通过

如何配置 Active Directory 和 LDS 诊断事件日志记录

  • 项目

本分步文章介绍如何在 Microsoft Windows Server 操作系统中配置 Active Directory 诊断事件日志记录。

原始 KB 编号: 314980

总结

Active Directory 将事件记录到事件查看器中的 Directory 服务或 LDS 实例日志。 可以使用日志中收集的信息来帮助你诊断和解决可能的问题,或监视服务器上的 Active Directory 相关事件的活动。

默认情况下,Active Directory 仅记录目录服务日志中的关键事件和错误事件。 若要将 Active Directory 配置为记录其他事件,必须通过编辑注册表来提高日志记录级别。

Active Directory 诊断事件日志记录

管理 Active Directory 诊断日志记录的注册表项存储在以下注册表子项中。

域控制器: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics
LDS: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<LDS instance name>\Diagnostics

项下Diagnostics的每个REG_DWORD值都表示可以写入事件日志的事件类型:

  1. 知识一致性检查器 (KCC)
  2. 安全事件
  3. ExDS 接口事件
  4. MAPI 接口事件
  5. 复制事件
  6. 垃圾回收
  7. 内部配置
  8. 目录访问
  9. 内部处理
  10. 性能计数器
  11. 初始化/终止
  12. 服务控制
  13. 名称解析
  14. Backup
  15. 现场工程
  16. LDAP 接口事件
  17. 安装
  18. 全局目录
  19. 站点间消息传送
  20. 组缓存
  21. 链接值复制
  22. DS RPC 客户端
  23. DS RPC 服务器
  24. DS 架构
  25. 转换引擎
  26. 基于声明的访问控制
  27. PDC 密码更新通知

日志记录级别

每个条目可以分配一个介于 0 到 5 之间的值,此值确定记录的事件的详细信息级别。 日志记录级别描述为:

  • 0 (无):在此级别只记录关键事件和错误事件。 这是所有条目的默认设置,仅当要调查的问题发生时,才应对其进行修改。
  • 1 (最小):在此设置的事件日志中记录高级事件。 事件可能包含服务执行的每个主要任务的一条消息。 如果不知道问题的位置,请使用此设置启动调查。
  • 2 (基本)
  • 3(广泛):此级别记录比较低级别更详细的信息,例如执行完成任务的步骤。 将问题缩小到服务或一组类别时,请使用此设置。
  • 4 (详细)
  • 5(内部):此级别记录所有事件,包括调试字符串和配置更改。 记录服务的完整日志。 将问题跟踪到一小部分类别的特定类别时,请使用此设置。

如何配置 Active Directory 诊断事件日志记录

若要配置 Active Directory 诊断事件日志记录,请执行以下步骤。

重要

此部分(或称方法或任务)介绍了修改注册表的步骤。 但是,注册表修改不当可能会出现严重问题。 因此,按以下步骤操作时请务必谨慎。 作为额外保护措施,请在修改注册表之前先将其备份。 如果之后出现问题,您就可以还原注册表。 有关详细信息,请参阅 如何在 Windows 中备份和还原注册表。

  1. 选择“开始”,然后选择“运行”。

  2. 在“打开”框中,键入 regedit,然后选择“确定”

  3. 找到并选择以下注册表项。

    域控制器: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics
    LDS: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<LDS instance name>\Diagnostics

    注册表编辑器窗口右窗格中显示的每个条目都表示 Active Directory 可以记录的事件类型。 所有条目都设置为默认值 0 (无)。

  4. 为相应的组件配置事件日志记录:

    1. 在注册表编辑器的右窗格中,双击表示要记录的事件类型的条目。 例如,安全事件。
    2. 在“值”数据框中键入所需的日志记录级别(例如 2),然后选择“确定”。

  5. 对要记录的每个组件重复步骤 4。

  6. 在“注册表”菜单上,选择“ 退出 退出注册表编辑器”。

    注意

    • 除非正在调查问题,否则日志记录级别应设置为默认值 0(无)。
    • 增加日志记录级别时,每个消息的详细信息以及写入事件日志的消息数也会增加。 不建议使用 3 或更高版本的诊断级别,因为这些级别的日志记录需要更多系统资源,并且可能会降低服务器的性能。 请确保在完成调查问题后将条目重置为 0。

启用现场工程诊断事件日志记录

默认情况下,此日志记录未启用,只能在活动故障排除期间启用。 可以使用以下步骤启用日志记录:

  1. 将目录服务事件日志的大小增加到 200 MB。

  2. 启用现场工程诊断注册表项,并将值设置为 5

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics\15 Field Engineering

  3. 创建以下注册表项以配置基于注册表的筛选器,以便进行昂贵、低效和长时间运行的搜索:

    注册表路径 Data type 默认值
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Expensive Search Results Threshold REG_DWORD 1
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Inefficient Search Results Threshold REG_DWORD 1
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Search Time Threshold (msecs) REG_DWORD 1