Prueba de controladores de dominio de Active Directory mediante DcDiag.exe – 2xsoftware

El DCDiag La herramienta se puede utilizar para diagnosticar el estado de los controladores de dominio de Active Directory, los servidores DNS, la replicación de AD y otros servicios de infraestructura de ADDS. Esta utilidad está integrada en las versiones modernas de Windows Server 2019/2016/2012R2 (en versiones anteriores de Windows Server, la utilidad DCDiag debe instalarse manualmente desde el paquete de herramientas de soporte). Si desea ejecutar DCDiag en las versiones del sistema operativo del cliente (Windows 11/10/8.1), debe instalar el paquete de la Herramienta de administración remota del sistema (RSAT) en su computadora.

La utilidad DcDiag puede realizar hasta 30 pruebas diferentes relacionadas con la infraestructura del dominio AD, DNS, roles FSMO, etc. Enumeremos brevemente las principales pruebas de la utilidad DCDiag:

Comandos DCDiag (prueba)

Descripción de la prueba

Publicidad

Comprueba si el controlador de dominio se informa correctamente a sí mismo y su función como maestro de operaciones. Esta prueba falla si el servicio NetLogon no se está ejecutando.

ComprobarSDRefDom

Verifica la corrección de los descriptores de seguridad del dominio de referencia para cada sección de los directorios del programa.

Conectividad

Comprueba el registro de DNS para cada controlador de dominio; envía un paquete de eco de prueba a cada controlador de dominio y verifica las conexiones LDAP a cada controlador de dominio y las conexiones RPC.

CrossRefValidation

Comprueba la corrección de las referencias cruzadas de los dominios.

rrssvol

Comprueba el estado de preparación para FRS SYSVOL.

FRSEvent

Comprueba si hay errores de replicación en el servicio de replicación de archivos, lo que puede indicar problemas con la replicación de SYSVOL y, por lo tanto, la integridad de las copias de los objetos GPO.

FSMOComprobar

Compruebe el servidor de catálogo global, el controlador de dominio principal, el servidor horario preferido y el KDC.

entre sitios

Comprueba si hay errores que puedan interferir con la replicación normal entre sitios de AD. Microsoft advierte que a veces esta prueba puede no ser precisa.

KnowsOfRoleHolders

Comprueba la capacidad de conectar controladores de dominio a los cinco titulares de roles de FSMO.

CuentaMáquina

Verifica la exactitud del registro de la cuenta de la computadora de destino y la exactitud de los anuncios de servicio de esta computadora.

NCSecDesc

Verifica los permisos para la replicación en descriptores de seguridad para nombrar encabezados de contexto.

NetLogons

Verifica los permisos de registro que permiten el registro de cada controlador de dominio.

ObjetosReplicados

Verifica la replicación del agente del servidor de directorio y los objetos de cuenta de equipo.

OutboundSecureChannels

Comprueba la presencia de canales seguros entre todos los controladores de dominio del dominio.

replicaciones

Comprueba la replicación entre controladores de dominio e informa todos los errores de replicación.

RidManager

Comprueba la operatividad y disponibilidad del maestro RID.

Servicios

Verifica el estado de todos los servicios necesarios para el funcionamiento de ADDS en el controlador de dominio especificado.

VerifyEnterpriseReferences

Comprueba la validez de los vínculos del sistema del servicio de replicación de archivos para todos los objetos en todos los controladores de dominio del bosque.

VerificarReferencias

Comprueba la validez de las referencias del sistema del servicio de replicación de archivos para todos los objetos en el controlador de dominio especificado.

Verificar réplicas

Comprueba la validez de todas las secciones del directorio de la aplicación en todos los servidores involucrados en la replicación.

Topología

Comprueba si el KCC genera la topología correcta para todos los controladores de dominio.

Servidores de corte

Comprueba si hay servidores de replicación sin un socio.

DNS

Incluye seis DNS adicionales (ver más abajo).

DcPromo

Comprueba la infraestructura de DNS de cualquier equipo que desee promover a un controlador de dominio. Si la infraestructura cumple con los requisitos, puede instalar la función de controlador de dominio ADDS en la computadora.

La sintaxis general de la utilidad DcDiag es:

dcdiag [/s:<DomainController>] [/n:<NamingContext>] [/u:<Domain><UserName> /p:{* | <Password> | ""}] [{/a | /e}] [{/q | /v}] [/i] [/f:<LogFile>] [/c [/skip:<Test>]] [/test:<Test>] [/fix] [{/h | /?}] [/ReplSource:<SourceDomainController>]

Ejemplos útiles del comando DcDiag

Se recomienda ejecutar la prueba DcDiag en el propio controlador de dominio y no de forma remota. Por ejemplo, ejecutemos una verificación en un controlador de dominio DC01:

dcdiag /s:DC01

Pista. Tenga en cuenta que es probable que encuentre eventos de advertencia cuando ejecute pruebas de DcDiag de forma remota. Las pruebas como SystemLog fallarán a menos que ejecute dcdiag.exe localmente en un controlador de dominio.

