windows 2000中有一款域控制器診斷工具，可以分析目錄林或組織中域控制器的狀態(tài)。具體內(nèi)容如下所述。

一．功能介紹

Dcdiag.exe是域控制器診斷工具，在講解這個(gè)工具之前，必須先進(jìn)行若干概念的詮釋。

1．域：簡單地說，網(wǎng)絡(luò)就是由域所組成的，是數(shù)據(jù)安全集中管理的單位，具有唯一的名字，域可在活動目錄中定義安全邊界。域原是在windowsNT中出現(xiàn)的，到CW2KP仍被繼承下來．

2.目錄林（有些資料上干脆稱為森林）：看名字就知道，這是許多目錄的集合體．確切含義請參考有關(guān)資料．

如所周知，windows2000對網(wǎng)絡(luò)功能進(jìn)行了很多加強(qiáng)，本診斷工具僅在網(wǎng)絡(luò)環(huán)境下才能使用，單機(jī)環(huán)境不可能遇到的域控制器.也就遑論對域控制器進(jìn)行診斷了．Dcdiag可以分析目錄林或＂組織＂中的域控制器狀態(tài)，并生成一個(gè)報(bào)告，報(bào)告將所有通過診斷測試得到的問題匯集在自身中，當(dāng)管理人員或技術(shù)支持人員分析問題和排除故障時(shí)候，依此作為判斷的參考資料．DcDiag本身可以向終端用戶報(bào)告問題，在程序中，已經(jīng)封裝有詳細(xì)的、關(guān)于如何識別系統(tǒng)不正常狀態(tài)的功能和相關(guān)知識。

如果將DcDiag理解為一個(gè)框架的話，那么，這個(gè)框架就是由（對系統(tǒng)的）一系列測試和校驗(yàn)構(gòu)成的．當(dāng)然，既然是測試，這些測試就必須以一定的順序進(jìn)行．程序依照用戶的選擇來進(jìn)行域控制器的診斷測試，從范圍上說，測試可以是針對組織單位、站點(diǎn)或者是單一服務(wù)器的某些項(xiàng)，也可以針對所有項(xiàng)目進(jìn)行完整的測試．從執(zhí)行方法上說，測試既可以指定某一項(xiàng)目，也可以跳過某些無必要的項(xiàng)目．通常應(yīng)有下列項(xiàng)目：

·連通性

·復(fù)制

·拓補(bǔ)完整性

·檢查NCHead安全描述符

·檢查登錄權(quán)

·取得域控制器位置

·安全邊界

·檢查任務(wù)或腳色.

·信任關(guān)系的驗(yàn)證．

在以前介紹的NetDiag連通測試工具中也有關(guān)于信任關(guān)系驗(yàn)證的項(xiàng)目．（可以參考本人上一篇＂連通測試工具中的介紹＂）

二.使用語法：

dcdiag/s:DomainController[/n:NamingContext][/u:Domain\Username/p:{*|Password|""}][{/a|/e}][{/q|/v}][/i][/f:LogFile][/ferr:ErrLog][/c[/skip:Test]][/test:Test][{/h|/?}]

參數(shù)含義及說明：

/s:DomainController

域控制器使用的主服務(wù)器，這是一個(gè)必須的參數(shù)，不可省去。

/n:NamingContext

指定測試的時(shí)候關(guān)聯(lián)的系統(tǒng)，域可以指定NetBIOS、DNS或別的系統(tǒng)。

/u:Domain\Username/p:{*|Password|""}

使用”域/用戶名”所附的信任憑證時(shí)的提示符號，其實(shí)就是密碼的顯示符號，例如，我們在鍵入密碼時(shí)，通常顯示的并不是密碼本身，而是*****符號．也有使用．．．．作為顯示符號的．

/a

測試網(wǎng)站的所有的服務(wù)器。

/e

在整個(gè)規(guī)劃中測試所有的服務(wù)器，并忽略選項(xiàng)/a

/q

在空閑的時(shí)間內(nèi)打印錯(cuò)誤信息報(bào)告。

/v

打印詳細(xì)的信息報(bào)告．

/i

忽略多余的錯(cuò)誤信息。

/f:LogFile

將所有的信息報(bào)告改為輸出到由LogFile命名的登記文件中，也就是不再將信息報(bào)告輸出到系統(tǒng)默認(rèn)的登記文件。

/ferr:ErrLog

將致命的錯(cuò)誤信息改為輸出到由ErrLog.命名的、單獨(dú)的登記文件中，與上一條類似．

/c

運(yùn)行所有測試項(xiàng)目，包括非默認(rèn)的測試．當(dāng)然如果已經(jīng)確定某些項(xiàng)目無需測試，可以使用/skip開關(guān)來指定哪些測試可以跳過。所謂非默認(rèn)的測試是指下列幾項(xiàng)：

拓補(bǔ)

對方服務(wù)器是否關(guān)閉服務(wù)器

安全通道輸出范圍.

skip:Test

用skip開關(guān)指出要跳過不測的項(xiàng)目，必須在使用/c（選擇完全測試）的時(shí)候才能用這個(gè)來配合，并且注意在命令行中不能出現(xiàn)互相矛盾的選擇項(xiàng)。

/test:Test

只運(yùn)行單一測試,但連通測試不可跳過,并且在命令行中注意不能出現(xiàn)互相矛盾的選擇．

不論指定進(jìn)行哪些測試，或要指定跳過哪些測試，都必須使用以下的名字:

Connectivity連通性

測試域控制器是否在DNS（域名解析服務(wù)系統(tǒng)）已經(jīng)登記注冊、或通過Ping測試，并已經(jīng)具備LDAP/RPC的連用性．.

