Exportar (0) Imprimir
Expandir Todos
Expand Minimize

Ferramenta de Diagnóstico do Controlador de Domínio (dcdiag.exe)

Qual a função da ferramenta DCDiag.exe?

Esta ferramenta da linha de comandos analisa o estado de um ou de todos os controladores de domínio numa floresta e comunica todos os problemas para fornecer assistência na resolução de problemas. DCDiag.exe consiste numa variedade de testes que podem ser executados individualmente ou como parte de um conjunto para verificar o estado do controlador de domínio.

Requisitos da Ferramenta

  • À excepção do que é indicado abaixo, todos os comandos em DCDiag podem ser executados na família Windows XP Professional e Windows Server 2003 (servidores membros e controladores de domínio).
  • O novo comando DCDIAG /TEST:DNS pode validar o estado de DNS dos controladores de domínio da família Windows 2000 Server (SP3 ou posterior) ou Windows Server 2003 quando são executados a partir da consola de computadores membros com o Windows XP ou Windows Server 2003 ou controladores de domínio do Windows Server 2003.

A quem se aplica esta função?

Esta função tem interesse para as seguintes audiências:

  • Administradores de DNS
  • Administradores de controlador de domínio
  • Utilizadores de DCDiag.exe

Que nova funcionalidade foi adicionada a esta função no Windows Server 2003 Service Pack 1?

Existem dois melhoramentos significativos para o DCDiag no Windows Server 2003 Service Pack 1:

  • DCDIAG /TEST:DNS para validar o estado de DNS.
  • DCDIAG /CheckSecurityError para detectar as configurações de segurança que podem originar a falha na replicação do Active Directory.

Os detalhes destes novos melhoramentos estão descritos abaixo.

Novos testes de diagnóstico de DNS

Descrição detalhada

A ferramenta DCDiag.exe foi melhorada para o Windows Server 2003 Service Pack 1 de modo a incluir uma nova funcionalidade de DNS para geração relatórios sobre o estado geral de DNS dos controladores de domínio. Existem sete novos testes relacionados com DNS que podem ser executados individualmente ou em simultâneo. Estes testes podem ser executados num ou em todos os controladores de domínio numa floresta do Active Directory. Uma vez concluídos os testes, a ferramenta DCDiag.exe apresenta um resumo dos resultados, juntamente com informações detalhadas para cada controlador de domínio testado.

noteNota
Os novos testes de DNS requerem credenciais de Admins da Empresa. Os novos testes de DNS só podem ser executados relativamente a controladores de domínio da família Windows 2000 Server (SP3 ou posterior) ou Windows Server 2003.

Sintaxe da linha de comandos

No Windows Server 2003 SP1, dcdiag utiliza a mesma sintaxe básica das versões anteriores de dcdiag. A sintaxe para execução dos novos testes de DNS é:

Dcdiag /test:DNS [/DnsBasic | /DnsForwarders | /DnsDelegation | /DnsDynamicUpdate | /DnsRecordRegistration | /DnsResolveExtName [/DnsInternetName: NomeInternet ] | /DnsAll] [/f: FichRegisto ] [/ferr: RegErros ] /S: NomeDC [/e] [/v]

 

Parâmetro Descrição

/test:DNS

Executa todos os sete subtestes excepto o teste /DnsInternetName relativamente ao conjunto de controladores de domínio no âmbito. Os argumentos da linha de comandos DCDIAG mais comuns são DCDIAG /TEST:DNS /V /S:DCNAME para executar os seis subtestes de DNS predefinidos relativamente a um único controlador de domínio (DC) ou DCDIAG /TEST:DNS /V /E para executar os seis subtestes de DNS predefinidos relativamente a todos os DCs na floresta do teste do computador da consola. DCDIAG /TEST:DNS é idêntico ao comando /DnsAll quando os subtestes individuais não estão definidos.

/test:DNS [DNS test]

Executa o teste de DNS especificado. Se não for especificado nenhum teste, a predefinição será /DnsAll.

/DnsBasic

Executa os testes de DNS básicos, incluindo conectividade de rede, configuração do cliente de DNS, disponibilidade do serviço e existência de zona.

