DCDIAG.EXE erreurs /E ou /A ou /C attendues

Cet article vous aide à corriger les erreurs qui se produisent lorsque vous exécutez des commandes DCDIAG.EXE /E ou /A ou /C .

S’applique à : Windows Server 2012 R2
Numéro de la base de connaissances d’origine : 2512643

Symptômes

Prenons l’exemple du scénario suivant :

Vous administrez un environnement AD. Il peut y avoir un mélange de contrôleurs de domaine Windows Server 2003, Windows Server 2003 R2, Windows Server 2008 et Windows Server 2008 R2.

Lorsque vous exécutez DCDIAG.EXE /E (ou /A/C) sur Windows Server 2008 ou Windows Server 2008 R2 (inclus avec les systèmes d’exploitation), vous voyez les erreurs suivantes sur tous les contrôleurs de domaine Windows Server 2003 :

Démarrage du test : Services
Type de service non valide : RpcSs sur DCDIAG-2003, valeur actuelle
WIN32_OWN_PROCESS, valeur attendue WIN32_SHARE_PROCESS
......................... Échec des services de test DCDIAG-2003

Lors de l’exécution DCDIAG.EXE /E (ou /A/C) sur Windows Server 2008 ou Windows Server 2008 R2 (inclus avec les systèmes d’exploitation), vous voyez les erreurs suivantes sur tous les contrôleurs de domaine Win2008 et Win2008 R2 :

Démarrage du test : FrsEvent
Service de réplication de fichiers du journal des événements sur le serveur
dcdiag-2008.margiestravel.com n’a pas pu être interrogé, l’erreur 0x6ba
« Le serveur RPC n’est pas disponible. »
......................... dcdiag-2008 échec du test FrsEvent

Démarrage du test : DFSREvent
Journal des événements Réplication DFS sur le serveur
dcdiag-2008r2.margiestravel.com’erreur n’a pas pu être interrogée, l’erreur 0x6ba
« Le serveur RPC n’est pas disponible. »
......................... dcdiag-2008r2 échec du test DFSREvent

Démarrage du test : KccEvent
Service d’annuaire du journal des événements sur le serveur
dcdiag-2008.margiestravel.com n’a pas pu être interrogé, l’erreur 0x6ba
« Le serveur RPC n’est pas disponible. »
......................... dcdiag-2008 échec du test KccEvent

Démarrage du test : SystemLog
Système du journal des événements sur le serveur
dcdiag-2008.margiestravel.com n’a pas pu être interrogé, l’erreur 0x6ba
« Le serveur RPC n’est pas disponible. »
......................... Échec du test systemLog dcdiag-2008

En cas d’exécution DCDIAG.EXE /E (ou /A ou /C) sur Windows Server 2003 (inclus avec l’installation hors bande des outils de support) :

• Aucune erreur n’est consignée pour les contrôleurs de domaine, quel que soit le système d’exploitation.

Lors de l’exécution DCDIAG.EXE /C (qui inclut /test:verifyenterprisereferences) sur Windows Server 2008 ou Windows Server 2008 R2, et que le mode fonctionnel de domaine est Windows Server 2008 ou version ultérieure, et que FRS est toujours utilisé pour répliquer SYSVOL, vous voyez les erreurs suivantes :

Test de démarrage : VerifyEnterpriseReferences
Les problèmes suivants ont été détectés lors de la vérification de diverses références DN importantes. Notez que ces problèmes
peut être signalé en raison de la latence de la réplication. Par conséquent, suivez pour résoudre les problèmes suivants, uniquement si
le même problème est signalé sur toutes les contrôleurs de domaine pour un domaine donné ou si le problème persiste après la réplication
a eu un délai raisonnable pour répliquer les modifications.
[1] Problème : Valeur attendue manquante
Objet de base : CN=SRV-01,OU=Domain Controllers,DC=margiestravel,DC=com
Description de l’objet de base : « DC Account Object »
Nom de l’attribut de l’objet value : msDFSR-ComputerReferenceBL
Description de l’objet Value : « OBJET MEMBRE SYSVOL FRS »
Action recommandée : Consultez l’article de la Base de connaissances : Q312862
[2] Problème : Valeur attendue manquante
Objet de base : CN=SRV-02,OU=Domain Controllers,DC=margiestravel,DC=com
Description de l’objet de base : « DC Account Object »
Nom de l’attribut de l’objet value : msDFSR-ComputerReferenceBL
Description de l’objet Value : « OBJET MEMBRE SYSVOL FRS »
Action recommandée : Consultez l’article de la Base de connaissances : Q312862
Erreur LDAP 0x20 (32) : aucun objet de ce type.
......................... Échec du test SRV-01 VerifyEnterpriseReferences

Lors de l’exécution DCDIAG.EXE /C (qui inclut /test:outboundsecurechannels) et que vous spécifiez /testdomain:<your trusted domain> sur Windows Server 2008 ou sur Windows Server 2008 R2, les erreurs suivantes s’affichent :

Serveur de test : Default-First-Site-Name\SRV-01
Test de démarrage : OutboundSecureChannels
[SRV-01] N’a pas d’objet d’approbation de niveau inférieur pour [contoso.com]
[SRV-01] N’a pas d’objet d’approbation de niveau supérieur pour [contoso.com]
[SRV-02] N’a pas d’objet d’approbation de niveau inférieur pour [contoso.com]
[SRV-02] N’a pas d’objet d’approbation de niveau supérieur pour [contoso.com]
......................... Échec du test SRV-01 OutboundSecureChannels

Cause

Tous ces comportements sont attendus.

