У меня есть различные службы, настроенные для аутентификации в Active Directory. Было бы очень полезно, если бы все они регистрировали ошибки аутентификации, но это не так. Это делает отладку даже простой ошибки «неверный пароль» очень неприятной.
Можно ли наблюдать попытки аутентификации в AD в реальном времени (или позже)?
AD - это Windows Server 2003.
Я собираюсь использовать командлет get-eventlog в PowerShell. Это просто выгружает последнюю запись в журнал приложения:
Get-EventLog -ComputerName foo -LogName application -Newest 1
Его просто нужно настроить, чтобы ограничить его событиями аутентификации и источниками (-source) и запустить его для списка серверов. Может быть, запланировать его сброс с ежедневным или ежечасным приращением (-after [время])? Я явно не гений сценариев, но это то, что у меня есть. ;)