Comment activer la journalisation Netlogon

Version d'essai gratuite de 30 jours entièrement fonctionnelle

  • Avec audit AD natif

  • Avec ADAudit Plus

    L'audit d'Active Directory est devenu encore plus facile !

    ADAudit Plus est fourni avec plus de 300 rapports prédéfinis qui facilitent votre audit AD. Cette solution envoie également des alertes en temps réel en cas d'événements critiques, ce qui vous aide à protéger votre réseau contre les menaces et à renforcer votre sécurité informatique. Découvrez ici les capacités d'ADAudit Plus. Télécharger ADAudit Plus

    Comment résoudre les problèmes de connexion avec ADAudit Plus ?

    Dans la console web d'ADAudit Plus, cliquez sur « Rapports » et accédez à la section Gestion des utilisateurs dans le volet gauche. Vous pouvez ensuite sélectionner le rapport « Analyseur de verrouillage de compte ». Dans le rapport qui s'ouvre, vous pouvez cliquer sur « Détails de l'analyseur »pour voir si la source d'un verrouillage de compte est due à Netlogon.

En tant qu'administrateur informatique, l'un de vos problèmes les plus fréquents à résoudre est le déverrouillage des comptes d'utilisateurs et la vérification de la raison pour laquelle un utilisateur n'a pas été correctement authentifié dans le domaine. L'événement 4740 de l’Observateur d'événements signale un compte utilisateur qui a été verrouillé. Toutefois, si vous recherchez des informations plus détaillées sur le verrouillage d’un compte, par exemple pour retrouver la source d'un mauvais mot de passe, vous pouvez vous référer au fichier journal Netlogon.

Netlogon est un service de l'autorité locale de sécurité qui s'exécute en arrière-plan. Il est responsable de l'authentification des utilisateurs dans le domaine. L'exécution de quelques commandes à partir d'une invite de commandes élevée permet d'enregistrer les événements Netlogon. Vous pouvez ensuite accéder au fichier Netlogon pour vérifier les événements de connexion et les résoudre. Bien entendu, la lecture d'un fichier journal et la recherche d'un événement spécifique sont des opérations fastidieuses. Pour simplifier, vous pouvez cliquer sur l'onglet ADAudit Plus. ADAudit Plus est une solution d'audit des modifications de l'Active Directory (AD) en temps réel qui vous aide à suivre les modifications de votre infrastructure AD et vous fournit une interface intuitive pour visualiser toute l'activité de votre réseau.

  • Étape 1 : Activer la journalisation Netlogon

  • Dans une invite de commandes élevée, entrez la commande suivante :

    • Nltest /DBFlag:2080FFFF

  • Après avoir exécuté la commande ci-dessus, vous pouvez arrêter et démarrer votre service Netlogon, juste pour vous assurer que les journaux sont écrits dans le fichier Netlogon. Les commandes suivantes vous aident à le faire.

    • net stop netlogon
    net start netlogon
  • Étape 2 : Augmenter la capacité du fichier journal

  • La capacité par défaut du fichier journal de Netlogon est de 20 Mo. Si la capacité maximale du fichier est atteinte, le fichier Netlogon existant est renommé en Netlogon.bak et un nouveau fichier Netlogon.log est créé pour enregistrer les nouveaux événements.

  • N’oubliez pas que l'espace disque alloué aux fichiers Netlogon doit être doublé. En effet, l'espace disque est utilisé pour stocker le fichier Netlogon actuel et une quantité égale est utilisée pour stocker les fichiers journaux de sauvegarde. Par exemple, si vous souhaitez allouer 50 Mo aux fichiers Netlogon, configurez l'espace disque à 100 Mo de manière à conserver 50 Mo pour Netlogon.log et 50 Mo pour Netlogon.bak.

  • Exécutez GPMC.msc pour lancer la console de gestion des stratégies de groupe.

  • Faites un clic droit sur votre stratégie de domaine par défaut et sélectionnez « Modifier » pour la configurer. Dans l'éditeur de gestion de stratégie de groupe, sélectionnez Configuration de l'ordinateur--->Modèles administratifs-->Système-->Netlogon Double-cliquez sur le paramètre « Spécifier la taille maximale du fichier journal » et définissez-le sur Activé. Entrez la taille du fichier dans le menu déroulant Octets et cliquez sur OK.

  • Étape 3 : Accéder à vos fichiers Netlogon et comprendre les codes Netlogon les plus courants

  • Vous pouvez consulter vos fichiers Netlogon en saisissant la commande suivante dans la boîte de dialogue « Exécuter ».

    • %SYSTEMROOT%\debug\netlogon.log

  • Vous trouverez ci-dessous un extrait de code du fichier journal Netlogon montrant une connexion réussie.

    • Voici quelques codes que vous pouvez utiliser pour comprendre l'activité LOGON dans votre fichier journal.

    Code journal Description
    0x0 Connexion réussie
    0xC000006D Tentative de connexion infructueuse en raison d'un mauvais nom d'utilisateur
    0xC0000072 Compte d'utilisateur désactivé
    0xC000006F Tentative de connexion infructueuse en raison de restrictions horaires
    0xC0000071 Le mot de passe d'un compte a expiré
    0xC000006A Le mot de passe entré n’est pas correct
    0xC000006C La stratégie de mots de passe n'a pas été respectée
    0xC0000224 Le mot de passe doit être modifié avant la première tentative de connexion
    0xC000006E La connexion a échoué en raison de restrictions liées au compte utilisateur
    0xC0000193 Le compte d’utilisateur a expiré
    0xC0000234 Le compte utilisateur a été automatiquement verrouillé
    0xC0000064 L’utilisateur n’existe pas

L’audit natif devient-il un peu trop compliqué ?

Simplifiez l'audit des serveurs de fichiers et l'établissement de rapports grâce à ADAudit Plus.

Obtenir votre version d'essai gratuite Version d'essai de 30 jours entièrement fonctionnelle

Demander de l'aide

  •  
  •  
  •  
  •  
  • En cliquant sur 'Envoyer la demande' vous acceptez le traitement des données personnelles conformément à la politique. de confidentialité.

Thanks

One of our solution experts will get in touch with you shortly.

Zoho Corporation Pvt. Ltd. Tous droits réservés.