Exporteren (0) Afdrukken
Alles uitvouwen
Expand Minimize

Diagnoseprogramma voor domeincontrollers (dcdiag.exe)

Wat doet DCDiag.exe?

Met dit opdrachtregelprogramma wordt de status van een of meer domeincontrollers in een forest geanalyseerd en wordt melding gemaakt van problemen als hulp bij het oplossen van problemen. DCDiag.exe bevat een groot aantal tests die afzonderlijk of als onderdeel van een suite kunnen worden uitgevoerd om de werking van domeincontrollers te verifiëren.

Vereisten voor hulpprogramma

  • Op het onderstaande na, kunnen alle opdrachten in DCDiag worden uitgevoerd op pruducten uit de Windows XP Professional- en Windows Server 2003-familie (lidservers en domeincontrollers).
  • Met de nieuwe opdracht DCDIAG /TEST:DNS kan de DNS-status worden gevalideerd van de domeincontrollers uit de Windows 2000 Server- (SP3 of hoger) of Windows Server 2003-familie als deze worden uitgevoerd vanuit de console van lidcomputers met Windows XP of Windows Server 2003 of domeincontrollers met Windows Server 2003.

Op wie is deze functie van toepassing?

Deze functie is van belang voor de volgende doelgroepen:

  • DNS-beheerders
  • Beheerders van domeincontrollers
  • DCDiag.exe-gebruikers

Welke nieuwe functionaliteit is er toegevoegd aan deze voorziening in Windows Server 2003 Service Pack 1?

DCDiag in Windows Server 2003 Service Pack 1 is op twee punten aanzienlijk verbeterd:

  • DCDIAG /TEST:DNS om de DNS-status te valideren.
  • DCDIAG /CheckSecurityError om beveiligingsconfiguraties op te sporen waardoor Active Directory-replicatie mogelijk niet lukt .

Hieronder worden deze nieuwe verbeteringen verder beschreven.

Nieuwe DNS-diagnosetests

Gedetailleerde beschrijving

DCDiag.exe is verbeterd voor Windows Server 2003 Service Pack 1 en bevat nu nieuwe DNS-functionaliteit voor rapportage over de algehele DNS-status van domeincontrollers. Er zijn zeven nieuwe DNS-gerelateerde tests die afzonderlijk of tegelijk kunnen worden uitgevoerd. Deze tests kunnen op een of alle domeincontrollers in een Active Directory-forest worden uitgevoerd. Wanneer de tests zijn voltooid, wordt er een samenvatting met resultaten weergegeven, alsmede gedetailleerde informatie over elke geteste domeincontroller.

noteOpmerking
Voor de nieuwe DNS-tests zijn Ondernemingsadministrator-referenties vereist. De nieuwe DNS-tests kunnen alleen worden uitgevoerd onder domeincontrollers van de Windows 2000 Server- (SP3 of hoger) of Windows Server 2003-familie.

Opdrachtregelsyntaxis

Windows Server 2003 SP1 dcdiag gebruikt dezelfde basissyntaxis als vorige versies van dcdiag. De syntaxis voor het uitvoeren van de nieuwe DNS-tests is als volgt:

Dcdiag /test:DNS [/DnsBasic | /DnsForwarders | /DnsDelegation | /DnsDynamicUpdate | /DnsRecordRegistration | /DnsResolveExtName [/DnsInternetName: Internetnaam ] | /DnsAll] [/f: Logfile ] [/ferr: Logerr ] /S: DC-naam [/e] [/v]

 

Parameter Beschrijving

/test:DNS

Hiermee voert u alle zeven subtests uit, behalve de /DnsInternetName-test, op de opgegeven reeks domeincontrollers. De meestvoorkomende DCDIAG-opdrachtregelargumenten zijn DCDIAG /TEST:DNS /V /S:DCNAME om de zes standaard-DNS-subtests uit te voeren op een enkele domeincontroller (DC) of DCDIAG /TEST:DNS /V /E om de zes standaard-DNS-subtests uit te voeren op alle DC's in de testforest voor de consolecomputers. DCDIAG /TEST:DNS is gelijk aan de opdracht /DnsAll wanneer afzonderlijke subtests niet zijn gedefinieerd.