/DnsForwarders

Executa os testes /DnsBasic e também verifica a configuração dos reencaminhadores.

/DnsDelegation

Executa os testes /DnsBasic e também verifica as delegações apropriadas.

/DnsDynamicUpdate

Executa os testes /DnsBasic e também determina se a actualização dinâmica está activada na zona do Active Directory.

/DnsRecordRegistration

Executa os testes /DnsBasic e também verifica se os registos A, CNAME e os famosos SRV estão registados. Além disso, cria um relatório de inventário com base nos resultados.

/DnsResolveExtName [/DnsInternetName: NomeInternet ]

Executa os testes /DnsBasic e também tenta resolver um exemplo de nome de intranet ou Internet. Se não for especificado /DnsInternetName, o comando tenta resolver o nome www.microsoft.com. Se for especificado /DnsInternetName, o comando tenta resolver o nome de Internet fornecido pelo utilizador.

/DnsAll

Executa todos os testes, excepto DnsResolveExtName , e gera um relatório.

/f: FichRegisto

Redirecciona os resultados (a saída) para o ficheiro de registo fornecido pelo utilizador.

/ferr: RegErros

Redirecciona os resultados (saída) de erros fatais para um ficheiro de registo separado.

/s: NomeDC

Especifica o controlador de domínio relativamente ao qual os testes serão executados.

/e

Todos os testes especificados por /test:DNS são executados relativamente a todos os controladores de domínio na floresta do Active Directory.

/v

Modo verboso. Apresenta as informações sobre os resultados de testes concluídos com êxito, além das informações sobre erros e avisos. (Quando o parâmetro /v não é utilizado, só são apresentadas as informações sobre erros e avisos.) A Microsoft recomenda a utilização do parâmetro /v quando são relatados erros ou avisos na tabela de resumo

Teste de Infra-estrutura de DNS Empresarial (/e)

  • Quando /test:DNS é executado em conjunto com o parâmetro /e, todos os testes especificados por test:/DNS são executados relativamente a todos os controladores de domínio na floresta Active Directory.
noteNota
Quando é utilizado o parâmetro /e, os tempos de execução dos testes de DNS podem ser significativos em grandes empresas. Os tempos de execução para controladores de domínio e servidores de DNS offline serão maiores devido a longos períodos de tempo limite para RPC e outros protocolos.

Teste de conectividade

  • O teste de conectividade é um teste obrigatório e é executado automaticamente antes da execução de qualquer outro teste da ferramenta dcdiag.
  • O teste de conectividade determina se os controladores de domínio estão registados no DNS, se é possível executar um comando ping para estes controladores de domínio e se têm conectividade LDAP/RPC.
  • Se o teste de conectividade falhar num determinado controlador, não será executado mais nenhum teste relativamente a esse controlador de domínio.
noteNota
O teste de conectividade não foi alterado no SP1, mas é incluído neste documento para referência.

Teste de DNS Básico (/DnsBasic)

  • O teste de DNS básico confirma se os seguintes serviços essenciais estão em execução e disponíveis nos controladores de domínio testados pela ferramenta dcdiag:
    • Serviço cliente de DNS
    • Serviço Netlogon
    • Serviço KDC
    • Serviço servidor de DNS (se o DNS estiver instalado no controlador de domínio)
  • O teste de DNS básico confirma a conectividade de rede para cada controlador de domínio confirmando se é possível alcançar (aceder) os servidores de DNS em todos os adaptadores.
  • O teste de DNS básico confirma se o registo A de cada controlador de domínio está registado em, pelo menos, um dos servidores de DNS configurados no cliente.
  • Se um controlador de domínio estiver a executar o serviço Servidor de DNS, o teste de DNS básico confirma se a zona de domínio do Active Directory e o registo SOA para a zona de domínio do Active Directory estão presentes.
  • O teste de DNS básico verifica se a zona raiz (.) está, ou não, presente.