Cuando ejecuta la herramienta sin especificar parámetros, se ejecutan las 30 pruebas para el controlador de dominio especificado. En nuestro ejemplo, está claro que todas las pruebas pasaron con éxito (Prueba de inicio: …. prueba aprobada). Significa que todo está bien en este DC.

Los resultados de la prueba mostrarán Aprobado si la prueba fue exitosa y DcDiag no encontró errores. Si se encuentra un error, aparecerá el mensaje Fallido junto al nombre de la verificación.

dcdiag

DcDiag le permite realizar una prueba de estado general rápida de Active Directory y los controladores de dominio. Para verificar todos los DC en el dominio, use el parámetro /e. El siguiente comando solo enumerará los errores que requieren la atención del administrador de AD:

dcdiag /e /v /q

Puede realizar una prueba AD específica solo especificando su nombre, por ejemplo:

dcdiag /s:DC01 /a /test:NetLogons

o pruebe el estado del propietario del FSMO principal de RID en el dominio:

Dcdiag.exe /TEST:RidManager /v

O puede excluir una prueba específica de la lista de verificación:

dcdiag /s:DC01 /a /skip:Replication

Al iniciar la herramienta DcDiag de forma remota, debe especificar las credenciales con los privilegios de administrador del dominio:

dcdiag /s:DC01 /u:contosoadmin /p:P@SSwoord

Para mostrar la información ampliada y guardar los resultados de la prueba en archivos, use el comando:

dcdiag /s:DC01 /v /f:c:psdcdiag_report.log

Para probar todos los controladores de dominio en el sitio actual de Active Directory, ejecute el comando:

dcdiag /s:DC01 /a

Si desea eliminar la información adicional de los resultados de la prueba para mostrar solo los errores encontrados, use el parámetro /q (si no se encontraron errores, el comando no devolverá nada):

dcdiag /s:DC01 /q

dcdiag windows 10

Algunos errores triviales se pueden solucionar con DcDiag por sí mismo. Para hacer esto, use el modificador /fix:

dcdiag /s:DC01 /fix

¿Cómo probar el DNS de Active Directory con DcDiag?

Puede comprobar el estado de su servicio de resolución de nombres en AD mediante las pruebas de DNS. Por ejemplo, para ejecutar todas las pruebas de DNS para un controlador de dominio específico y exportar el resultado a un archivo de texto:

DCDiag /Test:DNS /e /v /s:dc01.theitbros.com >c:logsDcdiagDNSCheck.txt

Abra el archivo de registro de prueba de DNS resultante:

Get-Content c:logsDcdiagDNSCheck.txt

El resultado de cada prueba de DNS aparece en una columna en la sección «Resumen de los resultados de la prueba de DNS». En este ejemplo, todas las pruebas de DNS pasaron con éxito (PASS), excepto la prueba de reenvío de DNS (FAIL):

lista de comandos dcdiag

Solo puede ejecutar ciertas pruebas de DNS:

dcdiag /test:DNS [/DnsBasic | /DnsForwarders | /DnsDelegation | /DnsDynamicUpdate | /DnsRecordRegistration | /DnsResolveExtName [/DnsInternetName:<InternetName>] | /DnsAll] [/f:<LogFile>] [/x:<XMLLog.xml>] [/xsl:<XSLFile.xsl> or <XSLTFile.xslt>] [/s:<DomainController>] [/e] [/v]

/DnsBasic

Pruebas básicas de DNS, conectividad, configuración del cliente DNS, disponibilidad del servicio, presencia de una zona de dominio

/DnsForwarders

Pruebas de DnsBasic y reenvío de DNS

/DnsDelegación

DnsBasic Pruebas y verificación de delegación

/DnsDynamicUpdate

Prueba DnsBasic y verifica si la actualización dinámica está habilitada para una zona de Active Directory

/DnsRecordRegistration

DnsBasic prueba y también verifica si los registros A, CNAME y los servicios SRV están registrados. Además, se genera un informe de inventario basado en los resultados de las pruebas.

/DnsResolveExtName **[/DnsInternetName:<**InternetName>]

DnsBasic prueba y resuelve InternetName. Si no se especifica DnsInternetName, la herramienta intenta resolver la dirección www.microsoft.com. Si se especifica DnsInternetName, resuelve el InternetName especificado.

Por ejemplo, debe corregir automáticamente algunos errores comunes de DNS. Utilice el siguiente comando para corregir los errores encontrados en el servicio DNS en el controlador de dominio especificado:

DCDiag /Test:DNS /e /v /s:dc01.theitbros.com /fix

Pista. Los errores de DNS en un controlador de dominio suelen ser el origen del problema Error 1722, el servidor RPC no está disponible (RPC_S_SERVER_UNAVAILABLE) en un dominio de Active Directory.

Valora este artculo post

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *