Включение ведения журнала отлаки для службы Netlogon

В этой статье описаны действия, позволяющие вести журнал службы в Windows для отслеживания или устранения неполадок проверки подлинности, локатора DC, блокировки учетной записи или других проблем, связанных с связью с Netlogon доменом.

Исходная версия продукта: Windows 10 — все выпуски, Windows Server 2016, Windows Server 2019, Windows Server 2012 R2
Исходный номер КБ: 109626

Дополнительные сведения

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Для получения дополнительных сведений о том, как создать и восстановить реестр, щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:

322756 Создание резервной копии и восстановление реестра Windows

Версия Netlogon.dll, в которую включена трассировка, по умолчанию устанавливается во всех поддерживаемых в настоящее время версиях Windows. Чтобы включить ведение журнала отлаки, установите флаг отлажки, который необходимо установить с помощью Nltest.exe, реестра или групповой политики. Для этого выполните следующие действия:

Для Windows Server 2019, Windows Server 2016, Windows Server 2012 R2

Эти действия также применимы к Windows 10.

Чтобы включить Netlogon ведение журнала:

Откройте окно командной подсказки (административное окно командной подсказки для Windows Server 2012 R2 и более поздних версий).

Введите следующую команду и нажмите клавишу ВВОД:

Обычно нет необходимости останавливать и перезапускать службу Netlogon для Windows Server 2012 R2 или более поздней версии, чтобы включить Netlogon ведение журнала. Действие, связанное с Netlogon, регистрируется в журнале %windir%\debug\netlogon.log. Проверьте новые записи в этот журнал, чтобы определить, требуется ли Netlogon перезапуск службы. Если необходимо перезапустить службу, откройте окно командной подсказки (административное окно командной подсказки для Windows 10 и Windows Server 2012 R2 и более поздних версий). Затем запустите следующие команды:

• В некоторых случаях может потребоваться выполнить проверку подлинности в системе, чтобы получить новую запись в журнале, чтобы убедиться, что ведение журнала включено.
• Использование имени компьютера может привести к тому, что новая тестовая запись проверки подлинности не будет зарегистрирована.

Чтобы отключить Netlogon ведение журнала, выполните следующие действия.

Откройте окно командной подсказки (административное окно командной подсказки для Windows Server 2012 R2 и более высоких).

Введите следующую команду и нажмите клавишу ВВОД:

Обычно нет необходимости останавливать и перезапускать службу Netlogon для Windows Server 2012 R2 или более поздних версий, чтобы отключить Netlogon ведение журнала. Действие, связанное с Netlogon, регистрируется в журнале %windir%\debug\netlogon.log. Убедитесь, что в этот журнал не записыются новые сведения, чтобы определить, требуется ли перезапуск Netlogon службы. Если необходимо перезапустить службу, откройте окно командной подсказки (административное окно командной подсказки для Windows 10 и Windows Server 2012 R2 и более поздних версий). Затем запустите следующие команды:

Альтернативные методы для ведения журнала Netlogon

Во всех версиях Windows можно использовать метод реестра, предоставленный в разделе «Включить или отключить ведение журнала», с помощью раздела «Метод реестра».

На компьютерах под управлением Windows Server 2012 R2 и более поздних версий операционной системы можно также включить подробное ведение журнала с помощью следующего параметра политики (значение занося в Netlogon вайтах):

\Конфигурация компьютера\Административные шаблоны\Система\Сетевой вход\Задать уровень вывода отлаки файла журнала

Значение десятичных значений 545325055 эквивалентно 0x2080FFFF (что позволяет вести Netlogon подробное ведение журнала). Этот параметр групповой политики указывается в ветвях.

Метод групповой политики можно использовать для более эффективного ведения журнала в большом количестве Netlogon систем. Не рекомендуется включить ведение журнала в политиках, которые применяются во всех системах, таких как политика Netlogon домена по умолчанию. Вместо этого рассмотрите возможность сужение области до систем, которые могут вызывать проблемы, с помощью одного из следующих методов:

• Создайте новую политику с помощью этого параметра групповой политики, а затем предодайте права чтения и применения групповой политики группе, которая содержит только необходимые учетные записи компьютера.
• Переместите объекты компьютера в другое OU, а затем применив параметры политики на этом уровне.

Включить или отключить ведение журнала с помощью метода реестра

Чтобы включить ведение журнала, может потребоваться получить проверенную сборку Netlogon.dll.

Откройте редактор реестра.

