Active Directory effizient überwachen und Probleme erkennen

Ereignisprotokollierung von Active Directory konfigurieren

Es besteht darüber hinaus die Möglichkeit, die Diagnoseprotokollierung des Active Directory zu erhöhen. Standardmäßig schreiben Domänencontroller nur kritische Fehler von Active Directory in die Ereignisanzeige, speziell in das Protokoll Verzeichnisdienst.

Sie können die Ereignisprotokollierung von Active Directory hauptsächlich über die Registry steuern. Wenn Sie die Protokollierung auf einem Domänencontroller erhöhen wollen, müssen Sie mit einem Registrierungs-Editor die Registry öffnen und zu dem Schlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics navigieren. An dieser Stelle können Sie für einzelne Bereiche den Wert mit einem REG_DWORD-Eintrag anpassen.

Jeder Eintrag in diesem Schlüssel steht für einen eigenen Event-Typ. Ihnen stehen verschiedene Ereignistypen zur Verfügung. Jeder dieser Werte wird durch einen eigenen REG_DWORD-Wert repräsentiert. Jedem Wert ist standardmäßig der Wert 0 zugeordnet. Um die Protokollierung zu erhöhen, müssen Sie den Wert der einzelnen REG_DWORD-Einträge anpassen. Dazu stehen sechs Stufen von 0 bis 5 zur Verfügung:

• 0 - Diese Einstellung ist bereits standardmäßig für alle Ereignistypen gesetzt und protokolliert ausschließlich kritische Fehler.

• 1 - Bei dieser minimalen Einstellung werden auch etwas weniger kritische Probleme in der Ereignisanzeige protokolliert. Wenn Sie die Protokollierung von Active Directory erhöhen, sollten Sie zunächst mit diesem Wert beginnen. Bereits bei dieser Stufe werden deutlich mehr Meldungen in die Ereignisanzeige geschrieben. Stellen Sie daher zunächst sicher, ob diese Stufe ausreichend ist, bevor Sie weiter erhöhen.

• 2 - Bei dieser Stufe wird die Protokollierung noch etwas erhöht. Sollte die Stufe 1 für Sie nicht ausreichen, dann wählen Sie zunächst Stufe 2.

• 3 - Ab der Stufe 3 werden alle Schritte der einzelnen Aufgaben im Active Directory protokolliert. Während sich die Stufen 0 bis 2 hauptsächlich für die Fehlersuche im weiteren Sinne anbieten, wird ab Stufe 3 sehr viel mehr protokolliert. Ab dieser Stufe wird der Server durch die starke Protokollierung extrem belastet. Wenn Sie die Protokollierung auf mehr als Stufe 2 erhöhen, sollten Sie über eine extrem leistungsfähige Hardware verfügen. Zur Überwachung und Fehlerbehebung von Active Directory reichen die Stufen von 0 bis 2 normalerweise aus.

• 4 - Diese Stufe setzt den Protokollierungsgrad noch mal etwas höher als Stufe 3. Allerdings findet in diesem Fall nicht die starke Steigerung wie bei der Erhöhung von 2 auf 3 statt.

• 5 - Diese Stufe ist die höchste, die Sie für einen Wert einstellen können. Bei dieser Stufe werden alle Informationen in die Ereignisanzeige geschrieben, die Active Directory protokollieren kann. Diese Stufe sollte nur für sehr wenige Kategorien gleichzeitig eingestellt werden, da der Protokollierungsgrad ansonsten die Übersicht in der Ereignisanzeige zu stark einschränkt.