除了Sysinternals，还有其他选择吗？

Question

我一直在使用Sysinternals的ADInsight来跟踪工作站上的Active调用，但是应用程序失败了。

在以前跟踪和记录Active事件的地方，无论应用程序是否处于捕获模式，窗口现在仍然是空白的。我已经以管理员身份运行，重新启动，下载了一个新版本；所有这些操作都没有将程序返回到功能状态。

Sysinternals论坛并没有提供太多的希望，因为众所周知，这个工具经常失败。

有类似功能的工具吗？

问题

当您的帐户从另一个工作站运行时，该工具会失败吗？是

您的(和/或)另一个工作站是否使用其他人的帐户失败？是

工作站的事件日志中有什么东西吗？不是

Answer 1

ADInsight存在已知的问题，不再支持或开发。它在某些环境中加载DLL存在问题，特别是在VM(请参阅http://forum.sysinternals.com/adinsight-doesnt-work-hangs_topic18891.html和http://forum.sysinternals.com/adinsight-operation_topic18963.html) (归档链接)上。

我找到的最佳解决方案是打开Active诊断日志记录，如http://www.activedir.org/Articles/tabid/54/articleType/ArticleView/articleId/41/Default.aspx (归档链接)中所描述的那样。基本上，您希望设置以下注册表值：

Path: HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics\15 Field Engineering
Type: DWORD
Value: 5

Path: HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Expensive Search Results Threshold
Type: DWORD
Value: 1

这些更改不需要重新启动，而是设置为每个服务器，因此对整个森林/域的实现最好通过组策略首选项来完成。设置完毕后，您将在DC上的目录服务事件日志中找到结果日志。它们不完全是对解析友好的，但可以与某些正则表达式相争。最重要的是它不需要外部实用程序/代码。

如果我没有提到这种级别的日志记录可能会给生产DC带来性能损失，那么我就会失职。在我的测试环境中，只有两个DC几乎什么都不做，我只从这个设置中看到大约10-20个事件/分钟。

Answer 2

我知道这是一个老问题，但我刚刚发现，从Windows /2008开始，windows客户端支持埃托。

跟踪标志的引用是这里。

Answer 3

今年对ADInsight进行了更新，以解决这些问题。

来源：http://blogs.technet.com/b/sysinternals/archive/2015/10/27/update-autoruns-v13-5-sigcheck-v2-3-rammap-v1-4-bginfo-v4-21-sysmon-v3-11-adinsight-v1-2.aspx