我在 Active Directory 域内有两台计算机(其中一台是辅助域控制器),它们分别于去年三月和四月停止记录安全事件。
其他事件日志(应用程序、系统)都是最新的。我可以通过命令行生成应用程序事件,它们显示,除了登录和注销、以管理员身份打开应用程序之外,我不知道如何生成安全事件。如果我重新启动、停止或启动“Windows 事件日志”服务,我可以在安全事件日志中看到相应的事件,但看不到其他内容。
我已经清除了日志,删除了日志文件,重新启动了与 lsass.exe 相关的服务,但“安全帐户管理器”除外,因为它没有提供任何选项。我认为 lsass.exe 无法正常工作,因为据我所知,它是负责写入安全事件日志的进程。
在任务管理器中,我右键单击 lsass.exe 并“分析等待链”。它告诉我 lsass.exe 正在等待另一个进程 ismserv.exe
我重新启动了其服务“Intersite Messaging”,但也没有解决任何问题。
我暂时还不能重新启动这些机器,直到我获得授权(如果我获得授权的话),我不知道如何调试这个问题。
答案1
我通过 secpol.msc 解决了
- 高级审计策略配置
-
- 账户登录
-
- 登录/注销
我双击了右侧窗格中感兴趣的子类别(例如“审核登录”、“审核注销”、“审核凭据验证”),然后即使它们已经配置为“成功和失败”我禁用了它们,单击“应用”,重新启用它们,然后“应用”。
不知怎的,这解锁了两台机器。我不知道这个修复有多持久,但它确实经受住了重启和 gpupdate /force(返回成功)。
但需要注意的是,域中存在 WSUS 和冲突策略问题。所有计算机的更新状态均返回错误 0x8024002e。