Allgemeine Fehlervarianten
RPC-Server nicht verfügbar
Ursache:
Dieser Fehler tritt auf, wenn die RPC-Ports (statische Portnummer 135 und dynamische Portnummer 49152-65535) in der Firewall nicht geöffnet sind.
Lösung:
Stellen Sie sicher, dass die RPC-Ports (statische Portnummer 135 und dynamische Portnummern 49152-65535*) geöffnet sind, damit ADAudit Plus Windows-Protokolle von den überwachten Computern sammeln kann.
Folgen Sie diesem Portleitfaden, um die für die Windows-Protokollsammlung erforderlichen RPC-Ports zu öffnen.
* Hinweis: Wenn Sie die Windows-Firewall verwenden, können Sie dynamische Ports (49152-65535) auf den überwachten Computern öffnen, indem Sie die unten aufgeführten eingehenden Regeln aktivieren.
- Remote Event Log Management (NP-In)
- Remote Event Log Management (RPC)
- Remote Event Log Management (RPC-EPMAP)
Um die obigen Regeln zu aktivieren: Öffnen Sie Windows Firewall > Erweiterte Einstellungen > Eingehende Regeln > Klicken Sie mit der rechten Maustaste auf die jeweilige Regel > Regel aktivieren.
Fehlerbehebung:
- Ping den Zielserver per Namen vom ADAudit Plus-Server aus.
- Melden Sie sich an Ihrer ADAudit Plus-Webkonsole an.
- Identifizieren Sie den Server, der den RPC-Fehler aus den Verfügbaren Domänencontrollern unter Domäneneinstellungen oder unter Konfigurierten Server(n) im Dateiaudit-Tab oder unter Konfigurierten Server(n) im Server-Audit-Tab anzeigt.
- Notieren Sie sich den flachen Namen des Servers, wie er in der ADAudit Plus-Konsole angezeigt wird, sowie seinen DNS-Namen.
- Öffnen Sie die Eingabeaufforderung auf dem ADAudit Plus-Server und pingen Sie den Zielserver mit dem Namen an, der in der ADAudit Plus-Konsole notiert wurde, um zu überprüfen, ob der Name auf die richtige IP-Adresse aufgelöst wird.
- Wenn der Ping an den Server erfolgreich ist, ist es unwahrscheinlich, dass die Namensauflösung die Ursache des Problems ist.
- Wenn der Ping an den Server fehlschlägt, versuchen Sie, den Server mit seinem DNS-Namen zu pingen; wenn erfolgreich, fügen Sie das DNS-Suffix in den Erweiterten TCP/IP-Einstellungen hinzu oder fügen Sie einen Hosteintrag im DNS-Server hinzu, der diesen Namen der IP-Adresse des Servers zuordnet.
- Versuchen Sie, sich vom ADAudit Plus-Server aus mit dem Ereignisanzeiger des Zielservers zu verbinden.
- Öffnen Sie Start auf dem ADAudit Plus-Server und suchen Sie nach Ereignisanzeige.
- Klicken Sie mit der rechten Maustaste auf Ereignisanzeige und wählen Sie Als Administrator ausführen. Geben Sie Ihre Administratoranmeldeinformationen ein und klicken Sie auf OK.
- Im Fenster der Ereignisanzeige klicken Sie mit der rechten Maustaste auf Ereignisanzeige (lokal) oben links und wählen Mit einem anderen Computer verbinden.
- Geben Sie den Namen oder die IP-Adresse des Zielservers im Feld Anderer Computer ein und klicken Sie auf OK.
- Wenn Sie sich mit dem Zielserver verbinden können, überprüfen Sie, ob Sie als Nächstes auf die Freigaben des Zielservers zugreifen können.
- Versuchen Sie, von ADAudit Plus-Server aus auf die Freigaben des Zielservers zuzugreifen.
- Öffnen Sie den Datei-Explorer auf dem ADAudit Plus-Server und wählen Sie im linken Baum Netzwerk aus.
- Im Fenster Netzwerk doppelklicken Sie auf den Zielcomputer, der den freigegebenen Ordner enthält.
- Öffnen Sie den freigegebenen Ordner und doppelklicken Sie auf die Freigabe, auf die Sie zugreifen möchten.
- Alternativ können Sie den UNC-Pfad zum freigegebenen Ordner ausführen und auf die Freigaben zugreifen.
Zugriff verweigert
Ursache:
Dieser Fehler tritt auf, wenn das Benutzerkonto, das ADAudit Plus ausführt, nicht über ausreichende Berechtigungen verfügt, um auf die Ereignisprotokolle zuzugreifen.