/test:DNS [DNS test]

Hiermee voert u de opgegeven DNS-test uit. Als er geen test is opgegeven, wordt de standaardwaarde /DnsAll gebruikt.

/DnsBasic

Hiermee voert u basis-DNS-tests uit voor bijvoorbeeld netwerkconnectiviteit, DNS-clientconfiguratie, servicebeschikbaarheid en het bestaan van zones.

/DnsForwarders

Hiermee voert u de /DnsBasic-tests uit en controleert u tevens de configuratie van doorstuurservers.

/DnsDelegation

Hiermee voert u de /DnsBasic-tests uit en controleert u tevens op juiste overdrachtsacties.

/DnsDynamicUpdate

Hiermee voert u de /DnsBasic-tests uit en controleert u ook of dynamische updates zijn ingeschakeld in de zone Active Directory.

/DnsRecordRegistration

Hiermee voert u de /DnsBasic-tests uit en controleert u tevens of de A-, CNAME- en bekende SRV-records zijn geregistreerd. Bovendien wordt er een inventarisrapport gemaakt op basis van resultaten.

/DnsResolveExtName [/DnsInternetName: Internetnaam ]

Hiermee voert u de /DnsBasic-tests uit en probeert u tevens een voorbeeldintranet- of -internetnaam om te zetten. Als /DnsInternetName niet is opgegeven, probeert de opdracht de naam www.microsoft.com om te zetten. Als /DnsInternetName is opgegeven, probeert de opdracht de internetnaam die is opgegeven door de gebruiker, om te zetten.

/DnsAll

Hiermee voert u alle tests uit, behalve voor de DnsResolveExtName -test, en genereert u een rapport.

/f: Logfile

Hiermee stuurt u uitvoer door naar het logboekbestand dat is opgegeven door de gebruiker.

/ferr: Logerr

Hiermee stuurt u onherstelbare-foutuitvoer door naar een afzonderlijk logboekbestand.

/s: DCName

Hiermee geeft u de domeincontroller op waarop u de tests wilt uitvoeren.

/e

Alle tests die zijn opgegeven door /test:DNS, worden uitgevoerd op alle domeincontrollers in de Active Directory-forest.

/v

Verbose. Hiermee geeft u resultaten weer van geslaagde tests, alsmede informatie over fouten en waarschuwingen. (Wanneer de parameter /v niet wordt gebruikt, wordt er alleen fout- en waarschuwingsinformatie weergegeven.) Microsoft raadt u aan de schakeloptie /v te gebruiken wanneer er fouten of waarschuwingen worden gerapporteerd in de samenvattingstabel

Test voor ondernemings-DNS-infrastructuur (/e)

  • Wanneer /test:DNS wordt uitgevoerd in combinatie met de parameter /e, worden alle tests die zijn opgegeven door test:/DNS uitgevoerd op alle domeincontrollers in de Active Directory-forest.
noteOpmerking
De duur van DNS-tests kan in grote ondernemingen van belang zijn wanneer de parameter /e wordt gebruikt. Domeincontrollers en DNS-servers die off line zijn, verlengen de duur door lange time-outperioden voor RPC en andere protocollen.

Verbindingstest

  • De verbindingstest is een verplichte test die automatisch wordt uitgevoerd voordat andere dcdiag-tests worden uitgevoerd.
  • Met de verbindingstest wordt bepaald of domeincontrollers zijn geregistreerd in DNS, of u hierop de opdracht ping kunt uitvoeren en of ze een LDAP/RPC-verbinding hebben.
  • Als de verbindingstest op een bepaalde controller mislukt, worden er verder geen tests uitgevoerd onder die domeincontroller.
noteOpmerking
De verbindingstest is niet gewijzigd in SP1, maar deze is in dit document opgenomen ter referentie.

