Sysinternals ADInsight是否可以替代？

我一直在使用Sysinternals的ADInsight来跟踪工作站上的Active Directory调用，但是该应用程序已失败。

无论应用程序是否处于捕获模式，以前在Active Directory事件中进行跟踪和记录的位置现在都保持空白。我已经以管理员身份运行，重新启动，下载了新版本；这些动作都没有使程序恢复到功能状态。

Sysinternals论坛希望不大，因为众所周知该工具经常失败。

有功能相似的工具吗？

问题

使用您的帐户从另一个工作站运行时，该工具会失败吗？是

它是否通过您（和/或）另一个使用他人帐户的工作站失败？是

工作站的事件日志中是否有任何内容？没有

ADInsight存在已知问题，不再受支持或开发。在某些环境（尤其是在VM）上加载DLL时会遇到问题（请参见http://forum.sysinternals.com/adinsight-doesnt-work-hangs_topic18891.html 和http://forum.sysinternals.com/adinsight-operation_topic18963.html）（归档链接）

我发现最好的解决方案是按照http://www.activedir.org/Articles/tabid/54/articleType/ArticleView/articleId/41/Default.aspx（归档链接）中所述打开Active Directory诊断日志记录。基本上，您想要设置以下注册表值：

Path: HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics\15 Field Engineering
Type: DWORD
Value: 5

Path: HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Expensive Search Results Threshold
Type: DWORD
Value: 1

这些更改不需要重新启动，而是针对每台服务器进行设置，因此，最好通过组策略首选项来实现整个林/域。设置后，您将在DC的目录服务事件日志中找到生成的日志。它们不完全适合语法分析，但可以与某些正则表达式混用。最好的部分是，它不需要外部实用程序/代码。

如果我不提及此级别的日志记录可能会导致生产DC受到性能损失，那我将是失职。在我的测试环境中，只有两个DC几乎什么也不做，仅此设置，每分钟我就会看到约10-20个事件。

我知道这是一个老问题，但我发现从Windows Vista / 2008开始，Windows LDAP客户端支持ETW。

跟踪标志的参考在这里。

ADInsight于今年进行了更新，以解决这些问题。

来源：http : //blogs.technet.com/b/sysinternals/archive/2015/10/27/update-autoruns-v13-5-sigcheck-v2-3-rammap-v1-4-bginfo-v4-21- sysmon-v3-11-adinsight-v1-2.aspx