Teste de reencaminhador (/DnsForwarders)

noteNota
Este teste só é executado se o controlador de domínio que está a ser testado estiver a executar o serviço Servidor de DNS da Microsoft.
  • O teste de reencaminhador determina se a recursão está activada.
  • Se estiverem configurados reencaminhadores ou sugestões raiz, o teste de reencaminhador confirma se todos os reencaminhadores ou sugestões raiz no servidor de DNS estão a funcionar e também confirma se o registo de Localizador de DC _ldap._tcp.<Domínio raiz da floresta> está resolvido. (Não é efectuada uma tentativa de resolução do registo de Localizador de DC _ldap_tcp.<Domínio raiz da floresta> para reencaminhadores ou sugestões raiz configurados no controlador de domínio raiz da floresta.)

Teste de delegação (/DnsDelegation)

noteNota
Este teste só é executado se o controlador de domínio que está a ser testado estiver a executar o serviço Servidor de DNS da Microsoft.
  • O teste de delegação confirma se o servidor de nomes delegado é um Servidor de DNS funcional.
  • O teste de delegação procura delegações interrompidas assegurando que todos os registos de NS na zona de domínio do Active Directory em que o controlador de domínio de destino reside tenham registos A "glue" correspondentes.

Teste de Actualização Dinâmica (/DnsDynamicUpdate)

  • O teste de actualização dinâmica confirma se a zona de domínio do Active Directory está configurada para actualização dinâmica segura e efectua o registo de um registo de teste (_dcdiag_test_record). O registo de teste é eliminado posteriormente.

Teste de Registo de Registos (/DnsRecordRegistration)

  • O teste de registo de registos verifica o registo de todos os registos essenciais do Localizador de DC em todos os Servidores de DNS configurados em cada adaptador dos controladores de domínio. Este teste devolve os seguintes registos.

     

    Registo Descrição

    CNAME GUID

    O GUID registado como CNAME (canonical name, nome canónico) do servidor de DNS.

    A

    O registo do recurso de endereço do anfitrião (A). Mapeia um nome de domínio DNS para um endereço IP (Internet Protocol) versão 4 de 32 bits.

    LDAP SRV

    O registo do recurso de localizador de serviço (SRV) para o serviço LDAP.

    GC SRV

    O registo do recurso de localizador de serviço (SRV) para o servidor de catálogo global (GC).

    PDC SRV

    O registo do recurso de localizador de serviço (SRV) para o PDC (primary domain controller, controlador de domínio primário).

Teste de Resolução de Nomes Externos (/DnsResolveExtName)

noteNota
O teste de resolução de nomes externos só é executado se for especificado explicitamente (utilizando /DnsResolveExtName); não é executado como parte de /DnsAll.
  • O teste de resolução de nomes externos verifica a resolução básica de DNS externo de um determinado cliente, utilizando um exemplo de nome da Internet (www.microsoft.com) ou um nome da Internet fornecido pelo utilizador.
  • O teste de resolução de nomes externos não resolve nomes de Internet externos num ambiente em que esteja a ser utilizado um servidor proxy.
  • É possível testar a resolução de nomes utilizando nomes de intranet ou Internet.
  • Para resolver um nome de Internet ou intranet fornecido pelo utilizador (em vez do nome predefinido www.microsoft.com), tem de ser utilizado o parâmetro /DnsInternetName.

Como ler a saída de dcdiag melhorada para DNS

Os seguintes passos resumem o método de interpretação dos resultados fornecidos por dcdiag melhorada para DNS:

  1. Execute dcdiagtest:DNS /e /f:dns.txt. A Microsoft recomenda sempre a utilização do parâmetro /v para obter informações detalhadas.
  2. Abra o relatório no Bloco de Notas ou num editor compatível.
  3. Desloque o cursor para o final do relatório e leia a tabela de resumo.
  4. Identifique os servidores que tiverem devolvido o estado "aviso" (warn) ou "falha" (fail) para qualquer subteste na tabela de resumo.
  5. Reveja a secção da saída referente a esse servidor para ver quais foram os problemas detectados (sugestão: utilize o comando Localizar no menu Editar para procurar pela cadeia "DC: nomecomputador_DC" (sem as aspas) para localizar a secção detalhada relativa a um determinado DC.
  6. Resolva os problemas de um ou mais Clientes ou Servidores de DNS, conforme for necessário.
  7. Execute novamente dcdiag /test:DNS /v /e (ou /s:NomeDC) para verificar a correcção. Repita os passos 1 a 6 conforme for necessário até que todas as falhas sejam compreendidas e reconciliadas.

