienstlocator-Ressourceneintrag (SRV) für den globalen Katalogserver (GC).

    PDC SRV

    Der Dienstlocator-Ressourceneintrag (SRV) für den primären Domänencontroller (PDC).

Test der externen Namensauflösung (/DnsResolveExtName)

noteHinweis
Der Test der externen Namensauflösung wird nur ausgeführt, wenn er explizit angegeben wird (mithilfe von /DnsResolveExtName); er ist nicht Bestandteil von /DnsAll.

  • Beim Test der externen Namensauflösung wird die Standardauflösung durch externe DNS-Server von einem bestimmten Client aus mithilfe eines Internetbeispielnamens (www.microsoft.com) oder eines von Benutzern bereitgestellten Internetnamens überprüft.

  • Beim Test der externen Namensauflösung können keine externen Internetnamen in einer Umgebung mit einem Proxyserver aufgelöst werden.

  • Sie können die Namensauflösung entweder über Intranet- oder Internetnamen testen.

  • Zur Auflösung eines von Benutzern bereitgestellten Internet- oder Intranetnamens (anstelle von www.microsoft.com) muss der /DnsInternetName-Parameter verwendet werden.

So lesen Sie die Ausgabe des DNS-erweiterten DCDiag

In den folgenden Schritten wird zusammengefasst, wie die vom DNS-erweiterten dcdiag bereitgestellten Ergebnisse zu interpretieren sind:

  1. Führen Sie dcdiagtest:DNS /e /f:dns.txt aus. Microsoft empfiehlt die Verwendung der Option /v, um ausführliche Informationen zu erhalten.

  2. Öffnen Sie den Bericht im Editor oder einem kompatiblen Textprogramm.

  3. Führen Sie einen Bildlauf an das Ende des Berichts durch, und lesen Sie die Zusammenfassungstabelle.

  4. Stellen Sie fest, welche Server den Status "warn" oder "fail" für einen Teiltest in der Zusammenfassungstabelle aufweisen.

  5. Überprüfen Sie die Ausgabe des Servers, um festzustellen, welches Problem erkannt wurde (Hinweis: Verwenden Sie den Befehl Suchen im Menü Bearbeiten, um nach der Zeichenfolge "DC: Domänencontrollername" (ohne Anführungszeichen) zu suchen und den Detailabschnitt eines bestimmten Domänencontrollers zu finden.

  6. Beheben Sie ggf. die Probleme auf den DNS-Clients oder DNS-Servern.

  7. Führen Sie dcdiag /test:DNS /v /e (oder /s:Domänencontrollername) erneut aus, um sicherzustellen, dass das Problem behoben wurde. Wiederholen Sie die Schritte 1 bis 6, bis alle Fehler bekannt und behoben sind.

Warnungen und Fehler

Dcdiag verfolgt einen konservativen Ansatz, indem DNS-Client- oder DNS-Serverkonfigurationen identifiziert werden, die problematisch sein könnten, nicht den empfohlenen Konfigurationen entsprechen oder die von dcdiag nicht vollständig überprüft werden können. Es kann somit vorkommen, dass die Zusammenfassungen und Detailabschnitte von dcdiag Warnungen für DNS-Konfigurationen enthalten, die derzeit korrekt funktionieren. Administratoren sollten die von dcdiag identifizierten Konfigurationen überprüfen.

Die nachstehenden Tabellen enthalten die Konfigurationen, bei denen dcdiag möglicherweise Warnungen oder Fehler für die einzelnen DNS-Teiltests meldet.

Einfach

 

Warnung Zusätzliche Informationen

Achtung: Adapter <Adaptername> besitzt eine dynamische IP-Adresse

Für alle DNS-Server werden statische IP-Adressen empfohlen.

Warnung: Adapter <Adaptername> hat einen ungültigen DNS-Server: <Name> <IP-Adresse>

Der DNS-Server ist möglicherweise nicht erreichbar.

Warnung: Keine DNS-RPC-Konnektivität (Fehler oder Nicht-Microsoft-DNS-Server wird ausgeführt)

Ignorieren Sie diese Warnung, wenn es sich beim DNS-Server um einen BIND- oder sonstigen Nicht-Microsoft-DNS-Server handelt.

Warnung: Active Directory-Zone auf diesem Domänencontroller/DNS-Server wurde nicht gefunden

N/V

Warnung: Auf diesem Domänencontroller/DNS-Server wurde eine Stammzone gefunden

N/V

 

Fehler Zusätzliche Informationen

Fehler: Authentifizierung mit angegebenen Anmeldeinformationen ist fehlgeschlagen

DCDIAG setzt eine Anmeldung als Mitglied der Gruppe Organisations-Admins zur Durchführung der Tests voraus.

