Konfigurieren der Active Directory- und LDS-Diagnose-Ereignisprotokollierung

  • Artikel

In diesem Schritt-für-Schritt-Artikel wird beschrieben, wie Sie die Active Directory-Diagnoseereignisprotokollierung in Microsoft Windows Server-Betriebssystemen konfigurieren.

       Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Ursprüngliche KB-Nummer: 314980

Zusammenfassung

Active Directory zeichnet Ereignisse im Verzeichnisdienste- oder LDS-Instanzprotokoll in Ereignisanzeige auf. Sie können die im Protokoll gesammelten Informationen verwenden, um mögliche Probleme zu diagnostizieren und zu beheben oder die Aktivität von Active Directory-bezogenen Ereignissen auf Ihrem Server zu überwachen.

Standardmäßig zeichnet Active Directory nur kritische Ereignisse und Fehlerereignisse im Verzeichnisdienstprotokoll auf. Um Active Directory für die Aufzeichnung anderer Ereignisse zu konfigurieren, müssen Sie den Protokolliergrad erhöhen, indem Sie die Registrierung bearbeiten.

Protokollierung von Active Directory-Diagnoseereignissen

Die Registrierungseinträge, die die Diagnoseprotokollierung für Active Directory verwalten, werden in den folgenden Registrierungsunterschlüsseln gespeichert.

Domänencontroller: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics
LDS: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<LDS instance name>\Diagnostics

Jeder der folgenden REG_DWORD Werte unter dem Diagnostics Unterschlüssel stellt einen Ereignistyp dar, der in das Ereignisprotokoll geschrieben werden kann:

  1. Wissenskonsistenzprüfung (Knowledge Consistency Checker, KCC)
  2. Sicherheitsereignisse
  3. ExDS-Schnittstellenereignisse
  4. MAPI-Schnittstellenereignisse
  5. Replikationsereignisse
  6. Garbage Collection
  7. Interne Konfiguration
  8. Verzeichniszugriff
  9. Interne Verarbeitung
  10. Leistungsindikatoren
  11. Initialisierung/Beendigung
  12. Dienststeuerung
  13. Namensauflösung
  14. Sicherung
  15. Field Engineering
  16. LDAP-Schnittstellenereignisse
  17. Setup
  18. Globaler Katalog
  19. Standortübergreifendes Messaging
  20. Gruppenzwischenspeicherung
  21. Linked-Value-Replikation
  22. DS RPC-Client
  23. DS RPC-Server
  24. DS-Schema
  25. Transformations-Engine
  26. Anspruchsbasierte Access Control
  27. PDC-Kennwortaktualisierungsbenachrichtigungen

Protokolliergrade

Jedem Eintrag kann ein Wert von 0 bis 5 zugewiesen werden, und dieser Wert bestimmt die Detailebene der protokollierten Ereignisse. Die Protokollierungsebenen werden wie folgt beschrieben:

  • 0 (Keine): Nur kritische Ereignisse und Fehlerereignisse werden auf dieser Ebene protokolliert. Dies ist die Standardeinstellung für alle Einträge und sollte nur geändert werden, wenn ein Problem auftritt, das Sie untersuchen möchten.
  • 1 (Minimal): Allgemeine Ereignisse werden bei dieser Einstellung im Ereignisprotokoll aufgezeichnet. Ereignisse können eine Nachricht für jede Hauptaufgabe enthalten, die vom Dienst ausgeführt wird. Verwenden Sie diese Einstellung, um eine Untersuchung zu starten, wenn Sie den Speicherort des Problems nicht kennen.
  • 2 (Basic)
  • 3 (Umfassend): Diese Ebene zeichnet detailliertere Informationen auf als die niedrigeren Ebenen, z. B. Schritte, die zum Abschließen einer Aufgabe ausgeführt werden. Verwenden Sie diese Einstellung, wenn Sie das Problem auf einen Dienst oder eine Gruppe von Kategorien beschränkt haben.
  • 4 (Ausführlich)
  • 5 (Intern): Diese Ebene protokolliert alle Ereignisse, einschließlich Debugzeichenfolgen und Konfigurationsänderungen. Ein vollständiges Protokoll des Diensts wird aufgezeichnet. Verwenden Sie diese Einstellung, wenn Sie das Problem in einer bestimmten Kategorie einer kleinen Gruppe von Kategorien nachverfolgt haben.