Avisos e Erros

Dcdiag adopta um abordagem conservadora através da identificação das configurações do cliente ou servidor de DNS que possam ser problemáticas, que não estejam em conformidade com as configurações dos procedimentos recomendados ou que não possam ser validadas na totalidade por dcdiag. Deste modo, as secções de resumo e detalhada de dcdiag podem relatar avisos para configurações de DNS actualmente funcionais. Os administradores devem investigar e validar essas configurações, sempre que sejam identificadas por dcdiag.

As tabelas abaixo contêm as configurações que podem fazer com que dcdiag relate avisos ou erros para cada um dos subtestes de DNS.

Básica

 

Aviso Informações adicionais

Aviso: O adaptador <nome do adaptador> tem um endereço IP dinâmico

São recomendados endereços IP estáticos para todos os servidores de DNS.

Aviso: O adaptador <nome do adaptador> tem um servidor de DNS inválido: <nome> <endereço IP>

O servidor de DNS pode não estar alcançável.

Aviso: Sem conectividade DNS RPC (erro ou servidor de DNS sem ser da Microsoft em execução)

Ignore este aviso se o servidor de DNS for um servidor BIND ou outro servidor de DNS sem ser da Microsoft.

Aviso: Zona do Active Directory não encontrada neste DC/servidor de DNS

N/A

Aviso: Zona raiz não encontrada neste DC/servidor de DNS

N/A

 

Erro Informações adicionais

Erro: Falha na autenticação com as credenciais especificadas

A ferramenta DCDIAG requer credenciais de Administrador da empresa para executar todos os testes.

Erro: Sem conectividade LDAP

N/A

Erro: Sem conectividade DS RPC

N/A

Erro: Sem conectividade WMI

O teste de DNS requer conectividade WMI para ser executado no computador remoto.

Erro: Não é possível ler a versão do sistema operativo através de WMI

Pode dever-se à ausência de ligação WMI no computador remoto.

Erro: <Nome do sistema operativo> não suportado (esta ferramenta é suportada apenas no Windows 2000, Windows XP e Windows Server 2003)

N/A

Erro: Falha na abertura do Gestor de Controlo de Serviços

Não é possível determinar se o serviço está, ou não, em execução.

Erro: Kdc/netlogon/DNS/dnscache não está em execução

Alguns dos serviços de chaves não estão em execução.

Erro: Não é possível ler as informações de placa de rede através de WMI

N/A

Erro: Todos os servidores de DNS são inválidos

Os servidores de DNS para que o cliente aponta não estão alcançáveis, não são servidores de DNS ou têm endereços IP inválidos.

Erro: Registo A não encontrado para este DC

Todos os DC devem ter um registo A registado. Certifique-se de que existem registos A registados em todos os servidores de DNS para que o cliente aponta.

Erro: As zonas de enumeração não conseguiram encontrar a zona raiz e do Active Directory

N/A

Erro: Não foi possível consultar zonas de DNS neste DC

Certifique-se de que a zona em que o DC deve efectuar o registo está, ou não, presente.

Reencaminhador

 

Erro Informações adicionais

Erro: A lista de reencaminhadores tem um reencaminhador inválido: <endereço IP do reencaminhador>

Os reencaminhadores configurados no servidor de DNS têm um endereço IP inválido, não são servidores de DNS ou a resolução de nomes não está a funcionar (ou seja, não é possível resolver o registo SRV do domínio raiz da floresta se for um DC de domínio sem ser raiz).

Erro: Nem as sugestões raiz nem os reencaminhadores estão configurados. Configure os reencaminhadores ou as sugestões raiz

Certifique-se de que os reencaminhadores ou as sugestões para a raiz estão configurados no servidor de DNS, a menos que este hospede a zona raiz.