Если он существует, удалите Reg_SZ следующую запись реестра, создайте значение REG_DWORD с тем же именем, а затем добавьте значение 2080FFFF:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\DBFlag

Обычно нет необходимости останавливать и перезапускать службу Netlogon для Windows Server 2012 R2 и более поздних версий, чтобы включить Netlogon ведение журнала. Действие, связанное с Netlogon, регистрируется в журнале %windir%\debug\netlogon.log. Проверьте новые записи в этот журнал, чтобы определить, требуется ли Netlogon перезапуск службы. Если необходимо перезапустить службу, откройте окно командной подсказки (административное окно командной подсказки для Windows Server 2012 R2/Windows 10 и выше). Затем запустите следующие команды:

• В некоторых случаях может потребоваться проверка подлинности системы для получения новой записи в журнале, чтобы убедиться, что ведение журнала включено.
• Использование имени компьютера может привести к тому, что новая тестовая запись проверки подлинности не будет зарегистрирована.

Чтобы отключить Netlogon ведение журнала, выполните следующие действия.

В следующем ключе реестра измените значение данных в редакторе реестра на 0x0:

Закройте редактор реестра.

Обычно нет необходимости останавливать и перезапускать службу для Netlogon Windows Server 2012 R2, Windows 10 или более поздних версий, чтобы отключить ведение Netlogon журнала. Действие, связанное с Netlogon, регистрируется в журнале %windir%\debug\netlogon.log. Убедитесь, что в этот журнал не записыются новые сведения, чтобы определить, требуется ли перезапуск Netlogon службы. Если необходимо перезапустить службу, откройте окно командной подсказки (административное окно командной подсказки для Windows Server 2012 R2/Windows 10 и более поздних версий операционной системы). Затем запустите следующие команды:

Установите максимальный размер файла журнала Netlogon для журналов:

Запись реестра MaximumLogFileSize может использоваться для указания максимального размера файла Netlogon.log. По умолчанию эта запись реестра не существует, а максимальный размер файла Netlogon.log по умолчанию составляет 20 МБ. Когда размер файла достигает 20 МБ, он переименовываются в Netlogon.bak, и создается новый файл Netlogon.log. Эта запись реестра имеет следующие параметры:

• Путь: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
• Имя значения: MaximumLogFileSize
• Тип значения: REG_DWORD
• Данные значения:

Помните, что общий объем дискового пространства, используемого при окне ведения журнала, — это размер, указанный в максимальном размере файла журнала в Netlogon два раза (2). Оно необходимо для размещения пространства для файлов Netlogon.log и Netlogon.bak. Например, для параметра 50 МБ может потребоваться 100 МБ дискового пространства, что обеспечивает 50 МБ для Netlogon.log и 50 МБ для Netlogon.bak.

Как упоминалось ранее, в Windows Server 2012 R2 и более поздних версиях операционной системы можно использовать следующий параметр политики для настройки размера файла журнала (значение устанавливается в ветвях):

\Конфигурация компьютера\Административные шаблоны\Система\Вход в сеть\Максимальный размер файла журнала

Для получения дополнительных сведений щелкните следующие номера статей, чтобы просмотреть статьи в базе знаний Майкрософт:
247811 Как контроллеры домена расположены в Windows

Enabling debug logging for the Netlogon service

This article describes the steps to enable logging of the Netlogon service in Windows to monitor or troubleshoot authentication, DC locator, account lockout, or other domain communication-related issues.

Original product version: В Windows 10 — all editions, Windows Server 2016, Windows Server 2019, Windows Server 2012 R2
Original KB number: В 109626

More information

This section, method, or task contains steps that tell you how to modify the registry. However, serious problems might occur if you modify the registry incorrectly. Therefore, make sure that you follow these steps carefully. For added protection, back up the registry before you modify it. Then, you can restore the registry if a problem occurs. For more information about how to back up and restore the registry, click the following article number to view the article in the Microsoft Knowledge Base:

322756 How to back up and restore the registry in Windows

The version of Netlogon.dll that has tracing included is installed by default on all currently supported versions of Windows. To enable debug logging, set the debug flag that you want by using Nltest.exe, the registry, or Group Policy. To do it, follow these steps:

For Windows Server 2019, Windows Server 2016, Windows Server 2012 R2

These steps also apply to Windows 10.

To enable Netlogon logging:

Open a Command Prompt window (administrative Command Prompt window for Windows Server 2012 R2 and later versions).

Type the following command, and then press Enter:

It’s typically unnecessary to stop and restart the Netlogon service for Windows Server 2012 R2 or later to enable Netlogon logging. Netlogon-related activity is logged to %windir%\debug\netlogon.log. Verify new writes to this log to determine whether a restart of the Netlogon service is necessary. If you have to restart the service, open a Command Prompt window (administrative Command Prompt window for Windows 10, and Windows Server 2012 R2 and later versions). Then run the following commands:

• In some circumstances, you may have to perform an authentication against the system in order to obtain a new entry in the log to verify that logging is enabled.
• Using the computer name may cause no new test authentication entry to be logged.

