開啟AD診斷日志

利用活動(dòng)目錄的診斷日志，可以記錄和AD相關(guān)的錯(cuò)誤日志。打開注冊表編輯器，展開“HKEY_LOCAL_MACHINESYSTEMCurrent Control Se tservicesNTDSDiagnostics”分支，在右側(cè)顯示了和活動(dòng)目錄相關(guān)的很多記錄項(xiàng)目，每一個(gè)項(xiàng)目和特定的AD活動(dòng)記錄項(xiàng)關(guān)聯(lián)。例如Performance Connters、DS Schema、Directory Access等。 其取值范圍從0到3，默認(rèn)值是0，有些項(xiàng)可以設(shè)置4或5等更高的值。建議取值不要超過3，因?yàn)檫^高的值會(huì)產(chǎn)生很大的日志記錄量，造成無關(guān)信息掩蓋有用信息的情況。

設(shè)置之后無需重啟域控，系統(tǒng)就可以將上述設(shè)定相關(guān)的AD的底層活動(dòng)信息記錄下來，在事件查看器中的活動(dòng)目錄日志部分，查看這些記錄信息。

注意：因?yàn)橛涗浀臄?shù)量不斷增加，需要及時(shí)調(diào)整活動(dòng)目錄日志大小，便于存放大量的日志信息。例如，在林根域的域控上查看活動(dòng)目錄日志，發(fā)現(xiàn)內(nèi)容為“請使用net time命令，配置外部時(shí)間同步”的錯(cuò)誤信息，這說明沒有正確配置時(shí)間源。處理方法是，執(zhí)行“net time/setsntp:xxx”命令，來設(shè)置正確的時(shí)間源，其中的“xxx”為時(shí)間服務(wù)器。

如果從外網(wǎng)上連接時(shí)間服務(wù)器，需要在防火墻上開啟UDP 123端口。如果是手工調(diào)整域控時(shí)鐘，則需要重啟。當(dāng)客戶端登錄域環(huán)境時(shí)，如果出現(xiàn)由于時(shí)間差異拒絕訪問的提示，這實(shí)際上和Kerberos協(xié)議有關(guān)。因?yàn)镵erberos頒發(fā)的票據(jù)存在有效期，要求所有的域控和客戶機(jī)在時(shí)間上是校準(zhǔn)的。默認(rèn)域控之間時(shí)差不超過5分鐘，客戶機(jī)和域控之間時(shí)差不超過30分鐘。只要將客戶機(jī)和與域控設(shè)置為同一個(gè)時(shí)間服務(wù)器，例如執(zhí)行“net time \xxx.xxx.xxx.xxx /set”命令，設(shè)置其與域控時(shí)間同步，就可以解決問題。