Microsoft.com
Bienvenue Connexion
TechCenter Windows Server
Cliquez pour évaluer et commenter
TechNet
Bibliothèque TechNet
Windows
Windows Server
Windows Server 2003
 Outil de diagnostic du contrôleur d...
Outil de diagnostic du contrôleur de domaine (dcdiag.exe)

Quelle est la fonction de DCDiag.exe ?

Cet outil de ligne de commande analyse l'état d'un ou de tous les contrôleurs de domaine dans une forêt et signale tous les problèmes rencontrés afin d'en faciliter la résolution. DCDiag.exe consiste en plusieurs tests qui peuvent être exécutés individuellement ou à la suite, pour vérifier le bon état du contrôleur de domaine.

Configuration requise de l'outil

  • Sauf les exceptions mentionnées plus haut, toutes les commandes de DCDiag peuvent s'exécuter sur la famille Windows XP Professionnel et Windows Server 2003 (serveurs membres et contrôleurs de domaine).
  • La nouvelle commande DCDIAG /TEST:DNS peut valider le bon état DNS des contrôleurs de domaine de Windows 2000 Server (SP3 ou ultérieur) ou de la famille Windows Server 2003 lorsqu'ils sont exécutés à partir de la console d'ordinateurs membres Windows XP ou Windows Server 2003 ou de contrôleurs de domaine Windows Server 2003.

Qui est concerné par cette fonctionnalité ?

Cette fonctionnalité s'adresse aux publics suivants :

  • administrateurs DNS,
  • administrateurs de contrôleurs de domaine,
  • utilisateurs de DCDiag.exe.

Quelles nouvelles fonctionnalités ont été ajoutées à cette fonction dans Windows Server 2003 Service Pack 1 ?

Il y a deux nouvelles améliorations importantes à DCDiag dans Windows Server 2003 Service Pack 1 :

  • DCDIAG /TEST:DNS pour valider un bon état DNS ;
  • DCDIAG /CheckSecurityError pour détecter les configurations de sécurité qui peuvent provoquer l'échec de la réplication Active Directory..

Les détails sur ces nouvelles améliorations sont donnés ci-dessous.

De nouveaux tests de diagnostic DNS ont été ajoutés.

Description détaillée

DCDiag.exe a été amélioré pour Windows Server 2003 Service Pack 1 afin d'intégrer de nouvelles fonctionnalités de reporting sur le bon état DNS des contrôleurs de domaine. Cet utilitaire propose notamment sept nouveaux tests DNS exécutables individuellement ou simultanément. Ces tests peuvent être exécutés sur un seul contrôleur de domaine ou sur tous les contrôleurs de domaine d'une forêt Active Directory. À l'issue des tests, DCDiag.exe présente un récapitulatif des résultats assortis d'informations détaillées sur chaque contrôleur de domaine testé.

noteRemarques
Les nouveaux tests DNS nécessitent des informations d'identification Administrateur d'entreprise. Ils ne peuvent s'exécuter que sur les contrôleurs de domaine de la famille Windows 2000 Server (SP3 ou version ultérieure) ou Windows Server 2003.

Syntaxe de ligne de commande

Windows Server 2003 SP1 dcdiag utilise la même syntaxe de base que les versions précédentes de dcdiag. La syntaxe d'exécution des nouveaux tests DNS est la suivante :

Dcdiag /test:DNS [/DnsBasic | /DnsForwarders | /DnsDelegation | /DnsDynamicUpdate | /DnsRecordRegistration | /DnsResolveExtName [/DnsInternetName:Nom_Internet] | /DnsAll] [/f:Fichier_journal] [/ferr:Journal_erreurs] /S:Nom_CD[/e] [/v]

 

Paramètre Description

/test:DNS

Exécute les sept sous-tests, à l'exception du test /DnsInternetName, sur l'ensemble défini des contrôleurs de domaine. Les arguments de ligne de commande DCDIAG les plus courants sont DCDIAG /TEST:DNS /V /S:DCNAME pour l'exécution des six sous-tests DNS par défaut sur un même contrôleur de domaine (DC) ou DCDIAG /TEST:DNS /V /E pour l'exécution des six sous-tests DNS par défaut sur tous les contrôleurs de domaines de la forêt de test de l'ordinateur console. DCDIAG /TEST:DNS est identique à la commande /DnsAll lorsque les sous-tests ne sont pas définis.

