排查工作区加入问题的诊断日志记录

本文介绍如何收集诊断日志来排查工作区加入问题。

原始 KB 数: 3045377

使用 事件查看器 启用工作区加入调试日志记录

若要在 Windows 7 及更高版本中启用管理日志记录,请执行以下步骤:

  1. 启动事件查看器。

  2. 根据操作系统,转到以下位置之一:

    • Windows 7:应用程序和服务日志\Microsoft-WorkPlace Join
    • Windows 8.x:应用程序和服务日志\Microsoft\Windows\Workplace Join\Admin
    • Windows 10:应用程序和服务日志\Microsoft\Windows\Workplace Join\Admin
  3. 右键单击管理日志,然后根据需要单击“启用日志”或“禁用日志”值。

若要仅在 Windows 7 中启用调试日志记录,请执行以下步骤:

  1. 启动事件查看器。

  2. 单击“视图”,然后单击“显示分析和调试日志”。

  3. 浏览到 Windows 7 中的以下位置:

    应用程序和服务日志\Microsoft-WorkPlace Join

  4. 右键单击调试日志,然后根据需要选择“启用日志”或“禁用日志”值。

网络捕获

启动网络捕获,然后重现问题。

启用 Capi2 日志记录

有关如何启用 Capi2 日志记录的信息,请转到以下网站:

启用 CAPI2 事件日志记录以排查 PKI 和 SSL 证书问题

这将在事件查看器中启用应用程序和服务日志/Microsoft/Windows/Capi2 的详细日志记录。

SSL 证书故障排除

若要验证证书颁发机构 (CA) 数据库的吊销状态,请运行以下命令:

Certutil.exe -isvalid <Serialnumber> 

注意

<Serialnumber> 占位符是要验证的证书的序列号,采用十六进制格式。

验证证书是否已由特定 CA 颁发

可以使用Certutil.exe工具来确定证书是否由特定 CA 颁发。 若要验证证书,必须具有要验证的证书以及要 作为参数验证的 CA 证书。 例如,使用下列命令语法:

Certutil.exe -verify CertFile CaCertFile 

此命令要求 CA 证书和颁发的证书都是 PKCS#10 导出文件,而不是 PKCS#7 证书链。 运行命令时,它还会验证结束证书的吊销状态。 如果证书文件不包含 CDP 信息,或者 CDP 扩展中指定的 URL 不可用,则返回错误。

注意

如果未包含 CACertFile 参数,Certutil 工具将使用计算机上安装的所有可用证书来构造证书链。

验证证书的有效性和吊销状态

可以使用以下 Certutil 语法手动验证证书有效性的各个方面,包括特定证书的 AIA 和 CDP 扩展:

Certutil.exe -verify -urlfetch CertFile.crt 

若要运行此命令,必须具有以 DER 编码格式导出的证书版本。 Certutil 将仅验证 AIA 和 CDP 位置的基本证书位置指针和 CRL(s)。 Windows Server 2003 管理工具包中的 Windows Server 2003 版本的Certutil.exe支持此功能。