Guide pratique pour configurer la journalisation des événements de diagnostic Active Directory et LDS

  • Article

Cet article pas à pas explique comment configurer la journalisation des événements de diagnostic Active Directory dans les systèmes d’exploitation Microsoft Windows Server.

              Sʼapplique à : Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Numéro de la base de connaissances d’origine : 314980

Résumé

Active Directory enregistre les événements dans le journal des services d’annuaire ou de l’instance LDS dans observateur d'événements. Vous pouvez utiliser les informations collectées dans le journal pour vous aider à diagnostiquer et résoudre les problèmes éventuels ou à surveiller l’activité des événements liés à Active Directory sur votre serveur.

Par défaut, Active Directory enregistre uniquement les événements critiques et les événements d’erreur dans le journal du service d’annuaire. Pour configurer Active Directory afin d’enregistrer d’autres événements, vous devez augmenter le niveau de journalisation en modifiant le registre.

Journalisation des événements de diagnostic Active Directory

Les entrées de Registre qui gèrent la journalisation des diagnostics pour Active Directory sont stockées dans les sous-clés de Registre suivantes.

Contrôleur de domaine : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics
LDS: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<LDS instance name>\Diagnostics

Chacune des valeurs de REG_DWORD suivantes sous la Diagnostics sous-clé représente un type d’événement qui peut être écrit dans le journal des événements :

  1. Vérificateur de cohérence des connaissances (KCC)
  2. Événements de sécurité
  3. Événements de l’interface ExDS
  4. Événements d’interface MAPI
  5. Événements de réplication
  6. Garbage Collection
  7. Configuration interne
  8. Accès à l’annuaire
  9. Traitement interne
  10. Compteurs de performance
  11. Initialisation/arrêt
  12. Contrôle de service
  13. Résolution de noms
  14. Sauvegarde
  15. Ingénierie de terrain
  16. Événements d’interface LDAP
  17. Configuration
  18. Catalogue global
  19. Messagerie intersite
  20. Mise en cache de groupe
  21. réplication Linked-Value
  22. DS RPC Client
  23. Serveur RPC DS
  24. Schéma DS
  25. Moteur de transformation
  26. Access Control basée sur les revendications
  27. Notifications de mise à jour de mot de passe PDC

Niveaux de journalisation

Chaque entrée peut se voir attribuer une valeur comprise entre 0 et 5, et cette valeur détermine le niveau de détail des événements enregistrés. Les niveaux de journalisation sont décrits comme suit :

  • 0 (Aucun) : seuls les événements critiques et les événements d’erreur sont enregistrés à ce niveau. Il s’agit du paramètre par défaut pour toutes les entrées. Il ne doit être modifié que si un problème que vous souhaitez examiner se produit.
  • 1 (Minimal) : les événements de haut niveau sont enregistrés dans le journal des événements à ce paramètre. Les événements peuvent inclure un message pour chaque tâche principale effectuée par le service. Utilisez ce paramètre pour démarrer une investigation lorsque vous ne connaissez pas l’emplacement du problème.
  • 2 (De base)
  • 3 (Étendu) : ce niveau enregistre des informations plus détaillées que les niveaux inférieurs, comme les étapes effectuées pour effectuer une tâche. Utilisez ce paramètre lorsque vous avez limité le problème à un service ou à un groupe de catégories.
  • 4 (Détaillé)
  • 5 (Interne) : ce niveau journalise tous les événements, y compris les chaînes de débogage et les modifications de configuration. Un journal complet du service est enregistré. Utilisez ce paramètre lorsque vous avez suivi le problème vers une catégorie particulière d’un petit ensemble de catégories.

Comment configurer la journalisation des événements de diagnostic Active Directory

Pour configurer la journalisation des événements de diagnostic Active Directory, procédez comme suit.

Importante

Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour une meilleure protection, sauvegardez le registre avant de le modifier. Vous pouvez alors le restaurer en cas de problème. Pour plus d’informations, consultez Comment sauvegarder et restaurer le Registre dans Windows.

  1. Sélectionnez Démarrer, puis Exécuter.

  2. Dans la zone Ouvrir, tapez regedit, puis sélectionnez OK.

  3. Recherchez et sélectionnez les clés de Registre suivantes.

    Contrôleur de domaine : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics
    LDS: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<LDS instance name>\Diagnostics

    Chaque entrée affichée dans le volet droit de la fenêtre Rédacteur registre représente un type d’événement qu’Active Directory peut enregistrer. Toutes les entrées sont définies sur la valeur par défaut 0 (Aucun).

  4. Configurez la journalisation des événements pour le composant approprié :

    1. Dans le volet droit du Registre Rédacteur, double-cliquez sur l’entrée qui représente le type d’événement pour lequel vous souhaitez journaliser. Par exemple, événements de sécurité.
    2. Tapez le niveau de journalisation souhaité (par exemple, 2) dans la zone Données de la valeur, puis sélectionnez OK.

  5. Répétez l’étape 4 pour chaque composant que vous souhaitez journaliser.

  6. Dans le menu Registre, sélectionnez Quitter pour quitter le Registre Rédacteur.

    Remarque

    • Les niveaux de journalisation doivent être définis sur la valeur par défaut 0 (Aucun), sauf si vous examinez un problème.
    • Lorsque vous augmentez le niveau de journalisation, le détail de chaque message et le nombre de messages écrits dans le journal des événements augmentent également. Un niveau de diagnostic égal ou supérieur à 3 n’est pas recommandé, car la journalisation à ces niveaux nécessite davantage de ressources système et peut dégrader les performances de votre serveur. Veillez à rétablir les entrées sur 0 une fois que vous avez terminé d’examiner le problème.

Activer la journalisation des événements de diagnostic Field Engineering

Cette journalisation n’est pas activée par défaut et doit l’être uniquement pendant la résolution des problèmes actifs. Vous pouvez activer la journalisation en procédant comme suit :

  1. Augmentez la taille des journaux des événements des services d’annuaire à 200 Mo.

  2. Activez la clé de Registre Field Engineering diagnostics et définissez la valeur sur 5.

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics\15 Field Engineering

  3. Créez les clés de Registre suivantes pour configurer des filtres basés sur le Registre pour des recherches coûteuses, inefficaces et longues :

    Chemin d’accès du Registre Type de données Valeur par défaut
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Expensive Search Results Threshold REG_DWORD 1
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Inefficient Search Results Threshold REG_DWORD 1
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Search Time Threshold (msecs) REG_DWORD 1