Lösungen:
- Bereitstellung der Domain-Admin-Berechtigungen:
ADAudit Plus benötigt Domain-Admin-Anmeldeinformationen, um Aktivitäten in Ihrem Active Directory (AD) sofort zu prüfen. Stellen Sie sicher, dass Sie sich mit Domain-Admin-Anmeldeinformationen bei ADAudit Plus anmelden.
- Einrichten eines Dienstkontos mit minimalen Berechtigungen:
Wenn Sie keine Domain-Admin-Anmeldeinformationen bereitstellen möchten, müssen Sie ein Dienstkonto mit den minimalen Berechtigungen einrichten, die erforderlich sind, um Ihre AD-Umgebung zu prüfen.
- Gewähren Sie dem ADAudit Plus-Benutzer besondere Berechtigungen zum Lesen der Sicherheitsprotokolle:
Wenn Sie Nicht-Administratoren die Berechtigung zum Lesen von Ereignisprotokollen gegeben haben, gewähren Sie die gleichen Berechtigungen dem Benutzerkonto, das ADAudit Plus ausführt, um auf die Sicherheitsprotokolle zuzugreifen.
Fehlerbehebung:
Versuchen Sie, vom ADAudit Plus-Server aus eine Verbindung zum Ereignisanzeiger des Zielservers herzustellen.
- Öffnen Sie Start auf dem ADAudit Plus-Server und suchen Sie nach Ereignisanzeiger.
- Rechtsklicken Sie auf Ereignisanzeiger und klicken Sie auf Als Administrator ausführen. Geben Sie die Anmeldeinformationen des Benutzerkontos ein, das ADAudit Plus ausführt.
- Im Fenster des Ereignisanzeigers klicken Sie oben links mit der rechten Maustaste auf Ereignisanzeiger (Lokal) und wählen Mit anderem Computer verbinden.
- Geben Sie den Computernamen oder die IP-Adresse des Zielcomputers im Feld Ein anderer Computer ein und klicken Sie auf OK.
- Wenn Sie keine Verbindung zum Zielcomputer herstellen können, verfügt das Benutzerkonto, das ADAudit Plus ausführt, nicht über ausreichende Berechtigungen.
Remoteprozeduraufruf fehlgeschlagen
Ursache:
Dieser Fehler tritt auf, wenn die RPC-Ports (statische Portnummer 135 und dynamische Portnummer 49152-65535*) in der Firewall nicht geöffnet sind oder wenn Pakete aufgrund einer instabilen WAN-Verbindung verloren gehen.
Lösung:
Stellen Sie sicher, dass die RPC-Ports (statische Portnummer 135 und dynamische Portnummer 49152-65535*) geöffnet sind, damit ADAudit Plus Windows-Protokolle von den überwachten Computern sammeln kann.
Folgen Sie diesem Port-Leitfaden, um die für die Windows-Protokollsammlung erforderlichen RPC-Ports zu öffnen.
* Hinweis
: Wenn Sie die Windows-Firewall verwenden, können Sie dynamische Ports (49152-65535) auf den überwachten Computern öffnen, indem Sie die unten aufgeführten eingehenden Regeln aktivieren.
- Remote Event Log Management (NP-In)
- Remote Event Log Management (RPC)
- Remote Event Log Management (RPC-EPMAP)
Um die oben genannten Regeln zu aktivieren: Öffnen Sie Windows Firewall > Erweiterte Einstellungen > Eingehende Regeln > Klicken Sie mit der rechten Maustaste auf die jeweilige Regel > Regel aktivieren..
Fehlerbehebung:
- Pingen Sie den Zielserver per Namen vom ADAudit Plus-Server.
- Melden Sie sich bei Ihrer ADAudit Plus-Webkonsole an.
- Identifizieren Sie den Server, der den RPC-Fehler anzeigt, aus den Verfügbaren Domänencontrollern unter Domäneneinstellungen oder unter Konfigurierten Server(n) im Tab Dateiüberwachung oder unter konfigurierten Server(n) im Serverüberwachung-Tab.
- Notieren Sie sich den flachen Namen des Zielservers, wie er in der ADAudit Plus-Konsole angezeigt wird, sowie seinen DNS-Namen.
- Öffnen Sie Eingabeaufforderung auf dem ADAudit Plus-Server und pingen Sie den Zielserver mit seinem flachen Namen, wie er in der ADAudit Plus-Konsole notiert ist, um zu überprüfen, ob der Name auf die richtige IP-Adresse aufgelöst wird.
