Forhåpentligvis nå, forstår du at det Domain Controller Diagnostic Utility har mye av forskjellen som er at du kan bruke til å konfigurere verktøyet til å kjøre på den måten som er mest fornuftig for din individuelle situasjon. Nå som jeg har gått over kommandolinjebrytere, ønsker jeg å slå min oppmerksomhet til de enkelte testene at nytten er i stand til å kjøre.
Advertising
første test at du kan kjøre er reklame test. Denne testen utfører en sjekk for å finne ut hvorvidt hver Directory System Agent reklamerer seg selv. Hvis Directory System Agent blir annonsert, så testen gjør at reklamen viser domenekontroller som å ha egenskapene til en Directory System Agent.
I tilfelle du ikke er kjent med konseptet med en Directory System Agent, en Directory System Agent (ofte forkortet til DSA) er egentlig en samling av flere tjenester og prosesser som kjører på en domenekontroller. Dens oppgave er å gi tilgang til Active Directory Database. DSA er en underkomponent av den lokale systemtilsyn (LSA). Grunnen til at det involverer flere prosesser og tjenester er fordi det gir flere mekanismer der det kan nås av kunder.
Trolig den mest kjente av disse mekanismene er Light Weight Directory Access Protocol, mer kjent som LDAP. LDAP er protokollen der de fleste av de nyere Windows-operativsystemer søke i Active Directory. Eldre klienter fortsatt kreve tilgang til DSA, men vanligvis gjør det gjennom Security Account Manager (SAM). Dette er ikke den eneste mekanisme gjennom hvilken DSA nås. For eksempel, kommuniserer Microsoft utveksling med DSA bruker MAPI-baserte RPC samtaler. DSAs også kommunisere med hverandre ved hjelp av eksterne prosedyrekall.
CheckSDRefDom
Denne spesielle testen kontrollerer at alle programkatalog partisjoner ha de nødvendige sikkerhetsbeskrivelse refererte domener. Jeg gjetter at denne testen skal være meningsløst for alle som ikke er en Active Directory-ekspert. Derfor ønsker jeg å ta et par minutter og forklare hva denne testen er.
Som jeg er sikker på at du sikkert vet, hvert objekt i Active Directory inneholder en sikkerhetsbeskrivelse. Den sikkerhetsbeskrivelser jobb er å opprettholde en liste over adgangskontroll informasjon. Normalt den innebygde sikkerhetsbeskrivelse fungerer ganske bra for å opprettholde en oversikt over hvem som har tilgang til hva. Problemer kan oppstå hvis én organisasjon begynner å bruke programkatalog partisjoner (tidligere kjent som Active Directory Application Mode eller ADAM). Grunnen til dette er at søknaden katalog partisjoner er domene uavhengige. Faktisk er det mulig å lage et program katalog partisjon, og deretter gjenskape den partisjonen til andre domenekontrollere på tvers av flere domener. På grunn av dette problemet, tildeler Windows en sikkerhetsbeskrivelse henvisning domene til hvert program katalogen partisjonen når den er opprettet.
Sikkerhetsbeskrivelsen referansen domene forteller programkatalog partisjon som domenenavn for å bruke når et domene verdi må inngås en Sikkerhetsbeskrivelsen. Windows har mange regler som bestemmer hva domenenavn brukes. For å si det enkelt, hvis du lager en ny søknad katalog partisjon som ikke er et barn av en annen partisjon, og sikkerhetsbeskrivelse referansen domene bruker skogen rotdomene som domenenavn til bruk innenfor de ulike sikkerhetsbeskrivelser. Dersom søknaden katalogen partisjonen er et barn av et annet objekt, så tar det på sikkerhetsbeskrivelse referansen domenet til sin overordnede objektet.
CheckSecurityError
neste test som jeg ønsker å snakke om er Check Sikkerhetsfeil test. I motsetning til forrige test som jeg snakket om, er Check Security Feil test ikke kjøre som standard. Hvis du ønsker å kjøre denne testen, må du angi det manuelt i DCDIAG kommandoen.
Når du kjører denne testen, lokaliserer DCDIAG eventuelle sikkerhetsrelaterte feil, samt feil som kan muligens være relatert til sikkerhet, og deretter forsøker å diagnostisere problemet. Det er en valgfri parameter som du kan bruke med denne bryteren. Den /ReplSource bryteren kan du angi et bestemt domenekontroller for å kjøre testen mot. Du kan bruke en domenekontroller som du vil, uavhengig av feilstatus eller hvorvidt det er en aktuell partner. Bare skriv inn navnet på testen (CheckSecurityError), og legge til /ReplSource bryteren, et kolon, og navnet på domenekontrolleren som du ønsker å teste.
Tilkobling
Connectivity testen er en av de mest nyttige tester som du kan kjøre. Faktisk er denne testen så viktig at DCDIAG ikke engang tillate deg å hoppe over det. Hvis du kjører en standard forekomst av DCDIAG, er tilkoblingstesten kjøres automatisk.
Tilkoblingstesten sjekker for å se om domenekontrollere er registrert i DNS. Den sjekker også for å se om det kan pinge hver domenekontroller, og hvorvidt det kan etablere LDAP og RDP-tilkobling.
CrossRefValidation
jeg må være ærlig og fortelle deg at jeg ikke har vært i stand til å finne mye dokumentasjon på denne testen. Det jeg kan fortelle deg er at testen ser for kryssreferanser som er ugyldig på noen måte. Hvis du klarer å få en kryssreferanse valideringsfeil, kan problemet ofte løses ved hjelp av ADSI redigere å fjerne det objektet.
Jeg ønsker også å påpeke at hvis du bruker ADSI redigere feil, kan du ødelegge din Active Directory. Derfor vil jeg anbefale å gjøre en full, system state backup av dine domenekontrollere før du gjør noen endringer med ADSI redigere.
CutOffServers
siste testen jeg vil snakke om i denne artikkelen er den Skjær av servere test. Den grunnleggende ideen bak denne testen er at i de fleste tilfeller, domene kontrollere har ett eller flere replikasjonspartnere. Hvis en domenekontroller er replikering partner er nede så domenekontrolleren kan ikke være i stand til å bli oppdatert med Active Directory oppdateringer og DCDIAG vil rapportere en Avskåret Servere feil.
Kunsten å være i stand til å løse slike problemer er at du må være i stand til å finne ut hva de replikeringspartnerne var en domenekontroller er. Selve metoden varierer fra én versjon av Windows til en annen, men i Windows Server 2003 kan du slå opp replikering partnere gjennom Active Directory nettstedet og tjenestene konsollen.
Når konsolltreet åpnes, utvide området container for å vise en liste av områdene i Active Directory. Deretter dobbeltklikker du på nettstedet som inneholder domenekontroller som du ønsker å undersøke. Deretter utvide Servere mappen, etterfulgt av mappen som tilsvarer navnet på domenekontroller som du er interessert i. Til slutt, dobbeltklikker du på NTDSSettings container, og Windows vil vise en liste over tilkoblingsobjekter. Denne listen viser replikering partnerne i Fra Server kolonnen.
Konklusjon
I denne artikkelen har jeg begynt å diskutere noen tester som du kan kjøre bruker DCDIAG verktøyet. I neste del av denne artikkelserien, jeg vil diskusjonen.
Fortsette ved å vise deg noen flere tester du kan utføre