web-dev-qa-db-ja.com

DCDIAGのいくつかの失敗について知りたい

私は(現在)5つのドメインコントローラーすべてでc:\dcidag /v /c /eテスト(/ v =詳細、/ c =包括的、/ e =すべてのDC)を実行し、最後に次の結果の要約を受け取りました。

                             Aut. B s. Reenv. Del. Din. RReg.
Ext.
_________________________________________________________________
Domain: mydomain.com

dc-serv-1                    PASS PASS PASS PASS PASS PASS n/a  
dc-serv-2                    PASS PASS PASS PASS PASS PASS n/a  
dc-serv-3                    PASS PASS PASS PASS PASS PASS n/a  
dc-serv-4                    PASS PASS PASS PASS PASS PASS n/a  
dc-serv-5                    PASS PASS PASS PASS PASS PASS n/a 

ですから、それは明らかに良いことです。しかし、結果を詳細に読んだところ、テストが実行されたサーバーを除くすべてのサーバーが3つのテストに失敗していることがわかりました。

Starting test: DFSREvent

     The event log DFS Replication on server
     dc-serv-2.mydomain.com could not be queried, error 0x6ba
     "The RPC server is unavailable."
     ......................... dc-serv-2 failed test DFSREvent

Starting test: KccEvent

     The event log Directory Service on server
     dc-serv-2.mydomain.com could not be queried, error 0x6ba
     "The RPC server is unavailable."
     ......................... dc-serv-2 failed test KccEvent

Starting test: SystemLog

     The event log System on server dc-serv-2.mydomain.com could not
     be queried, error 0x6ba "The RPC server is unavailable."
     ......................... dc-serv-2 failed test SystemLog

dc-serv-1からテストを実行した場合、dc-serv-1(ローカルサーバー)はすべてに合格しますが、dc-serv-2から-5は、同じ3つのテストに失敗し、他のすべてに合格します。 。

このサポートページを見つけました https://support.Microsoft.com/en-us/kb/251264 これは、これがWindows Server2008 +では正常であることを示しているようです。すべてのDCでWindowsServer 2012R2を実行しています。

サポートページには、原因はファイアウォールの問題であると記載されています。これは、ローカルサーバーが問題なく通過するため、理にかなっています。サポートページには、これらのエラーを無視するか(最終ステータスがPASSとしてリストされていることを考えると意味があります)、ファイアウォールを開いてログを読み取れるようにすることができると書かれています。

ファイアウォールを開いてこれらのエラーを修正することの長所/短所はありますか?

2
Daniel

DCDIAGの結果からこれらのエラーを排除する以外に、テストに合格するためにファイアウォールを開くことにはあまり価値がありません。イベントログの読み取りはADの基本的な操作ではなく、DCDIAG中にイベントログを読み取る唯一の目的は、ログにある可能性のあるAD関連のエラーを検出して明らかにすることです。

ログを手動で確認し、ログのDCDIAG検査によって発見された可能性のある問題がないと確信している場合は、その特定のエラーを無視することをお勧めします。

[〜#〜]編集[〜#〜]

Windowsファイアウォールをオフにすることはお勧めしませんし、推奨もしません。 Windowsファイアウォールは、階層型セキュリティアプローチの重要な部分です。

3
joeqwerty

DC間にファイアウォールを配置することは、記事に従ってWFASのエラーを解決するために、長い間サポートされていませんでした。リモートイベントログ管理(NP-In)リモートイベントログ管理(RPC)リモートイベントログ管理( RPC-EPMAP)。 「通常のエラー」を意味するのか、デフォルトのファイアウォール設定が原因であるのかはわかりません。

0
Jim B