我在 Active Directory 域中有两台计算机(其中一台是辅助域控制器),它们分别在去年 3 月和 4 月停止记录安全事件。
其他事件日志(应用程序、系统)是最新的。我可以通过命令行生成应用程序事件,它们显示,除了登录和注销、以管理员身份打开应用程序之外,我不知道如何生成安全事件。如果我重新启动、停止或启动“Windows 事件日志”服务,我可以在安全事件日志中看到相应的事件,但没有别的。
我已经清除了日志,删除了日志文件,重新启动了连接到 lsass.exe 的服务,但“安全帐户管理器”除外,它没有给我选项。我认为 lsass.exe 不起作用,因为据我了解,它是负责写入安全事件日志的过程。
在任务管理器中,我右键单击 lsass.exe 和“分析等待链”。它告诉我 lsass.exe 正在等待另一个进程 ismserv.exe
我重新启动了它的服务“Intersite Messaging”,但这也没有解决任何问题。
我还不能重新启动这些机器,直到我获得授权(也就是说,如果我得到它),我不知道如何调试这个问题。
我通过 secpol.msc 解决了
我双击右侧窗格中感兴趣的子类别(例如审核登录、审核注销、审核凭据验证),即使它们已经配置为“成功和失败”,我也禁用了它们,单击应用,重新启用它们,应用.
不知何故,这解锁了两台机器。我不知道这个修复程序有多永久,但它确实在重新启动和 gpupdate /force (返回成功)后幸存下来。
应该注意的是,域中存在 WSUS 和冲突策略问题。所有计算机在其更新状态中都返回错误 0x8024002e。