通用错误代码
RPC 服务器不可用
原因:
当防火墙中没有打开 RPC 端口(静态端口号135和动态端口号49152-65535)时,会发生此错误。
解决方案:
确保 RPC 端口(静态端口号 135 和动态端口号 49152-65535*)已开放,以便 ADAudit Plus 能够从监控的计算机收集 Windows 日志。
请遵循此 端口指南 打开收集
Windows 日志所需的 RPC 端口。
* 注意: 如果您使用的是 Windows 防火墙,您可以通过启用以下列出的入站规则在监控的计算机上打开动态端口(49152-65535)。
- 远程事件日志管理 (NP-In)
- 远程事件日志管理 (RPC)
- 远程事件日志管理 (RPC-EPMAP)
要启用上述规则:打开 Windows 防火墙 > 高级设置 > 入站规则 > 右键单击相应的规则 > 启用规则。
故障排除:
- 通过名称从 ADAudit Plus 服务器 ping 目标服务器。
- 登录到您的 ADAudit Plus Web 控制台。
- 在 域设置 下的 可用域控制器 或在文件审计选项卡的 已配置的服务器 或
服务器审计 选项卡中的 已配置的服务器 下,找到显示 RPC 错误的服务器。
- 记录在 ADAudit Plus 控制台中找到的服务器的扁平名称及其 DNS 名称。
- 在 ADAudit Plus 服务器上打开 命令提示符,并通过从 ADAudit Plus 控制台记下的名称 ping 目标服务器,以验证名称是否解析为正确的 IP
地址。
- 如果 ping 目标服务器成功,则名称解析不太可能是问题的原因。
- 如果 ping 目标服务器失败,请尝试通过 DNS 名称 ping 服务器;如果成功,请在 高级 TCP/IP 设置 中附加 DNS 后缀,或在 DNS
服务器中添加主机记录,将此名称映射到服务器的 IP 地址。
- 尝试从 ADAudit Plus 服务器连接到目标服务器的事件查看器。
- 在 ADAudit Plus 服务器上打开 开始 并搜索 事件查看器。
- 右键单击 事件查看器 并单击 以管理员身份运行。输入您的管理员凭据并单击 确定。
- 在事件查看器窗口中,右键单击左上角的 事件查看器 (本地) 并选择 连接到其他计算机。
- 在 另一台计算机 字段中输入目标服务器名称或 IP 地址,然后单击 确定。
- 如果您可以连接到目标服务器,接下来检查您是否能够访问目标服务器上的共享。
- 尝试从 ADAudit Plus 服务器连接到目标服务器上的共享。
- 在 ADAudit Plus 服务器上打开 文件资源管理器,然后从左侧树中选择 网络。
- 在网络窗口中,双击包含共享文件夹的目标计算机。
- 打开共享文件夹,并双击您想要访问的共享。
- 或者,您可以运行指向共享文件夹的 UNC 路径并访问共享。
访问被拒绝
原因:
当运行 ADAudit Plus 的用户帐户没有足够的权限访问事件日志时,会发生此错误。
解决方案:
- 提供域管理员权限:
ADAudit Plus 需要域管理员凭据以立即审核您 Active Directory (AD) 中的活动。确保使用域管理员凭据登录到 ADAudit Plus。
- 设置具有最低权限的服务帐户:
如果您不想提供域管理员凭据,则需要设置一个具有审核您的 AD 环境所需最低权限的服务帐户。
- 授予 ADAudit Plus 用户读取安全日志的特权:
如果您已经给予 非管理员读取事件日志的权限,则将相同的权限授予运行
ADAudit Plus 的用户帐户,以便访问安全日志。
故障排除:
尝试从 ADAudit Plus 服务器连接到目标服务器的事件查看器。
- 在 ADAudit Plus 服务器上打开 开始,搜索 事件查看器。
- 右键单击 事件查看器,然后单击 以管理员身份运行。输入运行 ADAudit Plus 的 用户帐户 的凭据。
- 在事件查看器窗口中,右键单击左上角的 事件查看器(本地),选择 连接到另一台计算机。
- 在 另一台计算机 字段中输入目标计算机名称或 IP 地址,然后单击 确定。
- 如果您无法连接到目标计算机,则运行 ADAudit Plus 的用户帐户没有足够的权限。
远程过程调用失败
原因:
当 RPC 端口(静态端口号 135 和动态端口号 49152-65535*)没有在防火墙中打开或由于不稳定的广域网(WAN)链接导致数据包丢失时,会发生此错误。
