1.2K
El DCDiag La herramienta se puede utilizar para diagnosticar el estado de los controladores de dominio de Active Directory, los servidores DNS, la replicación de AD y otros servicios de infraestructura de ADDS. Esta utilidad está integrada en las versiones modernas de Windows Server 2019/2016/2012R2 (en versiones anteriores de Windows Server, la utilidad DCDiag debe instalarse manualmente desde el paquete de herramientas de soporte). Si desea ejecutar DCDiag en las versiones del sistema operativo del cliente (Windows 11/10/8.1), debe instalar el paquete de la Herramienta de administración remota del sistema (RSAT) en su computadora.
La utilidad DcDiag puede realizar hasta 30 pruebas diferentes relacionadas con la infraestructura del dominio AD, DNS, roles FSMO, etc. Enumeremos brevemente las principales pruebas de la utilidad DCDiag:
Comandos DCDiag (prueba) |
Descripción de la prueba |
Publicidad |
Comprueba si el controlador de dominio se informa correctamente a sí mismo y su función como maestro de operaciones. Esta prueba falla si el servicio NetLogon no se está ejecutando. |
ComprobarSDRefDom |
Verifica la corrección de los descriptores de seguridad del dominio de referencia para cada sección de los directorios del programa. |
Conectividad |
Comprueba el registro de DNS para cada controlador de dominio; envía un paquete de eco de prueba a cada controlador de dominio y verifica las conexiones LDAP a cada controlador de dominio y las conexiones RPC. |
CrossRefValidation |
Comprueba la corrección de las referencias cruzadas de los dominios. |
rrssvol |
Comprueba el estado de preparación para FRS SYSVOL. |
FRSEvent |
Comprueba si hay errores de replicación en el servicio de replicación de archivos, lo que puede indicar problemas con la replicación de SYSVOL y, por lo tanto, la integridad de las copias de los objetos GPO. |
FSMOComprobar |
Compruebe el servidor de catálogo global, el controlador de dominio principal, el servidor horario preferido y el KDC. |
entre sitios |
Comprueba si hay errores que puedan interferir con la replicación normal entre sitios de AD. Microsoft advierte que a veces esta prueba puede no ser precisa. |
KnowsOfRoleHolders |
Comprueba la capacidad de conectar controladores de dominio a los cinco titulares de roles de FSMO. |
CuentaMáquina |
Verifica la exactitud del registro de la cuenta de la computadora de destino y la exactitud de los anuncios de servicio de esta computadora. |
NCSecDesc |
Verifica los permisos para la replicación en descriptores de seguridad para nombrar encabezados de contexto. |
NetLogons |
Verifica los permisos de registro que permiten el registro de cada controlador de dominio. |
ObjetosReplicados |
Verifica la replicación del agente del servidor de directorio y los objetos de cuenta de equipo. |
OutboundSecureChannels |
Comprueba la presencia de canales seguros entre todos los controladores de dominio del dominio. |
replicaciones |
Comprueba la replicación entre controladores de dominio e informa todos los errores de replicación. |
RidManager |
Comprueba la operatividad y disponibilidad del maestro RID. |
Servicios |
Verifica el estado de todos los servicios necesarios para el funcionamiento de ADDS en el controlador de dominio especificado. |
VerifyEnterpriseReferences |
Comprueba la validez de los vínculos del sistema del servicio de replicación de archivos para todos los objetos en todos los controladores de dominio del bosque. |
VerificarReferencias |
Comprueba la validez de las referencias del sistema del servicio de replicación de archivos para todos los objetos en el controlador de dominio especificado. |
Verificar réplicas |
Comprueba la validez de todas las secciones del directorio de la aplicación en todos los servidores involucrados en la replicación. |
Topología |
Comprueba si el KCC genera la topología correcta para todos los controladores de dominio. |
Servidores de corte |
Comprueba si hay servidores de replicación sin un socio. |
DNS |
Incluye seis DNS adicionales (ver más abajo). |
DcPromo |
Comprueba la infraestructura de DNS de cualquier equipo que desee promover a un controlador de dominio. Si la infraestructura cumple con los requisitos, puede instalar la función de controlador de dominio ADDS en la computadora. |
La sintaxis general de la utilidad DcDiag es:
dcdiag [/s:<DomainController>] [/n:<NamingContext>] [/u:<Domain><UserName> /p:{* | <Password> | ""}] [{/a | /e}] [{/q | /v}] [/i] [/f:<LogFile>] [/c [/skip:<Test>]] [/test:<Test>] [/fix] [{/h | /?}] [/ReplSource:<SourceDomainController>]
Ejemplos útiles del comando DcDiag
Se recomienda ejecutar la prueba DcDiag en el propio controlador de dominio y no de forma remota. Por ejemplo, ejecutemos una verificación en un controlador de dominio DC01:
dcdiag /s:DC01
Pista. Tenga en cuenta que es probable que encuentre eventos de advertencia cuando ejecute pruebas de DcDiag de forma remota. Las pruebas como SystemLog fallarán a menos que ejecute dcdiag.exe localmente en un controlador de dominio.