- Wenn der Ping zum Server erfolgreich ist, ist es unwahrscheinlich, dass die Namensauflösung die Ursache des Problems ist.
- Wenn der Ping zum Server fehlschlägt, versuchen Sie, den Server mit seinem DNS-Namen zu pingen; wenn erfolgreich, fügen Sie das DNS-Suffix in den Erweiterten TCP/IP-Einstellungen hinzu oder erstellen Sie einen Hosteintrag im DNS-Server, um diesen Namen der IP-Adresse des Servers zuzuordnen.
- Versuchen Sie, sich vom ADAudit Plus-Server aus mit dem Ereignisprotokoll des Zielservers zu verbinden.
- Öffnen Sie Start auf dem ADAudit Plus-Server und suchen Sie nach Ereignisanzeige.
- Klicken Sie mit der rechten Maustaste auf Ereignisanzeige und wählen Sie Als Administrator ausführen. Geben Sie Anmeldeinformationen mit lokalen Administratorrechten auf dem Remote-Computer ein, den Sie erreichen möchten.
- Im Fenster der Ereignisanzeige klicken Sie oben links mit der rechten Maustaste auf Ereignisanzeige (lokal) und wählen Mit einem anderen Computer verbinden.
- Geben Sie den Namen des Zielcomputers oder die IP-Adresse im Feld Ein anderer Computer ein und klicken Sie auf OK.
- Wenn Sie sich mit dem Zielserver verbinden können, überprüfen Sie, ob Sie nun Zugriff auf die Freigaben des Zielservers haben.
- Versuchen Sie, sich vom ADAudit Plus-Server aus mit Freigaben des Zielservers zu verbinden.
- Öffnen Sie Datei-Explorer auf dem ADAudit Plus-Server und wählen Sie Netzwerk im linken Bereich aus.
- Im Netzwerkfenster doppelklicken Sie auf den Zielserver, der den freigegebenen Ordner enthält.
- Öffnen Sie den freigegebenen Ordner und doppelklicken Sie auf die Freigabe, auf die Sie zugreifen möchten.
- Alternativ können Sie den UNC-Pfad zum freigegebenen Ordner eingeben und auf die Freigaben zugreifen.
Hinweis: Wenn der Zielserver und der ADAP-Server über eine WAN-Verbindung verbunden sind, empfehlen wir, einen Agenten zu installieren, um eine reibungslosere Datenerfassung zu gewährleisten.
Netzwerkzugriff verweigert
Ursache:
Dieser Fehler tritt auf, wenn das Benutzerkonto, das ADAudit Plus ausführt, nicht über ausreichende Berechtigungen zum Zugriff auf die Ereignisprotokolle verfügt.
Lösungen:
- Bereitstellung von Domain-Admin-Rechten:
ADAudit Plus benötigt Domain-Admin-Anmeldeinformationen, um Aktivitäten in Ihrem Active Directory (AD) sofort zu überprüfen. Stellen Sie sicher, dass Sie sich mit Domain-Admin-Anmeldeinformationen bei ADAudit Plus anmelden oder ein Dienstkonto mit minimalen Rechten einrichten.
- Richten Sie ein Dienstkonto mit minimalen Rechten ein:
Wenn Sie keine Domain-Admin-Anmeldeinformationen bereitstellen möchten, müssen Sie ein Dienstkonto mit nur den geringsten Rechten einrichten, die erforderlich sind, um Ihre AD-Umgebung zu auditieren.
- Befolgen Sie diesen Leitfaden zur Konfiguration des Dienstkontos, um das Dienstkonto mit den minimalen Rechten einzurichten, die erforderlich sind für:
Ein Hardwarefehler des Netzwerkadapters ist aufgetreten
Ursache:
Dieser Fehler tritt auf, wenn es Verbindungsprobleme zwischen dem ADAudit Plus-Server und dem Zielcomputer gibt.
Fehlerbehebung:
- Versuchen Sie, sich vom ADAudit Plus-Server mit dem Ereignisprotokoll-Viewer des Zielcomputers zu verbinden.
- Öffnen Sie Start auf dem ADAudit Plus-Server und suchen Sie nach Ereignisanzeige.
- Klicken Sie mit der rechten Maustaste auf Ereignisanzeige und klicken Sie auf Als Administrator ausführen. Geben Sie Anmeldeinformationen mit lokalen Administratorrechten auf dem entfernten Computer ein, auf den Sie zugreifen möchten.
- Im Fenster der Ereignisanzeige klicken Sie mit der rechten Maustaste auf Ereignisanzeige (lokal) oben links und wählen Sie Mit einem anderen Computer verbinden.