解决方案:
确保 RPC 端口(静态端口号 135 和动态端口号 49152-65535*)打开,以便 ADAudit Plus 可以从受监控的计算机收集 Windows 日志。
按照此 端口指南 打开收集
Windows 日志所需的 RPC 端口。
* 注意
: 如果您使用的是Windows防火墙,可以通过启用以下列出的入站规则,在被监视的计算机上打开动态端口(49152-65535)。
- 远程事件日志管理(NP-In)
- 远程事件日志管理(RPC)
- 远程事件日志管理(RPC-EPMAP)
要启用上述规则:打开 Windows防火墙 > 高级设置 > 入站规则 > 右键单击相应规则 > 启用规则。
故障排除:
- 从ADAudit Plus服务器通过名称Ping目标服务器。
- 登录到您的ADAudit Plus网页控制台。
- 识别在 域设置 下的 可用域控制器 或在文件审计选项卡下的 已配置服务器
中显示RPC错误的服务器,或在服务器审计选项卡下的已配置服务器中。
- 记下在ADAudit Plus控制台中找到的目标服务器的平面名称以及其DNS名称。
- 在ADAudit Plus服务器中打开 命令提示符,并根据ADAudit Plus控制台中记下的平面名称Ping目标服务器,以验证名称是否解析为正确的IP地址。
- 如果Ping服务器成功,则名称解析不太可能是问题的原因。
- 如果Ping服务器失败,请尝试通过其DNS名称Ping服务器;如果成功,则在 高级TCP/IP设置
中添加DNS后缀,或在DNS服务器中添加主机记录,将此名称映射到服务器的IP地址。
- 尝试从ADAudit Plus服务器连接到目标服务器的事件查看器。
- 在ADAudit Plus服务器中打开 开始,并搜索 事件查看器。
- 右键单击 事件查看器 并点击 以管理员身份运行。输入具有远程计算机上本地管理员权限的凭据。
- 在事件查看器窗口中,右键单击左上角的 事件查看器(本地) 并选择 连接到另一台计算机。
- 在 另一台计算机 字段中输入目标计算机名称或IP地址,然后点击 确定。
- 如果您能够连接到目标服务器,请检查您是否能够访问目标服务器上的共享。
- 尝试从ADAudit Plus服务器连接到目标服务器上的共享。
- 在ADAudit Plus服务器中打开 文件资源管理器,并从左侧树中选择 网络。
- 在网络窗口中,双击包含共享文件夹的目标服务器。
- 打开共享文件夹并双击您想要访问的共享。
- 或者,您可以运行到共享文件夹的UNC路径并访问共享。
注意: 如果目标服务器和ADAP服务器通过WAN连接,则建议您安装一个代理以便更顺畅的数据收集。
网络访问被拒绝
原因:
当运行ADAudit Plus的用户帐户没有足够的权限访问事件日志时,会发生此错误。
解决方案:
- 提供域管理员权限:
ADAudit Plus需要域管理员凭据以即时审计您的Active Directory(AD)中的活动。因此,请确保您使用域管理员凭据登录ADAudit Plus,或设置具有最低权限的服务帐户。
- 设置具有最小权限的服务帐户:
如果您不想提供域管理员凭据,则需要设置一个只具备审计您的AD环境所需的最低权限的服务帐户。
- 遵循此服务帐户配置指南,以设置所需的最低权限的服务帐户,用于:
网络适配器硬件错误发生
原因:
当ADAudit Plus服务器与目标计算机之间存在任何连接问题时,会发生此错误。
故障排除:
- 尝试从ADAudit Plus服务器连接到目标计算机的事件查看器。
- 在ADAudit Plus服务器中打开 开始 并搜索 事件查看器。
- 右键单击 事件查看器,然后单击 以管理员身份运行。输入具备远程计算机本地管理员权限的凭据。
- 在事件查看器窗口中,左上角右键单击 事件查看器(本地),然后选择 连接到另一台计算机。
- 在 另一台计算机 字段中输入目标计算机的名称或IP地址,然后单击 确定。
- 如果您能够连接到目标服务器,请检查您是否能够访问目标服务器上的共享。
- 尝试从ADAudit Plus服务器连接到目标计算机上的共享。
- 在ADAudit Plus服务器中打开 文件资源管理器,然后从左侧树形结构中选择 网络。
- 在网络窗口中,双击包含共享文件夹的目标计算机。
- 打开共享文件夹,双击要访问的共享。