• Les versions Windows Server 2008/200R2 de DCDIAG sont conçues pour tester RPCSS pour le paramètre de processus partagé Windows Server 2008, et non le paramètre de processus isolé précédent utilisé dans Windows Server 2003 et les systèmes d’exploitation antérieurs. L’outil ne fait pas la distinction entre les systèmes d’exploitation pour ce service.

• Les versions Windows Server 2008/200R2 de DCDIAG supposent qu’un niveau fonctionnel de domaine Windows Server 2008 signifie que les contrôleurs de domaine répliquent SYSVOL avec DFSR.

• Les versions Windows Server 2008/200R2 de DCDIAG ne testent pas correctement l’intégrité de l’approbation

• Windows Server 2008/2008 R2 n’autorise pas la connectivité à distance au journal des événements en fonction des règles de pare-feu par défaut.

• La version Windows Server 2003 de DCDIAG ne signale pas d’erreur si elle ne peut pas se connecter au journal des événements ; il signale uniquement s’il se connecte et trouve des erreurs.

• La version Windows Server 2003 de DCDIAG ne teste pas la configuration du service RPCSS.

Résolution

Il existe plusieurs solutions de contournement à ces problèmes :

• Ignorez toutes ces erreurs lors de l’exécution de DCDIAG.

• Pour arrêter les erreurs liées au journal des événements, activez les règles de pare-feu entrantes intégrées sur les contrôleurs de domaine afin que les journaux des événements soient accessibles à distance :

  Gestion du journal des événements à distance (NP-In)
  Gestion du journal des événements à distance (RPC)
  Gestion des journaux des événements à distance (RPC-EPMAP)

  Cette opération peut être effectuée via le composant logiciel enfichable « Pare-feu Windows avec sécurité avancée » (WF.MSC), à l’aide de la stratégie de groupe de pare-feu (Configuration ordinateur\ Stratégies\ Paramètres Windows\ Paramètres de sécurité\ Pare-feu Windows avec sécurité avancée) ou à l’aide NETSH.EXE ADVFIREWALLde .

• Pour arrêter l’erreur du service RPCSS, vous pouvez refuser le test avec /SKIP:SERVICES. Il existe des mises en garde à ce sujet. Consultez Plus d’informations. Il est préférable d’ignorer complètement cette erreur spécifique lorsqu’elle est retournée à partir des contrôleurs de domaine Win2003.

  Il est normal que le type de comportement de ce service soit 0x10 (isolé) sur Windows Server 2003 et 0x20 (partagé) sur Windows Server 2008 et versions ultérieures. Ne le modifiez pas en fonction de ce que DCDIAG dit, sauf si vous exécutez la version de DCDIAG associée à ce système d’exploitation. Entre Windows Server 2003 et Windows Server 2008, le comportement a changé pour le service RPC, mais rien n’était encore à partager dans ce processus svchost.exe. Dans Windows Server 2008 R2, le nouveau service RPCEptMapper a été ajouté à ce processus svchost partagé. Vous pouvez voir qui se lancerait dans ce même processus en recherchant cette valeur dans les clés de Registre de service :
  %systemroot%\system32\svchost.exe -k RPCSS.
  Ne modifiez pas le type de service sur Windows Server 2003 pour arrêter l’erreur. Il peut y avoir des problèmes inattendus à long terme, car il ne s’agit pas d’une configuration testée. Ces problèmes seraient difficiles à identifier ou à retracer jusqu’à cette cause racine. Solution à long terme au problème de service RPCSS : remplacez les serveurs Windows Server 2003 restants par un système d’exploitation ultérieur.

• Pour arrêter les erreurs OutboundSecureChannels, utilisez /skip:outboundsecurechannels. Les tests ne sont pas valides et peuvent être testés avec NETDOM.EXE et NLTEST.EXE.

• Pour arrêter les erreurs VerifyEnterpriseReferences, migrez votre SYSVOL de FRS vers DFSR. Étant donné que vous utilisez un domaine Windows Server 2008 natif ou ultérieur, FRS n’est plus recommandé pour la réplication SYSVOL et rien ne vous empêche de remplacer le système FRS déprécié. Voir https://technet.microsoft.com/library/dd640019.aspx (en anglais).

Plus d’informations

Le test des services DCDIAG Windows Server 2008/2008 R2 vérifie que les services suivants sont en cours d’exécution, configurés avec les options de démarrage par défaut et configurés avec les types de processus par défaut :

RPCSS - Démarrer automatiquement - Processus partagé
EVENTSYSTEM - Démarrer automatiquement - Processus partagé
DNSCACHE - Démarrer automatiquement - Processus partagé
NTFRS - Démarrer automatiquement - Propre processus
ISMSERV - Démarrer automatiquement - Processus partagé
KDC - Démarrer automatiquement - Processus partagé
SAMSS - Démarrer automatiquement - Processus partagé
SERVER - Démarrer automatiquement - Processus partagé
STATION DE TRAVAIL - Démarrer automatiquement - Processus partagé
W32TIME - Démarrer manuellement ou automatiquement - Processus partagé
NETLOGON - Démarrer automatiquement - Processus partagé
(Si le niveau fonctionnel du domaine est Windows Server 2008 ou version ultérieure)
DFSR - Démarrer automatiquement - Propre processus
(Si la cible est Windows Server 2008 ou version ultérieure)
NTDS - Démarrer automatiquement - Processus partagé
(Si vous utilisez la réplication AD basée sur SMTP)
IISADMIN - Démarrer automatiquement - Processus partagé
SMTPSVC - Démarrer automatiquement - Processus partagé