当前位置:首页 > 域控制器诊断工具
? 您可以使用 Intranet 名称或 Internet 名称来测试名称解析。 ? 要解析用户提供的 Internet 或 Intranet 名称(而不是默认名称 www.microsoft.com),必须使用 /DnsInternetName 参数。
如何读取 DNS 增强 dcdiag 的输出以下步骤概括了如何解释 DNS 增强的 dcdiag 所提供的结果:
运行 dcdiagtest:DNS /e /f:dns.txt。Microsoft 建议始终使用 /v 开关获取详细信1. 息。 2. 在记事本或兼容的编辑器中打开报告。 3. 滚动到报告末尾并阅读总结表。 4. 在总结表中标识针对任何子测试返回的“警告”或“失败”状态的服务器。 检查该服务器的输出部分,以查看检测到的问题(提示:使用“编辑”菜单上的“查找”5. 命令在字符串“DC: DC_computername”(不包括引号)中搜索,以查找指定 DC 的详细部分。) 6. 根据需要解决有关 DNS 客户端或 DNS 服务器的问题。 再次运行 dcdiag /test:DNS /v /e(或 /s:DCName)以验证修补程序。重复第 1 步7. 到第 6 步,直到了解并协调了所有故障。
警告和错误Dcdiag 采用保守方法来识别可能有问题、不符合最佳实践配置或者 dcdiag 无法完整验证的 DNS 客户端或 DNS 服务器配置。因此,dcdiag 的总结和详细部分可能会报告目前运行正常的 DNS 配置的警告。当由 dcdiag 进行识别时,管理员应该查看并验证此类配置。
下表包含的配置可以触发 dcdiag,以报告每个 DNS 子集的警告或错误。
基本警告附加信息警告:适配器 <适配器名称> 具有动态 IP 地址 建议为所有 DNS 服务器使用静态 IP 地址。
警告:适配器 <适配器名称> 具有无效的 DNS 服务器:<名称>
警告:无 DNS RPC 连接(出错或当前运行的是非 Microsoft DNS 服务器)
如果 DNS 服务器为 BIND 服务器或其他非 Microsoft DNS 服务器,则可以忽略此警告。 警告:未找到此 DC/DNS 服务器上的 Active Directory 区域 N/A
警告:未找到此 DC/DNS 服务器上的根区域 N/A
错误附加信息错误:使用指定的凭据身份验证失败 DCDIAG 需要企业管理员凭据才能运行所有测试。 错误:没有 LDAP 连接 N/A
错误:没有 DS RPC 连接 N/A
错误:没有 WMI 连接
DNS 测试要求 WMI 连接才能在远程计算机上运行。 错误:无法通过 WMI 读取操作系统版本
这可能是因为远程计算机上缺少 WMI 连接。 错误:<操作系统名称> 不受支持(只有 Windows 2000、Windows XP 和 Windows Server 2003 支持此工具) N/A
错误:打开服务控制管理程序失败 无法查看服务是否正在运行。
错误:Kdc/netlogon/DNS/dnscache 没有运行 某些关键服务没有运行。
错误:无法通过 WMI 读取网络适配器信息 N/A
错误:所有 DNS 服务器都无效
客户端所指向的 DNS 服务器要么无法访问、要么不是 DNS 服务器、要么具有无效的 IP 地址。
错误:未找到此 DC 的 A 记录
每个 DC 都应该注册一个 A 记录。请确保客户端所指向的所有 DNS 服务器上都注册了 A 记录。
错误:区域枚举无法找到根和 AD 区域 N/A
错误:无法查询此 DC 上的 DNS 区域 确保要在其中注册 DC 的区域存在。
转发器错误附加信息错误:转发器列表具有无效的转发器:<转发器的 IP 地址>
DNS 服务器上配置的转发器具有无效的 IP 地址或者不是一个 DNS 服务器,或者名称解析无法正常工作(也就是说,如果它是非根域 DC,将无法解析林根域 SRV 记录)。 错误:既未配置根提示,也未配置转发器。请配置转发器或根提示
请确保 DNS 服务器上已配置转发器或根提示,除非该服务器寄存根区域。 错误:根提示列表具有无效的根提示服务器:<根提示服务器的 IP 地址>
