Exportar (0) Imprimir
Expandir Tudo
Expandir Minimizar

Domain Controller Diagnostics Tool (dcdiag.exe)

O que o DCDiag.exe faz?

Essa ferramenta de linha de comando analisa o estado de um ou de todos os controladores de domínio em uma floresta e relata os problemas para ajudar na solução. O DCDiag.exe consiste em vários testes que podem ser executados individualmente ou em conjunto para verificar a integridade do controlador de domínio.

Requisitos da ferramenta

  • Exceto conforme mencionado abaixo, todos os comandos em DCDiag podem ser executados no Windows XP Professional e na família de produtos Windows Server 2003 (servidores membros e controladores de domínio).
  • O novo comando DCDIAG /TEST:DNS pode validar a integridade do DNS dos controladores de domínio do Windows 2000 Server (SP3 ou posterior) ou da família de produtos Windows Server 2003 quando executado a partir do console do Windows XP ou dos controladores de domínio ou computadores membros do Windows Server 2003.

A quem se aplica esse recurso?

Esse recurso interessa ao seguinte público:

  • Administradores DNS
  • Administradores do controlador de domínio
  • Usuários do DCDiag.exe

Que nova funcionalidade foi adicionada a esse recurso no Windows Server 2003 Service Pack 1?

Foram feitos dois aprimoramentos significativos ao DCDiag no Windows Server 2003 Service Pack 1:

  • DCDIAG /TEST:DNS para validar a integridade do DNS.
  • DCDIAG /CheckSecurityError para detectar configurações de segurança que possam provocar falha na replicação do Active Directory.

Os detalhes desses novos aperfeiçoamentos estão descritos abaixo.

Novos testes de diagnóstico DNS

Descrição detalhada

O DCDiag.exe foi aprimorado para o Windows Server 2003 Service Pack 1 a fim de incluir a nova funcionalidade DNS para relatórios da integridade geral do DNS dos controladores de domínio. Existem sete novos testes relacionados ao DNS que podem ser executados individualmente ou simultaneamente. Esses testes podem ser executados em um ou em todos os controladores de domínio de uma floresta do Active Directory. Quando os testes são concluídos, o DCDiag.exe apresenta um resumo dos resultados e informações detalhadas sobre cada controlador de domínio testado.

noteObservação
Os novos testes DNS exigem credenciais de Administração de Empresa. Os novos testes DNS podem ser executados somente nos controladores de domínio da família de produtos Windows 2000 Server (SP3 ou posterior) ou Windows Server 2003.

Sintaxe de linha de comando

O Windows Server 2003 SP1 dcdiag usa a mesma sintaxe básica das versões anteriores do dcdiag. Esta é a sintaxe para executar os novos testes DNS:

Dcdiag /test:DNS [/DnsBasic | /DnsForwarders | /DnsDelegation | /DnsDynamicUpdate | /DnsRecordRegistration | /DnsResolveExtName [/DnsInternetName: InternetName ] | /DnsAll] [/f: Logfile ] [/ferr: Logerr ] /S: DCName [/e] [/v]

 

Parâmetro Descrição

/test:DNS

Executa os sete subtestes (exceto o /DnsInternetName) no conjunto de controladores de domínio delimitado. Os argumentos de linha de comando DCDIAG mais comuns são DCDIAG /TEST:DNS /V /S:DCNAME, para executar os seis subtestes DNS padrão em um único controlador de domínio, ou DCDIAG /TEST:DNS /V /E, para executar os seis subtestes DNS padrão em todos os controladores de domínio da floresta de teste no computador do console. DCDIAG /TEST:DNS é idêntico ao comando /DnsAll quando não há subtestes individuais definidos.

/test:DNS [DNS test]

Executa o teste DNS especificado. Se nenhum teste for especificado, /DnsAll será utilizado como padrão.

/DnsBasic

Executa testes DNS básicos, incluindo conectividade de rede, configuração de cliente DNS, disponibilidade de serviços e existência de zona.

