trouble shooting 一定要可以重現(xiàn)才算解決問(wèn)題
trouble shooting的步驟:
1.界定:癥狀,日志,隔離(用其他計(jì)算機(jī)或賬號(hào)測(cè)試),復(fù)核,問(wèn)題描述
2.分析:研究(log,kb),測(cè)試,重現(xiàn)
3.解決:提出解決方案,確定方案是否解決問(wèn)題,可行性,繞過(guò)方法,問(wèn)題根源,如何避免
4.總結(jié):書(shū)面總結(jié)并解決潛在問(wèn)題
GPresult.exe:拿到哪些GPO
Gpupdate.exe:winxp或win2003刷新
secedit.exe:win2000刷新或?qū)С霭踩呗?br>gpotool.exe:檢查域控制器是否完整
mps_report:檢查DC
c:\windows\debug\userenv.log:
HKEY_LOCAL_MACHINE\Software\Microsoft\windowsNT\currentVersion\Winlogon
建立"新建DWORD值":UseerenvDebugLevel = 0x00000002(記錄詳細(xì)消息)
c:\windows\security\logs\winlogon.log:
先激活:HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\GPExtensions\{827D319E-6EAC-11D2-A4EA-00C04F79F83A}
新建DWORD值:ExtensionDebuglevel = 2
案例一,source:scecli eventID:1202
用winlogon.log找到是沒(méi)有域用戶的原因
案例二,userenv 1058
mpsrpt->c:\windows\mpsreports->可以發(fā)現(xiàn)DFS服務(wù)停止,這樣sysvol就不能訪問(wèn)
案例三,登錄后加載桌面慢
通過(guò)userenv.log檢查,關(guān)注執(zhí)行時(shí)間->錯(cuò)誤信息是5,標(biāo)識(shí)access deny->可找到exe.
如:userenv(798,79c) 16:01:30:222 ..............793,79c向上查能找到類似
userenv(798.79c) 16:01:22:322 LibMain process name: c:\windows\system32\userinit.exe,就可以知道它的進(jìn)程了
案例四,scecli 1001 security policy cannot be propagated. cannot delet GP cache.
將cache文件夾deny,(c:\windows\security\templates\policies)
winlogon.log可發(fā)現(xiàn)訪問(wèn)拒絕提示,找正確的上一次是做本地副本
案例五,腳本執(zhí)行失敗 userenve 1005
kb816045/227369/227260,
userenv.log->發(fā)現(xiàn)pingcomputer: pingbuffersize set as 2048
記錄標(biāo)識(shí)符Guid在GPO的Details中可找到
聯(lián)系客服
