Jak włączyć rejestrowanie usługi Netlogon

Dla administratora IT jednym z najczęstszych problemów, które przyjdzie rozwiązać, jest odblokowanie kont użytkowników i sprawdzenie, dlaczego użytkownik nie został poprawnie uwierzytelniony w domenie. Zdarzenie 4740 w podglądzie zdarzeń opisuje konto użytkownika, które zostało zablokowane. Jeśli jednak szukasz bardziej szczegółowych informacji na temat blokady konta, takich jak śledzenie źródła złego hasła, można odwołać się do pliku dziennika usługi Netlogon.

Netlogon jest usługą urzędu zabezpieczeń lokalnych, która działa w tle. Jest ona odpowiedzialna za uwierzytelnianie użytkowników w domenie. Wykonanie kilku poleceń z wiersza polecenia z podwyższonym poziomem uprawnień umożliwia rejestrowanie zdarzeń usługi Netlogon. Po tym można uzyskać dostęp do pliku Netlogon, aby sprawdzić zdarzenia logowania i rozwiązać problemy. Oczywiście czytanie przez plik dziennika i szukanie konkretnego zdarzenia jest procesem uciążliwym. Aby więc to uprościć, można kliknąć na kartę ADAudit Plus. ADAudit Plus to rozwiązanie do inspekcji zmian w usłudze Active Directory (AD) w czasie rzeczywistym, które pomaga śledzić zmiany w infrastrukturze AD i zapewnia intuicyjny interfejs do przeglądania całej aktywności sieciowej.

• Krok 1: Włącz rejestrowanie usługi Netlogon

• W wierszu polecenia z podwyższonym poziomem uprawnień wprowadź następujące polecenie:

Nltest /DBFlag:2080FFFF

• Po wykonaniu powyższego polecenia możesz zatrzymać i uruchomić swoją usługę Netlogon, tylko po to, aby upewnić się, że dzienniki są zapisywane do pliku Netlogon. Pomogą w tym następujące polecenia.

net stop netlogon
net start netlogon

• Krok 2: Zwiększ pojemność pliku dziennika

• Domyślna pojemność pliku dziennika w usłudze Netlogon wynosi 20MB. Po osiągnięciu maksymalnej pojemności pliku, istniejący plik Netlogon zmienia nazwę na Netlogon.bak i tworzony jest nowy Netlogon.log, aby rejestrować nowe zdarzenia.

• Należy pamiętać, że miejsce na dysku przeznaczone na pliki Netlogon powinno być podwojone. Dzieje się tak dlatego, że miejsce na dysku jest używane do przechowywania bieżącego pliku Netlogon i taka sama ilość jest używana do przechowywania plików dziennika wykonywania kopii zapasowej. Na przykład, jeśli chcesz przeznaczyć 50MB na pliki Netlogon, skonfiguruj miejsce na dysku do 100 MB tak, aby 50MB było zachowane dla Netlogon.log i kolejne 50MB dla Netlogon.bak.

• Uruchom GPMC.msc, aby uruchomić konsolę zarządzania zasadami grupy.

• Kliknij prawym przyciskiem myszy na domyślne zasady domeny i wybierz „Edytuj”, aby je skonfigurować. W edytorze zarządzania zasadami grupy wybierz Komputer Konfiguracja--->Szablony administracyjne-->System-->Netlogon Dwukrotnie kliknij opcję „ Określ maksymalny rozmiar pliku dziennika” i ustaw ją na „Włączony”. Wprowadź rozmiar pliku w liście rozwijanej w bajtach i kliknij przycisk OK.

  

• Krok 3: Dostęp do plików Netlogon i zrozumienie typowych kodów usługi Netlogon

• Możesz zobaczyć swoje pliki Netlogon wpisując następujące polecenie w oknie dialogowym „Uruchom”.

%SYSTEMROOT%\debug\netlogon.log

• Poniżej znajduje się fragment pliku dziennika Netlogon pokazujący udane zdarzenie logowania.

  

Poniżej przedstawiono kilka kodów, których możesz użyć, aby zrozumieć aktywność logowania w pliku dziennika.

Kod dziennika	Opis
0x0	Logowania zakończone powodzeniem
0xC000006D	Nieudana próba logowania z powodu złej nazwy użytkownika
0xC0000072	Wyłączone konto użytkownika
0xC000006F	Nieudana próba logowania z powodu ograniczeń czasowych
0xC0000071	Hasło konta wygasło
0xC000006A	Wprowadzono nieprawidłowe hasło
0xC000006C	Nie przestrzegano zasad haseł
0xC0000224	Hasło musi być zmienione przed pierwszą próbą logowania
0xC000006E	Nieudane logowanie z powodu ograniczeń konta użytkownika
0xC0000193	Konto użytkownika wygasło
0xC0000234	Konto użytkownika zostało automatycznie zablokowane
0xC0000064	Użytkownik nie istnieje