/DnsForwarders

Executa os testes /DnsBasic, além de verificar a configuração de encaminhadores.

/DnsDelegation

Executa os testes /DnsBasic, além de verificar a existência de delegações adequadas.

/DnsDynamicUpdate

Executa os testes /DnsBasic, além de determinar se a atualização dinâmica está habilitada na zona do Active Directory.

/DnsRecordRegistration

Executa os testes /DnsBasic, além de verificar se os registros A, CNAME e registros SRV conhecidos estão registrados. Além disso, cria um relatório de inventário baseado em resultados.

/DnsResolveExtName [/DnsInternetName: Nome_da_Internet ]

Executa os testes /DnsBasic, além de tentar resolver um nome de intranet ou Internet de exemplo. Se /DnsInternetName não estiver especificado, o comando tentará resolver o nome www.microsoft.com. Se/DnsInternetName for especificado, o comando tentará resolver o nome da Internet fornecido pelo usuário.

/DnsAll

Executa todos os testes, exceto DnsResolveExtName , e gera um relatório.

/f: Arquivo_de_log

Redireciona a saída para o arquivo de log fornecido pelo usuário.

/ferr: Erro_de_log

Redireciona a saída de erro fatal para um arquivo de log separado.

/s: Nome_controlador_de_domínio

Especifica o controlador de domínio no qual os testes serão executados.

/e

Todos os testes especificados por /test:DNS são executados em todos os controladores de domínio na floresta do Active Directory.

/v

Modo detalhado. Apresenta informações sobre resultados de testes bem-sucedidos, além de informações sobre erros e avisos. (Quando o parâmetro /v não é usado, somente as informações de erros e de avisos são apresentadas.) A Microsoft recomenda o uso da opção /v quando erros ou avisos são informados na tabela de resumo

Teste de infra-estrutura do DNS corporativo (/e)

  • Quando /test:DNS é executado junto com o parâmetro /e, todos os testes especificados por test:/DNS são executados em todos os controladores de domínio na floresta do Active Directory.
noteObservação
Os tempos de execução para os testes DNS podem ser significativos em grandes empresas quando o parâmetro /e é usado. Os controladores de domínio e servidores DNS que estão off-line aumentarão o tempo de execução devido aos longos períodos de tempo limite de RPC e de outros protocolos.

Teste de conectividade

  • O teste de conectividade é um teste obrigatório e é executado automaticamente antes da execução de outro teste dcdiag.
  • O teste de conectividade determina se os controladores do domínio estão registrados no DNS, são passíveis de ping e têm conectividade LDAP/RPC.
  • Se o teste de conectividade falhar em um determinado controlador, nenhum outro teste será executado nesse controlador de domínio.
noteObservação
O teste de conectividade não foi alterado no SP1, mas foi incluído neste documento para referência.

Teste DNS básico (/DnsBasic)

  • O teste DNS básico confirma se os seguintes serviços essenciais estão sendo executados e estão disponíveis em controladores de domínio testados pelo dcdiag:
    • Serviço de cliente DNS
    • Serviço Netlogon
    • Serviço KDC
    • Serviço de servidor DNS (se o DNS estiver instalado no controlador de domínio)
  • O teste DNS básico confirma a conectividade de rede para cada controlador de domínio, verificando se os servidores DNS em todos os adaptadores estão acessíveis.
  • O teste DNS básico confirma se o registro A de cada controlador de domínio está registrado em pelo menos um dos servidores DNS configurados no cliente.
  • Se um controlador de domínio estiver executando o serviço do servidor DNS, o teste básico DNS confirmará se a zona de domínio do Active Directory e o registro SOA da zona de domínio do Active Directory estão presentes.
  • O teste básico DNS verifica se a zona raiz (.) está presente.