Erro: A lista de sugestões raiz tem um servidor de sugestões raiz inválido: <endereço IP ou Servidor de sugestões raiz>

Os servidores de sugestões raiz configurados no servidor de DNS têm um endereço IP inválido, não são servidores de DNS ou a resolução de nomes não está a funcionar (ou seja, não é possível resolver o registo SRV do domínio raiz da floresta se for um DC de domínio sem ser raiz).

Erro: <Nome do servidor de sugestões para a raiz> IP: <Indisponível> Estado:<estado do servidor>

Os servidores de sugestões raiz configurados não têm o endereço IP correspondente. O campo Estado indica o estado do servidor

Erro: <Nome do servidor de sugestões para a raiz> IP: <Indisponível> Estado: Registo não encontrado

Os servidores de sugestões raiz configurados não têm o registo A.

Erro: Falha na enumeração de Servidores de sugestões para a raiz em <nome do servidor de DNS>

Não foi possível listar os servidores de sugestões raiz no servidor de DNS de destino.

Delegação

 

Aviso Informações adicionais

Aviso: Servidor de DNS: <nome do servidorDNS> IP: <endereço IP> Falha: Registo A "glue" inexistente

Falta um registo A "glue" na delegação configurada.

 

Erro Informações adicionais

Servidor de DNS: <Nome do servidor> IP:<endereço IP> Erro: Delegação interrompida -modo verboso

A delegação está configurada mas o servidor de nomes não responde.

Servidor de DNS: <Nome do servidor> IP:<endereço IP> Erro: Domínio delegado interrompido <nome do domínio delegado > -modo não verboso

N/A

Erro: Não foi possível enumerar os registos na zona raiz do servidor

N/A

DynamicUpdate

 

Aviso Informações adicionais

Aviso: A Actualização dinâmica está activada na zona, mas não é segura <nome da zona>

Recomendam-se actualizações dinâmicas seguras.

Aviso: Não foi possível adicionar o registo de teste _dcdiag_test_record com o erro <código de erro> na zona <nome da zona>

O teste adiciona dinamicamente um registo fictício

Aviso: Não foi possível eliminar o registo de teste _dcdiag_test_record com o erro <código de erro> na zona <nome da zona>

Também elimina o registo adicionado.

 

Erro Informações adicionais

Erro: A Actualização dinâmica não está activada na zona <nome da zona>

A Actualização dinâmica não está activada na zona do Active Directory, pelo que o cliente não pode registar os seus registos.

Registo de registos

 

Aviso Informações Adicionais

Aviso: Falta o registo DC SRV no servidor de DNS <nome do registo>

Ignore o erro se a chave de registo DNSAvoidRegisterRecord ou a respectiva Política de Grupo tiver sido configurada para impedir o registo deste registo.

Aviso: Falta o registo GC SRV no servidor de DNS <nome do registo>

Ignore o erro se a chave de registo DNSAvoidRegisterRecord ou a respectiva Política de Grupo tiver sido configurada para impedir o registo deste registo.

Aviso: Falta o registo PDC SRV no servidor de DNS <nome do registo>

Ignore o erro se a chave de registo DNSAvoidRegisterRecord ou a respectiva Política de Grupo tiver sido configurada para impedir o registo deste registo.

Aviso: Não foram encontrados Registos de Registos em algumas placas de rede

N/A

 

Erro Informações adicionais

Erro: Falta o registo A no servidor de DNS <endereço IP do servidor de DNS> : <nome do registo A>

O DC não registou o respectivo registo A no servidor de DNS especificado.

Erro: Falta o registo CNAME no servidor de DNS <endereço IP do servidor de DNS> : <nome do registo CNAME>

O DC não registou o respectivo registo CNAME no servidor de DNS especificado.

Erro: Falta o registo DC SRV no servidor de DNS <endereço IP do servidor de DNS> : <nome do registo SRV>

O DC não registou o respectivo registo DC SRV no servidor de DNS especificado.

