Mit dem Kommandozeilen-Befehl dcdiag steht Ihnen ein Tool zur Verfügung, dass Ihren Domaincontroller (DC) auf dessen Status im Active Directory, Funktionsfähigkeit, Replikationsstatus, Topologie und Funktionalität des Active Directory überprüft. Dcdiag liefert eine Zusammenfassung mit detaillierten Informationen und eine Diagnose der dabei ausgeführten Tests.

Das Szenario

dcdiag

Problem: Beim Hinzufügen eines neuen Windows Server 2008 R2 DC zu einer bestehenden Domäne (In der Domäne waren bisher nur Windows Server 2003) gibt der Kommandozeilen-Befehl dcdiag bei der Ausführung des Naming Context Security Descriptor Tests (NCSecDesc) auf dem Windows 2008 R2 Server die folgende exemplarische Fehlermeldung aus:

Starting test: NCSecDesc

Error NT AUTHORITYENTERPRISE DOMAIN CONTROLLERS doesn't have

Replicating Directory Changes In Filtered Set

access rights for the naming context:

DC=DomainDnsZones,DC=CONTOSO,DC=COM

Error NT AUTHORITYENTERPRISE DOMAIN CONTROLLERS doesn't have

Replicating Directory Changes In Filtered Set

access rights for the naming context:

DC=ForestDnsZones,DC=CONTOSO,DC=COM

......................... Contoso-DC1 failed test NCSecDesc

Doch warum tritt diese Fehlermeldung auf? Durch den Befehl adprep wurde die bestehende Domäne schließlich auf den neuen Windows 2008 R2 DC vorbereitet. Jedoch muss man wissen, dass bei Windows Server 2008 ein Read-Only Domain Controller (RODC) mit eingeführt wurde. Ein RODC ist ein schreibgeschützter Domaincontroller, der an Standorten bereitgestellt werden kann, an denen die physische Sicherheit eines beschreibbaren DC’s nicht garantiert ist. Da dieser nicht zwingend in der Domäne eingesetzt werden muss, kann die Fehlermeldung ignoriert werden, da sie keine weiteren Auswirkungen auf die Domäne hat. Beseitigt werden kann sie jedoch mit dem Befehl adprep /rodcprep um die Domäne ebenfalls auf den RODC vorzubereiten.