启用日志调试Kerberos登录验证问题
在Windows Server 2008 R2上启用Netlogon服务日志
一、打开命令提示符窗口,输入如下命令:
Nltest /DBFlag:2080FFFF
当调试完毕后,可以使用如下年龄禁用日志调试:
Nltest /DBFlag:0x0
二、它通常是不需要停止并重新启动 Windows 2000 服务器/专业版或更高版本操作系统启用 Netlogon 记录的 Netlogon 服务。%Windir%\debug\netlogon.log 记录 Netlogon 相关的活动。
可以使用MaximumLogFileSize注册表项指定的 Netlogon.log 文件最大大小。默认情况下,此注册表项不存在,和 Netlogon.log 文件的默认最大大小为 20MB。当该文件达到 20 MB 时,将其重命名为 Netlogon.bak,并创建一个新的 Netlogon.log 文件。此注册表项具有以下参数︰
Path: HKEY_LOCAL_MACHINE\SYstem\CurrentControlSet\Services\Netlogon\Parameters
Value Name: MaximumLogFileSize
Value Type: REG_DWORD
Value Data: <maximum log file size in bytes>-
请记住由 Netlogon 记录使用的总额磁盘空间为指定的最大的日志文件大小的两倍。需要容纳 Netlogon.log 和 Netlogon.bak 文件的空间。例如,如果设置为 50 MB 可以要求 100 MB 的磁盘空间。这将提供 50 MB 用于 Netlogon.log 和 Netlogon.bak 为 50 MB。
如前所述,Windows Server 2003 和更高版本的操作系统,您可以使用下面的策略设置配置日志文件大小 (以字节为单位设置值)︰
\Computer Configuration\Administrative Templates\System\Net logon\Maximum Log File Size
在Windows Server 2008 R2上启用Kerberos事件日志
一、点击“开始”、“运行”,输入“REGEDIT”开始注册表编辑器。
二、展开到以下目录
HKEY_LOCAL_MACHINE\SYstem\CurrentControlSet\Control\Lsa\Kerberos\Parameters
添加注册表值LogLevel,类型为REG_DWORD,值为0x1
如果Parameters下没有该子键,创建它。
注意:当定位完问题后,不再需要的时候,移除该注册表值,以致于不会影响到服务器性能。
三、退出注册表编辑器。在Windows Server 2008 R2中立即生效。
你可以在“Windows Logs”、“System”中看到Source为“Security-Kerberos”相关的日志。
