我一直使用Sysinternals中的ADInsight来跟踪来自工作站的Active Directory调用,但应用程序失败。
在以前的活动目录事件被追踪和logging,现在窗口保持空白,无论应用程序是否处于捕获模式。 我以pipe理员身份运行,重新启动,下载了一个新版本; 这些行动都没有使这个计划回到function状态。
Sysinternals论坛不提供太多的希望,因为这个工具被认为经常失败。
有没有类似function的工具?
问题
使用您的帐户从另一台工作站运行该工具是否会失败? 是
它是否从您的(和/或)另一个工作站使用其他人的帐户失败? 是
工作站的事件日志中是否有任何内容? 没有
ADInsight存在已知的问题,不再支持或开发。 在某些环境下,特别是在虚拟机上,它有加载DLL的问题(参见http://forum.sysinternals.com/adinsight-doesnt-work-hangs_topic18891.html和http://forum.sysinternals.com/adinsight-operation_topic18963.html )
我发现的最佳解决scheme是打开Active Directory诊断日志logging,如http://www.activedir.org/Articles/tabid/54/articleType/ArticleView/articleId/41/Default.aspx所述 。 基本上,您要设置以下registry值:
Path: HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics\15 Field Engineering Type: DWORD Value: 5 Path: HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Expensive Search Results Threshold Type: DWORD Value: 1 这些更改不需要重新引导,而是根据服务器进行设置,因此最好通过组策略首选项来实现整个林/域。 一旦设置,您将在DC上的目录服务事件日志中find生成的日志。 他们不是完全parsing友好的,但可以用一些正则expression式来争论。 最好的部分是它不需要外部工具/代码。
如果我没有提到这个级别的伐木可能会对生产DC造成性能损失,那么我就会失职。 在我的testing环境中,只有两个数据中心几乎没有任何东西,我看到~10-20个事件/分钟,只是这个设置。
我知道这是一个老问题,但我刚刚发现,从Windows Vista / 2008开始,Windows LDAP客户端支持ETW 。
跟踪标志的参考在这里 。
ADInsight今年已更新,以解决这些问题。
资料来源: http : //blogs.technet.com/b/sysinternals/archive/2015/10/27/update-autoruns-v13-5-sigcheck-v2-3-rammap-v1-4-bginfo-v4-21- SYSMON-v3-11-的AdInsight,v1-2.aspx