故障诊断活动目录

本文档介绍了Active Directory的故障排除场景和解决方案。它们可以分为:

如何检查Active Directory的EPM和错误状态

设置好Active Directory后,可以检查它是否正在接收数据。你也可以检查它是否显示错误:

  1. 数据收集>事件源

  2. 在左边的筛选选项上,单击活动目录产品类型

  3. 看到按照项目每个Active Directory事件源右侧的“每分钟事件数”。如果EMP显示0事件,则表示Active Directory没有接收到事件。

  4. 您还可以检查事件源名称下面的状态:它可以是“Running”或显示错误状态。

下图显示Active Directory事件源正确运行,没有错误状态。正如EMP数字所示,它正在收集事件。

“事件源”页面中的Active Directory已正确运行

Active Directory事件源显示错误状态

如果Active Directory显示错误状态,您可以查看下面的场景并采取措施。

拒绝连接错误

此错误是收集器无法到达事件源配置的Server字段中指定的域控制器的结果。确保你使用的是可路由的IP地址或完全限定的此字段中的主机名。如果服务器名称正确,则使用以下步骤进行故障排除。

  1. 确认IP地址或完全限定主机名与环境中的域控制器匹配。
  2. 确认Collector能够路由到域控制器。
  3. 确认没有路由规则阻止采集器和域控制器通过端口进行通信135139445TCP 49154TCP 49155

无法获取当前时间错误

消息未找到errorCode: 0xFFFFFFFF

这是指定帐户成功访问域控制器的结果,但DC可能没有启用WMI或正确配置WMI。这也可能显示为异常代码(例如0x80041003)。在这种情况下,请进行故障排除,以查看WMI访问是否可用。

测试WMI权利

  1. 运行wmimgmt,右键单击WMI控件(本地),转到“属性”,然后“安全”选项卡。
  2. 打开根目录并突出显示CIMV2。点击安全并确认权限:
    • 执行方法
    • 启用帐户
    • 远程支持
  3. 如果WMI浏览工具可用,那么您现在应该能够连接并浏览cimv2了。
  4. 如果您没有WMI浏览器,那么您可以跳过这个测试步骤,只有在需要进行进一步的故障排除时才可以获得WMI浏览器。

通过测试DCOM进行故障排除

  1. dcomcnfg.exe运行。在“组件服务”下,打开“计算机”,右键单击“我的计算机”。转到属性,然后进入COM安全选项卡。在“启动和激活权限”下,单击“编辑限制”。
  2. 确认远程启动和远程激活已启用。

通过检查WMI日志进行故障排除

WMI日志非常有用和详细。它们可以在事件日志下找到,在应用程序和服务日志/Microsoft/Windows/WMI活动。

如果收集器继续收到关于无法读取时间或类似问题的错误,这可能是WMI权限问题。收集器日志与服务器上的WMI日志相结合,可以很容易地查明丢失的WMI权限。

Active Directory事件源正在运行,但有0 EPM

检查Active Directory事件源的状态数据收集>事件源.如果EPM显示0(意味着您没有得到任何事件),并且该事件源的状态为“Running”(没有显示任何错误消息以表明出现了错误),您可以查看以下场景。

服务帐户不在Domain Admins组中

您需要设置一个服务帐户并将其添加到Domain Admins组以使用Active Directory。

使用没有管理员权限的帐户是一个常见的错误。这导致域管理帐户没有得到充分的配置,无法从Collector进行到域控制器的身份验证。

如果您希望在没有服务帐户的情况下设置活动目录,可以查看活动目录文档合适的替代选择

审计政策

如果您注意到您没有从Active Directory获得特定的事件,您应该检查您的审计政策

在配置Windows日志记录的组策略时,请注意,实现常规(遗留)审计策略设置和高级审计策略设置将导致意外结果,因为这两组策略设置中的类似设置之间存在冲突。为了确保高级审计策略设置覆盖常规审计策略设置:

  1. 导航到电脑配置>政策>窗口设置>安全设置>当地的政策>安全选项
  2. 启用覆盖策略,即:审计:强制审计策略子类别设置(Windows Vista或更高版本)以覆盖审计策略类别设置。

“高级审计策略配置”仅兼容Windows Vista及以上版本。建议尽可能利用高级审计策略,因为它有超过65个设置,而传统的只有8个设置,并允许更多的控制和额外的可见性。它还解锁了几个功能,包括:

  • 蜂蜜的文件
  • 文件完整性监测
  • 文件访问活动监控

请注意,“高级审计策略配置”与“组策略”位于不同的区域。

阅读活动目录和审计策略

活动目录文档包括关于监控事件,还有一节是关于审计策略是如何与可能性相关联的发送未解析日志

与Insight Agent复制必威体育app登录

若要收集域控制器安全日志事件,请使用任一Active Directory事件源了解代理必威体育app登录。使用这两种方法可能会导致收集重复的事件。

要检查是否复制,请转到日志搜索.选择资产的身份验证日志设置

“日志搜索”中“日志集”下的“资产认证”选项

你也可以用the按事件源或类型进行筛选搜索选项查找端点

Insi必威体育app登录ght Agent是从域控制器获取安全日志的可用选项之一(所有选项都在Active Directory的文档)。每个人都有不同的规格和限制。阅读每个选项的规范,并分析您更喜欢哪一个。

如果您喜欢使用Active Directory收集域控制器安全日志,那么您应该将“域控制器事件”的选项改为没有Insight 必威体育app登录Agent在此:设置>必威体育app登录>域控制器事件

Insight Agent界面的域控制器选项关闭必威体育app登录

如果您喜欢使用Insight Agent收集域控制器安全日志,那么您应该将域控制器事件的选项改为必威体育app登录是的Insight 必威体育app登录Agent在此:设置>必威体育app登录>域控制器事件

在Insight Agent界面上打开域控制器选项必威体育app登录

控件还应暂停正在运行的活动目录事件源停止运行选项:数据收集>事件源>产品类型>活动目录

activedirectory的停止运行选项