DNS 服务器上配置的根提示服务器具有无效的 IP 地址或者不是一个 DNS 服务器,或者名称解析无法正常工作(也就是说,如果它是非根域 DC,将无法解析林根域 SRV 记录)。 错误:<根提示服务器名称> IP:<不可用> 状态:<服务器的状态>
配置的根提示服务器没有相应的 IP 地址。状态字段将告诉您服务器的状态 错误:<根提示服务器名称> IP:<不可用> 状态:未找到 A 记录 配置的根提示服务器没有 A 记录。
错误:
委派警告附加信息警告:DNS 服务器:
配置的委派缺少粘附 A 记录。
错误附加信息DNS 服务器:<服务器名称> IP:
DNS 服务器:<服务器名称> IP:
错误:无法枚举服务器的区域根上的记录 暂缺
DynamicUpdate警告附加信息警告:区域上已启用动态更新,但不是安全的 <区域名称> 建议采用安全的动态更新。
警告:无法在区域 <区域名称> 中添加包含错误 <错误代码> 的测试 record _dcdiag_test_record 测试动态添加虚拟记录
警告:无法在区域 <区域名称> 中删除包含错误 <错误代码> 的测试 record _dcdiag_test_record 还会删除添加的记录。
错误附加信息错误:区域 <区域名称> 上未启用动态更新
Active Directory 区域上未启用动态更新,因此客户端无法注册其记录。
记录注册警告其他信息警告:DNS 服务器中缺少 DC SRV 记录 <记录名称>
如果已配置 DNSAvoidRegisterRecord 注册表项或其组策略用以阻止注册此记录,则请忽略此错误。
警告:DNS 服务器中缺少 GC SRV 记录 <记录名称>
如果已配置 DNSAvoidRegisterRecord 注册表项或其组策略以阻止注册此记录,则请忽略此错误。
警告:DNS 服务器中缺少 PDC SRV 记录 <记录名称>
如果已配置 DNSAvoidRegisterRecord 注册表项或其组策略以阻止注册此记录,则请忽略此错误。
警告:某些网络适配器中未找到记录注册 N/A
错误附加信息错误:DNS 服务器
错误:DNS 服务器
错误:DNS 服务器
错误:DNS 服务器
错误:DNS 服务器
DC 尚未在指定的 DNS 服务器上注册指定的 PDC SRV 记录。所有这些记录都可以通过停止并启动 netlogon 服务来注册。
错误:所有网络适配器都无法找到记录注册 如果有多个网络适配器,则测试将检查是否所有记录都显示在每个适配器上配置的所有 DNS 服务器上。如果 DNS 服务器中缺少记录注册,就会发生此错误。
外部名称解析错误附加信息错误:无法解析 Internet 名称 <名称> 无法解析指定的 Internet 名称。请确保已正确配置代理客户端、服务器、根提示和转发器。
企业 DNS 结构测试警告附加信息警告:从从属域到父域既未配置转发器也未配置根提示 需要在寄存其各自区域的授权区域的父域或从属域中配置转发器或根提示,才能使名称解析正常工作。
错误附加信息错误:父域上未配置委派 从父域到从属域都应该配置委派。 错误:存在委派但缺少粘附记录
配置了委派,但名称服务器缺少其粘附记录。 错误:从父域到从属域的转发器配置错误 必须配置从从属域到父域的转发器。 错误:从父域到从属域的根提示配置错误 必须配置从从属域到父域的根提示。 错误:配置了从从属域到父域的转发器,但某些转发器未通过 DNS 服务器测试(请参阅 DNS 服务器部分了解错误详细信息)
配置的转发器具有无效的 IP 地址或者不是一个有效的 DNS 服务器,或者名称解析无法正常工作(如果它位于非根域中,将无法解析林根域 SRV 记录)。 错误:配置了从从属域到父域的根提示,但某些转发器未通过 DNS 服务器测试(请参阅 DNS 服务器部分了解错误详细信息)
配置的根提示具有无效的 IP 地址或者不是一个有效的 DNS 服务器,或者名称解析无法正常工作。
