服务器事件日志
适用于: Configuration Manager(current branch)
使用 Windows 事件查看器查看 Configuration Manager 中以下 BitLocker 管理服务器组件的事件日志:
- 管理点上的恢复服务
- 自助服务门户
- 管理和监视网站
在承载一个或多个这些组件的服务器上,打开事件查看器。 然后转到“应用程序和服务日志”、“Microsoft、Windows”,然后展开“MBAM-Web”。 默认情况下,存在管理员和操作事件日志。
以下部分包含有关 BitLocker 管理服务器组件可能发生的事件 ID 的消息和故障排除信息。
管理员
1:WebAppSpnError
应用程序:{SiteName}{VirtualDirectory} 缺少以下服务主体名称 (SPN) :{ListOfSpns} 在帐户上注册所需的 SPN:{ExecutionAccount}。
若要使集成 Windows 身份验证成功,需要准备好必要的 SPN。 此消息指示未正确配置应用程序所需的 SPN。 此事件中包含的详细信息应提供详细信息。
100:AdminServiceRecoveryDbError
可能的错误消息:
- GetMachineUsers:从数据库获取用户信息时出错。
- GetRecoveryKey:从数据库获取恢复密钥时出错。
- GetRecoveryKey:从数据库获取用户信息时出错。
- GetRecoveryKeyIds:从数据库获取恢复密钥 ID 时出错。
- GetTpmHashForUser:从恢复数据库获取 TPM 哈希数据时出错。
- GetTpmHashForUser:从恢复数据库获取 TPM 哈希数据时出错。
- QueryDriveRecoveryData:从数据库获取驱动器恢复数据时出错。
- QueryRecoveryKeyIdsForUser:从数据库获取恢复密钥 ID 时出错。
- QueryVolumeUsers:从数据库获取用户信息时出错。
每当与恢复数据库通信时出现异常时,都会记录此消息。 通读跟踪中包含的信息,以获取有关异常的特定详细信息。
101:AdminServiceComplianceDbError
可能的错误消息:
- GetRecoveryKey:将审核事件记录到合规性数据库时出错。
- GetRecoveryKeyIds:将审核事件记录到合规性数据库时出错。
- GetTpmHashForUser:将审核事件记录到合规性数据库时出错。
- QueryRecoveryKeyIdsForUser:将审核事件记录到合规性数据库时出错。
- QueryDriveRecoveryData:将审核事件记录到合规性数据库时出错。
在与合规性数据库通信时,每当出现异常时,都会记录此消息。 通读跟踪中包含的信息,以获取有关异常的特定详细信息。
102:AgentServiceRecoveryDbError
当服务尝试与恢复数据库通信时,此消息指示异常。 通读事件中包含的消息,以获取有关异常的特定信息。
验证 MBAM 应用池帐户是否具有连接到恢复数据库所需的权限。
103:AgentServiceError
可能的错误消息:
无法检测客户端计算机帐户或数据迁移用户帐户。
每当调用
PostKeyRecoveryInfo
、IsRecoveryKeyResetRequired
、CommitRecoveryKeyRest
或GetTpmHash
Web 方法时,它都检索调用方上下文以获取调用方凭据。 如果调用方上下文为 null 或空,则服务会记录此消息。调用方标识的帐户验证失败。
如果 Web 方法希望调用方是计算机帐户,则记录此消息。 如果 Web 方法希望调用方是用户帐户,并且它不是用户帐户或数据迁移组帐户的成员,则也可能导致该帐户。
104:StatusServiceComplianceDbConfigError
注册表中的合规性数据库连接字符串为空。
每当符合性数据库连接字符串无效时,都会记录此消息。 验证注册表项 HKLM\Software\Microsoft\MBAM Server\Web\ComplianceDBConnectionString
处的值。
105:StatusServiceComplianceDbError
此错误表示网站或 Web 服务无法连接到合规性数据库。 验证 IIS 应用池帐户是否可以连接到数据库。
106:HelpdeskError
已知错误和可能的原因:
对 URL 的请求导致内部错误。
在管理和监视网站的应用程序中引发了未经处理的异常, (支持人员) 。 查看管理员事件日志中的日志条目以查找特定异常。
获取执行上下文信息时出错。 无法验证服务主体名称 (SPN) 注册。
在初始支持人员网站加载操作期间,它会检查 SPN。 若要验证 SPN,需要与支持人员网站对应的帐户信息、IIS Sitename 和 ApplicationVirtualPath。 当其中一个或多个属性无效或缺失时,它会记录此错误消息。
验证服务主体名称 (SPN) 注册时出错。
此消息指示在验证 SPN 时引发安全异常。 请参阅事件详细信息中包含的异常。
107:SelfServicePortalError
已知错误和可能的原因:
获取用户的恢复密钥时出错
指示在发出检索恢复密钥的请求时引发意外异常。 请参阅事件详细信息中的异常消息。 如果在支持应用上启用了跟踪,请参阅跟踪数据以获取详细的异常消息。
获取执行上下文信息时出错。 无法验证服务主体名称 (SPN) 注册
在初始加载操作期间,自助服务门户检索自助服务网站的帐户信息、IIS Sitename 和 ApplicationVirtualPath,以验证 SPN。 当其中一个或多个属性无效时,将记录此错误消息。