Basis-DNS-test (/DnsBasic)

  • Met de basis-DNS-test bevestigt u of de volgende essentiële services worden uitgevoerd en beschikbaar zijn op domeincontrollers die zijn getest door dcdiag:
    • DNS-clientservice
    • Netlogon-service
    • KDC-service
    • DNS Server-service (als DNS op de domeincontroller is geïnstalleerd)
  • Met de basis-DNS-test controleert u of alle domeincontrollers verbinding hebben met het netwerk door te controleren of DNS-servers op alle adapters bereikbaar zijn.
  • Met de basis-DNS-test controleert u of de A-record van elke domeincontroller is geregistreerd op minimaal een van de DNS-servers die zijn geconfigureerd op de client.
  • Als een domeincontroller de DNS Server-service uitvoert, wordt met de basis-DNS-test bevestigd dat de Active Directory-domeinzone en de SOA-record voor de Active Directory-domeinzone aanwezig zijn.
  • Met de basis-DNS-test wordt gecontroleerd of de hoofdzone (.) aanwezig is.

Doorstuurtest (/DnsForwarders)

noteOpmerking
Deze test wordt alleen uitgevoerd als de domeincontroller die wordt getest de Microsoft DNS Server-service uitvoert.
  • Met de doorstuurtest wordt bepaald of herhaling is ingeschakeld.
  • Als er doorstuurservers of aanbevolen basisservers zijn geconfigureerd, wordt met de doorstuurtest gecontroleerd of alle doorstuurservers of aanbevolen basisservers op de DNS-server werken en of de record voor DC-locators _ldap._tcp.<foresthoofddomein> is omgezet. (Er is geen poging gedaan tot omzetting van de record voor DC-locators _ldap_tcp.<foresthoofddomein> voor doorstuurservers of aanbevolen basisservers die zijn geconfigureerd op de foresthoofddomeincontroller.)

Overdrachttest (/DnsDelegation)

noteOpmerking
Deze test wordt alleen uitgevoerd als de domeincontroller die wordt getest de Microsoft DNS Server-service uitvoert.
  • Met de overdrachttest wordt gecontroleerd of de overgedragen naamserver een werkende DNS-server is.
  • Met de overdrachttest wordt gecontroleerd op gebroken overdrachtsacties door te controleren of alle NS-records in de Active Directory-domeinzone waarin de doeldomeincontroller zich bevindt, corresponderende glue-A-records hebben.

Dynamische-updatetest (/DnsDynamicUpdate)

  • Met de dynamische-updatetest wordt gecontroleerd of de Active Directory-domeinzone is geconfigureerd voor beveiligde dynamische updates en of deze registratie van een testrecord uitvoert (_dcdiag_test_record). De testrecord wordt vervolgens verwijderd.

Recordregistratietest (/DnsRecordRegistration)

  • Met de recordregistratietest wordt gecontroleerd of alle essentiële records voor DC-locators zijn geregistreerd op alle DNS-servers die zijn geconfigureerd op elke adapter van de domeincontrollers. Deze test retourneert de volgende records.

     

    Record Beschrijving

    CNAME GUID

    De GUID die is geregistreerd als de canonieke naam (CNAME) van de DNS-server.

    A

    De hostadresbronrecord (A). Wijst een DNS-domeinnaam toe aan een IP-versie 4 (Internet Protocol) 32-bits adres.

    LDAP SRV

    De servicelocatorbronrecord (SRV) voor de LDAP-service.

    GC SRV

    De servicelocatorbronrecord (SRV) voor de globale-catalogusserver (GC).

    PDC SRV

    De servicelocatorbronrecord (SRV) voor de primaire domeincontroller (PDC).

