Назад | Перейти на главную страницу

Интересно узнать о некоторых неудачах с DCDIAG

Я запустил c:\dcidag /v /c /e test (/ v = подробный, / c = всеобъемлющий, / e = каждый DC) на всех моих (в настоящее время) 5 контроллерах домена и в конце получил эту сводку результатов:

                             Aut. B s. Reenv. Del. Din. RReg.
Ext.
_________________________________________________________________
Domain: mydomain.com

dc-serv-1                    PASS PASS PASS PASS PASS PASS n/a  
dc-serv-2                    PASS PASS PASS PASS PASS PASS n/a  
dc-serv-3                    PASS PASS PASS PASS PASS PASS n/a  
dc-serv-4                    PASS PASS PASS PASS PASS PASS n/a  
dc-serv-5                    PASS PASS PASS PASS PASS PASS n/a 

Так что, очевидно, это хорошо. Но когда я подробно прочитал результаты, я обнаружил, что каждый сервер, кроме сервера, с которого был запущен тест, не прошел три теста:

Starting test: DFSREvent

     The event log DFS Replication on server
     dc-serv-2.mydomain.com could not be queried, error 0x6ba
     "The RPC server is unavailable."
     ......................... dc-serv-2 failed test DFSREvent

Starting test: KccEvent

     The event log Directory Service on server
     dc-serv-2.mydomain.com could not be queried, error 0x6ba
     "The RPC server is unavailable."
     ......................... dc-serv-2 failed test KccEvent

Starting test: SystemLog

     The event log System on server dc-serv-2.mydomain.com could not
     be queried, error 0x6ba "The RPC server is unavailable."
     ......................... dc-serv-2 failed test SystemLog

Если бы я запустил тест из dc-serv-1, затем dc-serv-1 (локальный сервер) передаст все, но dc-serv-2 через -5 провалил бы те же три теста и выдержал бы все остальное.

Я нашел эту страницу поддержки https://support.microsoft.com/en-us/kb/2512643 что, кажется, указывает на то, что это нормально для Windows Server 2008+. Я использую Windows Server 2012 R2 на всех контроллерах домена.

На странице поддержки указано, что причиной является проблема с брандмауэром, что имеет смысл, поскольку локальный сервер проходит без проблем. На странице поддержки говорится, что я могу просто игнорировать эти ошибки (что также имеет смысл, учитывая, что окончательный статус указан как PASS) или я могу открыть брандмауэр, чтобы разрешить чтение журналов.

Есть ли какие-либо преимущества / недостатки в исправлении этих ошибок путем открытия брандмауэра?

Я не вижу особой пользы в открытии брандмауэра для прохождения теста, кроме устранения этих ошибок из результатов DCDIAG. Чтение журналов событий не является фундаментальной операцией AD, и единственная цель их чтения во время DCDIAG - обнаружение и выявление связанных с AD ошибок, которые могут быть в журналах.

Если вы вручную просмотрели журналы и уверены, что не существует проблем, которые могли бы быть обнаружены DCDIAG-проверкой журналов, я бы, вероятно, предложил проигнорировать эту конкретную ошибку.

РЕДАКТИРОВАТЬ

Я должен добавить, что я не рекомендую и не защищаю отключение брандмауэра Windows. Брандмауэр Windows - важная часть многоуровневого подхода к безопасности.

Размещение брандмауэров между контроллерами домена долгое время не поддерживалось (если что-то не изменилось в последнее время), чтобы устранить ошибку в WFAS в соответствии со статьей открыть Удаленное управление журналом событий (NP-In) Удаленное управление журналом событий (RPC) Удаленное управление журналом событий ( RPC-EPMAP). Я не знаю, что это означает, что это «нормальная ошибка», это означает, что это вызвано настройками брандмауэра по умолчанию.