在我们的 3 个 Windows 2008 域控制器上,我开始看到大量审核失败、事件 5159 错误。
我在网上进行了一些故障排除,发现我应该停止审核很多这类内容。我尝试使用下面的几个命令创建一个批处理文件:
auditpol /set /subcategory:"过滤平台数据包丢弃" /success:disable /failure:disable
还有其他几条线路,但这是第一条。
在我尝试该行的第一个 DC 上,命令提示符开始非常快速的无限循环,只是一遍又一遍地输入该命令。几分钟后,Ctrl-C 会显示“终止批处理作业(Y/N)?”,让我停止循环。
现在,当我尝试运行任何“auditpol”命令时,无论它是什么(例如:auditpol /get /category:* 或 auditpol /? ),它都会再次在无限循环中重复上面列出的设置命令。
我已经重启服务器 3 次了,但命令似乎仍然被锁定在某个地方,无论我怎么尝试,它总是会返回。我还没有触及其他 DC,因为我不想在这个问题解决之前给它们带来麻烦。
任何帮助都将受到感谢。
答案1
您是否创建了批处理文件并将其命名为“auditpol.cmd”?如果是这样,那么问题很可能就出在这里,因为脚本会不断递归调用自身。我看不出您所描述的情况会以任何其他原因发生。
如果您启动任务管理器并终止 auditpol.exe 命令,会发生什么情况?