- Geben Sie den Namen oder die IP-Adresse des Zielcomputers im Feld Ein anderer Computer ein und klicken Sie auf OK.
- Wenn Sie sich mit dem Zielserver verbinden können, überprüfen Sie, ob Sie auf die Freigaben des Zielservers zugreifen können.
- Versuchen Sie, sich von dem ADAudit Plus-Server mit den Freigaben des Zielcomputers zu verbinden.
- Öffnen Sie den Datei-Explorer auf dem ADAudit Plus-Server und wählen Sie Netzwerk im linken Tree aus.
- Doppelklicken Sie im Netzwerkfenster auf den Zielcomputer, der den freigegebenen Ordner enthält.
- Öffnen Sie den freigegebenen Ordner und doppelklicken Sie auf die Freigabe, auf die Sie zugreifen möchten.
- Alternativ können Sie den UNC-Pfad zum freigegebenen Ordner ausführen und auf die Freigaben zugreifen.
Der Netzwerkpfad wurde nicht gefunden
Ursache:
Dieser Fehler tritt auf, wenn der ADAudit Plus-Server den Zielcomputer nicht kontaktieren kann.
Lösung:
Stellen Sie sicher, dass es keine Verbindungsprobleme zwischen dem ADAudit Plus-Server und dem Zielcomputer gibt.
Fehlerbehebung:
- Verbinden Sie sich vom ADAudit Plus-Server mit dem Ereignisprotokoll-Viewer des Zielcomputers.
- Öffnen Sie Start auf dem ADAudit Plus-Server und suchen Sie nach Ereignisanzeige.
- Klicken Sie mit der rechten Maustaste auf Ereignisanzeige und klicken Sie auf Als Administrator ausführen. Geben Sie die Administratoranmeldeinformationen ein und klicken Sie auf OK.
- Im Fenster der Ereignisanzeige klicken Sie mit der rechten Maustaste auf Ereignisanzeige (lokal) oben links und wählen Sie Mit einem anderen Computer verbinden.
- Geben Sie den Namen oder die IP-Adresse des entfernten Computers im Feld Ein anderer Computer ein und klicken Sie auf OK.
- Wenn Sie eine Verbindung zum Zielcomputer herstellen können, versuchen Sie, sich mit den Freigaben zu verbinden.
- Verbinden Sie sich mit Freigaben auf dem Zielcomputer, indem Sie die folgenden Schritte ausführen:
- Klicken Sie auf den Datei-Explorer auf dem ADAudit Plus-Server und wählen Sie Netzwerk aus dem linken Baum aus.
- Im Netzwerkfenster doppelklicken Sie auf den Zielcomputer, der den freigegebenen Ordner enthält.
- Öffnen Sie den freigegebenen Ordner und doppelklicken Sie auf die Freigabe, auf die Sie zugreifen möchten. Alternativ können Sie den UNC-Pfad zum freigegebenen Ordner ausführen und versuchen, auf die Freigaben zuzugreifen.
Der Parameter ist ungültig
Ursache:
Dieser Fehler tritt auf, weil Ereignisse überschrieben werden, bevor ADAudit Plus sie aufgrund unzureichender Protokollgröße lesen könnte. Das Lesen der Ereignisprotokolle über Weitverkehrsnetz (WAN)-Verbindungen kann ebenfalls zu diesem Fehler führen.
Lösungen:
- Überprüfen Sie, ob die Größe des Ereignisprotokolls und die Aufbewahrungseinstellungen definiert sind, um einen Verlust von Auditdaten durch das Überschreiben von Ereignissen zu verhindern.
- Falls Sie ein großes Netzwerk haben, das über WAN-Verbindungen arbeitet, setzen Sie einen Client-Agenten ein, um eine reibungslosere Datensammlung und eine geringere Bandbreitenauslastung zu erzielen.
Der Handle ist ungültig
Ursache:
Dieser Fehler tritt auf, weil Ereignisse überschrieben werden, bevor ADAudit Plus sie aufgrund unzureichender Protokollgröße lesen könnte. Das Lesen der Ereignisprotokolle über Weitverkehrsnetz (WAN)-Verbindungen kann ebenfalls zu diesem Fehler führen.
Lösungen:
- Überprüfen Sie, ob die Größe des Ereignisprotokolls und die Aufbewahrungseinstellungen definiert sind, um einen Verlust von Auditdaten durch das Überschreiben von Ereignissen zu verhindern.
- Falls Sie ein großes Netzwerk haben, das über WAN-Verbindungen arbeitet, setzen Sie einen Client-Agenten ein, um eine reibungslosere Datensammlung und eine geringere Bandbreitenauslastung zu erzielen.
