開啟AD診斷日志

利用活動目錄的診斷日志，可以記錄和AD相關的錯誤日志。打開注冊表編輯器，展開“HKEY_LOCAL_MACHINESYSTEMCurrent Control Se tservicesNTDSDiagnostics”分支，在右側顯示了和活動目錄相關的很多記錄項目，每一個項目和特定的AD活動記錄項關聯。例如Performance Connters、DS Schema、Directory Access等。 其取值范圍從0到3，默認值是0，有些項可以設置4或5等更高的值。建議取值不要超過3，因為過高的值會產生很大的日志記錄量，造成無關信息掩蓋有用信息的情況。

設置之后無需重啟域控，系統就可以將上述設定相關的AD的底層活動信息記錄下來，在事件查看器中的活動目錄日志部分，查看這些記錄信息。

注意：因為記錄的數量不斷增加，需要及時調整活動目錄日志大小，便于存放大量的日志信息。例如，在林根域的域控上查看活動目錄日志，發現內容為“請使用net time命令，配置外部時間同步”的錯誤信息，這說明沒有正確配置時間源。處理方法是，執行“net time/setsntp:xxx”命令，來設置正確的時間源，其中的“xxx”為時間服務器。

如果從外網上連接時間服務器，需要在防火墻上開啟UDP 123端口。如果是手工調整域控時鐘，則需要重啟。當客戶端登錄域環境時，如果出現由于時間差異拒絕訪問的提示，這實際上和Kerberos協議有關。因為Kerberos頒發的票據存在有效期，要求所有的域控和客戶機在時間上是校準的。默認域控之間時差不超過5分鐘，客戶機和域控之間時差不超過30分鐘。只要將客戶機和與域控設置為同一個時間服務器，例如執行“net time \xxx.xxx.xxx.xxx /set”命令，設置其與域控時間同步，就可以解決問題。