故障诊断活动目录
本文档介绍了Active Directory的故障排除场景和解决方案。它们可以分为:
Active Directory事件源显示错误状态
Active Directory事件源正在运行,但没有收到任何事件
如何检查Active Directory的EPM和错误状态
设置好Active Directory后,可以检查它是否正在接收数据。你也可以检查它是否显示错误:
去数据收集>事件源.
在左边的筛选选项上,单击活动目录下产品类型.
看到按照项目每个Active Directory事件源右侧的“每分钟事件数”。如果EMP显示0事件,则表示Active Directory没有接收到事件。
您还可以检查事件源名称下面的状态:它可以是“Running”或显示错误状态。
下图显示Active Directory事件源正确运行,没有错误状态。正如EMP数字所示,它正在收集事件。
Active Directory事件源显示错误状态
如果Active Directory显示错误状态,您可以查看下面的场景并采取措施。
拒绝连接错误
此错误是收集器无法到达事件源配置的Server字段中指定的域控制器的结果。确保你使用的是可路由的IP地址或完全限定的此字段中的主机名。如果服务器名称正确,则使用以下步骤进行故障排除。
- 确认IP地址或完全限定主机名与环境中的域控制器匹配。
- 确认Collector能够路由到域控制器。
- 确认没有路由规则阻止采集器和域控制器通过端口进行通信135,139,445,TCP 49154和TCP 49155.
无法获取当前时间错误
消息未找到errorCode: 0xFFFFFFFF
这是指定帐户成功访问域控制器的结果,但DC可能没有启用WMI或正确配置WMI。这也可能显示为异常代码(例如0x80041003)。在这种情况下,请进行故障排除,以查看WMI访问是否可用。
测试WMI权利
- 运行wmimgmt,右键单击WMI控件(本地),转到“属性”,然后“安全”选项卡。
- 打开根目录并突出显示CIMV2。点击安全并确认权限:
- 执行方法
- 启用帐户
- 远程支持
- 如果WMI浏览工具可用,那么您现在应该能够连接并浏览cimv2了。
- 如果您没有WMI浏览器,那么您可以跳过这个测试步骤,只有在需要进行进一步的故障排除时才可以获得WMI浏览器。
通过测试DCOM进行故障排除
- dcomcnfg.exe运行。在“组件服务”下,打开“计算机”,右键单击“我的计算机”。转到属性,然后进入COM安全选项卡。在“启动和激活权限”下,单击“编辑限制”。
- 确认远程启动和远程激活已启用。
通过检查WMI日志进行故障排除
WMI日志非常有用和详细。它们可以在事件日志下找到,在应用程序和服务日志/Microsoft/Windows/WMI活动。
如果收集器继续收到关于无法读取时间或类似问题的错误,这可能是WMI权限问题。收集器日志与服务器上的WMI日志相结合,可以很容易地查明丢失的WMI权限。
Active Directory事件源正在运行,但有0 EPM
检查Active Directory事件源的状态数据收集>事件源.如果EPM显示0(意味着您没有得到任何事件),并且该事件源的状态为“Running”(没有显示任何错误消息以表明出现了错误),您可以查看以下场景。
服务帐户不在Domain Admins组中
您需要设置一个服务帐户并将其添加到Domain Admins组以使用Active Directory。
使用没有管理员权限的帐户是一个常见的错误。这导致域管理帐户没有得到充分的配置,无法从Collector进行到域控制器的身份验证。
如果您希望在没有服务帐户的情况下设置活动目录,可以查看活动目录文档合适的替代选择.
审计政策
如果您注意到您没有从Active Directory获得特定的事件,您应该检查您的审计政策.
在配置Windows日志记录的组策略时,请注意,实现常规(遗留)审计策略设置和高级审计策略设置将导致意外结果,因为这两组策略设置中的类似设置之间存在冲突。为了确保高级审计策略设置覆盖常规审计策略设置:
- 导航到电脑配置>政策>窗口设置>安全设置>当地的政策>安全选项.
- 启用覆盖策略,即:审计:强制审计策略子类别设置(Windows Vista或更高版本)以覆盖审计策略类别设置。
“高级审计策略配置”仅兼容Windows Vista及以上版本。建议尽可能利用高级审计策略,因为它有超过65个设置,而传统的只有8个设置,并允许更多的控制和额外的可见性。它还解锁了几个功能,包括:
- 蜂蜜的文件
- 文件完整性监测
- 文件访问活动监控
请注意,“高级审计策略配置”与“组策略”位于不同的区域。
与Insight Agent复制必威体育app登录
若要收集域控制器安全日志事件,请使用任一Active Directory事件源或了解代理必威体育app登录。使用这两种方法可能会导致收集重复的事件。
要检查是否复制,请转到日志搜索.选择资产的身份验证下日志设置.
你也可以用the按事件源或类型进行筛选搜索选项查找端点.
Insi必威体育app登录ght Agent是从域控制器获取安全日志的可用选项之一(所有选项都在Active Directory的文档)。每个人都有不同的规格和限制。阅读每个选项的规范,并分析您更喜欢哪一个。
如果您喜欢使用Active Directory收集域控制器安全日志,那么您应该将“域控制器事件”的选项改为没有Insight 必威体育app登录Agent在此:设置>必威体育app登录>域控制器事件.
如果您喜欢使用Insight Agent收集域控制器安全日志,那么您应该将域控制器事件的选项改为必威体育app登录是的Insight 必威体育app登录Agent在此:设置>必威体育app登录>域控制器事件.
控件还应暂停正在运行的活动目录事件源停止运行选项:数据收集>事件源>产品类型>活动目录