Konfigurieren der Active Directory-Diagnoseereignisprotokollierung

Führen Sie die folgenden Schritte aus, um die Active Directory-Diagnoseereignisprotokollierung zu konfigurieren.

Wichtig

Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Für zusätzlichen Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Sie können die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen finden Sie unter Sichern und Wiederherstellen der Registrierung in Windows.

  1. Wählen Sie Start und dann Ausführen aus.

  2. Geben Sie im Feld Öffnen den Namen regedit ein, und wählen Sie dann OK aus.

  3. Suchen Sie die folgenden Registrierungsschlüssel, und wählen Sie sie aus.

    Domänencontroller: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics
    LDS: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<LDS instance name>\Diagnostics

    Jeder Eintrag, der im rechten Bereich des Fensters Registrierung Editor angezeigt wird, stellt einen Ereignistyp dar, den Active Directory protokollieren kann. Alle Einträge werden auf den Standardwert 0 (Keine) festgelegt.

  4. Konfigurieren Sie die Ereignisprotokollierung für die entsprechende Komponente:

    1. Doppelklicken Sie im rechten Bereich der Registrierungs-Editor auf den Eintrag, der den Typ des Ereignisses darstellt, für das Sie protokollieren möchten. Beispiel: Sicherheitsereignisse.
    2. Geben Sie den gewünschten Protokolliergrad (z. B. 2) in das Feld Wert ein , und wählen Sie dann OK aus.

  5. Wiederholen Sie Schritt 4 für jede Komponente, die Sie protokollieren möchten.

  6. Wählen Sie im Menü Registrierung die Option Beenden aus, um die Registrierung Editor zu beenden.

    Hinweis

    • Protokolliergrade sollten auf den Standardwert 0 (Keine) festgelegt werden, es sei denn, Sie untersuchen ein Problem.
    • Wenn Sie den Protokolliergrad erhöhen, erhöhen sich auch die Details der einzelnen Nachrichten und die Anzahl der Nachrichten, die in das Ereignisprotokoll geschrieben werden. Die Diagnosestufe 3 oder höher wird nicht empfohlen, da die Protokollierung auf diesen Ebenen mehr Systemressourcen erfordert und die Leistung Ihres Servers beeinträchtigen kann. Stellen Sie sicher, dass Sie die Einträge auf 0 zurücksetzen, nachdem Sie die Untersuchung des Problems abgeschlossen haben.

Aktivieren der Feldentwicklungs-Diagnoseereignisprotokollierung

Diese Protokollierung ist standardmäßig nicht aktiviert und sollte nur während der aktiven Problembehandlung aktiviert werden. Sie können die Protokollierung mit den folgenden Schritten aktivieren:

  1. Erhöhen Sie die Größe der Verzeichnisdienste-Ereignisprotokolle auf 200 MB.

  2. Aktivieren Sie den Registrierungsschlüssel Field Engineering Diagnose, und legen Sie den Wert auf 5 fest.

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics\15 Field Engineering

  3. Erstellen Sie die folgenden Registrierungsschlüssel, um registrierungsbasierte Filter für teure, ineffiziente und lang andauernde Suchvorgänge zu konfigurieren:

    Registrierungspfad Datentyp Standardwert
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Expensive Search Results Threshold REG_DWORD 1
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Inefficient Search Results Threshold REG_DWORD 1
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Search Time Threshold (msecs) REG_DWORD 1