我在所有(当前)5个域控制器上运行了c:\dcidag /v /c /etesting(/ v = verbose,/ c = comprehensive,/ e =每个DC),并在结束:
Aut. B s. Reenv. Del. Din. RReg. Ext. _________________________________________________________________ Domain: mydomain.com dc-serv-1 PASS PASS PASS PASS PASS PASS n/a dc-serv-2 PASS PASS PASS PASS PASS PASS n/a dc-serv-3 PASS PASS PASS PASS PASS PASS n/a dc-serv-4 PASS PASS PASS PASS PASS PASS n/a dc-serv-5 PASS PASS PASS PASS PASS PASS n/a
所以,这显然是件好事。 但是当我详细阅读结果时,我发现除了运行testing的服务器之外,每台服务器都失败了三次testing:
Starting test: DFSREvent The event log DFS Replication on server dc-serv-2.mydomain.com could not be queried, error 0x6ba "The RPC server is unavailable." ......................... dc-serv-2 failed test DFSREvent Starting test: KccEvent The event log Directory Service on server dc-serv-2.mydomain.com could not be queried, error 0x6ba "The RPC server is unavailable." ......................... dc-serv-2 failed test KccEvent Starting test: SystemLog The event log System on server dc-serv-2.mydomain.com could not be queried, error 0x6ba "The RPC server is unavailable." ......................... dc-serv-2 failed test SystemLog
如果我从dc-serv-1运行testing,那么dc-serv-1 (本地服务器)将会通过所有的testing,但是dc-serv-2到-5将会通过相同的三个testing,并且通过所有的testing。
我发现这个支持页面https://support.microsoft.com/en-us/kb/2512643这似乎表明这对于Windows Server 2008+是正常的。 我在所有DC上运行Windows Server 2012 R2。
支持页面说,原因是防火墙问题,这是有道理的,因为本地服务器没有问题。 支持页面说,我可以忽略这些错误(考虑到最终状态列为PASS也是有意义的),或者我可以打开防火墙以允许读取日志。
通过打开防火墙来修复这些错误有什么优点/缺点吗?
除了从DCDIAG结果中消除这些错误之外,为了通过testing,我没有看到打开防火墙的很多价值。 读取事件日志不是AD的基本操作,在DCDIAG期间读取事件日志的唯一目的是发现并照亮可能在日志中的AD相关错误。
如果您已经手动查看日志,并确信没有可能由DCDIAG检查日志发现的问题,那么我可能会build议忽略该特定错误。
编辑
我应该补充一点,我不build议也不主张closuresWindows防火墙。 Windows防火墙是分层安全方法的重要组成部分。
在DC之间放置防火墙并不是很长时间(除非最近有什么变化)支持来解决WFAS上每篇文章的错误打开远程事件日志pipe理(NP-In)远程事件日志pipe理(RPC)远程事件日志pipe理RPC-EPMAP)。 我不知道这意味着它是一个“正常的错误”,这意味着它是由默认的防火墙设置造成的。