Teste de encaminhador (/DnsForwarders)

noteObservação
Esse teste somente é executado se o controlador de domínio em teste estiver executando o serviço do servidor DNS da Microsoft.
  • O teste de encaminhador determina se a recursividade está habilitada.
  • Se os encaminhadores ou as dicas de raiz forem configurados, o teste de encaminhador confirmará se todos os encaminhadores ou dicas de raiz no servidor DNS estão funcionando e também se o registro de localizador do controlador de <domínio raiz da floresta> _ldap._tcp. está resolvido. (A resolução do registro de localizador do controlador de <domínio raiz da floresta> _ldap_tcp. não é tentada para encaminhadores ou dicas de raiz configurados no controlador de domínio raiz da floresta.)

Teste de delegação (/DnsDelegation)

noteObservação
Esse teste somente será executado se o controlador de domínio em teste estiver executando o serviço do servidor DNS da Microsoft.
  • O teste de delegação confirma se o servidor de nome delegado é um servidor DNS que esteja funcionando corretamente.
  • O teste de delegação verifica a existência de delegações divididas, conferindo se todos os registros NS, na zona de domínio do Active Directory na qual o controlador de domínio de destino reside, possuem registros A de união correspondentes.

Teste de atualização dinâmica (/DnsDynamicUpdate)

  • O teste de atualização dinâmica confirma se a zona de domínio do Active Directory está configurada para uma atualização dinâmica segura e executa o registro de um teste (_dcdiag_test_record). O registro de teste é excluído subseqüentemente.

Teste de registro (/DnsRecordRegistration)

  • O teste de registro verifica se todos os registros essenciais do localizador de controlador de domínio estão registrados em todos os servidores DNS configurados em cada adaptador dos controladores de domínio. Este teste retorna os registros a seguir.

     

    Registro Descrição

    CNAME GUID

    O GUID registrado como nome canônico (CNAME) do servidor DNS.

    A

    Registro de recurso (A) do endereço de host. Mapeia um nome de domínio DNS para um endereço de 32 bits do protocolo IP versão 4.

    SRV DO LDAP

    O registro de recurso SRV (localizador de serviço) para o serviço LDAP.

    SRV do GC

    O registro de recurso SRV para o servidor de catálogo global (GC).

    SRV do PDC

    O registro de recurso SRV para o PDC (controlador de domínio primário).

Teste de resolução de nomes externos (/DnsResolveExtName)

noteObservação
O teste de resolução de nomes externos somente é executado se especificado explicitamente (usando /DnsResolveExtName); não é executado como parte de /DnsAll.
  • O teste de resolução de nomes externos verifica a resolução básica do DNS externo de um determinado cliente, usando um exemplo de nome de Internet (www.microsoft.com), ou um nome da Internet fornecido pelo usuário.
  • O teste de resolução de nomes externos não pode resolver nomes externos da Internet em um ambiente onde um servidor proxy está sendo usado.
  • Você pode testar a resolução de nomes usando nomes de intranet ou Internet.
  • Para resolver um nome da Internet ou intranet fornecido pelo usuário (em vez do nome padrão www.microsoft.com), o parâmetro /DnsInternetName deve ser usado.

Como ler a saída de dcdiag aprimorado por DNS

As seguintes etapas resumem como interpretar os resultados fornecidos pelo dcdiag aprimorado por DNS:

  1. Execute dcdiagtest:DNS /e /f:dns.txt. A Microsoft recomenda sempre usar a opção /v para obter informações detalhadas.
  2. Abra o relatório no Bloco de Notas ou em um editor compatível.
  3. Role até o final do relatório e leia a tabela de resumo.
  4. Identifique servidores que retornaram o status "aviso" ou "falha" para qualquer subteste na tabela de resumo.
  5. Revise a seção de saída desse servidor para ver que problema foi detectado (dica: use o comando Localizar no menu Editar para procurar a seqüência "DC: nome_do_computador_do_controlador_do_domínio" (sem aspas) e localizar a seção detalhada de um determinado controlador de domínio.
  6. Resolva problemas em clientes DNS ou servidor(es) DNS, conforme necessário.
  7. Execute dcdiag /test:DNS /v /e (ou /s:DCName) novamente para verificar a correção. Repita as etapas de 1 a 6, conforme necessário, até que todas as falhas sejam entendidas e reconciliadas.

