开启AD诊断日志

利用活动目录的诊断日志，可以记录和AD相关的错误日志。打开注册表编辑器，展开“HKEY_LOCAL_MACHINESYSTEMCurrent Control Se tservicesNTDSDiagnostics”分支，在右侧显示了和活动目录相关的很多记录项目，每一个项目和特定的AD活动记录项关联。例如Performance Connters、DS Schema、Directory Access等。 其取值范围从0到3，默认值是0，有些项可以设置4或5等更高的值。建议取值不要超过3，因为过高的值会产生很大的日志记录量，造成无关信息掩盖有用信息的情况。

设置之后无需重启域控，系统就可以将上述设定相关的AD的底层活动信息记录下来，在事件查看器中的活动目录日志部分，查看这些记录信息。

注意：因为记录的数量不断增加，需要及时调整活动目录日志大小，便于存放大量的日志信息。例如，在林根域的域控上查看活动目录日志，发现内容为“请使用net time命令，配置外部时间同步”的错误信息，这说明没有正确配置时间源。处理方法是，执行“net time/setsntp:xxx”命令，来设置正确的时间源，其中的“xxx”为时间服务器。

如果从外网上连接时间服务器，需要在防火墙上开启UDP 123端口。如果是手工调整域控时钟，则需要重启。当客户端登录域环境时，如果出现由于时间差异拒绝访问的提示，这实际上和Kerberos协议有关。因为Kerberos颁发的票据存在有效期，要求所有的域控和客户机在时间上是校准的。默认域控之间时差不超过5分钟，客户机和域控之间时差不超过30分钟。只要将客户机和与域控设置为同一个时间服务器，例如执行“net time \xxx.xxx.xxx.xxx /set”命令，设置其与域控时间同步，就可以解决问题。