Omzettingstest voor externe namen (/DnsResolveExtName)

noteOpmerking
De omzettingstest voor externe namen wordt alleen uitgevoerd als dit expliciet wordt opgegeven (met /DnsResolveExtName). Deze wordt niet uitgevoerd als onderdeel van /DnsAll.
  • Met de omzettingstest voor externe namen wordt de basisomzetting gecontroleerd van externe DNS van een bepaalde client, met een voorbeeldinternetnaam (www.microsoft.com) of een door de gebruiker opgegeven internetnaam.
  • Met de omzettingstest voor externe namen kunnen externe internetnamen in een omgeving waarin een proxyserver wordt gebruikt, niet worden omgezet.
  • U kunt de naamomzetting testen met intranet- of internetnamen.
  • Als u een door een gebruiker opgegeven internet- of intranetnaam wilt omzetten (in plaats van de standaardnaam www.microsoft.com), moet u de parameter /DnsInternetName gebruiken.

De uitvoer lezen van dcdiag met DNS

Aan de hand van de volgende stappen wordt samengevat hoe de resultaten van dcdiag met DNS moeten worden geïnterpreteerd:

  1. Voer dcdiagtest:DNS /e /f:dns.txt uit. Het wordt aanbevolen altijd de schakeloptie /v te gebruiken om uitgebreide gegevens te verzamelen.
  2. Open het rapport in Kladblok of een compatibele editor.
  3. Schuif naar het einde van het rapport en lees de samenvattingstabel.
  4. Identificeer de servers die de status 'waarschuwen' of 'mislukt' hebben geretourneerd voor een subtest in de samenvattingstabel
  5. Lees het gedeelte met uitvoer voor die server om te zien welk probleem er is gedetecteerd (tip: gebruik de opdracht Zoeken in het menu Bewerken om te zoeken op de tekenreeks 'DC: DC_computernaam' (zonder aanhalingstekens) om de gedetailleerde sectie te vinden voor een bepaalde DC.
  6. Los problemen op DNS-clients of DNS-server(s) op.
  7. Voer dcdiag /test:DNS /v /e (of /s:DCName) opnieuw uit op de oplossing te controleren. Herhaal stap 1 tot en met 6 tot alle fouten bekend en hersteld zijn.

Waarschuwingen en fouten

Dcdiag gebruikt een conservatieve benadering door DNS-client- of DNS-serverconfiguraties te identificeren die problemen kunnen opleveren, niet voldoen aan de aanbevolen procedures of die dcdiag niet volledig kan verifiëren. Hierdoor kunnen de samenvattingssectie en de gedetailleerde sectie van dcdiag waarschuwingen bevatten voor DNS-configuraties die momenteel functioneel zijn. Beheerders moeten dergelijke configuraties onderzoeken en verifiëren wanneer deze worden geïdentificeerd door dcdiag.

De tabellen hierna bevatten de configuraties die ervoor kunnen zorgen dat dcdiag waarschuwingen of fouten meldt voor elk van de DNS-subtests.

Standaard

 

Waarschuwing Aanvullende informatie

Waarschuwing: Adapter <adapternaam> heeft dynamisch IP-adres

Statische IP-adressen worden aanbevolen voor alle DNS-servers.

Waarschuwing: Adapter <adapternaam> heeft ongeldige DNS-server: <naam> <IP-adres>

DNS-server is mogelijk niet bereikbaar.

Waarschuwing: Geen DNS RPC-connectiviteit (fout of de actieve DNS-server is niet van Microsoft)

Negeer deze waarschuwing als de DNS-server een BIND-server of een andere niet-Microsoft-DNS-server is.

Waarschuwing: de Active Directory-zone op deze DC/DNS-server is niet gevonden

N.v.t.

Waarschuwing: hoofdzone op deze DC/DNS-server is gevonden

N.v.t.

 

Fout Aanvullende informatie

Fout: verificatie is mislukt met opgegeven referenties

DCDIAG vereist ondernemingsadministrator-referentie om alle tests uit te voeren.

Fout: geen LDAP-connectiviteit

N.v.t.

Fout: geen DS RPC-connectiviteit

N.v.t.

