Windows
對 DCDIAG 的一些故障感到好奇
我在所有(目前)5 個域控制器上執行了一個
c:\dcidag /v /c /e測試(/v = 詳細,/c = 綜合,/e = 每個 DC),最後收到了以下結果摘要:Aut. B s. Reenv. Del. Din. RReg. Ext. _________________________________________________________________ Domain: mydomain.com dc-serv-1 PASS PASS PASS PASS PASS PASS n/a dc-serv-2 PASS PASS PASS PASS PASS PASS n/a dc-serv-3 PASS PASS PASS PASS PASS PASS n/a dc-serv-4 PASS PASS PASS PASS PASS PASS n/a dc-serv-5 PASS PASS PASS PASS PASS PASS n/a所以,這顯然是件好事。但是當我詳細閱讀結果時,我發現除了執行測試的伺服器之外,每台伺服器都未通過三個測試:
Starting test: DFSREvent The event log DFS Replication on server dc-serv-2.mydomain.com could not be queried, error 0x6ba "The RPC server is unavailable." ......................... dc-serv-2 failed test DFSREvent Starting test: KccEvent The event log Directory Service on server dc-serv-2.mydomain.com could not be queried, error 0x6ba "The RPC server is unavailable." ......................... dc-serv-2 failed test KccEvent Starting test: SystemLog The event log System on server dc-serv-2.mydomain.com could not be queried, error 0x6ba "The RPC server is unavailable." ......................... dc-serv-2 failed test SystemLog如果我從 執行測試
dc-serv-1,那麼dc-serv-1(本地伺服器)將通過所有測試,但dc-serv-2通過-5這三個測試將失敗,並通過其他所有測試。我發現這個支持頁面https://support.microsoft.com/en-us/kb/2512643這似乎表明這對於 Windows Server 2008+ 來說是正常的。我在所有 DC 上執行 Windows Server 2012 R2。
支持頁面說原因是防火牆問題,這是有道理的,因為本地伺服器通過沒有問題。支持頁面說我可以忽略這些錯誤(考慮到最終狀態列為 ,這也很有意義
PASS),或者我可以打開防火牆以允許讀取日誌。通過打開防火牆來修復這些錯誤有什麼優點/缺點嗎?
除了從 DCDIAG 結果中消除這些錯誤之外,我認為打開防火牆以通過測試沒有多大價值。讀取事件日誌不是 AD 的基本操作,在 DCDIAG 期間讀取它們的唯一目的是發現和闡明日誌中可能存在的與 AD 相關的錯誤。
如果您手動查看了日誌並且確信 DCDIAG 檢查日誌沒有發現任何問題,那麼我可能會建議忽略該特定錯誤。
編輯
我應該補充一點,我不推薦也不主張關閉 Windows 防火牆。Windows 防火牆是分層安全方法的重要組成部分。