So aktivieren Sie die NetLogon-Protokollierung

KOSTENLOS herunterladen Kostenlose, voll funktionsfähige 30-tägige Probe

  • With Native AD Auditing

  • With ADAudit Plus

    Problemlösung von Anmeldungsproblemen mit ADAudit Plus

    Klicken Sie in der Web-Konsole von ADAudit Plus auf Berichte und navigieren Sie links zum Abschnitt Benutzermanagement. Als nächstes können Sie den Bericht Kontosperrungsanalyse auswählen.

    Im nun geöffneten Bericht können Sie auf Analysedetails klicken, um zu sehen, ob NetLogon für die Kontosperrung verantwortlich ist.

Eines der häufigsten Probleme, die IT-Admins lösen müssen, ist das Entsperren von Benutzerkonten. Außerdem müssen sie herausfinden, warum sich Benutzer nicht ordnungsgemäß bei der Domäne anmelden konnten. Ereignis 4740 im Event Viewer beschreibt ein ausgesperrtes Benutzerkonto. Nähere Informationen zur Kontosperrung – um z. B. den Ursprung eines falschen Passworts herauszufinden – finden Sie darüber hinaus in der NetLogon-Protokolldatei.

Der Service NetLogon dient als lokale Sicherheitsautorität und wird im Hintergrund ausgeführt. Er ist zur Authentifizierung von Benutzern in der Domäne verantwortlich. Sie müssen einige Befehle in einer Befehlszeile mit erhöhten Berechtigungen ausführen, um die Protokollierung von NetLogon-Ereignissen zu aktivieren. Danach können Sie auf die NetLogon-Datei zugreifen, um Anmeldungsereignisse zu prüfen und etwaige Probleme zu beheben. Natürlich ist es sehr umständlich, sich auf der Suche nach einem bestimmten Ereignis durch die Protokolldatei zu wühlen. Zur Vereinfachung können Sie auf die Registerkarte von ADAudit Plus klicken. ADAudit Plus ist eine Lösung zum Änderungs-Auditing für Active Directory (AD) in Echtzeit , mit der Sie Änderungen an Ihrer AD-Infrastruktur nachverfolgen und alle Netzwerkaktivitäten über eine intuitive Oberfläche einsehen können.

  • Schritt 1: NetLogon-Protokollierung aktivieren

  • Geben Sie den folgenden Befehl in einer Befehlszeile mit erhöhten Berechtigungen ein:

    • Nltest /DBFlag:2080FFFF

  • Nach der Ausführung dieses Befehls können Sie Ihren NetLogon-Service anhalten und wieder starten, damit die Protokolle auch wirklich in die NetLogon-Datei geschrieben werden. Die folgenden Befehle helfen Ihnen dabei.

    • net stop netlogon
    net start netlogon
  • Schritt 2: Erhöhen der Protokoll-Dateikapazität

  • Die standardmäßige Kapazität von Protokolldateien in NetLogon beträgt 20 MB. Wenn die maximale Dateikapazität erreicht ist, wird die aktuelle NetLogon-Datei in NetLogon.bak umbenannt, und eine neue Netlogon.log-Datei wird zum Aufzeichnen neuer Ereignisse erstellt.

  • Bedenken Sie, dass Sie den NetLogon-Dateien zugewiesenen Speicherplatz verdoppeln sollten. Der Grund dafür ist, dass der Speicherplatz nicht nur für die aktuelle NetLogon-Datei verwendet wird, sondern auch Backup-Protokolldateien aufnimmt. Wenn Sie beispielsweise 50 MB für NetLogon-Dateien vorsehen möchten, konfigurieren Sie 100 MB Festplattenspeicher – so stehen 50 MB für NetLogon.log und weitere 50 MB für NetLogon.bak zur Verfügung.

  • Führen Sie die GPMC.msc aus, um die Konsole für das Gruppenrichtlinienmanagement zu starten.

  • Klicken Sie mit der rechten Maustaste auf „Standard-Domänenrichtlinie“ und wählen Sie zur Konfiguration „Bearbeiten“ aus. Wählen Sie im Editor für das Gruppenrichtlinienmanagement die Optionen Computer-Konfiguration -> Administrative Vorlagen -> System ->NetLogonDouble aus, klicken Sie auf „Maximale Protokolldateigröße angeben“ und setzen Sie diese auf „Aktiviert“. Geben Sie die Dateigröße in Bytes in das Dropdown-Menü ein und klicken Sie auf „OK“.

  • Schritt 3: Zugriff auf NetLogon-Dateien und häufige NetLogon-Codes

  • Sie können Ihre NetLogon-Dateien anzeigen, indem Sie den folgenden Befehl in das Dialogfeld „Ausführen“ eingeben.

    • %SYSTEMROOT%\debug\netlogon.log

  • Unten ein Ausschnitt der NetLogon-Protokolldatei, der eine erfolgreiche Anmeldung zeigt.

    • Hier ein paar Codes, mit denen Sie die ANMELDUNGS-Aktivitäten in Ihrer Protokolldatei besser verstehen können.

    Protokoll-Code Beschreibung
    0x0 Erfolgreiche Anmeldung
    0xC000006D Fehlgeschlagener Anmeldungsversuch aufgrund falschen Benutzernamens
    0xC0000072 Deaktiviertes Benutzerkonto
    0xC000006F Fehlgeschlagene Anmeldungsversuche aufgrund von Zeitbeschränkungen
    0xC0000071 Abgelaufenes Passwort eines Benutzerkontos
    0xC000006A Falsches Passwort eingegeben
    0xC000006C Passwortrichtlinie nicht eingehalten
    0xC0000224 Passwort muss vor der ersten Anmeldung geändert werden
    0xC000006E Anmeldung aufgrund von Benutzerkonto-Einschränkungen fehlgeschlagen
    0xC0000193 Benutzerkonto abgelaufen
    0xC0000234 Benutzerkonto wurde automatisch gesperrt
    0xC0000064 Benutzer nicht vorhanden

Active-Directory-Auditing so einfach wie nie zuvor!

ADAudit Plus bietet mehr als 300 direkt einsatzfertige Berichte, die AD-Auditing und -Überwachung so einfach wie nie zuvor machen. Die Lösung warnt Sie auch in Echtzeit vor kritischen Ereignissen, unterstützt Sie bei der Absicherung Ihres Netzwerks vor Bedrohungen und trägt deutlich zum verbesserten Status Quo Ihrer Netzwerksicherheit bei. Hier finden Sie die Möglichkeiten von ADAudit Plus.

Download von ADAudit Plus

Wachsen Ihnen die nativen Audits ein wenig über den Kopf?

Mit ADAudit Plus machen Sie sich Dateiserver-Auditing nebst Berichten deutlich einfacher.

Kostenlos in Ruhe ausprobieren Voller Funktionsumfang, 30 Tage lang zur Probe

Related How-tos

Herausfinden

  •  
  •  
  •  
  •  
  • Wenn Sie auf „Absenden“ klicken, erklären Sie sich mit der Verarbeitung personenbezogener Daten entsprechend unserer Datenschutzerklärung einverstanden.

Vielen Dank für Ihr Interesse an ADAudit Plus!

Unser Team wird sich in Kürze mit Ihnen in Verbindung setzen.

Zoho Corporation Pvt. Ltd. Alle Rechte vorbehalten.