Fout: geen WMI-connectiviteit

WMI-connectiviteit is vereist om DNS-test uit te voeren op de externe computer.

Fout: kan versie van besturingssysteem niet lezen via WMI

Dit kan worden veroorzaakt door het ontbreken van een WMI-verbinding op de externe computer.

Fout: <Naam van besturingssysteem> niet ondersteund (dit hulpprogramma wordt alleen ondersteund door Windows 2000, Windows XP en Windows Server 2003)

N.v.t.

Fout: openen van Servicebeheer is mislukt

Kan niet bepalen of de service wordt uitgevoerd.

Fout: Kdc/netlogon/DNS/dnscache wordt niet uitgevoerd

Een aantal van de belangrijkste services wordt niet uitgevoerd.

Fout: kan netwerkadapterinformatie niet lezen via WMI

N.v.t.

Fout: alle DNS-servers zijn ongeldig

DNS-servers waarnaar de client wijst zijn niet bereikbaar, zijn geen DNS-servers of hebben ongeldige IP-adressen.

Fout: de A-record voor deze DC is niet gevonden

Elke DC moet een A-record registreren. Controleer of op alle DNS-servers waarnaar de client wijst, A-records zijn geregistreerd.

Fout: bij inventarisatie van zones zijn hoofdzone en AD-zone niet gevonden

N.v.t.

Fout: kan geen query uitvoeren op DNS-zones op deze DC

Zorg ervoor dat de zone waarin DC zich moet registreren, aanwezig is.

Doorstuurserver

 

Fout Aanvullende informatie

Fout: lijst met doorstuurservers bevat ongeldige doorstuurserver: <IP-adres van de doorstuurserver>

Doorstuurservers die zijn geconfigureerd op de DNS-server hebben een ongeldig IP-adres of zijn geen DNS-server, of de naamomzetting werkt niet (foresthoofddomein-SRV-record kan niet worden omgezet als het een niet-hoofddomein-DC is).

Fout: Noch aanbevolen basisservers, noch doorstuurservers zijn geconfigureerd. Configureer doorstuurservers of aanbevolen basisservers.

Controleer of ofwel doorstuurservers of aanbevolen basisservers zijn geconfigureerd op de DNS-server, tenzij deze als host fungeert voor hoofdzone.

Fout: lijst met aanbevolen basisservers heeft ongeldige aanbevolen basisserver: <IP-adres van aanbevolen basisserver>

Aanbevolen basisservers die zijn geconfigureerd op de DNS-server hebben een ongeldig IP-adres of zijn geen DNS-servers, of de naamomzetting werkt niet (foresthoofddomein-SRV-record kan niet worden omgezet als het een niet-hoofddomein-DC is).

Fout:<Naam van aanbevolen basisserver> IP: status <Onbeschikbaar>:<status van de server>

Geconfigureerde aanbevolen basisservers hebben geen corresponderend IP-adres. In het statusveld wordt de status van de server weergegeven

Fout:<Naam van aanbevolen basisserver> IP: Status <Onbeschikbaar>: A-record niet gevonden

Geconfigureerde aanbevolen basisservers hebben geen A-record.

Fout: inventarisatie van aanbevolen basisservers is mislukt op <DNS-servernaam>

Kan de aanbevolen basisservers op de doel-DNS-server niet opsommen.

Overdracht

 

Waarschuwing Aanvullende informatie

Waarschuwing: DNS-server: <DNS-servernaam> IP: fout met <IP-adres>: ontbrekend glue-A-record

In de geconfigureerde overdracht ontbreekt glue-A-record.

 

Fout Aanvullende informatie

DNS-server: <Servernaam> IP:Fout met <IP-adres>: gebroken overdracht -uitgebreid

Overdracht is geconfigureerd maar de naamserver komt niet overeen.

DNS-server: <Servernaam> IP:Fout met <IP-adres>: gebroken overgedragen domein <Naam van overgedragen domein> -niet-uitgebreid

N.v.t.