Replications復(fù)制

檢查域控制器之間的復(fù)制.

Topology拓補(bǔ)

檢查全部域控制器的所有鏈結(jié)的拓補(bǔ)（結(jié)構(gòu)）

CutoffServers

檢查服務(wù)器因?qū)Ψ椒?wù)器關(guān)閉而還沒有接受到的復(fù)制

NCSecDesc

以名子為關(guān)聯(lián)信息檢查安全描述符

NetLogons

檢查登陸權(quán)限是否適當(dāng)，如果適當(dāng)則允許復(fù)制繼續(xù)進(jìn)行

LocatorGetDc

檢查每個(gè)域控制器是否有可以關(guān)閉的廣告．

Intersite

檢查臨時(shí)位際的復(fù)制

RolesHeld

檢查已知的全局＂任務(wù)占有者（role-holders）＂、可能的位置及其響應(yīng)．

RidManager

檢測RID是否可訪問以及相關(guān)信息的正確性．

MachineAccount

檢查計(jì)算機(jī)賬號信息.

Services

檢測域控制器服務(wù)的運(yùn)行

OutboundSecureChannels

從所指定的域中檢查安全通道

ObjectsReplicated

檢查計(jì)算機(jī)賬號和DSA對象的復(fù)制

{/h|/?}顯示幫助信息．

三.驗(yàn)證及發(fā)現(xiàn)的問題

這個(gè)工具只能運(yùn)行于在命令行中．仿照以前介紹的命令行窗口的打開方法，打開該窗口后，在提示符后面鍵入：dcdiag／？或dcdiag/h，可以顯示幫助信息．大概是這個(gè)工具的項(xiàng)目太多吧！顯示出來的幫助信息很長，對工具中的每個(gè)測試項(xiàng)目的使用方法，都有很詳細(xì)的介紹．如果想仔細(xì)研究，建議把這些信息保存到一個(gè)文件中，便于以后仔細(xì)研究．要保存這些幫助信息，可以在命令行窗口中顯示出完整的幫助信息后，鼠標(biāo)移動至屏幕下面＂托盤＂中命令行窗口的圖標(biāo)上后，點(diǎn)擊右鍵，會出現(xiàn)一個(gè)菜單，其中有＂編輯＂一項(xiàng)，再將鼠標(biāo)移動至＂編輯＂，自動會顯示出下一層菜單，先點(diǎn)擊＂全選＂、后點(diǎn)擊＂復(fù)制＂，就可以將其粘貼到記事本等窗口中保存起來．

從顯示的信息看，其內(nèi)容與上面（第二部分）介紹的有不少出入．同是一個(gè)工具，其專門的幫助文檔和用／？得出的幫助信息不一樣，在SupportTools中已經(jīng)不是第一次遇到，其中原因我始終沒有搞清楚．經(jīng)對照發(fā)現(xiàn)，以下項(xiàng)目就是幫助文檔中沒有的：

/fix:安全修復(fù)

frssysvol-這個(gè)測試用來檢查文件（以及系統(tǒng)卷）復(fù)制系統(tǒng)是否準(zhǔn)備就緒．

kccevent-這個(gè)測試用來檢查外部Com端口的兼容（或沖突）方面的問題

systemlog-這個(gè)測試用來檢查系統(tǒng)運(yùn)行的外部錯(cuò)誤

以上信息是我截取命令行窗口中的提示信息后，與幫助文檔對照后發(fā)現(xiàn)的．同時(shí)，也發(fā)現(xiàn)某些項(xiàng)目在幫助文檔中有介紹，但在提示信息中卻沒有．對于工具中的測試項(xiàng)目，我考慮到時(shí)間和條件，僅僅進(jìn)行了很少部分的驗(yàn)證，正常運(yùn)行是沒問題的．

希望本文對windows 2000域控制器診斷工具的簡介能夠?qū)ψx者有所幫助。

【編輯推薦】

1. 兩臺域控制器如何實(shí)現(xiàn)AD遷移？
2. 如何配置域控制器NTP Server服務(wù)？
3. 在RHEL4系統(tǒng)中如何搭建主域控制器？
4. 利用域控制器中的組策略給客戶打補(bǔ)丁的方法
5. Windows 2000域控制器中用戶、組、共享資源的管理