Настройка ведения журнала диагностических событий Active Directory и LDS

  • Статья

В этой пошаговой статье описывается настройка ведения журнала диагностических событий Active Directory в операционных системах Microsoft Windows Server.

Применимо к: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Оригинальный номер базы знаний: 314980

Сводка

Active Directory записывает события в журнал службы каталогов или экземпляра LDS в Просмотр событий. Вы можете использовать сведения, собранные в журнале, для диагностики и устранения возможных проблем или мониторинга активности событий, связанных с Active Directory, на сервере.

По умолчанию Active Directory записывает в журнал службы каталогов только критические события и события ошибок. Чтобы настроить Active Directory для записи других событий, необходимо увеличить уровень ведения журнала, изменив реестр.

Ведение журнала диагностических событий Active Directory

Записи реестра, управляющие ведением журнала диагностики для Active Directory, хранятся в следующих подразделах реестра.

Контроллер домена: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics
СПД: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<LDS instance name>\Diagnostics

Каждое из следующих REG_DWORD значений в подразделе Diagnostics представляет тип события, которое можно записать в журнал событий:

  1. Средство проверки согласованности знаний (KCC)
  2. События безопасности
  3. События интерфейса ExDS
  4. События интерфейса MAPI
  5. События репликации
  6. Сборка мусора
  7. Внутренняя конфигурация
  8. Доступ к каталогу
  9. Внутренняя обработка
  10. Счетчики производительности
  11. Инициализация и завершение
  12. Элемент управления службой
  13. Разрешение имен
  14. Резервное копирование
  15. Разработка полей
  16. События интерфейса LDAP
  17. Setup
  18. Глобальный каталог
  19. Обмен сообщениями между сайтами
  20. Кэширование групп
  21. Репликация Linked-Value
  22. Клиент RPC DS
  23. Сервер RPC DS
  24. Схема DS
  25. Подсистема преобразования
  26. контроль доступа на основе утверждений
  27. Уведомления об обновлении паролей PDC

Уровни ведения журнала

Каждой записи можно присвоить значение от 0 до 5, и это значение определяет уровень детализации регистрированных событий. Уровни ведения журнала описываются следующим образом:

  • 0 (нет). На этом уровне регистрируются только критические события и события ошибок. Это параметр по умолчанию для всех записей, и его следует изменять только в том случае, если возникает проблема, которую вы хотите исследовать.
  • 1 (минимальный): события высокого уровня записываются в журнал событий при этом параметре. События могут содержать одно сообщение для каждой основной задачи, выполняемой службой. Используйте этот параметр, чтобы начать исследование, если вы не знаете расположение проблемы.
  • 2 (базовый)
  • 3 (расширенный): на этом уровне записываются более подробные сведения, чем на более низких уровнях, например шаги, выполняемые для выполнения задачи. Используйте этот параметр, если вы сузили проблему до службы или группы категорий.
  • 4 (подробный)
  • 5 (внутренний): этот уровень регистрирует все события, включая отладочные строки и изменения конфигурации. Записывается полный журнал службы. Используйте этот параметр, если вы отследили проблему до определенной категории небольшого набора категорий.

Настройка ведения журнала диагностических событий Active Directory

Чтобы настроить ведение журнала диагностических событий Active Directory, выполните следующие действия.

Важно!

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения см. в статье Резервное копирование и восстановление реестра в Windows.

  1. Нажмите кнопку Пуск и выберите пункт Выполнить.

  2. В поле Открыть введите команду regedit и нажмите кнопку ОК.

  3. Найдите и выберите следующие разделы реестра.

    Контроллер домена: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics
    СПД: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<LDS instance name>\Diagnostics

    Каждая запись, отображаемая в правой области окна Редактор реестра, представляет собой тип события, которое Active Directory может регистрить. Для всех записей задано значение по умолчанию 0 (Нет).

  4. Настройте ведение журнала событий для соответствующего компонента:

    1. В правой области реестра Редактор дважды щелкните запись, представляющую тип события, для которого требуется записать в журнал. Например, события безопасности.
    2. Введите нужный уровень ведения журнала (например, 2) в поле Значение и нажмите кнопку ОК.

  5. Повторите шаг 4 для каждого компонента, который требуется записать в журнал.

  6. В меню Реестр выберите Выйти, чтобы выйти из реестра Редактор.

    Примечание.

    • Уровни ведения журнала должны иметь значение по умолчанию 0 (Нет), если вы не изучаете проблему.
    • При увеличении уровня ведения журнала также увеличиваются сведения о каждом сообщении и количество сообщений, записываемых в журнал событий. Не рекомендуется использовать уровень диагностики 3 или более поздней версии, так как ведение журнала на этих уровнях требует дополнительных системных ресурсов и может снизить производительность сервера. После завершения исследования проблемы убедитесь, что записи сбрасываются на 0.

Включение ведения журнала событий диагностики field Engineering

Это ведение журнала не включено по умолчанию и должно быть включено только во время активного устранения неполадок. Вы можете включить ведение журнала, выполнив следующие действия.

  1. Увеличьте размер журналов событий служб каталогов до 200 МБ.

  2. Включите раздел реестра Field Engineering диагностика и задайте для параметра значение 5.

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics\15 Field Engineering

  3. Создайте следующие разделы реестра, чтобы настроить фильтры на основе реестра для дорогостоящих, неэффективных и длительных поисков:

    Путь реестра Тип данных Значение по умолчанию
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Expensive Search Results Threshold REG_DWORD 1
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Inefficient Search Results Threshold REG_DWORD 1
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Search Time Threshold (msecs) REG_DWORD 1