/test:DNS [DNS test]

Effectue le test DNS spécifié. Si aucun test n'est spécifié, la valeur par défaut est /DnsAll.

/DnsBasic

Effectue des tests DNS de base tels que la connectivité réseau, la configuration du client DNS, la continuité de service et l'existence des zones.

/DnsForwarders

Effectue les tests /DnsBasic et vérifie la configuration des redirecteurs.

/DnsDelegation

Effectue les tests /DnsBasic et vérifie les délégations.

/DnsDynamicUpdate

Effectue les tests /DnsBasic et détermine si la mise à jour dynamique est activée dans la zone Active Directory.

/DnsRecordRegistration

Effectue les tests /DnsBasic et vérifie si les enregistrements A, CNAME et SRV connus sont inscrits. Crée également un état d'inventaire basé sur les résultats.

/DnsResolveExtName [/DnsInternetName:Nom_Internet]

Effectue les tests /DnsBasic et tente de résoudre un exemple de nom intranet ou Internet. Si /DnsInternetName n'est pas spécifié, la commande tente de résoudre le nom www.microsoft.com. Si /DnsInternetName est spécifié, la commande tente de résoudre le nom Internet fourni par l'utilisateur.

/DnsAll

Effectue tous les tests, à l'exception du test DnsResolveExtName , et génère un rapport.

/f:Fichier_journal

Redirige la sortie vers le fichier journal fourni par l'utilisateur.

/ferr:Journal_erreurs

Redirige la sortie des erreurs irrécupérables vers un fichier journal séparé.

/s:Nom_CD

Spécifie le contrôleur de domaine sur lequel les tests vont s'exécuter.

/e

Tous les tests spécifiés par le paramètre /test:DNS sont exécutés sur tous les contrôleurs de domaine de la forêt Active Directory.

/v

Commentaires. Présente des informations sur les résultats des tests réussis, en plus des informations sur les erreurs et les avertissements. (Lorsque le paramètre /v n'est pas utilisé, seules les informations d'erreur et d'avertissement sont présentées.) Lorsque des erreurs ou des avertissements sont signalés dans le tableau récapitulatif, Microsoft recommande l'utilisation du commutateur /v.

Test de l'infrastructure DNS d'entreprise (/e)

  • Lorsque /test:DNS est exécuté conjointement au paramètre /e, tous les tests spécifiés par test:/DNS sont exécutés sur tous les contrôleurs de domaine de la forêt Active Directory.
noteRemarques
Lorsque le paramètre /e est utilisé, les moments d'exécution des tests DNS peuvent être significatifs pour les grandes entreprises. En effet, les contrôleurs de domaine et les serveurs DNS hors connexion augmentent le temps d'exécution du fait des délais d'expiration longs des RPC et des autres protocoles.

Test de connectivité

  • Le test de connectivité est obligatoire ; il s'exécute automatiquement avant tout autre test dcdiag.
  • Il détermine si les contrôleurs de domaine inscrits dans le DNS peuvent recevoir une commande ping et sont dotés de la connectivité LDAP/RPC.
  • Si le test de connectivité échoue sur un contrôleur donné, aucun autre test ne peut avoir lieu sur ce contrôleur.
noteRemarques
Le test de connectivité n'a pas été modifié dans le Service Pack 1 mais il est mentionné dans ce document à titre de référence.