Fout: kan de records in de hoofdzone van de server niet opsommen

N.v.t.

DynamicUpdate

 

Waarschuwing Aanvullende informatie

Waarschuwing: dynamische update is ingeschakeld in de zone <zonenaam>, maar niet beveiligd

Beveiligde dynamische updates worden aanbevolen.

Waarschuwing: kan testrecord _dcdiag_test_record met fout <foutcode> in zone <zonenaam> niet toevoegen

Test voegt op dynamische wijze een dummyrecord toe

Waarschuwing: kan testrecord _dcdiag_test_record met fout <foutcode> in zone <zonenaam> niet verwijderen

Hiermee verwijdert u ook de toegevoegde record.

 

Fout Aanvullende informatie

Fout: dynamische update is niet ingeschakeld in de zone <zonenaam>

Dynamische update is niet ingeschakeld in de Active Directory-zone, daarom kan client de records niet registreren.

Recordregistratie

 

Waarschuwing Aanvullende informatie

Waarschuwing: ontbrekende DC SRV-record op DNS-server <recordnaam>

Negeer de fout als de registersleutel DNSAvoidRegisterRecord of het bijbehorende groepsbeleid is geconfigureerd om registratie van deze record te verhinderen.

Waarschuwing: ontbrekende GC SRV-record op DNS-server <recordnaam>

Negeer de fout als de registersleutel DNSAvoidRegisterRecord of het bijbehorende groepsbeleid is geconfigureerd om registratie van deze record te verhinderen.

Waarschuwing: ontbrekende PDC SRV-record op DNS-server <recordnaam>

Negeer de fout als de registersleutel DNSAvoidRegisterRecord of het bijbehorende groepsbeleid is geconfigureerd om registratie van deze record te verhinderen.

Waarschuwing: recordregistraties niet gevonden in een aantal netwerkadapters

N.v.t.

 

Fout Aanvullende informatie

Fout: ontbrekende A-record op DNS-server <IP-adres van DNS-server>: <A-recordnaam>

DC heeft de A-record niet geregistreerd op de opgegeven DNS-server.

Fout: ontbrekende CNAME-record op DNS-server <IP-adres van DNS-server>: <CNAME-recordnaam>

DC heeft de CNAME-record niet geregistreerd op de opgegeven DNS-server.

Fout: ontbrekende DC SRV-record op DNS-server <IP-adres van DNS-server>: <SRV-recordnaam>

DC heeft de DC SRV-record niet geregistreerd op de opgegeven DNS-server.

Fout: ontbrekende GC SRV-record op DNS-server <IP-adres van DNS-server>: <SRV-recordnaam>

DC heeft de GC SRV-record niet geregistreerd op de opgegeven DNS-server.

Fout: ontbrekende PDC SRV-record op DNS-server <IP-adres van DNS-server>: <SRV-recordnaam>

DC heeft de opgegeven PDC SRV-record niet geregistreerd op de opgegeven DNS-server. Al deze records kunnen worden geregistreerd door de NetLogon-service te stoppen en te starten.

Fout: Recordregistraties kunnen niet worden gevonden voor alle netwerkadapters

Als er meerdere netwerkadaptors zijn, wordt er gecontroleerd of alle records aanwezig zijn op alle DNS-servers die op elke adaptor zijn geconfigureerd. Deze fout treedt op als de recordregistratie ontbreekt op de DNS-server.

Externe naamomzetting

 

Fout Aanvullende informatie

Fout: internetnaam <naam> kan niet worden omgezet

Kan opgegeven internetnaam niet omzetten. Controleer of de proxyclient, servers, aanbevolen basisservers en doorstuurservers juist zijn geconfigureerd.

Ondernemings-DNS-infrastructuurtests

 

Waarschuwing Aanvullende informatie

Waarschuwing: noch doorstuurservers, noch aanbevolen basisservers worden geconfigureerd van onderliggend naar bovenliggend domein

Doorstuurservers of aanbevolen basisservers moeten worden geconfigureerd in de DNS-servers van de boven- of onderliggende domeinen die als host fungeren voor de gemachtigde zones voor hun respectieve domein om naamomzetting te laten werken.