Erro: Falta o registo GC SRV no servidor de DNS <endereço IP do servidor de DNS> : <nome do registo SRV>

O DC não registou o respectivo registo GC SRV no servidor de DNS especificado.

Erro: Falta o registo PDC SRV no servidor de DNS <endereço IP do servidor de DNS> : <nome do registo SRV>

O DC não registou o respectivo registo PDC SRV no servidor de DNS especificado. Todos estes registos podem ser registados parando e iniciando o serviço netlogon.

Erro: Registos de registos não encontrados para todas as placas de rede

Se houver múltiplas placas de rede, o teste verifica se todos os registos estão, ou não, presentes em todos os servidores de DNS configurados em cada placa. Este erro ocorre se faltar o registo de registos no servidor de DNS.

Resolução de nomes externos

 

Erro Informações adicionais

Erro: Não é possível resolver o nome de Internet <nome>

Não é possível resolver o nome de Internet especificado. Certifique-se de que o cliente proxy, os servidores, as sugestões raiz e os reencaminhadores estão correctamente configurados.

Testes de infra-estrutura de DNS empresarial

 

Aviso Informações adicionais

Aviso: Não estão configurados reencaminhadores nem sugestões raiz do domínio subordinado para o principal

É necessário configurar os reencaminhadores ou as sugestões raiz nos servidores de DNS dos domínios principais ou subordinados que alojam as zonas autorizadas para o respectivo domínio de modo a que a activação da resolução de nomes funcione.

 

Erro Informações adicionais

Erro: A delegação não está configurada no domínio principal

A delegação deve ser configurada do domínio principal para o subordinado.

Erro: A delegação está presente mas falta o registo "glue"

A delegação está configurada mas falta o registo "glue" nos servidores de nomes.

Erro: Os reencaminhadores estão mal configurados do domínio principal para o domínio subordinado

Os reencaminhadores têm de ser configurados do domínio subordinado para o domínio principal.

Erro: As sugestões raiz estão mal configuradas do domínio principal para o domínio subordinado

As sugestões raiz têm de ser configuradas do domínio subordinado para o domínio principal.

Erro: Os reencaminhadores estão configurados do domínio subordinado para o principal, mas alguns falharam nos testes de servidor de DNS (Consulte a secção de servidores de DNS para obter detalhes sobre os erros)

Os reencaminhadores configurados têm um endereço IP inválido, não são servidores de DNS válidos ou a resolução de nomes não está a funcionar (não é possível resolver o registo SRV do domínio raiz da floresta se estiver no domínio sem ser raiz).

Erro: As sugestões raiz estão configurados do domínio subordinado para o principal, mas algumas falharam nos testes de servidor de DNS (Consulte a secção de servidores de DNS para obter detalhes sobre os erros)

As sugestões raiz configuradas têm um endereço IP inválido, não são um servidor de DNS válido ou a resolução de nomes não funciona.

Exemplos:

Os seguintes exemplos ilustram a utilização da ferramenta dcdiag no Windows Server 2003 SP1. Deve substituir os parâmetros em itálico pelos parâmetros apropriados para o seu ambiente:

  • Para executar todos os testes de DNS num único controlador de domínio, no modo não verboso:
    Dcdiag /test:DNS /s:NomeDCDestino /f:NomeFichRegisto
  • Para executar todos os testes de DNS num único controlador de domínio, no modo verboso:
    Dcdiag /test:DNS /s:NomeDCDestino /v /f:NomeFichRegisto
  • Para executar todos os testes de DNS numa floresta completa, no modo não verboso:
    Dcdiag /test:DNS /e /f:NomeFichRegisto
  • Para executar todos os testes de DNS numa floresta completa, no modo verboso:
    Dcdiag /test:DNS /v /e /f:NomeFichRegisto
  • Para executar o teste de DNS básico num único controlador de domínio:
    Dcdiag /test:DNS /DnsBasic /s:NomeDCDestino /f:NomeFichRegisto
  • Para executar o teste de reencaminhadores de DNS num único controlador de domínio:
    Dcdiag /test:DNS /DnsForwarders /s:NomeDCDestino /f:NomeFichRegisto
  • Para executar o teste de delegação de DNS num único controlador de domínio:
    Dcdiag /test:DNS /DnsDelegation /s:NomeDCDestino /f:NomeFichRegisto
  • Para executar o teste de actualização dinâmica de DNS num único controlador de domínio:
    Dcdiag /test:DNS /DnsDynamicUpdate /s:NomeDCDestino /f:NomeFichRegisto
  • Para executar o teste de registo de registos de DNS num único controlador de domínio:
    Dcdiag /test:DNS /DnsRecordRegistration /s:NomeDCDestino /f:NomeFichRegisto
  • Para resolver um exemplo de nome de Internet ou intranet:
    Dcdiag /test:DNS /DnsResolveExtName /DnsInternetName:NomeInternet /f: NomeFichRegisto
noteNota
Quando é executado um teste individual, por predefinição os testes /DnsBasic são executados antes de executar o teste individual especificado. Se não for especificado nenhum teste individual, por predefinição são executados todos os testes de DNS (excepto /DnsResolveName).