Test DNS de base (/DnsBasic)

  • Le test DNS confirme que les principaux services suivants s'exécutent correctement et qu'ils sont disponibles sur les contrôleurs de domaine testés par dcdiag :
    • service Serveur DNS,
    • service Netlogon,
    • service KDC,
    • service Serveur DNS (si DNS est installé sur le contrôleur de domaine).
  • Le test DNS de base confirme la connectivité du réseau pour chaque contrôleur de domaine en vérifiant que les serveurs DNS sur toutes les cartes sont accessibles.
  • Le test DNS de base confirme que l'enregistrement A de chaque contrôleur de domaine est inscrit sur au moins un des serveurs DNS configurés sur le client.
  • Si un contrôleur de domaine exécute le service Serveur DNS, le test DNS de base confirme que la zone de domaines Active Directory et l'enregistrement SOA pour cette zone sont présents.
  • Le test DNS de base vérifie si la zone racine (.) est présente.

Test des redirecteurs (/DnsForwarders)

noteRemarques
Ce test s'exécute uniquement si le contrôleur de domaine testé exécute le service Serveur Microsoft DNS.
  • Le test des redirecteurs détermine si la récursivité est activée.
  • Si des redirecteurs ou des indications racine sont configurés, le test des redirecteurs confirme que l'ensemble de ces éléments installés sur le serveur DNS fonctionnent correctement et que l'enregistrement _ldap._tcp.<domaine racine de la forêt> Localisateur du contrôleur de domaine est résolu. (La résolution de l'enregistrement _ldap._tcp.<domaine racine de la forêt> Localisateur du contrôleur de domaine n'a pas lieu pour les redirecteurs ou les indications racine du contrôleur configurés sur le contrôleur de domaine racine de la forêt.)

Test de délégation (/DnsDelegation)

noteRemarques
Ce test s'exécute uniquement si le contrôleur de domaine testé exécute le service Serveur Microsoft DNS.
  • Le test de délégation confirme que le serveur de noms délégué est un serveur DNS qui fonctionne bien.
  • Le test de délégation vérifie les délégations rompues en s'assurant que tous les enregistrements NS de la zone de domaines Active Directory dans laquelle réside le contrôleur de domaine cible possède des enregistrements A de résolution par requêtes successives correspondants.

Test de mise à jour dynamique (/DnsDynamicUpdate)

  • Le test de mise à jour dynamique confirme que la zone de domaines Active Directory est configuré pour la mise à jour dynamique sécurisée et effectue l'inscription d'un enregistrement test (_dcdiag_test_record). L'enregistrement test est supprimé par la suite.

Test d'inscription des enregistrements (/DnsRecordRegistration)

  • Le test d'inscription des enregistrements vérifie l'inscription de tous les principaux enregistrements Localisateur de contrôleur de domaine sur tous les serveurs DNS configurés sur chaque carte des contrôleurs de domaine. Ce test renvoie les enregistrements suivants :

     

    Enregistrement Description

    GUID CNAME

    GUID inscrit en tant que nom canonique (CNAME) du serveur DNS.

    A

    Enregistrement de ressource A (adresse d'hôte). Mappe un nom de domaine DNS vers une adresse IP (Internet Protocol) version 4 de 32 bits.

    SRV LDAP

    Enregistrement de ressource du localiseur de service (SRV) pour le service LDAP.

    SRV GC

    Enregistrement de ressource du localiseur de service (SRV) pour le serveur de catalogue global.

    SRV PDC

    Enregistrement de ressource du localiseur de service (SRV) pour le contrôleur de domaine principal.

Test de résolution des noms externes (/DnsResolveExtName)

noteRemarques
Le test de résolution des noms externes est exécuté uniquement s'il est spécifié de façon explicite (à l'aide de /DnsResolveExtName) ; il ne s'exécute pas dans le cadre de /DnsAll.
  • Le test de résolution des noms externes vérifie la résolution de base du DNS externe d'un client donné, à l'aide d'un exemple de nom Internet (www.microsoft.com) ou d'un nom Internet fourni par l'utilisateur.
  • Ce test ne peut pas résoudre les noms Internet externes dans un environnement où un serveur proxy est utilisé.
  • Vous pouvez tester la résolution des noms en utilisant des noms intranet ou Internet.
  • Pour résoudre un nom intranet ou Internet fourni par l'utilisateur (plutôt que le nom par défaut www.microsoft.com), le paramètre /DnsInternetName doit être utilisé.