To disable Netlogon logging, follow these steps:

Open a Command Prompt window (administrative Command Prompt window for Windows Server 2012 R2 and higher).

Type the following command, and then press Enter:

It’s typically unnecessary to stop and restart the Netlogon service for Windows Server 2012 R2 or later versions to disable Netlogon logging. Netlogon-related activity is logged to %windir%\debug\netlogon.log. Verify that no new information is being written to this log to determine whether a restart of the Netlogon service is necessary. If you have to restart the service, open a Command Prompt window (administrative Command Prompt window for Windows 10, and Windows Server 2012 R2 and later versions). Then run the following commands:

Alternative methods to enable Netlogon logging

In all versions of Windows, you can use the registry method that’s provided in the Enable/Disable logging by using registry method section.

On computers that are running Windows Server 2012 R2 and later versions of the operating system, you can also use the following policy setting to enable verbose Netlogon logging (value is set in bytes):

\Computer Configuration\Administrative Templates\System\Net Logon\Specify log file debug output level

A value of decimal 545325055 is equivalent to 0x2080FFFF (which enables verbose Netlogon logging). This Group Policy setting is specified in bytes.

The Group Policy method can be used to enable Netlogon logging on a larger number of systems more efficiently. We don’t recommend that you enable Netlogon logging in policies that apply to all systems, such as the Default Domain Policy. Instead, consider narrowing the scope to systems that may be causing problems by using one of the following methods:

• Create a new policy by using this Group Policy setting, and then provide the Read and Apply Group Policy rights to a group that contains only the required computer accounts.
• Move computer objects into a different OU, and then apply the policy settings at that OU level.

Enable/Disable logging by using registry method

To enable logging, you may have to obtain a checked build of Netlogon.dll.

Start Registry Editor.

If it exists, delete the Reg_SZ value of the following registry entry, create a REG_DWORD value with the same name, and then add the 2080FFFF hexadecimal value:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\DBFlag

It’s typically unnecessary to stop and restart the Netlogon service for Windows Server 2012 R2 and later versions to enable Netlogon logging. Netlogon-related activity is logged to %windir%\debug\netlogon.log. Verify the new writes to this log to determine whether a restart of the Netlogon service is necessary. If you have to restart the service, open a Command Prompt window (administrative Command Prompt window for Windows Server 2012 R2/Windows 10 and above). Then run the following commands:

• In some circumstances, you may have to do an authentication against the system to obtain a new entry in the log to verify that logging is enabled.
• Using the computer name may cause no new test authentication entry to be logged.

To disable Netlogon logging, follow these steps:

In Registry Editor, change the data value to 0x0 in the following registry key:

Exit Registry Editor.

It’s typically unnecessary to stop and restart the Netlogon service for Windows Server 2012 R2, Windows 10, or later versions to disable Netlogon logging. Netlogon-related activity is logged to %windir%\debug\netlogon.log. Verify that no new information is being written to this log to determine whether a restart of the Netlogon service is necessary. If you have to restart the service, open a Command Prompt window (administrative Command Prompt window for Windows Server 2012 R2/Windows 10 and later versions of the operating system). Then run the following commands:

Set the maximum log file size for Netlogon logs:

The MaximumLogFileSize registry entry can be used to specify the maximum size of the Netlogon.log file. By default, this registry entry doesn’t exist, and the default maximum size of the Netlogon.log file is 20 MB. When the file reaches 20 MB, it’s renamed to Netlogon.bak, and a new Netlogon.log file is created. This registry entry has the following parameters:

• Path: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
• Value Name: MaximumLogFileSize
• Value Type: REG_DWORD
• Value Data:

Remember that the total disk space that’s used by Netlogon logging is the size that’s specified in the maximum log file size times two (2). It’s required to accommodate space for the Netlogon.log and Netlogon.bak file. For example, a setting of 50 MB can require 100 MB of disk space, which provides 50 MB for Netlogon.log and 50 MB for Netlogon.bak.

As mentioned earlier, on Windows Server 2012 R2 and later versions of the operating system, you can use the following policy setting to configure the log file size (value is set in bytes):

\Computer Configuration\Administrative Templates\System\Net Logon\Maximum Log File Size

For more information, click the following article numbers to view the articles in the Microsoft Knowledge Base:
247811 How domain controllers are located in Windows