 

Fout Aanvullende informatie

Fout: overdracht is niet geconfigureerd op het bovenliggende domein

Overdracht moet worden geconfigureerd van bovenliggend naar onderliggend domein.

Fout: overdracht is aanwezig, maar de glue-record ontbreekt

Overdracht is geconfigureerd maar de glue-records van de naamservers ontbreken.

Fout: doorstuurservers zijn onjuist geconfigureerd (van bovenliggend naar onderliggend domein)

Doorstuurservers moeten worden geconfigureerd van onderliggend naar bovenliggend domein.

Fout: aanbevolen basisservers zijn onjuist geconfigureerd (van bovenliggend naar onderliggend domein)

Aanbevolen basisservers moeten worden geconfigureerd van onderliggend naar bovenliggend domein.

Fout: doorstuurservers zijn geconfigureerd van onderliggend naar bovenliggend domein, maar voor een aantal hiervan zijn DNS-servertests mislukt (zie het gedeelte over DNS-servers voor meer informatie over fouten)

Geconfigureerde doorstuurservers hebben een ongeldig IP-adres of zijn geen geldige DNS-server, of de naamomzetting werkt niet (kan foresthoofddomein-SRV-record niet omzetten als deze zich bevindt in het niet-hoofddomein).

Fout: aanbevolen basisservers zijn geconfigureerd van onderliggend naar bovenliggend domein, maar voor een aantal hiervan zijn DNS-servertests mislukt (zie het gedeelte over DNS-servers voor meer informatie over fouten)

Geconfigureerde aanbevolen basisservers hebben een ongeldig IP-adres of zijn geen geldige DNS-servers, of de naamomzetting werkt niet.

Voorbeelden:

In de volgende voorbeelden wordt het gebruik van Windows Server 2003 SP1 dcdiag geïllustreerd. U moet de cursieve parameters vervangen door parameters die geschikt zijn voor uw omgeving:

  • Alle DNS-tests op een enkele domeincontroller uitvoeren in niet-uitgebreide modus:
    Dcdiag /test:DNS /s:Doel-DC-naam /f:NaamLogboekbestand
  • Alle DNS-tests op een enkele domeincontroller uitvoeren in uitgebreide modus:
    Dcdiag /test:DNS /s:Doel-DC-naam /v /f:NaamLogboekbestand
  • Alle DNS-tests in een volledige forest uitvoeren in niet-uitgebreide modus:
    Dcdiag /test:DNS /e /f:NaamLogboekbestand
  • Alle DNS-tests in een volledige forest uitvoeren in uitgebreide modus:
    Dcdiag /test:DNS /v /e /f:NaamLogboekbestand
  • De DNS-basistest uitvoeren op een enkele domeincontroller:
    Dcdiag /test:DNS /DnsBasic /s:Doel-DC-naam /f:NaamLogboekbestand
  • De DNS-doorstuurtest uitvoeren op een enkele domeincontroller:
    Dcdiag /test:DNS /DnsForwarders /s:Doel-DC-naam /f:NaamLogboekbestand
  • De DNS-overdrachttest uitvoeren op een enkele domeincontroller:
    Dcdiag /test:DNS /DnsDelegation /s:Doel-DC-naam /f:NaamLogboekbestand
  • De DNS-test voor dynamische updates uitvoeren op een enkele domeincontroller:
    Dcdiag /test:DNS /DnsDynamicUpdate /s:Doel-DC-naam /f:NaamLogboekbestand
  • De DNS-test voor recordregistratie uitvoeren op een enkele domeincontroller:
    Dcdiag /test:DNS /DnsRecordRegistration /s:Doel-DC-naam /f:NaamLogboekbestand
  • Een voorbeeldinternet- of -intranetnaam omzetten:
    Dcdiag /test:DNS /DnsResolveExtName /DnsInternetName:Internetnaam /f: NaamLogboekbestand
noteOpmerking
Wanneer een afzonderlijke test wordt uitgevoerd, worden de /DnsBasic-tests standaard uitgevoerd voordat de opgegeven afzonderlijke test wordt uitgevoerd. Als er geen afzonderlijke test is opgegeven, worden alle DNS-tests (behalve /DnsResolveName) standaard uitgevoerd.