Avisos e erros

Dcdiag adota uma abordagem conservadora, identificando as configurações de cliente ou servidor DNS que possam ser problemáticas, que não estejam de acordo com as configurações das práticas recomendadas ou que não possam ser totalmente validadas por dcdiag. Assim, as seções detalhadas e de resumo do dcdiag podem informar avisos para configurações DNS que estão funcionando corretamente. Os administradores devem investigar e validar essas configurações quando identificadas pelo dcdiag.

As tabelas abaixo contêm as configurações que podem levar o dcdiag a informar avisos ou erros para cada um dos subtestes DNS.

Básica

 

Aviso Informações adicionais

Aviso: O adaptador <nome do adaptador> possui endereço IP dinâmico

Os endereços IP estáticos são recomendados para todos os servidores DNS.

Aviso: O adaptador <nome do adaptador> possui um servidor DNS inválido: <nome> <endereço IP>

O servidor DNS talvez não possa ser acessado.

Aviso: Nenhuma conectividade RPC no DNS (erro ou execução de servidor DNS não-Microsoft)

Ignore esse aviso se o servidor DNS for um servidor BIND ou outro servidor DNS não-Microsoft.

Aviso: A zona do Active Directory nesse servidor DC/DNS não foi encontrada

N/D

Aviso: A zona raiz nesse servidor DC/DNS foi encontrada

N/D

 

Erro Informações adicionais

Erro: Falha da autenticação com credenciais especificadas

O DCDIAG exige credencial de Administração de Empresa para executar todos os testes.

Erro: Sem conectividade LDAP

N/D

Erro: Sem conectividade RPC do DS

N/D

Erro: Sem conectividade WMI

O teste DNS exige que a conectividade WMI seja executada no computador remoto.

Erro: Não é possível ler a versão do sistema operacional através do WMI

Talvez isso seja causado pela ausência de uma conexão WMI no computador remoto.

Erro: <Nome do sistema operacional> sem suporte (essa ferramenta tem suporte apenas no Windows 2000, no Windows XP e no Windows Server 2003)

N/D

Erro: Falha ao abrir o Gerenciador de Controle de Serviços

Não é possível saber se o serviço está sendo executado.

Erro: O Kdc/netlogon/DNS/dnscache não está sendo executado

Alguns dos serviços principais não estão sendo executados.

Erro: Não é possível ler as informações do adaptador de rede através do WMI

N/D

Erro: Todos os servidores DNS são inválidos

Os servidores DNS para os quais o cliente está apontando não estão acessíveis, não são um servidor DNS ou possuem endereços IP inválidos.

Erro: O registro A para esse controlador de domínio não foi encontrado

Todo controlador de domínio deve registrar um registro A. Verifique se os registros A estão registrados em todos os servidores DNS para os quais o cliente está apontando.

Erro: A enumeração de zonas não pôde encontrar a zona raiz e do AD

N/D

Erro: Não foi possível consultar zonas DNS nesse controlador de domínio

Verifique se a zona na qual o controlador de domínio deve se registrar está presente.

Encaminhador

 

Erro Informações adicionais

Erro: A lista de encaminhadores possui um encaminhador inválido: <Endereço IP do encaminhador>

Os encaminhadores configurados no servidor DNS possuem um endereço IP inválido, não são um servidor DNS ou a resolução de nomes não está funcionando (ou seja, não é possível resolver o registro SRV do domínio raiz da floresta se for um controlador de domínio não raiz).

Erro: Os encaminhadores e as dicas de raiz não estão configurados. Configure os encaminhadores ou as dicas de raiz.

Verifique se os encaminhadores ou as dicas de raízes estão configurados no servidor DNS, a menos que ele hospede a zona raiz.

Erro: A lista de dicas de raiz possui um servidor de dica de raiz inválido: <Endereço IP do servidor de dica de raiz>

Os servidores de dica de raiz configurados no servidor DNS possuem endereços IP inválidos, não são um servidor DNS ou a resolução de nomes não está funcionando (ou seja, não é possível resolver o registro SRV do domínio raiz da floresta se for um controlador de domínio não-raiz).