验证服务主体名称 (SPN) 注册时出错。 EventDetails:{ExceptionMessage}
此消息指示在验证 SPN 时引发了安全异常。 请参阅事件详细信息中包含的异常。
108:DomainControllerError
已知错误和可能的原因:
解析域名 {DomainName} 时出错,内存分配失败。
若要解析域名,请调用
DsGetDcName
Windows API。 此 API 返回ERROR_NOT_ENOUGH_MEMORY
时会记录此消息,指示内存分配失败。无法调用 DsGetDcName 方法
此消息指示 API
DsGetDcName
在主机上不可用。
109:WebAppRecoveryDbError
已知错误和可能的原因:
读取恢复数据库的配置时出错。 未配置恢复数据库的连接字符串。
此消息指示处
HKLM\Software\Microsoft\MBAM Server\Web\RecoveryDBConnectionString
的恢复数据库连接字符串信息无效。 验证给定的注册表项值。
如果看到以下任何消息,请验证 IIS 服务器中的应用池凭据是否可以连接到恢复数据库:
- DoesUserHaveMatchingRecoveryKey:获取用户的恢复密钥 ID 时出错。
- QueryDriveRecoveryData:获取驱动器恢复数据时出错。
- QueryRecoveryKeyIdsForUser:获取用户的恢复密钥 ID 时出错。
- 从恢复数据库获取 TPM 密码哈希时出错。
110:WebAppComplianceDbError
已知错误和可能的原因:
读取合规性数据库的配置时出错。 未配置合规性数据库的连接字符串。
此消息指示 的
HKLM\Software\Microsoft\MBAM Server\Web\ComplianceDBConnectionString
符合性数据库连接字符串信息无效。 验证此注册表项的值。
如果看到以下任何消息,请验证 IIS 服务器中的应用池凭据是否可以连接到合规性数据库:
- GetRecoveryKeyForCurrentUser:将审核事件记录到合规性数据库时出错。
- QueryRecoveryKeyIdsForUser:将审核事件记录到合规性数据库时出错。
- QueryRecoveryKeyIdsForUser:将审核事件记录到合规性数据库时出错。
111:WebAppDbError
这些错误指示以下两个条件之一
- MBAM 网站/webservices 无法连接到合规性或恢复数据库
- MBAM 网站/webservices 执行帐户 (应用池帐户) 无法对合规性或恢复数据库运行
GetVersion
存储过程
事件中包含的消息提供有关异常的更多详细信息。
验证应用池帐户是否可以连接到合规性或恢复数据库。 确认它有权运行 GetVersion
存储过程。
112:WebAppError
验证服务主体名称 (SPN) 注册时出错。
若要验证 SPN,它会查询 Active Directory 以检索 SPN 映射执行帐户的列表。 它还会查询 ApplicationHost.config
以获取网站绑定。 此错误消息指示它无法与 Active Directory 通信,或者无法加载 ApplicationHost.config
文件。
验证应用池帐户是否有权查询 Active Directory 或 ApplicationHost.config
文件。 此外,请验证文件中的站点绑定条目 ApplicationHost.config
。
操作
4:PerformanceCounterError
检索性能计数器时出错。
跟踪消息包含实际的异常消息,其中一些消息在此处列出:
- ArgumentNullException:如果请求的性能计数器的类别、计数器或实例无效,则会引发此异常。
- System.InvalidOperationException:categoryName 是空字符串 (“”) 。 counterName 是空字符串 (“”) 。
- 请求的读/写权限设置对此计数器无效。
- 如果 readOnly 为 true) ,则指定的类别不存在 (。
- 如果 readOnly 为 false) ,则指定的类别不是.NET Framework自定义类别 (。
- 指定的类别标记为多实例,并需要使用实例名称创建性能计数器。
- instanceName 长度超过 127 个字符。
- categoryName 和 counterName 已本地化为不同的语言。
- System.ComponentModel.Win32Exception:访问系统 API 时出错。
- System.UnauthorizedAccessException:在没有管理特权的情况下执行的代码尝试读取性能计数器。
事件中的消息提供了有关异常的更多详细信息。
System.UnauthorizedAccessException
对于 ,请验证应用池帐户是否有权访问性能计数器 API。
200:HelpDeskInformation
管理网站应用程序已成功找到并连接到受支持的恢复/合规性数据库版本。
指示从支持人员网站成功连接到恢复或合规性数据库。
201:SelfServicePortalInformation
自助服务门户应用程序已成功找到并连接到受支持的恢复/合规性数据库版本。
指示从自助服务门户成功连接到恢复或合规性数据库。
202:WebAppInformation
应用程序已正确注册其 SPN。
指示针对执行帐户正确注册支持网站所需的 SPN。
另请参阅
有关使用这些日志的详细信息,请参阅 BitLocker 事件日志。
有关故障排除的详细信息,请参阅 BitLocker 疑难解答。
有关安装这些网站的详细信息,请参阅 设置 BitLocker 报表和门户。