Fiz um c:\dcidag /v /c /eteste (/v = detalhado, /c = abrangente, /e = cada DC) em todos os meus (atualmente) 5 controladores de domínio e recebi este resumo dos resultados no final:
Aut. B s. Reenv. Del. Din. RReg.
Ext.
_________________________________________________________________
Domain: mydomain.com
dc-serv-1 PASS PASS PASS PASS PASS PASS n/a
dc-serv-2 PASS PASS PASS PASS PASS PASS n/a
dc-serv-3 PASS PASS PASS PASS PASS PASS n/a
dc-serv-4 PASS PASS PASS PASS PASS PASS n/a
dc-serv-5 PASS PASS PASS PASS PASS PASS n/a
Então, isso é uma coisa boa, obviamente. Mas quando li os resultados em detalhes, descobri que todos os servidores, exceto o servidor do qual o teste foi executado, falharam em três testes:
Starting test: DFSREvent
The event log DFS Replication on server
dc-serv-2.mydomain.com could not be queried, error 0x6ba
"The RPC server is unavailable."
......................... dc-serv-2 failed test DFSREvent
Starting test: KccEvent
The event log Directory Service on server
dc-serv-2.mydomain.com could not be queried, error 0x6ba
"The RPC server is unavailable."
......................... dc-serv-2 failed test KccEvent
Starting test: SystemLog
The event log System on server dc-serv-2.mydomain.com could not
be queried, error 0x6ba "The RPC server is unavailable."
......................... dc-serv-2 failed test SystemLog
Se eu executasse o teste de dc-serv-1, então dc-serv-1(o servidor local) passaria em tudo, mas dc-serv-2passaria -5nesses mesmos três testes e passaria em todo o resto.
Encontrei esta página de suporte https://support.microsoft.com/en-us/kb/2512643 que parece indicar que isso é normal para o Windows Server 2008+. Estou executando o Windows Server 2012 R2 em todos os DCs.
A página de suporte diz que a causa é um problema de firewall, o que faz sentido, pois o servidor local passa sem problemas. A página de suporte diz que posso simplesmente ignorar esses erros (o que também faz sentido, considerando que o status final está listado como PASS) ou posso abrir o firewall para permitir a leitura dos logs.
Existem vantagens/desvantagens em corrigir esses erros abrindo o firewall?
Não vejo muito valor em abrir o firewall para passar no teste além de eliminar esses erros dos resultados do DCDIAG. A leitura dos logs de eventos não é uma operação fundamental do AD e o único propósito de lê-los durante o DCDIAG é descobrir e iluminar os erros relacionados ao AD que podem estar nos logs.
Se você revisou manualmente os logs e está confiante de que não há problemas que possam ter sido descobertos pela inspeção DCDIAG dos logs, provavelmente sugiro ignorar esse erro específico.
EDITAR
Devo acrescentar que não recomendo nem defendo desligar o Firewall do Windows. O Firewall do Windows é uma parte importante de uma abordagem de segurança em camadas.
A colocação de firewalls entre DCs não é suportada há muito tempo (a menos que algo tenha mudado recentemente) para resolver o erro no WFAS de acordo com o artigo open Gerenciamento remoto de log de eventos (NP-In) Gerenciamento remoto de log de eventos (RPC) Gerenciamento remoto de log de eventos ( RPC-EPMAP). Não sei se isso significa um "erro normal", significa que é causado pelas configurações padrão do firewall.