- 或者,您可以运行共享文件夹的UNC路径并访问共享。
未找到网络路径
原因:
当ADAudit Plus服务器无法联系目标计算机时,会发生此错误。
解决方案:
确保ADAudit Plus服务器与目标计算机之间没有连接问题。
故障排除:
- 从ADAudit Plus服务器连接到目标计算机的事件查看器。
- 在ADAudit Plus服务器中打开 开始 并搜索 事件查看器。
- 右键单击 事件查看器,然后单击 以管理员身份运行。输入管理员凭据并单击 确定。
- 在事件查看器窗口中,左上角右键单击 事件查看器(本地),然后选择 连接到另一台计算机。
- 在 另一台计算机 字段中输入远程计算机的名称或IP地址,然后单击 确定。
- 如果您能够连接到目标计算机,请尝试连接到共享。
- 通过以下步骤连接到目标计算机上的共享:
- 单击 ADAudit Plus 服务器中的 文件资源管理器,然后从左侧树形结构中选择 网络。
- 在网络窗口中,双击包含共享文件夹的目标计算机。
- 打开共享文件夹,双击要访问的共享。或者,您可以运行共享文件夹的 UNC 路径并尝试访问共享。
参数不正确
原因:
由于日志文件大小不足,事件在 ADAudit Plus 读取之前被覆盖而导致该错误。在广域网(WAN)连接上读取事件日志也可能导致此错误。
解决方案:
- 验证事件日志大小和保留设置是否已定义,以防止由于事件被覆盖而导致的审计数据丢失。
- 如果您的网络很大,并跨WAN连接运行,请部署客户端代理以实现更平滑的数据收集和更低的带宽使用。
句柄无效
原因:
由于日志文件大小不足,事件在 ADAudit Plus 读取之前被覆盖而导致该错误。在广域网(WAN)连接上读取事件日志也可能导致此错误。
解决方案:
- 验证事件日志大小和保留设置是否已定义,以防止由于事件被覆盖而导致的审计数据丢失。
- 如果您的网络很大,并跨WAN连接运行,请部署客户端代理以实现更平滑的数据收集和更低的带宽使用。
可用内存资源不足以处理此命令
原因:
如果目标计算机的 RAM 大小不足,则会出现此错误。
解决方案:
确保目标计算机的 RAM 大小足够以实现平稳操作。同时,检查 RAM 使用情况。
基于报表的错误代码
没有可用数据
原因:
当审计策略、对象级审计或事件日志大小及保留设置未正确配置时,会发生此错误。
解决方案:
- 验证相应的服务器/域控制器上是否配置了审计策略,以确保在任何活动发生时都有事件记录。
- 检查对象级审计是否配置,以确保在发生任何与活动目录对象相关的活动时都有事件记录。
- 验证事件日志大小和保留设置是否已定义,以防止由于事件被覆盖而导致审计数据丢失。
故障排除:
- 检查报表配置是否正确。
- 登录到 ADAudit Plus > 配置 > 报表配置。
- 点击 查看/修改报表配置,并在每个类别下,验证报表配置是否正确。

- 检查目标服务器是否在 ADAudit Plus 控制台中配置。
- 登录到您的 ADAudit Plus 网络控制台。
- 点击右上角的 域设置,检查目标服务器是否在 可用域控制器 下找到。
- 如果目标服务器未列在可用域控制器下,请转到 服务器审计 选项卡,检查目标服务器是否在 已配置的服务器 下列出。
- 尝试从 ADAudit Plus 服务器连接到目标服务器的事件查看器。
- 在 ADAudit Plus 服务器上打开 开始,搜索 事件查看器。
- 右键点击 事件查看器,然后点击 以管理员身份运行。输入您的管理员凭据,然后点击 确定。
- 在事件查看器窗口中,右键点击左上角的 事件查看器(本地),然后选择 连接到另一台计算机。
- 在 另一台计算机 字段中输入目标服务器名称或 IP 地址,然后点击 确定。
- 连接到目标服务器的事件查看器后,检查事件是否被记录。
请在安装了 ADAudit Plus 的计算机上安装 GPMC。安装 GPMC 后,请点击这里
原因:
ADAudit Plus 需要在运行它的机器上安装组策略管理控制台 (GPMC) 以生成有关 GPO 设置更改的报表。
解决方案:
请按照此 GPMC 安装指南 在运行 ADAudit Plus 的服务器上安装 GPMC。
用户没有管理员权限
原因:
当运行 ADAudit Plus 的用户帐户没有足够的权限访问事件日志时,会发生此错误。
解决方案:
请按照此 服务帐户配置指南
设置具有审计您的 AD 环境所需最低权限的服务帐户。