Lecture de la sortie de dcdiag DNS amélioré

Les étapes suivantes présentent succinctement la façon d'interpréter les résultats fournis par dcdiag DNS amélioré :

  1. Exécutez dcdiagtest:DNS /e /f:dns.txt. Microsoft recommande de toujours utiliser le commutateur /v pour afficher des informations détaillées.
  2. Ouvrez l'état dans le Bloc-notes ou dans un éditeur compatible.
  3. Faites défiler l'écran vers la fin de l'état et lisez le tableau récapitulatif.
  4. Identifiez les serveurs qui ont renvoyé un état d'avertissement ou d'échec pour n'importe quel sous-test du tableau récapitulatif.
  5. Dans la section de la sortie concernant le serveur incriminé, recherchez des explications sur le problème détecté (conseil : utilisez la commande Rechercher dans le menu Edition pour rechercher la chaîne « DC: nom_ordinateur_contrôleur_domaine » (sans les guillemets), afin de localiser la section détaillée d'un contrôleur de domaine donné.
  6. Résolvez les problèmes sur les clients DNS ou les serveurs DNS.
  7. Réexécutez dcdiag /test:DNS /v /e (ou /s:Nom_CD) pour vérifier le correctif. Répétez les étapes 1 à 6 le nombre de fois nécessaire pour que tous les problèmes soient compris et résolus.

Avertissements et erreurs

Dcdiag adopte une approche conservatrice en identifiant les configurations de clients ou de serveurs DNS qui peuvent poser problème, qui ne respectent pas les configurations recommandées, ou que dcdiag ne peut pas valider complètement. Il est donc possible que les sections résumées et détaillées de dcdiag déclenchent des avertissements concernant des configurations DNS pourtant fonctionnelles. Il est recommandé que les administrateurs examinent et valident les configurations ainsi signalées.

Les tableaux ci-dessous présentent les configurations pour lesquelles dcdiag émet des avertissements ou des erreurs concernant chacun des sous-tests DNS.

Bases

 

Avertissement Autres informations

Avertissement : Carte <nom_carte> a une adresse IP dynamique.

Des adresses IP statiques sont recommandées pour tous les serveurs DNS.

Avertissement : La carte <nom_carte> a un serveur DNS non valide : <nom> <adresse_IP>.

Il est possible que le serveur DNS ne soit pas accessible.

Avertissement : Aucune connectivité RPC DNS (serveur défaillant ou DNS non-Microsoft en cours d'exécution).

Ignorez cet avertissement si le serveur DNS est un serveur BIND ou non-Microsoft.

Avertissement : Zone Active Directory de ce serveur CD/DNS introuvable.

Non applicable

Avertissement : Zone racine de ce serveur CD/DNS introuvable.

Non applicable

 

Erreur Autres informations

Erreur : Échec de l'authentification avec les informations d'identification spécifiées.

DCDIAG requiert des informations d'identification de type Administrateur d'entreprise pour exécuter tous les tests.

Erreur : Aucune connectivité LDAP.

Non applicable

Erreur : Aucune connectivité DS RPC.

Non applicable

Erreur : Aucune connectivité WMI.

Le test DNS requiert une connectivité WMI pour pouvoir s'exécuter sur l'ordinateur distant.

Erreur : Impossible de lire la version du système d'exploitation via WMI.

Une connexion WMI est peut-être manquante sur l'ordinateur distant.

Erreur : <Nom_système d'exploitation> non pris en charge (cet outil est pris en charge dans Windows 2000, Windows XP et Windows Server 2003 uniquement).

