Curioso sobre algumas falhas com o DCDIAG

Question

Curioso sobre algumas falhas com o DCDIAG

#1 resposta do (3 votos)
#2 resposta do (0 votos)

2

Eu executei um c:\dcidag /v /c /e test (/ v = detalhado, / c = abrangente, / e = cada DC) em todos os meus (atualmente) 5 controladores de domínio e recebi este resumo de resultados no final:

                             Aut. B s. Reenv. Del. Din. RReg.
Ext.
_________________________________________________________________
Domain: mydomain.com

dc-serv-1                    PASS PASS PASS PASS PASS PASS n/a  
dc-serv-2                    PASS PASS PASS PASS PASS PASS n/a  
dc-serv-3                    PASS PASS PASS PASS PASS PASS n/a  
dc-serv-4                    PASS PASS PASS PASS PASS PASS n/a  
dc-serv-5                    PASS PASS PASS PASS PASS PASS n/a

Então, isso é uma coisa boa, obviamente. Mas quando eu li os resultados detalhadamente, descobri que todos os servidores, exceto o servidor do qual o teste foi executado, estavam falhando em três testes:

Starting test: DFSREvent

     The event log DFS Replication on server
     dc-serv-2.mydomain.com could not be queried, error 0x6ba
     "The RPC server is unavailable."
     ......................... dc-serv-2 failed test DFSREvent

Starting test: KccEvent

     The event log Directory Service on server
     dc-serv-2.mydomain.com could not be queried, error 0x6ba
     "The RPC server is unavailable."
     ......................... dc-serv-2 failed test KccEvent

Starting test: SystemLog

     The event log System on server dc-serv-2.mydomain.com could not
     be queried, error 0x6ba "The RPC server is unavailable."
     ......................... dc-serv-2 failed test SystemLog

Se eu executar o teste em dc-serv-1 , dc-serv-1 (o servidor local) passará tudo, mas dc-serv-2 a -5 falhará nos mesmos três testes e passará todo o resto.

Encontrei o link dessa página de suporte, que parece indicar que isso é normal no Windows Server 2008+ . Estou executando o Windows Server 2012 R2 em todos os DCs.

A página de suporte diz que a causa é um problema de firewall, o que faz sentido, já que o servidor local passa sem problemas. A página de suporte diz que posso simplesmente ignorar esses erros (o que também faz sentido, considerando que o status final está listado como PASS ) ou posso abrir o firewall para permitir que os logs sejam lidos.

Existe alguma vantagem / desvantagem em consertar esses erros abrindo o firewall?

windows active-directory windows-server-2012-r2 domain-controller windows-firewall

por Daniel 16.11.2015 / 22:25

2 respostas

0

Colocar firewalls entre DCs não é suportado há muito tempo (a menos que algo tenha mudado recentemente) para resolver o erro no WFAS de acordo com o artigo aberto Gerenciamento Remoto de Log de Eventos (NP-In) Gerenciamento remoto de log de eventos (RPC) Gerenciamento Remoto de Logs de Eventos (RPC-EPMAP). Eu não sei o que significa que é um "erro normal", isso significa que é causado por configurações de firewall padrão.

por 17.11.2015 / 00:41

Tags windows active-directory windows-server-2012-r2 domain-controller windows-firewall

O DC primário perdido e o segundo nunca foi prometido como ativar o cache L3 no guest kvm?

score 3 · Accepted Answer

Não vejo muito valor em abrir o firewall para passar no teste, a não ser eliminar esses erros dos resultados do DCDIAG. A leitura dos logs de eventos não é uma operação fundamental do AD, e o único propósito de lê-los durante o DCDIAG é descobrir e esclarecer erros relacionados ao AD que possam estar nos logs.

Se você revisou manualmente os logs e está confiante de que não há problemas que possam ter sido descobertos pela inspeção dos logs do DCDIAG, provavelmente sugeriria ignorar esse erro em particular.

EDITAR

Devo acrescentar que não recomendo nem defendo desativar o Firewall do Windows. O Firewall do Windows é uma parte importante de uma abordagem de segurança em camadas.