Fehler: Keine LDAP-Konnektivität

N/V

Fehler: Keine DS-RPC-Konnektivität

N/V

Fehler: Keine WMI-Konnektivität

Der DNS-Test benötigt WMI-Konnektivität für die Ausführung auf dem Remotecomputer.

Fehler: Betriebssystemversion kann über WMI nicht gelesen werden

Die Ursache dieses Fehlers kann eine fehlende WMI-Verbindung auf dem Remotecomputer sein.

Fehler: <Betriebssystemname> wird nicht unterstützt (dieses Tool wird nur unter Windows 2000, Windows XP und Windows Server 2003 unterstützt)

N/V

Fehler: Dienststeuerungs-Manager konnte nicht geöffnet werden

Es kann nicht festgestellt werden, ob der Dienst ausgeführt wird.

Fehler: KDC/netlogon/DNS/dnscache wird nicht ausgeführt

Einige der Schlüsseldienste werden nicht ausgeführt.

Fehler: Netzwerkadapterinformationen können über WMI nicht gelesen werden

N/V

Fehler: Alle DNS-Server sind ungültig

DNS-Server, auf die der Client zeigt, sind entweder nicht erreichbar, keine gültigen DNS-Server oder besitzen ungültige IP-Adressen.

Fehler: Der A-Eintrag für diesen Domänencontroller wurde nicht gefunden

Jeder Domänencontroller sollte einen A-Eintrag registrieren. Stellen Sie sicher, dass A-Einträge auf allen DNS-Servern registriert werden, auf die der Client zeigt.

Fehler: Zonenauflistung konnte Stammzone und AD-Zone nicht finden

N/V

Fehler: DNS-Zonen auf dem Domänencontroller konnten nicht abgefragt werden

Überprüfen Sie, ob die Zone, in der der Domänencontroller registriert werden soll, vorhanden ist.

Weiterleitung

 

Fehler Zusätzliche Informationen

Fehler: Weiterleitungsliste enthält ungültige Weiterleitung: <IP-Adresse der Weiterleitung>

Eine auf dem DNS-Server konfigurierte Weiterleitung besitzt eine ungültige IP-Adresse oder ist kein gültiger DNS-Server, oder die Namensauflösung funktioniert nicht (der SRV-Eintrag der Gesamtstrukturdomäne kann also nicht aufgelöst werden, falls es sich nicht um einen Stammdomänen-Domänencontroller handelt).

Fehler: Keine Konfiguration von Stammhinweisen und Weiterleitungen. Konfigurieren Sie entweder Weiterleitungen oder Stammhinweise.

Stellen Sie sicher, dass entweder Weiterleitungen oder Stammhinweise auf dem DNS-Server konfiguriert sind, es sei denn, eine Stammzone ist vorhanden.

Fehler: Die Liste der Stammhinweise enthält einen ungültigen Stammhinweisserver: <IP-Adresse des Stammhinweisservers>

Ein auf dem DNS-Server konfigurierter Stammhinweisserver besitzt eine ungültige IP-Adresse oder ist kein gültiger DNS-Server, oder die Namensauflösung funktioniert nicht (der SRV-Eintrag der Gesamtstrukturdomäne kann also nicht aufgelöst werden, falls es sich nicht um einen Stammdomänen-Domänencontroller handelt).

Fehler :<Name des Stammhinweisservers> IP: <Nicht verfügbar> Status:<Status des Servers>

Konfigurierte Stammhinweisserver besitzen keine entsprechende IP-Adresse. Das Feld Status informiert Sie über den Status des Servers.

Fehler :<Name des Stammhinweisservers> IP: <Nicht verfügbar> Status: A-Eintrag nicht gefunden

Konfigurierte Stammhinweisserver besitzen keinen A-Eintrag.

Fehler: Aufzählung der Stammhinweisserver auf <DNS-Servername> ist fehlgeschlagen

Die Stammhinweisserver auf dem DNS-Zielserver konnten nicht aufgelistet werden.

Delegierung

 

Warnung Zusätzliche Informationen

Warnung: DNS-Server: <Name des DNS-Servers> IP: <IP-Adresse> Fehler: Fehlender Glue A-Eintrag

Der Glue A-Eintrag der konfigurierten Delegierung fehlt.