Erro:<Nome do servidor de dica de raiz> IP: <Não disponível> Status:<status do servidor>

Os servidores de dicas de raiz configurados não possuem endereços IP correspondentes. O campo Status informará o status do servidor

Erro:<Nome do servidor de dica de raiz> IP: <Não disponível> Status: Um registro não encontrado

Os servidores de dicas de raiz configurados não possuem registros A.

Erro: Falha na enumeração de servidores de dica de raiz no <nome do servidor DNS>

Não é possível listar os servidores de dicas de raiz no servidor DNS de destino.

Delegação

 

Aviso Informações adicionais

Aviso: Servidor DNS: <Nome do servidor DNS> IP: <Endereço_IP> Falha: Registro A de união ausente

Registro A de união ausente na delegação configurada.

 

Erro Informações adicionais

Servidor DNS: <Nome do servidor> IP:<endereço IP> Erro: Delegação interrompida -modo detalhado

A delegação está configurada, mas o servidor de nomes não está respondendo.

Servidor DNS: <Nome do servidor> IP:<endereço IP> Erro: Domínio delegado interrompido <nome de domínio delegado> -modo não detalhado

N/D

Erro: Falha na enumeração de registros na zona raiz do servidor

N/D

Atualização dinâmica

 

Aviso Informações adicionais

Aviso: A atualização dinâmica está habilitada na zona, mas a zona <nome da zona> não é segura

Atualizações dinâmicas seguras são recomendadas.

Aviso: Falha ao adicionar o registro _dcdiag_test_record de teste com o erro <código de erro> na zona <nome da zona>

O teste adiciona um registro fictício dinamicamente

Aviso: Falha ao excluir o registro _dcdiag_test_record de teste com o erro <código de erro> na zona <nome da zona>

Exclui também o registro adicionado.

 

Erro Informações adicionais

Erro: A atualização dinâmica não está habilitada na zona <nome da zona>

A atualização dinâmica não está habilitada na zona do Active Directory, portanto o cliente não pode registrar seus registros.

Registro

 

Aviso Informações adicionais

Aviso: Registro SRV do controlador de domínio ausente no <nome do registro> do servidor DNS

Ignore o erro se a chave do Registro DNSAvoidRegisterRecord ou sua Diretiva de Grupo tiverem sido configuradas para impedir esse registro.

Aviso: Registro SRV do GC ausente no <nome do registro> do servidor DNS

Ignore o erro se a chave do Registro DNSAvoidRegisterRecord ou sua Diretiva de Grupo tiverem sido configuradas para impedir esse registro.

Aviso: Registro SRV do controlador de domínio primário ausente no <nome do registro> do servidor DNS

Ignore o erro se a chave do Registro DNSAvoidRegisterRecord ou sua Diretiva de Grupo tiverem sido configuradas para impedir esse registro.

Aviso: Registros não encontrados em alguns adaptadores de rede

N/D

 

Erro Informações adicionais

Erro: Registro A ausente no servidor DNS <endereço IP do servidor DNS>: <um nome de registro>

O controlador de domínio registrou o registro A no servidor DNS especificado.

Erro: Registro CNAME ausente no servidor DNS <endereço IP do servidor DNS> : <nome do registro CNAME>

O controlador de domínio registrou o registro CNAME no servidor DNS especificado.

Erro: Registro SRV do controlador de domínio ausente no servidor DNS <endereço IP do servidor DNS>: <nome do registro SRV>

O controlador de domínio não registrou o registro SRV do controlador de domínio no servidor DNS especificado.

Erro: Registro SRV do GC ausente no servidor DNS <endereço IP do servidor DNS>: <nome do registro SRV>

O controlador de domínio não registrou o registro SRV do GC no servidor DNS especificado.