Non applicable

Erreur : Échec de l'ouverture du Gestionnaire de contrôle de service.

Il est impossible de trouver si le service s'exécute ou non.

Erreur : Kdc/netlogon/DNS/dnscache ne s'exécute pas.

Certains services clés ne s'exécutent pas.

Erreur : Impossible de lire les informations sur la carte réseau via WMI.

Non applicable

Erreur : Tous les serveurs DNS sont incorrects.

Les serveurs DNS vers lesquels pointe le client sont inaccessibles, ne sont pas des serveurs DNS ou ont des adresses IP non valides.

Erreur : Impossible de trouver l'enregistrement A pour ce contrôleur de domaine.

Chaque contrôleur de domaine doit inscrire un enregistrement A. Vérifiez que les enregistrements A sont inscrits sur tous les serveurs DNS vers lesquels pointe le client

Erreur : Échec de l'énumération des zones pour trouver la zone racine et la zone AD.

Non applicable

Erreur : Impossible d'interroger les zones DNS sur ce contrôleur de domaine.

Vérifiez la présence de la zone dans laquelle le contrôleur de domaine devrait s'inscrire.

Redirecteur

 

Erreur Autres informations

Erreur : La liste des redirecteurs possède un redirecteur non valide : <Adresse IP du redirecteur.>

Les redirecteurs configurés sur le serveur DNS ont une adresse IP incorrecte, ne sont pas un serveur DNS, ou bien la résolution des noms ne fonctionne pas (autrement dit, il est impossible de résoudre un enregistrement SRV de domaine racine de la forêt si le contrôleur de domaine n'est pas un contrôleur racine).

Erreur : Les indications racine et les redirecteurs ne sont pas configurés. Configurez les redirecteurs ou les indications racine.

Vérifiez que les redirecteurs ou les indications de racine sont configurés sur le serveur DNS, sauf si celui-ci héberge la zone racine.

Erreur : La liste des indications racine possède un serveur d'indications racine non valide : <adresse IP du serveur d'indications racine.>

Les serveurs d'indications racine configurés sur le serveur DNS possèdent une adresse IP incorrecte, ne sont pas des serveurs DNS, ou bien la résolution de noms ne fonctionne pas (autrement dit, il est impossible de résoudre un enregistrement SRV de domaine racine de la forêt si le contrôleur de domaine n'est pas un contrôleur racine).

Erreur : <Nom_serveur_indications_racine> IP : <état> indisponible :<état_serveur>.

Les serveurs d'indications racine configurés n'ont pas d'adresse IP correspondante. Le champ État indique l'état du serveur.

Erreur : <Nom_serveur_indications_racine> IP : état <indisponible> : enregistrement introuvable.

Les serveurs d'indications racine configurés n'ont pas d'enregistrement A.

Erreur : Échec de l'énumération des serveurs d'indications racine sur <nom_serveur_DNS>.

Il est impossible de répertorier les serveurs d'indications racine sur le serveur DNS cible.

Délégation

 

Avertissement Autres informations

Avertissement : Serveur DNS : <nom_serveur_dns> IP : <Adresse_IP> échec : enregistrement A de résolution par requêtes successives manquant.

Il manque un enregistrement A de type glue dans la délégation configurée.

 

Erreur Autres informations

Serveur DNS : <nom_serveur> IP :<adresse_IP> Erreur : délégation rompue - mode commentaires.

La délégation est configurée mais le serveur de noms ne répond pas.

Serveur DNS : <nom_serveur> IP :<adresse_IP> Erreur : domaine délégué rompu <nom_domaine_délégué> mode sans commentaires.

Non applicable

Erreur : Échec lors de l'énumération des enregistrements à la racine de la zone du serveur.

Non applicable

DynamicUpdate

 

Avertissement Autres informations

Avertissement : La mise à jour dynamique est activée dans la zone mais <nom_zone> n'est pas sécurisée.

Des mises à jour dynamiques sécurisées sont recommandées.

