如何設定 Active Directory 和 LDS 診斷事件記錄

  • 發行項

此逐步解說文章說明如何在 Microsoft Windows Server 操作系統中設定 Active Directory 診斷事件記錄。

適用於:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012
原始 KB 編號: 314980

摘要

Active Directory 會將事件記錄到 事件檢視器 中的目錄服務或 LDS 實例記錄檔。 您可以使用記錄中收集的信息,協助您診斷和解決可能的問題,或監視伺服器上 Active Directory 相關事件的活動。

根據預設,Active Directory 只會在目錄服務記錄檔中記錄重大事件和錯誤事件。 若要設定 Active Directory 來記錄其他事件,您必須藉由編輯登錄來增加記錄層級。

Active Directory 診斷事件記錄

管理 Active Directory 診斷記錄的登錄專案會儲存在下列登錄子機碼中。

網域控制器: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics
Lds: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<LDS instance name>\Diagnostics

子機 下的 Diagnostics 下列每個REG_DWORD值都代表可以寫入事件記錄檔的事件類型:

  1. 知識一致性檢查工具 (KCC)
  2. 安全性事件
  3. ExDS 介面事件
  4. MAPI 介面事件
  5. 複寫事件
  6. 垃圾收集
  7. 內部設定
  8. 目錄存取
  9. 內部處理
  10. 效能計數器
  11. 初始化/終止
  12. 服務控制
  13. 名稱解析
  14. 備份
  15. 現場工程
  16. LDAP 介面事件
  17. 安裝程式
  18. 通用類別目錄
  19. 網站間傳訊
  20. 群組快取
  21. Linked-Value 複寫
  22. DS RPC 用戶端
  23. DS RPC Server
  24. DS 架構
  25. 轉換引擎
  26. 宣告型 存取控制
  27. PDC 密碼更新通知

記錄層次

每個專案都可以指派從 0 到 5 的值,而此值會決定所記錄事件的詳細層級。 記錄層級的描述如下:

  • 0 (無) :此層級只會記錄重大事件和錯誤事件。 這是所有項目的預設設定,只有在您想要調查的問題發生時,才應該修改它。
  • 1 (最小) :高階事件會記錄在此設定的事件記錄檔中。 事件可能包含服務所執行之每個主要工作的一則訊息。 當您不知道問題的位置時,請使用此設定來開始調查。
  • 2 (基本)
  • 3 (大量) :此層級會記錄比較低層級更詳細的資訊,例如執行以完成工作的步驟。 當您已將問題縮小到服務或類別群組時,請使用此設定。
  • 4 (詳細資訊)
  • 5 (內部) :此層級會記錄所有事件,包括偵錯字串和組態變更。 系統會記錄服務的完整記錄。 當您已將問題追蹤到一小組類別的特定類別時,請使用此設定。

如何設定 Active Directory 診斷事件記錄

若要設定 Active Directory 診斷事件記錄,請遵循下列步驟。

重要事項

這個章節、方法或工作包含修改登錄的步驟。 然而,不當修改登錄可能會發生嚴重的問題。 因此,請務必謹慎地依照這些步驟執行。 為了有多一層保護,請先備份登錄再進行修改。 如此一來,您就可以在發生問題時還原登錄。 如需詳細資訊,請 參閱如何在 Windows 中備份和還原登錄

  1. 選取 [開始],然後選取 [執行]

  2. 在 [開啟] 方塊中,輸入 regedit,然後選取 [ 確定]

  3. 找出並選取下列登錄機碼。

    網域控制器: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics
    Lds: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<LDS instance name>\Diagnostics

    [登錄] 視窗右窗格中顯示的每個專案 編輯器 代表Active Directory 可以記錄的事件類型。 所有項目都會設定為預設值 0 (None) 。

  4. 設定適當元件的事件記錄:

    1. 在登錄 編輯器 的右窗格中,按兩下代表您要記錄之事件類型的專案。 例如,安全性事件。
    2. 輸入您想要 (的記錄層級,例如,在 [ 值數據 ] 方塊中輸入 2) ,然後選取 [ 確定]

  5. 針對您想要記錄的每個元件重複步驟 4。

  6. 在 [登錄] 功能表上,選取 [結束] 以結束登錄 編輯器。

    注意事項

    • 除非您正在調查問題,否則記錄層級應該設定為預設值 0 (None) 。
    • 當您增加記錄層級時,每個訊息的詳細數據以及寫入事件記錄檔的訊息數目也會增加。 不建議使用 3 或更高的診斷層級,因為在這些層級記錄需要更多系統資源,而且可能會降低伺服器的效能。 完成問題調查之後,請務必將專案重設為 0。

啟用現場工程診斷事件記錄

此記錄預設不會啟用,而且應該只在作用中的疑難解答期間啟用。 您可以使用下列步驟來啟用記錄:

  1. 將 Directory Services 事件記錄檔的大小增加到 200 MB。

  2. 啟用 Field Engineering 診斷登錄機碼,並將值設為 5

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics\15 Field Engineering

  3. 建立下列登錄機碼,以針對昂貴、效率不佳和長時間執行的搜尋設定登錄型篩選:

    登錄路徑 資料類型 預設值
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Expensive Search Results Threshold REG_DWORD 1
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Inefficient Search Results Threshold REG_DWORD 1
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Search Time Threshold (msecs) REG_DWORD 1