Windows

對 DCDIAG 的一些故障感到好奇

  • November 17, 2015

我在所有(目前)5 個域控制器上執行了一個c:\dcidag /v /c /e測試(/v = 詳細,/c = 綜合,/e = 每個 DC),最後收到了以下結果摘要:

                            Aut. B s. Reenv. Del. Din. RReg.
Ext.
_________________________________________________________________
Domain: mydomain.com

dc-serv-1                    PASS PASS PASS PASS PASS PASS n/a  
dc-serv-2                    PASS PASS PASS PASS PASS PASS n/a  
dc-serv-3                    PASS PASS PASS PASS PASS PASS n/a  
dc-serv-4                    PASS PASS PASS PASS PASS PASS n/a  
dc-serv-5                    PASS PASS PASS PASS PASS PASS n/a 

所以,這顯然是件好事。但是當我詳細閱讀結果時,我發現除了執行測試的伺服器之外,每台伺服器都未通過三個測試:

Starting test: DFSREvent

    The event log DFS Replication on server
    dc-serv-2.mydomain.com could not be queried, error 0x6ba
    "The RPC server is unavailable."
    ......................... dc-serv-2 failed test DFSREvent

Starting test: KccEvent

    The event log Directory Service on server
    dc-serv-2.mydomain.com could not be queried, error 0x6ba
    "The RPC server is unavailable."
    ......................... dc-serv-2 failed test KccEvent

Starting test: SystemLog

    The event log System on server dc-serv-2.mydomain.com could not
    be queried, error 0x6ba "The RPC server is unavailable."
    ......................... dc-serv-2 failed test SystemLog

如果我從 執行測試dc-serv-1,那麼dc-serv-1(本地伺服器)將通過所有測試,但dc-serv-2通過-5這三個測試將失敗,並通過其他所有測試。

我發現這個支持頁面https://support.microsoft.com/en-us/kb/2512643這似乎表明這對於 Windows Server 2008+ 來說是正常的。我在所有 DC 上執行 Windows Server 2012 R2。

支持頁面說原因是防火牆問題,這是有道理的,因為本地伺服器通過沒有問題。支持頁面說我可以忽略這些錯誤(考慮到最終狀態列為 ,這也很有意義PASS),或者我可以打開防火牆以允許讀取日誌。

通過打開防火牆來修復這些錯誤有什麼優點/缺點嗎?

除了從 DCDIAG 結果中消除這些錯誤之外,我認為打開防火牆以通過測試沒有多大價值。讀取事件日誌不是 AD 的基本操作,在 DCDIAG 期間讀取它們的唯一目的是發現和闡明日誌中可能存在的與 AD 相關的錯誤。

如果您手動查看了日誌並且確信 DCDIAG 檢查日誌沒有發現任何問題,那麼我可能會建議忽略該特定錯誤。

編輯

我應該補充一點,我不推薦也不主張關閉 Windows 防火牆。Windows 防火牆是分層安全方法的重要組成部分。

引用自:https://serverfault.com/questions/736823