启用日志调试Kerberos登录验证问题


在Windows Server 2008 R2上启用Netlogon服务日志


一、打开命令提示符窗口,输入如下命令:

Nltest /DBFlag:2080FFFF


当调试完毕后,可以使用如下年龄禁用日志调试:

Nltest /DBFlag:0x0


二、它通常是不需要停止并重新启动 Windows 2000 服务器/专业版或更高版本操作系统启用 Netlogon 记录的 Netlogon 服务。%Windir%\debug\netlogon.log 记录 Netlogon 相关的活动。


三、设置最Netlogon日志的大日志文件大小︰

  • 可以使用MaximumLogFileSize注册表项指定的 Netlogon.log 文件最大大小。默认情况下,此注册表项不存在,和 Netlogon.log 文件的默认最大大小为 20MB。当该文件达到 20 MB 时,将其重命名为 Netlogon.bak,并创建一个新的 Netlogon.log 文件。此注册表项具有以下参数︰
    Path: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    Value Name: MaximumLogFileSize
    Value Type: REG_DWORD
    Value Data:

  • 请记住由 Netlogon 记录使用的总额磁盘空间为指定的最大的日志文件大小的两倍。需要容纳 Netlogon.log 和 Netlogon.bak 文件的空间。例如,如果设置为 50 MB 可以要求 100 MB 的磁盘空间。这将提供 50 MB 用于 Netlogon.log 和 Netlogon.bak 为 50 MB。


  • 如前所述,Windows Server 2003 和更高版本的操作系统,您可以使用下面的策略设置配置日志文件大小 (以字节为单位设置值)︰
    \Computer Configuration\Administrative Templates\System\Net Logon\Maximum Log File Size




在Windows Server 2008 R2上启用Kerberos事件日志


一、点击“开始”、“运行”,输入“REGEDIT”开始注册表编辑器。


二、展开到以下目录

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters

添加注册表值LogLevel,类型为REG_DWORD,值为0x1

如果Parameters下没有该子键,创建它。

注意:当定位完问题后,不再需要的时候,移除该注册表值,以致于不会影响到服务器性能。


三、退出注册表编辑器。在Windows Server 2008 R2中立即生效。

你可以在“Windows Logs”、“System”中看到Source为“Security-Kerberos”相关的日志。

启用日志调试Kerberos登录验证问题_第1张图片