故障诊断
域设置
报表
1. ADAudit Plus启动之后,不能自动发现任何域,并且显示“没有可用的域配置”,为什么?
ADAudit Plus启动之后,会从与DNS服务器关联且正在运行ADAudit Plus的计算机上发现域。如果DNS服务器上没有可用的域信息,将会显示此消息。
当DNS与正在运行ADAudit Plus的计算机进行关联时,不能提供全部的信息。所以您需要手动添加域控制器。
出现此错误提示,可能的原因有:
-
域控宕机
-
服务器不可用
-
防火墙处于开启状态,且389端口被关闭。
-
网络繁忙 - 稍后再试一下
4. 添加域控时,提示“不能获取DNS/FLA名称”。这是什么意思?
出现此错误信息可能的原因有:
-
用户名或密码错误。
-
匿名登录(没有提供用户名和密码)
-
您在域设置中提供了域控制器的IP地址,而不是DNS名称。
这是在提示您所提供的用户不具有管理员权限。例如该用户不属于Domain Admins组。
ADAudit Plus会通过一个定期执行的计划来跟踪最近创建的目录/文件 - 即“文件创建审核计划”。它会为您配置的共享中所有文件夹/文件生成一个快照。
通过对比不同时间的事件日志和快照,可以为您展示文件创建人,创建时间及地点等详细信息。
7. 我已经点击了域设置中的“立即运行”,为什么报表中还是显示“没有可用数据”?并且,在域设置中显示信息如下:
-
“最后事件的读取时间” 显示 - "还未获取事件数据“ 并且
-
"状态" 显示为 - "排除故障"
为什么会这样?
-
请确保相关计算机(服务器或域控)启用了所需的策略。
-
请确保已经合理的设置了事件查看器中的安全日志大小。
-
请检查是否更新了域控版本,如:从"Windows Server 2003"更新到了"Windows Server 2008"。由于需要从域控收集事件,所以对于这种情况,请在ADAudit Plus域设置中删除并重新添加该域控。
-
当ADAudit Plus扫描安全日志时,该审计日志还没有产生。
指的是ADAudit Plus最后一次扫描并获取事件查看器中安全日志的时间。
报表
可能的原因:
故障分析:
1. 需要手动触发数据收集。
ADAudit Plus 有一个默认的“事件获取间隔”,并根据此间隔从配置的域控中定期获取事件日志。
您可以手动点击“域设置”中的“立即运行”立刻开始获取事件日志。然后,请再次检查报表是否产生了数据。
请确保为文件服务器以及其他成员服务器配置了所需的审核策略。包括服务器审核,以及手动启用审核策略 - 点击这里查看详细信息。
3. 没有在ADAudit Plus域设置中为管理员用户配置凭证。
ADAudit Plus从域控中收集事件日志需要使用域管理员权限。请按如下步骤配置域管理员用户凭证:
-
点击“域设置”
-
点击"
修改域凭证“图标。 -
输入管理员用户的凭证,该用于至少要隶属于"Domain Admin"组。
4. 域控安全事件日志设置和ADAudit Plus事件获取间隔。
假如您为 "安全事件日志大小"设置了一个很小的值,由于ADAudit Plus“事件获取间隔”默认为2小时,并且您在"域控事件日志设置"中选择 "按需要覆盖事件" 这种情况非常容易造成日志丢失。
解决办法:
请为域控制器中的"安全"事件日志设置足够大的值。(默认为 128MB ,请确保至少不要低于该值。)
Windows Server 2003中安装GPMC的步骤
您需要将组策略管理控制台(GPMC)与ADAudit Plus安装在同一台计算机,才能够查看“高级报表”。访问页面查看下载GPMC信息。并访问"已知问题和使用限制"查看更多内容。
使用服务器管理器(针对于Windows Server 2008 & 2008 R2)安装GPMC
- 点击开始,管理工具,打开服务器管理
- 点击动作菜单,然后点击添加功能。
- 选择组策略管理并点击下一步。
- 点击安装。
- 点击关闭。
通过命令行安装GPMC
- 打开命令提示符.
- 输入 ServerManagercmd install gpmc
- 输入start gpmc.msc启动GPMC
- 关闭命令提示符。