Avertissement : Impossible d'ajouter l'enregistrement_test_dcdiag avec l'erreur <code_erreur> dans la zone <nom_zone>.

Le test ajoute dynamiquement un enregistrement fictif.

Avertissement : Impossible de supprimer l'enregistrement_test_dcdiag avec l'erreur <code_erreur> dans la zone <nom_zone>.

Supprime également l'enregistrement ajouté.

 

Erreur Autres informations

Erreur : La mise à jour dynamique n'est pas activée dans la zone <nom_zone>.

La mise à jour dynamique n'est pas activée dans la zone Active Directory, si bien que le client ne peut pas inscrire ses enregistrements.

Inscription d'enregistrements

 

Avertissement Autres informations

Avertissement : Enregistrement DC SRV manquant sur le serveur DNS <nom_enregistrement>.

Ignorez l'erreur si la clé de Registre DNSAvoidRegisterRecord ou si sa stratégie de groupe a été configurée pour empêcher l'inscription de cet enregistrement.

Avertissement : Enregistrement GC SRV manquant sur le serveur DNS <nom_enregistrement>.

Ignorez l'erreur si la clé de Registre DNSAvoidRegisterRecord ou si sa stratégie de groupe a été configurée pour éviter l'inscription de cet enregistrement.

Avertissement : Enregistrement PDC SRV manquant sur le serveur DNS <nom_enregistrement>.

Ignorez l'erreur si la clé de Registre DNSAvoidRegisterRecord ou si sa stratégie de groupe a été configurée pour éviter l'inscription de cet enregistrement.

Avertissement : Inscriptions d'enregistrements introuvables sur certaines cartes réseau.

Non applicable

 

Erreur Autres informations

Erreur : Enregistrement A manquant sur le serveur DNS <adresse_IP_serveur_DNS> : <nom de l'enregistrement.>

Le contrôleur de domaine n'a pas inscrit son enregistrement A sur le serveur DNS spécifié.

Erreur : Enregistrement CNAME manquant sur le serveur DNS <adresse_IP_serveur_DNS> : <nom de l'enregistrement CNAME.>

Le contrôleur de domaine n'a pas inscrit son enregistrement CNAME sur le serveur DNS spécifié.

Erreur : Enregistrement DC SRV manquant sur le serveur DNS <adresse_IP_serveur_DNS> : <nom de l'enregistrement SRV.>

Le contrôleur de domaine n'a pas inscrit son enregistrement DC SRV sur le serveur DNS spécifié.

Erreur : Enregistrement GC SRV manquant sur le serveur DNS <adresse_IP_serveur_DNS> : <nom de l'enregistrement SRV.>

Le contrôleur de domaine n'a pas inscrit son enregistrement GC SRV sur le serveur DNS spécifié.

Erreur : Enregistrement PDC SRV manquant sur le serveur DNS <adresse_IP_serveur_DNS> : <nom de l'enregistrement SRV.>

Le contrôleur de domaine n'a pas inscrit son enregistrement PDC SRV sur le serveur DNS spécifié. Tous ces enregistrements peuvent être inscrits par l'arrêt et le démarrage du service netlogon.

Erreur : Impossible de trouver des inscriptions d'enregistrements pour toutes les cartes réseau.

S'il existe plusieurs cartes réseau, le test vérifie si tous les enregistrements sont présents sur tous les serveurs DNS configurés sur chaque carte. Cette erreur se produit si l'inscription des enregistrements est manquante sur le serveur DNS.

Résolution de noms externes

 

Erreur Autres informations

Erreur : Impossible de résoudre le nom Internet <nom>.

Il est impossible de résoudre le nom Internet spécifié. Vérifiez que le client proxy, les serveurs, les indications racine et les redirecteurs sont configurés correctement.

Tests de l'infrastructure DNS d'entreprise

 

Avertissement Autres informations

Avertissement : Ni les redirecteurs, ni les indications racine ne sont configurés du domaine subordonné vers le domaine parent.

