共用方式為

如何設定 Active Directory 和 LDS 診斷事件記錄

  • 發行項

本逐步文章說明如何在 Windows Server 作業系統Microsoft設定 Active Directory 診斷事件記錄。

原始 KB 編號: 314980

摘要

Active Directory 會將事件記錄到目錄服務或 LDS 實例登入 事件檢視器。 您可以使用記錄中收集的信息,協助您診斷和解決可能的問題,或監視伺服器上 Active Directory 相關事件的活動。

根據預設,Active Directory 只會記錄目錄服務記錄檔中的重大事件和錯誤事件。 若要將 Active Directory 設定為記錄其他事件,您必須編輯登錄來增加記錄層級。

Active Directory 診斷事件記錄

管理 Active Directory 診斷記錄的登錄專案會儲存在下列登錄子機碼中。

網域控制器: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics
LDS: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<LDS instance name>\Diagnostics

機碼下Diagnostics的每個REG_DWORD值都代表可以寫入事件記錄檔的事件類型:

  1. 知識一致性檢查工具 (KCC)
  2. 安全性事件
  3. ExDS 介面事件
  4. MAPI 介面事件
  5. 複寫事件
  6. 記憶體回收
  7. 內部設定
  8. 目錄存取
  9. 內部處理
  10. 效能計數器
  11. 初始化/終止
  12. 服務控制
  13. 名稱解析
  14. 備份
  15. 現場工程
  16. LDAP 介面事件
  17. 設定
  18. 通用目錄
  19. 網站間傳訊
  20. 群組快取
  21. 連結值複寫
  22. DS RPC 用戶端
  23. DS RPC 伺服器
  24. DS 架構
  25. 轉換引擎
  26. 宣告型 存取控制
  27. PDC 密碼更新通知

記錄層級

每個專案都可以指派 0 到 5 的值,這個值會決定所記錄事件的詳細數據層級。 記錄層級描述為:

  • 0 (無):此層級只會記錄重大事件和錯誤事件。 這是所有項目的預設設定,只有在您想要調查的問題發生時,才應該修改它。
  • 1 (最小):高階事件會記錄在此設定的事件記錄檔中。 事件可能包含服務所執行之每個主要工作的一則訊息。 當您不知道問題的位置時,請使用此設定來啟動調查。
  • 2 (基本)
  • 3 (廣泛):此層級會記錄比較低層級更詳細的資訊,例如執行以完成工作的步驟。 當您將問題縮小至服務或類別群組時,請使用此設定。
  • 4 (詳細資訊)
  • 5 (內部):此層級會記錄所有事件,包括偵錯字串和組態變更。 記錄服務的完整記錄檔。 當您將問題追蹤到一組小類別的特定類別時,請使用此設定。

如何設定 Active Directory 診斷事件記錄

若要設定 Active Directory 診斷事件記錄,請遵循下列步驟。

重要

這個章節、方法或工作包含修改登錄的步驟。 然而,不當修改登錄可能會發生嚴重的問題。 因此,請務必小心執行下列步驟。 為增加保護起見,請先備份登錄,再進行修改。 然後,如果發生問題,您就可以還原登錄。 如需詳細資訊,請參閱 如何在 Windows 中備份和還原登錄。

  1. 選取 [啟動],然後選取 [執行]。

  2. [開啟] 方塊中輸入 regedit,然後按一下 [確定]

  3. 找出並選取下列登錄機碼。

    網域控制器: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics
    LDS: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<LDS instance name>\Diagnostics

    [註冊表編輯器] 視窗右窗格中顯示的每個專案都代表Active Directory 可以記錄的事件類型。 所有項目都會設定為預設值 0 (None)。

  4. 為適當的元件設定事件記錄:

    1. 在註冊表編輯器的右窗格中,按兩下代表您要記錄之事件類型的專案。 例如,安全性事件。
    2. 在 [值數據] 方塊中輸入您想要的記錄層級(例如 2),然後選取 [確定]。

  5. 針對您想要記錄的每個元件重複步驟 4。

  6. 在 [登錄] 功能表上,選取 [結束 ] 以結束註冊表編輯器。

    注意

    • 除非您正在調查問題,否則記錄層級應設定為預設值 0 (None)。
    • 當您增加記錄層級時,每個訊息的詳細數據和寫入事件記錄檔的訊息數目也會增加。 不建議使用 3 或更新版本的診斷層級,因為這些層級的記錄需要更多系統資源,而且可能會降低伺服器的效能。 確定您在調查問題之後,將專案重設為 0。

啟用現場工程診斷事件記錄

默認不會啟用此記錄,而且應該只在作用中疑難解答期間啟用。 您可以使用下列步驟來啟用記錄:

  1. 將目錄服務事件記錄的大小增加到 200 MB。

  2. 啟用現場工程診斷登錄機碼,並將值設定為 5

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics\15 Field Engineering

  3. 建立下列登錄機碼,以設定登錄型篩選,以取得昂貴、效率低下且長時間執行的搜尋:

    登錄路徑 資料類型 預設值
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Expensive Search Results Threshold REG_DWORD 1
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Inefficient Search Results Threshold REG_DWORD 1
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Search Time Threshold (msecs) REG_DWORD 1