示例:以下示例演示了 Windows Server 2003 SP1 dcdiag 的使用。您应该将以斜体表示的参数替换为适用于您环境的参数: ? 要以非详细模式在单个域控制器上运行所有 DNS 测试,请执行以下操作: Dcdiag /test:DNS /s:TargetDCName /f:LogFileName 要以详细模式在单个域控制器上运行所有 DNS 测试,请执行以下操作: Dcdiag /test:DNS /s:TargetDCName /v /f:LogFileName 要以非详细模式在整个林中运行所有 DNS 测试,请执行以下操作: Dcdiag /test:DNS /e /f:LogFileName 要以详细模式在整个林中运行所有 DNS 测试,请执行以下操作: Dcdiag /test:DNS /v /e /f:LogFileName 要在单个域控制器上运行 DNS 基本测试,请执行以下操作: Dcdiag /test:DNS /DnsBasic /s:TargetDCName /f:LogFileName 要在单个域控制器上运行 DNS 转发器测试,请执行以下操作: Dcdiag /test:DNS /DnsForwarders /s:TargetDCName /f:LogFileName 要在单个域控制器上运行 DNS 委派测试,请执行以下操作: Dcdiag /test:DNS /DnsDelegation /s:TargetDCName /f:LogFileName 要在单个域控制器上运行 DNS 动态更新测试,请执行以下操作: Dcdiag /test:DNS /DnsDynamicUpdate /s:TargetDCName /f:LogFileName ? ? ? ? ? ? ? ? 要在单个域控制器上运行 DNS 记录注册测试,请执行以下操作:
Dcdiag /test:DNS /DnsRecordRegistration /s:TargetDCName /f:LogFileName 要解析示例 Internet 或 Intranet 名称,请执行以下操作: ? Dcdiag /test:DNS /DnsResolveExtName /DnsInternetName:InternetName /f: LogFileName 注: 当运行单个测试时,在运行指定的单个测试之前,将默认运行 /DnsBasic 测试。 如果未指定单个测试,则默认情况下将运行所有 DNS 测试(/DnsResolveName 除外)。
新的 Active Directory 复制安全性测试
详细说明DCDiag.exe 已在 Windows Server 2003 Service Pack 1 中得到了增强,包括用于识别可能会导致 Active Directory 复制失败的安全配置的新功能。
可以在 Active Directory 林中的一个或所有域控制器上执行新的 CheckSecurityError 测试。该测试执行下列操作:
? 检查目标域控制器和源域控制器的域中的“密钥发行中心 (KDC)”是否可用。 ? 验证目标 DC 是否足以收发较大的 UDP 格式的数据包(供 Kerberos 使用)。 ? 验证目标 DC 的系统时钟与目标域和源域中的 KDC 以及源 DC 的系统时间相差不超过 5 分钟。 ? 确认为源域控制器上每个命名上下文的根配置了必要的权限。 ? 确认未禁用源 DC 和目标 DC 计算机帐户,可以得到委派信任,并且包含所有必要的服务主体名称。 测试完成时,DCDiag.exe 将显示所测试的每个域控制器的结果总结以及遇到的安全错误的诊断。
可以使用以下语法从命令行运行此测试: Dcdiag /test:CheckSecurityError 或者,您可以在命令中添加 /ReplSource:SourceDC 开关,以将特定的域控制器标识为复制尝试的来源。/replsource: 参数中指定的域控制器不必是当前源域控制器,即当前所测试的域控制器从该源控制器复制(目标域控制器当前具有来自该源控制器的入站连接对象)。此测试将收集来自域控制器、密钥发行中心 (KDC) 源服务器和目标服务器以及 Active Directory 的信息。 注: Dcdiag /test:CheckSecurityError 可以在成员计算机(使用 /e 或 /s:servername 命令)以及域控制器的控制台上执行。要获得最佳效果,请在入站 Active Directory 复制 由于可疑安全错误而失败的每个域控制器的控制台上运行 Dcdiag /test:CheckSecurityError
本文作者:...共分享92篇相关文档