 

Fehler Zusätzliche Informationen

DNS-Server: <Servername> IP:<IP-Adresse> Fehler: Unterbrochene Delegierung -ausführlich

Die Delegierung wurde konfiguriert, der Namensserver reagiert jedoch nicht.

DNS-Server: <Servername> IP:<IP-Adresse> Fehler: Unterbrochene delegierte Domäne <Delegierter Domänenname> -nicht ausführlich

N/V

Fehler: Fehlerhafte Aufzählung der Einträge im Zonenstamm auf dem Server

N/V

Dynamische Updates

 

Warnung Zusätzliche Informationen

Warnung: Dynamische Updates sind für die Zone aktiviert, jedoch nicht sicher <Zonenname>

Es werden sichere dynamische Updates empfohlen.

Warnung: Testeintrag record _dcdiag_test_record konnte aufgrund von Fehler <Fehlercode> in Zone <Zonenname> nicht hinzugefügt werden

Durch den Test wird ein Dummy-Eintrag dynamisch hinzugefügt.

Warnung: Testeintrag record _dcdiag_test_record konnte aufgrund von Fehler <Fehlercode> in Zone <Zonenname> nicht gelöscht werden

Der hinzugefügte Eintrag wird ebenfalls gelöscht.

 

Fehler Zusätzliche Informationen

Warnung: Dynamische Updates ist für die Zone <Zonenname> nicht aktiviert

Dynamische Updates ist in der Active Directory-Zone nicht aktiviert, somit kann der Client seine Einträge nicht registrieren.

Eintragsregistrierung

 

Warnung Zusätzliche Informationen

Warnung: Fehlender DC-SRV-Eintrag auf DNS-Server <Name des Eintrags>

Ignorieren Sie die Fehlermeldung, wenn der Registrierungsschlüssel DNSAvoidRegisterRecord oder die zugehörige Gruppenrichtlinie so konfiguriert wurde, dass die Registrierung dieses Eintrags verhindert wird.

Warnung: Fehlender GC-SRV-Eintrag auf DNS-Server <Name des Eintrags>

Ignorieren Sie die Fehlermeldung, wenn der Registrierungsschlüssel DNSAvoidRegisterRecord oder die zugehörige Gruppenrichtlinie so konfiguriert wurde, dass die Registrierung dieses Eintrags verhindert wird.

Warnung: Fehlender PDC-SRV-Eintrag auf DNS-Server <Name des Eintrags>

Ignorieren Sie die Fehlermeldung, wenn der Registrierungsschlüssel DNSAvoidRegisterRecord oder die zugehörige Gruppenrichtlinie so konfiguriert wurde, dass die Registrierung dieses Eintrags verhindert wird.

Warnung: Eintragsregistrierungen in einigen Netzwerkadaptern nicht gefunden

N/V

 

Fehler Zusätzliche Informationen

Fehler: Fehlender A-Eintrag auf DNS-Server <IP-Adresse des DNS-Servers>: <Name des A-Eintrags>

Der Domänencontroller hat den A-Eintrag auf dem angegebenen DNS-Server nicht registriert.

Fehler: Fehlender CNAME-Eintrag auf DNS-Server <IP-Adresse des DNS-Servers>: <Name des CNAME-Eintrags>

Der Domänencontroller hat den CNAME-Eintrag auf dem angegebenen DNS-Server nicht registriert.

Fehler: Fehlender DC SRV-Eintrag auf DNS-Server <IP-Adresse des DNS-Servers>: <Name des SRV-Eintrags>

Der Domänencontroller hat den DC SRV-Eintrag auf dem angegebenen DNS-Server nicht registriert.

Fehler: Fehlender GC SRV-Eintrag auf DNS-Server <IP-Adresse des DNS-Servers>: <Name des SRV-Eintrags>

Der Domänencontroller hat den GC SRV-Eintrag auf dem angegebenen DNS-Server nicht registriert.

Fehler: Fehlender PDC SRV-Eintrag auf DNS-Server <IP-Adresse des DNS-Servers>: <Name des SRV-Eintrags>

Der Domänencontroller hat den DC SRV-Eintrag auf dem angegebenen DNS-Server nicht registriert. Alle diese Einträge können durch Beenden und Starten des netlogon-Anmeldedienstes registriert werden.

Fehler: Es können nicht für alle Netzwerkadapter Eintragsregistrierungen gefunden werden

Bei mehreren Netzwerkadaptern überprüft der Test, ob alle Einträge auf allen für die einzelnen Adapter konfigurierten DNS-Servern vorhanden sind. Dieser Fehler tritt auf, wenn die Eintragsregistrierung auf dem DNS-Server fehlt.