Nieuwe replicatiebeveiligingstests voor Active Directory

Gedetailleerde beschrijving

DCDiag.exe is voor Windows Server 2003 Service Pack 1 uitgebreid met een nieuwe functionaliteit waarmee beveiligingsconfiguraties kunnen worden geïdentificeerd die mogelijk de oorzaak zijn van het niet lukken van de Active Directory-replicatie.

De nieuwe test CheckSecurityError kan op een of alle domeincontrollers in een Active Directory-forest worden uitgevoerd. Met de test worden de volgende bewerkingen uitgevoerd:

  • Controleren of een KDC (Key Distribution Center) beschikbaar is in de domeinen van zowel de doel- als de brondomeincontroller.
  • Controleren of de doeldomeincontroller grote pakketten in UDP-indeling (gebruikt door Kerberos) kan verzenden en ontvangen.
  • Controleren of de systeemklok van de doeldomeincontroller niet meer dan 5 minuten afwijkt van de systeemtijd van de KDC in het doel- en brondomein, en van de brondomeincontroller.
  • Bevestigen dat de hoofdmap van elke naamgevingscontext op de brondomeincontroller is geconfigureerd met de vereiste machtigingen.
  • Bevestigen dat de computeraccounts voor de bron- en doeldomeincontrollers niet zijn uitgeschakeld, vertrouwd zijn voor overdracht en alle vereiste SPN's (Service Principal Names) bevatten.

Wanneer de test is voltooid, wordt er een samenvatting weergegeven van de resultaten voor elke domeincontroller die is getest, alsmede de diagnose van de aangetroffen beveiligingsfouten

Deze test kan vanaf de opdrachtregel worden uitgevoerd met de volgende syntaxis:

Dcdiag /test:CheckSecurityError

U kunt eventueel de schakeloptie /ReplSource:SourceDC aan de opdracht toevoegen om een specifieke domeincontroller te identificeren als een bron bij een replicatiepoging. De domeincontroller die in de parameter /replsource: is opgegeven, hoeft niet de brondomeincontroller te zijn op basis waarvan de geteste domeincontroller momenteel repliceert (een domeincontroller waarmee de doeldomeincontroller momenteel een binnenkomend verbindingsobject heeft). Met deze test worden gegevens verzameld van de domeincontroller, KDC-bron- en -doelservers (Key Distribution Center) en Active Directory.

noteOpmerking
Dcdiag /test:CheckSecurityError kan worden uitgevoerd op de console van een lidcomputer (met de opdracht /e of /s:servernaam ) en op een domeincontroller. Voer Dcdiag /test:CheckSecurityError voor de zekerheid uit op alle domeincontrollers waarvoor binnenkomende Active Directory-replicatie niet lukt vanwege een vermoedelijke beveiligingsfout.

Waarom is deze wijziging belangrijk?

Als de replicatie niet lukt en de fout is een beveiligingsfout (zoals 'Toegang geweigerd', 'Doelaccountnaam is onjuist' of 'RPC-server is niet beschikbaar') kan het probleem zijn veroorzaakt door verschillende factoren. Met deze test automatiseert u de diagnose door te kijken naar de bronnen die het vaakst deze fouten veroorzaken en door deze te rapporteren zodat u het probleem kunt oplossen

Vindt u dit nuttig?
(1500 tekens resterend)
Bedankt voor uw feedback

Community-inhoud

Toevoegen
Weergeven:
© 2014 Microsoft