Я запустил c:\dcidag /v /c /e
test (/ v = подробный, / c = всеобъемлющий, / e = каждый DC) на всех моих (в настоящее время) 5 контроллерах домена и в конце получил эту сводку результатов:
Aut. B s. Reenv. Del. Din. RReg.
Ext.
_________________________________________________________________
Domain: mydomain.com
dc-serv-1 PASS PASS PASS PASS PASS PASS n/a
dc-serv-2 PASS PASS PASS PASS PASS PASS n/a
dc-serv-3 PASS PASS PASS PASS PASS PASS n/a
dc-serv-4 PASS PASS PASS PASS PASS PASS n/a
dc-serv-5 PASS PASS PASS PASS PASS PASS n/a
Так что, очевидно, это хорошо. Но когда я подробно прочитал результаты, я обнаружил, что каждый сервер, кроме сервера, с которого был запущен тест, не прошел три теста:
Starting test: DFSREvent
The event log DFS Replication on server
dc-serv-2.mydomain.com could not be queried, error 0x6ba
"The RPC server is unavailable."
......................... dc-serv-2 failed test DFSREvent
Starting test: KccEvent
The event log Directory Service on server
dc-serv-2.mydomain.com could not be queried, error 0x6ba
"The RPC server is unavailable."
......................... dc-serv-2 failed test KccEvent
Starting test: SystemLog
The event log System on server dc-serv-2.mydomain.com could not
be queried, error 0x6ba "The RPC server is unavailable."
......................... dc-serv-2 failed test SystemLog
Если бы я запустил тест из dc-serv-1
, затем dc-serv-1
(локальный сервер) передаст все, но dc-serv-2
через -5
провалил бы те же три теста и выдержал бы все остальное.
Я нашел эту страницу поддержки https://support.microsoft.com/en-us/kb/2512643 что, кажется, указывает на то, что это нормально для Windows Server 2008+. Я использую Windows Server 2012 R2 на всех контроллерах домена.
На странице поддержки указано, что причиной является проблема с брандмауэром, что имеет смысл, поскольку локальный сервер проходит без проблем. На странице поддержки говорится, что я могу просто игнорировать эти ошибки (что также имеет смысл, учитывая, что окончательный статус указан как PASS
) или я могу открыть брандмауэр, чтобы разрешить чтение журналов.
Есть ли какие-либо преимущества / недостатки в исправлении этих ошибок путем открытия брандмауэра?
Я не вижу особой пользы в открытии брандмауэра для прохождения теста, кроме устранения этих ошибок из результатов DCDIAG. Чтение журналов событий не является фундаментальной операцией AD, и единственная цель их чтения во время DCDIAG - обнаружение и выявление связанных с AD ошибок, которые могут быть в журналах.
Если вы вручную просмотрели журналы и уверены, что не существует проблем, которые могли бы быть обнаружены DCDIAG-проверкой журналов, я бы, вероятно, предложил проигнорировать эту конкретную ошибку.
РЕДАКТИРОВАТЬ
Я должен добавить, что я не рекомендую и не защищаю отключение брандмауэра Windows. Брандмауэр Windows - важная часть многоуровневого подхода к безопасности.
Размещение брандмауэров между контроллерами домена долгое время не поддерживалось (если что-то не изменилось в последнее время), чтобы устранить ошибку в WFAS в соответствии со статьей открыть Удаленное управление журналом событий (NP-In) Удаленное управление журналом событий (RPC) Удаленное управление журналом событий ( RPC-EPMAP). Я не знаю, что это означает, что это «нормальная ошибка», это означает, что это вызвано настройками брандмауэра по умолчанию.