Cuando ejecuta la herramienta sin especificar parámetros, se ejecutan las 30 pruebas para el controlador de dominio especificado. En nuestro ejemplo, está claro que todas las pruebas pasaron con éxito (Prueba de inicio: …. prueba aprobada). Significa que todo está bien en este DC.
Los resultados de la prueba mostrarán Aprobado si la prueba fue exitosa y DcDiag no encontró errores. Si se encuentra un error, aparecerá el mensaje Fallido junto al nombre de la verificación.
DcDiag le permite realizar una prueba de estado general rápida de Active Directory y los controladores de dominio. Para verificar todos los DC en el dominio, use el parámetro /e. El siguiente comando solo enumerará los errores que requieren la atención del administrador de AD:
dcdiag /e /v /q
Puede realizar una prueba AD específica solo especificando su nombre, por ejemplo:
dcdiag /s:DC01 /a /test:NetLogons
o pruebe el estado del propietario del FSMO principal de RID en el dominio:
Dcdiag.exe /TEST:RidManager /v
O puede excluir una prueba específica de la lista de verificación:
dcdiag /s:DC01 /a /skip:Replication
Al iniciar la herramienta DcDiag de forma remota, debe especificar las credenciales con los privilegios de administrador del dominio:
dcdiag /s:DC01 /u:contosoadmin /p:P@SSwoord
Para mostrar la información ampliada y guardar los resultados de la prueba en archivos, use el comando:
dcdiag /s:DC01 /v /f:c:psdcdiag_report.log
Para probar todos los controladores de dominio en el sitio actual de Active Directory, ejecute el comando:
dcdiag /s:DC01 /a
Si desea eliminar la información adicional de los resultados de la prueba para mostrar solo los errores encontrados, use el parámetro /q (si no se encontraron errores, el comando no devolverá nada):
dcdiag /s:DC01 /q
Algunos errores triviales se pueden solucionar con DcDiag por sí mismo. Para hacer esto, use el modificador /fix:
dcdiag /s:DC01 /fix
¿Cómo probar el DNS de Active Directory con DcDiag?
Puede comprobar el estado de su servicio de resolución de nombres en AD mediante las pruebas de DNS. Por ejemplo, para ejecutar todas las pruebas de DNS para un controlador de dominio específico y exportar el resultado a un archivo de texto:
DCDiag /Test:DNS /e /v /s:dc01.theitbros.com >c:logsDcdiagDNSCheck.txt
Abra el archivo de registro de prueba de DNS resultante:
Get-Content c:logsDcdiagDNSCheck.txt
El resultado de cada prueba de DNS aparece en una columna en la sección «Resumen de los resultados de la prueba de DNS». En este ejemplo, todas las pruebas de DNS pasaron con éxito (PASS), excepto la prueba de reenvío de DNS (FAIL):
Solo puede ejecutar ciertas pruebas de DNS:
dcdiag /test:DNS [/DnsBasic | /DnsForwarders | /DnsDelegation | /DnsDynamicUpdate | /DnsRecordRegistration | /DnsResolveExtName [/DnsInternetName:<InternetName>] | /DnsAll] [/f:<LogFile>] [/x:<XMLLog.xml>] [/xsl:<XSLFile.xsl> or <XSLTFile.xslt>] [/s:<DomainController>] [/e] [/v]
/DnsBasic |
Pruebas básicas de DNS, conectividad, configuración del cliente DNS, disponibilidad del servicio, presencia de una zona de dominio |
/DnsForwarders |
Pruebas de DnsBasic y reenvío de DNS |
/DnsDelegación |
DnsBasic Pruebas y verificación de delegación |
/DnsDynamicUpdate |
Prueba DnsBasic y verifica si la actualización dinámica está habilitada para una zona de Active Directory |
/DnsRecordRegistration |
DnsBasic prueba y también verifica si los registros A, CNAME y los servicios SRV están registrados. Además, se genera un informe de inventario basado en los resultados de las pruebas. |
/DnsResolveExtName **[/DnsInternetName:<**InternetName>] |
DnsBasic prueba y resuelve InternetName. Si no se especifica DnsInternetName, la herramienta intenta resolver la dirección www.microsoft.com. Si se especifica DnsInternetName, resuelve el InternetName especificado. |
Por ejemplo, debe corregir automáticamente algunos errores comunes de DNS. Utilice el siguiente comando para corregir los errores encontrados en el servicio DNS en el controlador de dominio especificado:
DCDiag /Test:DNS /e /v /s:dc01.theitbros.com /fix
Pista. Los errores de DNS en un controlador de dominio suelen ser el origen del problema Error 1722, el servidor RPC no está disponible (RPC_S_SERVER_UNAVAILABLE) en un dominio de Active Directory.