Erro: Registro SRV do controlador de domínio primário ausente no servidor DNS <endereço IP do servidor DNS>: <nome do registro SRV>

O controlador de domínio não registrou o registro SRV do controlador de domínio primário especificado no servidor DNS especificado. Todos esses registros podem ser efetuados interrompendo e iniciando o serviço netlogon.

Erro: Não podem ser encontrados registros para todos os adaptadores de rede

Se houver vários adaptadores de rede, o teste verificará se todos os registros estão presentes em todos os servidores DNS configurados em cada adaptador. Esse erro ocorre se o registro estiver ausente no servidor DNS.

Resolução de nomes externos

 

Erro Informações adicionais

Erro: O nome da Internet <nome> não pode ser resolvido

O nome da Internet especificado não pode ser resolvido. Verifique se o cliente proxy, os servidores, as dicas de raiz e os encaminhadores estão configurados corretamente.

Testes da infra-estrutura DNS corporativa

 

Aviso Informações adicionais

Aviso: Nem encaminhadores nem dicas de raiz estão configurados do domínio subordinado ao domínio pai

Os encaminhadores ou as dicas de raiz precisam ser configurados nos servidores DNS de domínios pai ou subordinados que estejam hospedando as zonas autoritárias de seus respectivos domínios para habilitar o funcionamento da resolução de nomes.

 

Erro Informações adicionais

Erro: A delegação não está configurada no domínio pai

A delegação deve ser configurada do domínio pai ao subordinado.

Erro: A delegação está presente, mas o registro de união está faltando.

A delegação está configurada, mas os servidores de nomes não possuem seu registro de união.

Erro: Os encaminhadores estão configurados incorretamente do domínio pai ao domínio subordinado

Eles devem ser configurados do domínio subordinado ao domínio pai.

Erro: As dicas de raiz estão configuradas incorretamente do domínio pai ao domínio subordinado

Elas devem ser configuradas do domínio subordinado ao domínio pai.

Erro: Os encaminhadores são configurados do domínio subordinado ao domínio pai, mas alguns deles tiveram erros nos testes de servidor DNS (consulte a seção sobre servidores DNS para obter detalhes do erro)

Os encaminhadores configurados possuem um endereço IP inválido, não são um servidor DNS válido ou a resolução de nomes não está funcionando (não é possível resolver o registro SRV do domínio raiz da floresta se estiver em um domínio não raiz).

Erro: As dicas de raiz são configuradas do domínio subordinado ao domínio pai, mas algumas delas acusaram erros nos testes de servidor DNS (consulte a seção sobre servidores DNS para obter detalhes do erro)

As dicas de raiz configuradas possuem um endereço IP inválido, não são um servidor DNS válido ou a resolução de nomes não está funcionando.

Exemplos:

Os seguintes exemplos ilustram o uso do dcdiag do Windows Server 2003 SP1. Substitua os parâmetros em itálico pelos apropriados ao seu ambiente:

  • Para executar todos os testes DNS em um controlador de domínio único no modo não detalhado:
    Dcdiag /test:DNS /s:Nome_do_controlador_de_domínio_de_destino /f:Nome_do_arquivo_de_log
  • Para executar todos os testes DNS em um controlador de domínio único no modo detalhado:
    Dcdiag /test:DNS /s:Nome_do_controlador_de_domínio_de_destino /v /f:Nome_do_arquivo_de_log
  • Para executar todos os testes DNS em uma floresta inteira no modo não detalhado:
    Dcdiag /test:DNS /e /f:Nome_do_arquivo_de_log
  • Para executar todos os testes DNS em uma floresta inteira no modo detalhado:
    Dcdiag /test:DNS /v /e /f:Nome_do_arquivo_de_log
  • Para executar o teste básico DNS em um controlador de domínio único:
    Dcdiag /test:DNS /DnsBasic /s:TargetDCName /f:Nome_do_arquivo_de_log
  • Para executar o teste de encaminhadores DNS em um controlador de domínio único:
    Dcdiag /test:DNS /DnsForwarders /s:TargetDCName /f:Nome_do_arquivo_de_log
  • Para executar o teste de delegação DNS em um controlador de domínio único:
    Dcdiag /test:DNS /DnsDelegation /s:TargetDCName /f:Nome_do_arquivo_de_log
  • Para executar o teste de atualização dinâmica DNS em um controlador de domínio único:
    Dcdiag /test:DNS /DnsDynamicUpdate /s:TargetDCName /f:Nome_do_arquivo_de_log
  • Para executar o teste de registro DNS em um controlador de domínio único:
    Dcdiag /test:DNS /DnsRecordRegistration /s:TargetDCName /f:Nome_do_arquivo_de_log
  • Para resolver um nome de Internet ou intranet de exemplo:
    Dcdiag /test:DNS /DnsResolveExtName /DnsInternetName:Nome_de_Internet /f: Nome_do_arquivo_de_log
noteObservação
Quando um teste individual é executado, os testes /DnsBasic são executados, por padrão, antes da execução do teste individual especificado. Se nenhum teste individual for especificado, todos os testes DNS (exceto /DnsResolveName) serão executados por padrão.

