域错误代码
- 没有可用的域配置
- 服务器未处于可操作状态
- 无法获取域DNS / FLAT名称
- ADAudit Plus中的“最后事件读取时间”是什么意思?
- 如何在ADAudit Plus中配置远程服务器
- 验证所需的审计策略和安全日志设置是否已配置
- 验证所需的事件是否被记录
1. 没有可用的域配置
原因:
安装后,ADAudit Plus会自动从运行ADAudit Plus的机器上配置的DNS服务器发现本地域。当在DNS服务器上未找到任何域详细信息时,就会发生此错误。
解决方案:
确保您的域在ADAudit Plus的域设置中列出。
- 登录到您的ADAudit Plus Web控制台。
- 点击右上角的域设置,并检查您的域是否在已配置的域下添加。
- 如果您的域未添加,请按照此活动目录域配置指南手动添加您的域。
2. 服务器未处于可操作状态
原因:
安装后,ADAudit Plus会自动发现本地域中的域控制器(DC)。当域中的域控制器无法访问时,就会发生此错误。
解决方案:
检查LDAP端口(端口号389)和RPC端口(静态端口号135和动态端口号49152-65535)是否打开,以确保ADAudit Plus能够联系到域中的域控制器。
- 请遵循此端口指南打开与ADAudit Plus同步Active Directory对象所需的LDAP和RPC端口。
故障排除:
对ADAudit Plus中添加的所有DC进行ping测试。
- 登录到您的ADAudit Plus Web控制台。
- 点击右上角的域设置,并在已配置的域下选择您的域,以查找可用的域控制器。
- 在ADAudit Plus服务器上打开命令提示符,通过名称ping在ADAudit Plus控制台的域设置下列出的域控制器,以检查它们是否可访问。
3. 无法获取域DNS / FLAT名称
原因:
在添加域时,当ADAudit Plus无法达到该域时,会发生此错误。
解决方案:
从ADAudit Plus服务器对发现的域控制器通过名称进行ping测试,并尝试连接到Syslog文件夹,以确保域中的域控制器可访问。
4. ADAudit Plus中的“最后事件读取时间”是什么意思?
ADAudit Plus中的“最后事件读取时间”是ADAudit Plus最后一次联系事件查看器的安全日志并获取新记录的审计数据的时间。只有在安全日志中有新鲜且符合审计策略的相关数据时,“最后事件读取时间”才会发生变化。
5. 如何在 ADAudit Plus 中配置远程服务器
没有与 ADAudit Plus 中配置的域建立信任的域被视为远程域,属于这些域的服务器为远程服务器。您可以通过以下步骤审计远程服务器:
- 检查您是否能够从 ADAudit Plus 服务器 ping 远程服务器。如果 ping 成功,您可以毫无问题地审计远程服务器。
- 如果 ping 不成功,请按照以下步骤添加 DNS 条目:
- 在 ADAudit Plus 服务器上,进入以太网或 Wi-Fi 设置(Windows 开始 > 控制面板 > 网络和 Internet > 网络连接)。
- 右键点击并选择 属性。
- 点击 Internet 协议版本 4 (TCP/IPv4) 以启用 属性 选项,然后选择并继续到 高级... 选项。
- 在 DNS 选项卡中,添加远程域的 DNS 服务器 IP 地址。然后,选择 以这些 DNS 后缀追加(按顺序) 选项。点击 添加 输入远程服务器的 域后缀。点击 确定 以保存设置。
如有进一步问题,请通过 support@adauditplus.com 联系我们。
6. 验证所需的审计策略和安全日志设置是否已配置:
使用域管理员凭据登录任何有组策略管理控制台(GPMC)的计算机 → 打开 GPMC → 右键点击组策略结果 → 组策略结果向导 → 选择计算机、用户(当前用户) → 验证所需的设置是否已配置。
7. 验证所需事件是否正在记录:
使用域管理员凭据登录任意计算机 → 打开运行 → 输入 eventvwr.msc → 右键点击事件查看器 → 连接到目标计算机 → 验证是否有对应于已配置审计策略的事件正在记录。
例如:Kerberos 认证服务成功的高级审计策略配置应导致事件 ID 4768 被记录。
