Andy's Web Blog

Hallo lieber Leser

Ich hatte wieder einmal mit der Fehlersuche von Client Boot- und Anmeldevorgängen zu tun. Augenscheinlich werden Gruppenrichtlinien nicht korrekt verarbeitet, was zum Verlußt von lokalen Berechtigungen führte. Informationen zur Anhebung von Protokollierungsleveln sind spärlich. Glücklicherweise bin ich über einen aktuellen Blog Eintrag gestolpert der alle wichtigen Einstellungen für Windows XP / Vista zusammen fasst.

• User Login General:
  • Registry: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
    • Name: UserEnvDebugLevel
    • Data Type: REG_DWORD
    • Data Value: 30002
  • File: %windir%\debug\usermode\UserEnv.log
• Group Policy Security:
  • Registry: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\GpExtensions\{827d319e-6eac-11d2-a4ea-00c04f79f83a}\
    • Name: ExtensionDebugLevel
    • Data Type: REG_DWORD
    • Data Value:  0×2
  • File: %windir%\security\logs\winlogon.log
• Folder Redirection:
  • Registry: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics
    • Name: FdeployDebugLevel
    • Data Type: REG_DWORD
    • Data Value:  0×0f
  • File: windir%\debug\usermode\fdeploy.log
• Software Installation via GPO:
  • Registry: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Diagnostics
    • Name: Appmgmtdebuglevel
    • Data Type: REG_DWORD
    • Data Value:  0000009b
  • File: %windir%\debug\usermode\appmgmt.log
• Netlogon:
  • Registry (delete the current value is exist): HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
    • Name: DBFlag
    • Data Type: REG_DWORD
    • Data Value:  2080FFFF (hexadecimal)
  • File: %windir%\debug\netlogon.log
• GPP:
  • Done via GPO: Computer Configuration\Policies\Administrative Templates\System\Group Policy\Logging and Tracing* The GPO is writing to the Registry in the following location (for example Printers Mapping): HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Group Policy\{BC75B1ED-5833-4858-9BB8-CBF0B166DF9D}
    • In the GPO you determine the log creation, the default on XP systems is “%SYSTEMDRIVE%\Documents and Settings\All Users\Application Data\GroupPolicy\Preference\Trace\user.log”. On Vista OS the location is : “%systemdrive%\ProgramData\GroupPolicy\Preference\Trace\user.log”
  • Special Vista GPO Tracing:
    • Event Logs:  Applications and Services Logs\Microsoft\Windows\Group Policy\Operational
    • You can use gplogview with “-m” to view online status of the GPO processing
  • Registry: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Diagnostics
    • Name: GPSvcDebugLevel
    • Data Type: REG_DWORD
    • Data Value:  00030002
  • File: C:\Windows\debug\UserMode\gpsvc.log

Da diese Logs zum Teil erhebliche Datenmengen produzieren sind in vielen Fällen nicht alle notwendig. Zu den interessantesten Log’s gehört das Netlogon Log. Es enthält eine recht übersichtliche, zeitliche Abfolge des Anmeldevorgangs und kann auf Verzögerungen hinweisen.

Andy

Quelle: Snir Hoffmann’s Blog

Post a Comment