Novos testes de segurança de replicação do Active Directory

Descrição detalhada

O DCDiag.exe foi aprimorado para o Windows Server 2003 Service Pack 1 a fim de incluir a nova funcionalidade de identificação de configurações de segurança que possam provocar falha na replicação do Active Directory.

O novo teste CheckSecurityError pode ser executado em um ou em todos os controladores de domínio de uma floresta do Active Directory. O teste executa as seguintes operações:

  • Verifica a disponibilidade de um KDC (centro de distribuição de chaves) nos domínios dos controladores de domínio de origem e de destino.
  • Verifica se o controlador de domínio de destino pode transmitir e receber pacotes formatados por UDP suficientemente grandes (usados por Kerberos).
  • Verifica se o relógio do sistema do controlador de domínio de destino não está defasado em mais de 5 minutos em relação à hora do sistema do KDC no domínio de origem e de destino e no controlador de domínio de origem.
  • Confirma se a raiz de cada contexto de nomenclatura no controlador de domínio de origem está configurada com a permissão necessária.
  • Confirma se as contas de computador do controlador de domínio de origem e de destino não estão desabilitadas, são confiáveis para delegação e contêm todos os nomes principais de serviço necessários.

Quando o teste é concluído, o DCDiag.exe apresenta um resumo dos resultados para cada controlador de domínio testado e o diagnóstico dos erros de segurança encontrados

Esse teste pode ser executado a partir da linha de comando, usando a seguinte sintaxe:

Dcdiag /test:CheckSecurityError

Opcionalmente, você pode adicionar a opção /ReplSource:Controlador_de_domínio_de_origem ao comando, para identificar um controlador de domínio específico como a origem em uma tentativa de duplicação. O controlador de domínio especificado no parâmetro /replsource: não precisa ser um controlador de domínio de origem atual replicado do controlador de domínio que está sendo testado (ou seja, do qual o controlador de domínio de destino tenha um objeto de conexão de entrada). Este teste coletará informações do controlador de domínio, do Active Directory e dos servidores de origem e de destino do KDC.

noteObservação
Dcdiag /test:CheckSecurityError pode ser executado tanto no console de um computador membro (usando os comandos /e ou /s:nome_do_servidor) como em um controlador de domínio. Para obter melhor resultado, execute Dcdiag /test:CheckSecurityError no console de cada controlador de domínio no qual a replicação do Active Directory de entrada esteja falhando devido a um possível erro de segurança.

Por que essa alteração é importante?

Se a replicação não funcionar e ocorrer um erro de segurança (como "Acesso Negado", "O nome da conta de destino está incorreto" ou "O servidor RPC não está disponível"), muitos fatores diferentes podem estar causando o problema. Esse teste automatiza o diagnóstico verificando as origens mais comuns desses erros e as informando para que você possa resolver o problema.

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários

Contribuições da comunidade

ADICIONAR
Mostrar:
© 2014 Microsoft