Es stehen nicht genügend Arbeitsspeicherressourcen zur Verfügung um diesen Befehl zu verarbeiten
Ursache:
Dieser Fehler tritt auf, wenn die RAM-Größe auf dem Zielcomputer niedrig ist.
Lösung:
Stellen Sie sicher, dass die RAM-Größe auf dem Zielcomputer ausreichend für einen reibungslosen Betrieb ist. Überprüfen Sie auch die RAM-Nutzung.
Berichte basierte Fehlercodes
Keine Daten verfügbar
Ursache:
Dieser Fehler tritt auf, wenn die Prüfungsrichtlinien, die objektbezogene Prüfung oder die Einstellungen für die Größe und Aufbewahrung der Ereignisprotokolle nicht korrekt konfiguriert sind.
Lösungen:
- Überprüfen Sie, ob die Prüfungsrichtlinien auf den entsprechenden Servern/Domänencontrollern konfiguriert sind, um sicherzustellen, dass Ereignisse protokolliert werden, wann immer eine Aktivität stattfindet.
- Überprüfen Sie, ob die objektbezogene Prüfung konfiguriert ist, um sicherzustellen, dass Ereignisse protokolliert werden, wann immer Aktivitäten im Zusammenhang mit Active Directory-Objekten auftreten.
- Überprüfen Sie, ob die Größe und die Aufbewahrungseinstellungen des Ereignisprotokolls definiert sind, um Datenverluste durch das Überschreiben von Ereignissen zu vermeiden.
Fehlerbehebung:
- Überprüfen Sie, ob die Berichtprofile korrekt konfiguriert sind.
- Loggen Sie sich in ADAudit Plus > Konfiguration > Berichtprofile ein.
- Klicken Sie auf Berichtprofile anzeigen/ändern und überprüfen Sie unter jeder Kategorie, ob die Berichtprofile korrekt konfiguriert sind.
- Überprüfen Sie, ob der Zielserver in der ADAudit Plus-Konsole konfiguriert ist.
- Loggen Sie sich in Ihre ADAudit Plus-Webkonsole ein.
- Klicken Sie auf Domänen Einstellungen in der oberen rechten Ecke und überprüfen Sie, ob der Zielserver unter Verfügbare Domänencontroller aufgeführt ist.
- Wenn der Zielserver nicht unter Verfügbare Domänencontroller aufgeführt ist, gehen Sie zum Tab Serverprüfung und überprüfen Sie, ob der Zielserver unter Konfigurierte Server aufgeführt ist.
- Versuchen Sie, sich vom ADAudit Plus-Server mit dem Ereignisanzeige des Zielservers zu verbinden.
- Öffnen Sie Start auf dem ADAudit Plus-Server und suchen Sie nach Ereignisanzeige.
- Rechtsklicken Sie auf Ereignisanzeige und klicken Sie auf Als Administrator ausführen. Geben Sie Ihre Administratorkriterien ein und klicken Sie auf OK.
- Im Fenster der Ereignisanzeige, rechtsklicken Sie auf Ereignisanzeige (Local) oben links und wählen Sie Mit einem anderen Computer verbinden.
- Geben Sie den Namen oder die IP-Adresse des Zielservers im Feld Ein anderer Computer ein und klicken Sie auf OK.
- Sobald die Ereignisanzeige des Zielservers verbunden ist, überprüfen Sie, ob Ereignisse aufgezeichnet werden.
Bitte installieren Sie die GPMC auf dem Computer, auf dem ADAudit Plus installiert ist. Nachdem Sie die GPMC installiert haben, klicken Sie bitte hier
Ursache:
ADAudit Plus erfordert, dass die Group Policy Management Console (GPMC) auf dem Computer installiert ist, auf dem es ausgeführt wird, um Berichte über Änderungen an GPO-Einstellungen zu generieren.
Lösung:
Folgen Sie diesem Installationshandbuch für GPMC, um GPMC auf dem Server zu installieren, auf dem ADAudit Plus läuft.
Benutzer hat keine Administratorrechte
Ursache:
Dieser Fehler tritt auf, wenn das Benutzerkonto, das ADAudit Plus ausführt, nicht über ausreichende Berechtigungen verfügt, um auf die Ereignisprotokolle zuzugreifen.
Lösung:
Folgen Sie diesem Handbuch zur Konfiguration von Dienstkonten, um ein Dienstkonto mit den erforderlichen Mindestberechtigungen zur Überprüfung Ihrer AD-Umgebung einzurichten.
