Partager via

Guide pratique pour configurer la journalisation des événements de diagnostic Active Directory et LDS

  • Article

Cet article pas à pas explique comment configurer la journalisation des événements de diagnostic Active Directory dans les systèmes d’exploitation Microsoft Windows Server.

Numéro de la base de connaissances d’origine : 314980

Résumé

Active Directory enregistre les événements dans le journal des services d’annuaire ou de l’instance LDS dans l’Observateur d’événements. Vous pouvez utiliser les informations collectées dans le journal pour vous aider à diagnostiquer et résoudre les problèmes possibles ou à surveiller l’activité des événements liés à Active Directory sur votre serveur.

Par défaut, Active Directory enregistre uniquement les événements critiques et les événements d’erreur dans le journal des services d’annuaire. Pour configurer Active Directory pour enregistrer d’autres événements, vous devez augmenter le niveau de journalisation en modifiant le Registre.

Journalisation des événements de diagnostic Active Directory

Les entrées de Registre qui gèrent la journalisation des diagnostics pour Active Directory sont stockées dans les sous-clés de Registre suivantes.

Contrôleur de domaine : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics
SDJ: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<LDS instance name>\Diagnostics

Chacune des valeurs de REG_DWORD suivantes sous la Diagnostics sous-clé représente un type d’événement qui peut être écrit dans le journal des événements :

  1. Vérificateur de cohérence des connaissances (KCC)
  2. Événements de sécurité
  3. Événements de l’interface ExDS
  4. Événements d’interface MAPI
  5. Événements de réplication
  6. Garbage collection
  7. Configuration interne
  8. Accès au répertoire
  9. Traitement interne
  10. Compteurs de performance
  11. Initialisation/arrêt
  12. Contrôle de service
  13. Résolution de noms
  14. Sauvegarde
  15. Ingénierie de terrain
  16. Événements d’interface LDAP
  17. Programme d’installation
  18. Catalogue global
  19. Messagerie inters site
  20. Mise en cache de groupe
  21. Réplication à valeur liée
  22. DS RPC Client
  23. Serveur RPC DS
  24. Schéma DS
  25. Moteur de transformation
  26. Contrôle d’accès basé sur les revendications
  27. Notifications de mise à jour de mot de passe PDC

Niveaux de journalisation

Chaque entrée peut être affectée à une valeur comprise entre 0 et 5, et cette valeur détermine le niveau de détail des événements enregistrés. Les niveaux de journalisation sont décrits comme suit :

  • 0 (Aucun) : seuls les événements critiques et les événements d’erreur sont enregistrés à ce niveau. Il s’agit du paramètre par défaut pour toutes les entrées, et il doit être modifié uniquement si un problème se produit que vous souhaitez examiner.
  • 1 (minimal) : les événements de haut niveau sont enregistrés dans le journal des événements à ce paramètre. Les événements peuvent inclure un message pour chaque tâche majeure effectuée par le service. Utilisez ce paramètre pour démarrer une investigation lorsque vous ne connaissez pas l’emplacement du problème.
  • 2 (De base)
  • 3 (Complet) : ce niveau enregistre des informations plus détaillées que les niveaux inférieurs, tels que les étapes effectuées pour effectuer une tâche. Utilisez ce paramètre lorsque vous avez réduit le problème à un service ou à un groupe de catégories.
  • 4 (détaillé)
  • 5 (interne) : ce niveau enregistre tous les événements, y compris les chaînes de débogage et les modifications de configuration. Un journal complet du service est enregistré. Utilisez ce paramètre lorsque vous avez suivi le problème dans une catégorie particulière d’un petit ensemble de catégories.

Guide pratique pour configurer la journalisation des événements de diagnostic Active Directory

Pour configurer la journalisation des événements de diagnostic Active Directory, procédez comme suit.

Important

Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, vérifiez que vous suivez ces étapes attentivement. Pour une protection supplémentaire, sauvegardez le Registre avant de le modifier. Ensuite, vous pouvez restaurer le Registre si un problème se produit. Pour plus d’informations, consultez Comment sauvegarder et restaurer le Registre dans Windows.

  1. Sélectionnez Démarrer, puis Exécuter.

  2. Dans la zone Ouvrir, tapez « regedit », puis cliquez sur OK.

  3. Recherchez et sélectionnez les clés de Registre suivantes.

    Contrôleur de domaine : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics
    SDJ: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<LDS instance name>\Diagnostics

    Chaque entrée affichée dans le volet droit de la fenêtre Éditeur du Registre représente un type d’événement que Active Directory peut journaliser. Toutes les entrées sont définies sur la valeur par défaut 0 (Aucun).

  4. Configurez la journalisation des événements pour le composant approprié :

    1. Dans le volet droit de l’Éditeur du Registre, double-cliquez sur l’entrée qui représente le type d’événement pour lequel vous souhaitez enregistrer. Par exemple, événements de sécurité.
    2. Tapez le niveau de journalisation souhaité (par exemple, 2) dans la zone De données Valeur, puis sélectionnez OK.

  5. Répétez l’étape 4 pour chaque composant que vous souhaitez journaliser.

  6. Dans le menu Registre, sélectionnez Quitter l’Éditeur du Registre.

    Note

    • Les niveaux de journalisation doivent être définis sur la valeur par défaut 0 (Aucun), sauf si vous examinez un problème.
    • Lorsque vous augmentez le niveau de journalisation, le détail de chaque message et le nombre de messages écrits dans le journal des événements augmentent également. Un niveau de diagnostic de 3 ou supérieur n’est pas recommandé, car la journalisation à ces niveaux nécessite davantage de ressources système et peut dégrader les performances de votre serveur. Vérifiez que vous réinitialisez les entrées sur 0 une fois que vous avez terminé d’examiner le problème.

Activer la journalisation des événements de diagnostic Field Engineering

Cette journalisation n’est pas activée par défaut et ne doit être activée que lors de la résolution des problèmes actifs. Vous pouvez activer la journalisation en procédant comme suit :

  1. Augmentez la taille des journaux des événements des services d’annuaire à 200 Mo.

  2. Activez la clé de Registre des diagnostics Field Engineering et définissez la valeur sur 5.

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics\15 Field Engineering

  3. Créez les clés de Registre suivantes pour configurer des filtres basés sur le Registre pour des recherches coûteuses, inefficaces et longues :

    Chemin d’accès au Registre Type de données Valeur par défaut
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Expensive Search Results Threshold REG_DWORD 1
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Inefficient Search Results Threshold REG_DWORD 1
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Search Time Threshold (msecs) REG_DWORD 1