Novos testes de segurança da replicação do Active Directory

Descrição detalhada

A ferramenta DCDiag.exe foi melhorada para o Windows Server 2003 Service Pack 1 de modo a incluir uma nova funcionalidade para identificar as configurações de segurança que podem originar a falha na replicação do Active Directory.

O novo teste CheckSecurityError pode ser executado num ou em todos os controladores de domínio numa floresta do Active Directory. O teste executa as seguintes operações:

  • Verifica a disponibilidade de um Centro de Distribuição de Chaves (KDC, Key Distribution Center) nos domínios dos controladores de domínio de destino e de origem.
  • Verifica se o DC de destino pode transmitir e receber pacotes formatados em UDP suficientemente grandes (utilizado por Kerberos).
  • Verifica se o relógio do sistema do DC de destino tem uma diferença não superior a 5 minutos em relação à hora do sistema do KDC no domínio de destino e de origem, e DC de destino.
  • Confirma se a raiz de cada contexto de nomenclatura no controlador de domínio de origem está configurada com a permissão necessária.
  • Confirma se as contas de computador de DC de origem e de destino não estão desactivadas, se são fidedignas para a delegação e contêm todos os nomes principais de serviço necessários.

Uma vez concluído o teste, a ferramenta DCDiag.exe apresenta um resumo dos resultados para cada controlador de domínio testado e o diagnóstico dos erros de segurança encontrados

Este teste pode ser executado a partir da linha de comandos utilizando a seguinte sintaxe:

Dcdiag /test:CheckSecurityError

Opcionalmente, pode adicionar o parâmetro /ReplSource:DCOrigem ao comando para identificar um controlador de domínio específico como origem numa tentativa de replicação. O controlador de domínio especificado no parâmetro /replsource: não necessita de ser um controlador de domínio de origem actual a partir do qual o controlador de domínio que está a ser testado actualmente efectua a replicação (um dos controladores de domínio de destino tem actualmente um objecto de ligação de entrada). Este teste recolherá informações do controlador de domínio, servidores de origem e de destino do centro de distribuição de chaves (KDC) e Active Directory.

noteNota
Dcdiag /test:CheckSecurityError pode ser executado na consola de um computador membro (utilizando os comandos /e ou /s:nomeservidor) ou num controlador de domínio. Para obter melhores resultados, execute Dcdiag /test:CheckSecurityError na consola de cada controlador de domínio que esteja a falhar a replicação de entrada do Active Directory devido a um possível erro de segurança.

Porque é que esta alteração é importante?

Se a replicação não estiver a funcionar e o erro for um erro de segurança (tal como "Acesso Negado", "O nome da conta de destino está incorrecto" ou "O servidor de RPC não está disponível"), existem muitos factores diferentes que podem estar na origem do erro. Este teste automatiza o diagnóstico examinando as origens mais comuns destes erros e relatando-as, para que seja possível resolver o problema.

Considera isto útil?
(1500 caracteres restantes)
Obrigado pelos seus comentários

Conteúdo da Comunidade

Adicionar
Mostrar:
© 2014 Microsoft