Les redirecteurs ou les indications racine doivent être configurés sur les serveurs DNS des domaines parents ou subordonnés hébergeant les zones faisant autorité pour leur domaine respectif afin que la résolution de noms puisse fonctionner.

 

Erreur Autres informations

Erreur : La délégation n'est pas configurée sur le domaine parent.

Vous devez configurer la délégation du domaine parent vers le domaine subordonné.

Erreur : La délégation est présente mais l'enregistrement de type glue est manquant.

La délégation est configurée mais les serveurs de noms n'ont pas d'enregistrement de type glue correspondant.

Erreur : Des redirecteurs sont mal configurés du domaine parent vers le domaine subordonné.

Vous devez configurer les redirecteurs du domaine subordonné vers le domaine parent.

Erreur : Des indications racine sont mal configurées du domaine parent vers le domaine subordonné.

Vous devez configurer les indications racine du domaine subordonné vers le domaine parent.

Erreur : Des redirecteurs sont configurés du domaine subordonné vers le domaine parent mais certains d'entre eux ont échoué aux tests de serveur DNS (reportez-vous à la section consacrée aux serveurs DNS pour plus d'informations sur l'erreur).

Les redirecteurs possèdent une adresse IP incorrecte, ne sont pas un serveur DNS valide, ou bien la résolution des noms ne fonctionne pas (autrement dit, il est impossible de résoudre un enregistrement SRV de domaine racine de la forêt si le contrôleur de domaine n'est pas un contrôleur racine).

Erreur : Des indications racine sont configurées du domaine subordonné vers le domaine parent mais certaines d'entre elles ont échoué aux tests de serveur DNS (reportez-vous à la section consacrée aux serveurs DNS pour plus d'informations sur l'erreur).

Des indications racine ont une adresse IP non valide, ne sont pas un serveur DNS valide ou la résolution de noms ne fonctionne pas.

Exemples :

Les exemples suivants illustrent l'utilisation de Windows Server 2003 SP1 dcdiag. Vous devez remplacer les paramètres en italique par ceux qui sont adaptés à votre environnement.

  • Pour exécuter tous les tests DNS sur un contrôleur de domaine unique en mode sans commentaires :
    Dcdiag /test:DNS /s:Nom_CD_cible /f:Nom_fichier_journal
  • Pour exécuter tous les tests DNS sur un contrôleur de domaine unique en mode commentaires :
    Dcdiag /test:DNS /s:Nom_CD_cible /v /f:Nom_fichier_journal
  • Pour exécuter tous les tests DNS sur une forêt entière en mode sans commentaires :
    Dcdiag /test:DNS /e /f:Nom_fichier_journal
  • Pour exécuter tous les tests DNS sur une forêt entière en mode commentaires :
    Dcdiag /test:DNS /v /e /f:Nom_fichier_journal
  • Pour exécuter le test DNS de base sur un contrôleur de domaine unique :
    Dcdiag /test:DNS /DnsBasic /s:Nom_CD_cible /f:Nom_fichier_journal
  • Pour exécuter les redirecteurs DNS sur un contrôleur de domaine unique :
    Dcdiag /test:DNS /DnsForwarders /s:Nom_CD_cible /f:Nom_fichier_journal
  • Pour exécuter le test de délégation DNS sur un contrôleur de domaine unique :
    Dcdiag /test:DNS /DnsDelegation /s:Nom_CD_cible /f:Nom_fichier_journal
  • Pour exécuter le test de mise à jour dynamique DNS sur un contrôleur de domaine unique :
    Dcdiag /test:DNS /DnsDynamicUpdate /s:Nom_CD_cible /f:Nom_fichier_journal
  • Pour exécuter le test d'inscription des enregistrements DNS sur un contrôleur de domaine unique :
    Dcdiag /test:DNS /DnsRecordRegistration /s:Nom_CD_cible /f:Nom_fichier_journal
  • Pour résoudre un exemple de nom d'intranet ou Internet :
    Dcdiag /test:DNS /DnsResolveExtName /DnsInternetName:Nom_Internet /f: Nom_fichier_journal
noteRemarques
Lorsqu'un test individuel est exécuté, les tests /DnsBasic sont exécutés par défaut avant l'exécution du test spécifié. Si aucun test individuel n'est spécifié, tous les tests DNS (à l'exception de /DnsResolveName) sont exécutés par défaut.