Auflösung externer Namen

 

Fehler Zusätzliche Informationen

Fehler: Internetname <Name> kann nicht aufgelöst werden

Der angegebene Internetname kann nicht aufgelöst werden. Stellen Sie sicher, dass Proxyclient, Server, Stammhinweise und Weiterleitungen richtig konfiguriert wurden.

Unternehmens-DNS-Infrastruktur-Tests

 

Warnung Zusätzliche Informationen

Warnung: Es wurden weder Weiterleitungen noch Stammhinweise von der untergeordneten an die übergeordnete Domäne konfiguriert.

Es müssen Weiterleitungen oder Stammhinweise auf den DNS-Servern der übergeordneten oder untergeordneten Domäne mit den autorisierenden Zonen für die jeweilige Domäne konfiguriert werden, damit die Namensauflösung funktioniert.

 

Fehler Zusätzliche Informationen

Fehler: Keine Delegierung in der übergeordneten Domäne

Die Delegierung sollte von der übergeordneten zur untergeordneten Domäne konfiguriert sein.

Fehler: Die Delegierung ist vorhanden, doch fehlt der Glue-Eintrag

Die Delegierung wurde konfiguriert, doch fehlen die Glue-Einträge der Namensserver.

Fehler: Fehlerhafte Konfiguration der Weiterleitungen von der übergeordneten zur untergeordneten Domäne

Weiterleitungen müssen von der untergeordneten zur übergeordneten Domäne konfiguriert werden.

Fehler: Fehlerhafte Konfiguration der Stammhinweise von der übergeordneten zur untergeordneten Domäne

Stammhinweise müssen von der untergeordneten zur übergeordneten Domäne konfiguriert werden.

Fehler: Weiterleitungen wurden zwar von der untergeordneten zur übergeordneten Domäne konfiguriert, doch schlugen einige bei DNS-Servertests fehl (Details zur Fehlermeldung finden Sie im Abschnitt über DNS-Server)

Die konfigurierten Weiterleitungen weisen eine ungültige IP-Adresse auf oder sind keine gültigen DNS-Server, bzw. die Namensauflösung funktioniert nicht (der SRV-Eintrag der Gesamtstrukturdomäne kann nicht aufgelöst werden, wenn er sich nicht in der Stammdomäne befindet).

Fehler: Stammhinweise wurden zwar von der untergeordneten zur übergeordneten Domäne konfiguriert, doch schlugen einige bei DNS-Servertests fehl (Details zur Fehlermeldung finden Sie im Abschnitt über DNS-Server)

Die konfigurierten Stammhinweise weisen eine ungültige IP-Adresse auf oder sind keine gültigen DNS-Server, bzw. die Namensauflösung funktioniert nicht.

Beispiele:

Die folgenden Beispiele veranschaulichen die Verwendung von Windows Server 2003 SP1 dcdiag. Ersetzen Sie die Parameter in Kursivschrift durch die für Ihre Umgebung gültigen Werte.

  • So führen Sie alle DNS-Tests auf einem einzelnen Domänencontroller im nicht ausführlichen Modus aus

    Dcdiag /test:DNS /s:Zieldomänencontroller-Name /f:Protokolldateiname

  • So führen Sie alle DNS-Tests auf einem einzelnen Domänencontroller im ausführlichen Modus aus

    Dcdiag /test:DNS /s:Zieldomänencontroller-Name /v /f:Protokolldateiname

  • So führen Sie alle DNS-Tests in einer kompletten Gesamtstruktur im nicht ausführlichen Modus aus

    Dcdiag /test:DNS /e /f:Protokolldateiname

  • So führen Sie alle DNS-Tests in einer kompletten Gesamtstruktur im ausführlichen Modus aus

    Dcdiag /test:DNS /v /e /f:Protokolldateiname

  • So führen Sie den DNS-Standardtest auf einem einzelnen Domänencontroller aus

    Dcdiag /test:DNS /DnsBasic /s:Name des Zieldomänencontrollers /f:Protokolldateiname

  • So führen Sie den DNS-Weiterleitungstest auf einem einzelnen Domänencontroller aus

    Dcdiag /test:DNS /DnsForwarders /s:Name des Zieldomänencontrollers /f:Protokolldateiname

  • So führen Sie den DNS-Delegierungstest auf einem einzelnen Domänencontroller aus

    Dcdiag /test:DNS /DnsDelegation /s:Name des Zieldomänencontrollers /f:Protokolldateiname

  • So führen Sie den DNS-Test für dynamische Updates auf einem einzelnen Domänencontroller aus