Nouveaux tests de sécurité de la réplication Active Directory

Description détaillée

DCDiag.exe a été amélioré pour Windows Server 2003 Service Pack 1 afin d'intégrer de nouvelles fonctionnalités pour l'identification des configurations de sécurité qui peuvent provoquer l'échec de la réplication Active Directory.

Le nouveau test CheckSecurityError peut être exécuté sur un seul contrôleur de domaine ou sur tous les contrôleurs de domaine d'une forêt Active Directory. Ce test exécute les opérations suivantes :

  • Il vérifie la disponibilité d'un Centre de distribution de clés (KDC, Key Distribution Center) sur les domaines des deux contrôleurs de domaine, source et destination.
  • Il vérifie que le contrôleur de domaine destination peut transmettre et recevoir des paquets au format UDP de taille suffisante (utilisés par Kerberos).
  • Il vérifie que l'horloge système du contrôleur de domaine destination ne diffère pas de plus de 5 minutes de l'heure système du Centre de distribution de clés du domaine source et destination, et du contrôleur de domaine source.
  • Il s'assure que la racine de chaque contexte de nommage sur le contrôleur de domaine source est configurée avec l'autorisation nécessaire.
  • Il s'assure que les comptes d'ordinateur des contrôleurs de domaine source et destination ne sont pas désactivés, qu'ils sont approuvés pour la délégation, et qu'ils contiennent tous les noms principaux de service nécessaires.

À l'issue du test, DCDiag.exe présente un récapitulatif des résultats pour chaque contrôleur de domaine testé, ainsi que le diagnostic des erreurs de sécurité rencontrées.

Ce test peut s'exécuter sur la ligne de commande à l'aide de la syntaxe suivante :

Dcdiag /test:CheckSecurityError

En option, vous pouvez ajouter le commutateur /ReplSource:SourceDC à la commande pour identifier un contrôleur de domaine spécifique comme la source lors d'une tentative de réplication. Le contrôleur de domaine spécifié dans le paramètre /replsource: ne doit pas être nécessairement un contrôleur de domaine source à partir duquel le contrôleur de domaine en cours de test est répliqué (en provenance duquel le contrôleur de domaine destination a actuellement un objet connexion entrante). Ce test recueille des informations en provenance du contrôleur de domaine, des serveurs source et destination de centres de distribution de clés (KDC), et d'Active Directory.

noteRemarques
Dcdiag /test:CheckSecurityError peut être exécuté sur la console d'un ordinateur membre (avec les commandes /e ou /s:nom_serveur) ainsi que sur un contrôleur de domaine. Pour de meilleurs résultats, exécutez Dcdiag /test:CheckSecurityError sur la console de chaque contrôleur de domaine où la réplication Active Directory entrante échoue, probablement en raison d'une erreur de sécurité.

Pourquoi cette modification est-elle importante ?

Si la réplication ne fonctionne pas et que l'erreur a trait à la sécurité (messages « Accès refusé », « Le nom du compte cible est incorrect » ou « Le serveur RPC n'est pas disponible »), plusieurs facteurs peuvent être à l'origine du problème. Ce test permet d'automatiser le diagnostic en recherchant, puis en signalant les sources d'erreur les plus courantes afin de vous permettre de résoudre le problème.

Contenu de la communauté   Qu'est-ce que le Contenu de la communauté ?
Ajouter du contenu RSS  Annotations
© 2012 Microsoft. Tous droits réservés. Conditions d'utilisation | Marques | Confidentialité
Page view tracker