    Dcdiag /test:DNS /DnsDynamicUpdate /s:Name des Zieldomänencontrollers /f:Protokolldateiname

  • So führen Sie den DNS-Eintragsregistrierungstest auf einem einzelnen Domänencontroller aus

    Dcdiag /test:DNS /DnsRecordRegistration /s:Name des Zieldomänencontrollers /f:Protokolldateiname

  • So lösen Sie einen Internet- oder Intranetbeispielnamen auf

    Dcdiag /test:DNS /DnsResolveExtName /DnsInternetName:Internetname /f: Protokolldateiname

noteHinweis
Wird ein einzelner Test durchgeführt, werden die /DnsBasic-Tests von dem angegebenen Test standardmäßig durchgeführt.

Wird kein einzelner Test angegeben, werden alle DNS-Tests (ausgenommen /DnsResolveName) standardmäßig durchgeführt.

Neue Sicherheitstests zur Active Directory-Replikation

Detaillierte Beschreibung

DCDiag.exe wurde in Windows Server 2003 Service Pack 1 erweitert und verfügt jetzt über neue Funktionen zum Identifizieren von Sicherheitskonfigurationen, die die Active Directory-Replikation möglicherweise fehlschlagen lassen.

Der neue CheckSecurityError-Test kann auf einem Domänencontroller oder auf allen Domänencontrollern in einer Active Directory-Gesamtstruktur ausgeführt werden. Der Test führt folgende Schritte aus:

  • Überprüfen, ob ein Schlüsselverteilungscenter (Key Distribution Center, KDC) sowohl in der Ziel- als auch Quelldomäne des Domänencontrollers vefügbar ist.

  • Überprüfen, ob der Zieldomänencontroller ausreichend große UDP-formatierte Pakete (von Kerberos verwendet) überträgt und empfängt.

  • Sicherstellen, dass die Systemuhr des Zieldomänencontrollers nicht mehr als fünf Minuten von der Systemzeit des Schlüsselverteilungscenters in der Ziel- bzw. Quelldomäne und des Quelldomänencontrollers abweicht.

  • Bestätigen, dass der Stamm jedes Namenkontexts auf dem Quelldomänencontroller mit der erforderlichen Berechtigung konfiguriert ist.

  • Bestätigen, dass die Computerkonten des Quell- und Zieldomänencontrollers nicht deaktiviert und für Deligierungszwecke vertraut sind und alle erforderlichen Dienstprinzipalnamen enthalten.

Nach Abschluss des Tests präsentiert DCDiag.exe eine Zusammenfassung der Ergebnisse für jeden getesteten Domänencontroller und die Diagnose der festgestellten Sicherheitsfehler

Dieser Test kann mithilfe der folgenden Syntax an der Befehlszeile ausgeführt werden:

Dcdiag /test:CheckSecurityError

Optional können Sie dem Befehl den /ReplSource:Quelldomänencontroller-Parameter hinzufügen, um einen bestimmten Domänencontroller als Quelle in einem Replikationsversuch anzugeben. Der im Parameter /replsource: festgelegte Domänencontroller muss kein aktueller Quelldomänencontroller sein, von dem der getestete Domänencontroller aktuell repliziert (ein Domänencontroller von dem der Zieldomänencontroller aktuell ein eingehendes Verbindungsobjekt hat). Dieser Test erfasst Informationen vom Domänencontroller, Schlüsselverteilungscenter (KDC) des Quell- und Zielservers und von Active Directory.

noteHinweis
Dcdiag /test:CheckSecurityError kann über die Konsole eines Mitgliedcomputers (mit dem Befehl /e oder /s:Servername) oder eines Domänencontrollers ausgeführt werden. Führen Sie Dcdiag /test:CheckSecurityError über die Konsole jedes Domänencontrollers aus, bei dem die eingehende Active Directory-Replikation aufgrund eines möglichen Sicherheitsfehlers fehlschlägt, um die besten Ergebnisse zu erzielen.

Warum ist diese Änderung wichtig?

Wenn die Replikation nicht funktioniert und es sich um einen Sicherheitsfehler handelt (beispielsweise "Zugriff verweigert, "Der Zielkontoname ist ungültig" oder "Der RPC-Server ist nicht verfügbar"), kann das Problem durch die unterschiedlichsten Faktoren verursacht werden. Dieser Test automatisiert die Diagnose durch Überprüfen der häufigsten Fehlerquellen und Melden der Fehler, damit Sie die Probleme beheben können.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

Anzeigen:
© 2014 Microsoft