通过

服务器事件日志

  • 项目

适用于: Configuration Manager(current branch)

使用 Windows 事件查看器查看 Configuration Manager 中以下 BitLocker 管理服务器组件的事件日志:

  • 管理点上的恢复服务
  • 自助服务门户
  • 管理和监视网站

在承载一个或多个这些组件的服务器上,打开事件查看器。 然后转到“应用程序和服务日志”、“MicrosoftWindows”,然后展开“MBAM-Web”。 默认情况下,存在管理员操作事件日志。

以下部分包含有关 BitLocker 管理服务器组件可能发生的事件 ID 的消息和故障排除信息。

管理员

1:WebAppSpnError

应用程序:{SiteName}{VirtualDirectory} 缺少以下服务主体名称 (SPN) :{ListOfSpns} 在帐户上注册所需的 SPN:{ExecutionAccount}。

若要使集成 Windows 身份验证成功,需要准备好必要的 SPN。 此消息指示未正确配置应用程序所需的 SPN。 此事件中包含的详细信息应提供详细信息。

100:AdminServiceRecoveryDbError

可能的错误消息:

  • GetMachineUsers:从数据库获取用户信息时出错。
  • GetRecoveryKey:从数据库获取恢复密钥时出错。
  • GetRecoveryKey:从数据库获取用户信息时出错。
  • GetRecoveryKeyIds:从数据库获取恢复密钥 ID 时出错。
  • GetTpmHashForUser:从恢复数据库获取 TPM 哈希数据时出错。
  • GetTpmHashForUser:从恢复数据库获取 TPM 哈希数据时出错。
  • QueryDriveRecoveryData:从数据库获取驱动器恢复数据时出错。
  • QueryRecoveryKeyIdsForUser:从数据库获取恢复密钥 ID 时出错。
  • QueryVolumeUsers:从数据库获取用户信息时出错。

每当与恢复数据库通信时出现异常时,都会记录此消息。 通读跟踪中包含的信息,以获取有关异常的特定详细信息。

101:AdminServiceComplianceDbError

可能的错误消息:

  • GetRecoveryKey:将审核事件记录到合规性数据库时出错。
  • GetRecoveryKeyIds:将审核事件记录到合规性数据库时出错。
  • GetTpmHashForUser:将审核事件记录到合规性数据库时出错。
  • QueryRecoveryKeyIdsForUser:将审核事件记录到合规性数据库时出错。
  • QueryDriveRecoveryData:将审核事件记录到合规性数据库时出错。

在与合规性数据库通信时,每当出现异常时,都会记录此消息。 通读跟踪中包含的信息,以获取有关异常的特定详细信息。

102:AgentServiceRecoveryDbError

当服务尝试与恢复数据库通信时,此消息指示异常。 通读事件中包含的消息,以获取有关异常的特定信息。

验证 MBAM 应用池帐户是否具有连接到恢复数据库所需的权限。

103:AgentServiceError

可能的错误消息:

  • 无法检测客户端计算机帐户或数据迁移用户帐户。

    每当调用 PostKeyRecoveryInfoIsRecoveryKeyResetRequiredCommitRecoveryKeyRestGetTpmHash Web 方法时,它都检索调用方上下文以获取调用方凭据。 如果调用方上下文为 null 或空,则服务会记录此消息。

  • 调用方标识的帐户验证失败。

    如果 Web 方法希望调用方是计算机帐户,则记录此消息。 如果 Web 方法希望调用方是用户帐户,并且它不是用户帐户或数据迁移组帐户的成员,则也可能导致该帐户。

104:StatusServiceComplianceDbConfigError

注册表中的合规性数据库连接字符串为空。

每当符合性数据库连接字符串无效时,都会记录此消息。 验证注册表项 HKLM\Software\Microsoft\MBAM Server\Web\ComplianceDBConnectionString处的值。

105:StatusServiceComplianceDbError

此错误表示网站或 Web 服务无法连接到合规性数据库。 验证 IIS 应用池帐户是否可以连接到数据库。

106:HelpdeskError

已知错误和可能的原因:

  • 对 URL 的请求导致内部错误。

    在管理和监视网站的应用程序中引发了未经处理的异常, (支持人员) 。 查看管理员事件日志中的日志条目以查找特定异常。

  • 获取执行上下文信息时出错。 无法验证服务主体名称 (SPN) 注册。

    在初始支持人员网站加载操作期间,它会检查 SPN。 若要验证 SPN,需要与支持人员网站对应的帐户信息、IIS Sitename 和 ApplicationVirtualPath。 当其中一个或多个属性无效或缺失时,它会记录此错误消息。

  • 验证服务主体名称 (SPN) 注册时出错。

    此消息指示在验证 SPN 时引发安全异常。 请参阅事件详细信息中包含的异常。

107:SelfServicePortalError

已知错误和可能的原因:

  • 获取用户的恢复密钥时出错

    指示在发出检索恢复密钥的请求时引发意外异常。 请参阅事件详细信息中的异常消息。 如果在支持应用上启用了跟踪,请参阅跟踪数据以获取详细的异常消息。

  • 获取执行上下文信息时出错。 无法验证服务主体名称 (SPN) 注册

    在初始加载操作期间,自助服务门户检索自助服务网站的帐户信息、IIS Sitename 和 ApplicationVirtualPath,以验证 SPN。 当其中一个或多个属性无效时,将记录此错误消息。

  • 验证服务主体名称 (SPN) 注册时出错。 EventDetails:{ExceptionMessage}

    此消息指示在验证 SPN 时引发了安全异常。 请参阅事件详细信息中包含的异常。

108:DomainControllerError

已知错误和可能的原因:

  • 解析域名 {DomainName} 时出错,内存分配失败。

    若要解析域名,请调用 DsGetDcName Windows API。 此 API 返回 ERROR_NOT_ENOUGH_MEMORY时会记录此消息,指示内存分配失败。

  • 无法调用 DsGetDcName 方法

    此消息指示 API DsGetDcName 在主机上不可用。

109:WebAppRecoveryDbError

已知错误和可能的原因:

  • 读取恢复数据库的配置时出错。 未配置恢复数据库的连接字符串。

    此消息指示处 HKLM\Software\Microsoft\MBAM Server\Web\RecoveryDBConnectionString 的恢复数据库连接字符串信息无效。 验证给定的注册表项值。

如果看到以下任何消息,请验证 IIS 服务器中的应用池凭据是否可以连接到恢复数据库:

  • DoesUserHaveMatchingRecoveryKey:获取用户的恢复密钥 ID 时出错。
  • QueryDriveRecoveryData:获取驱动器恢复数据时出错。
  • QueryRecoveryKeyIdsForUser:获取用户的恢复密钥 ID 时出错。
  • 从恢复数据库获取 TPM 密码哈希时出错。

110:WebAppComplianceDbError

已知错误和可能的原因:

  • 读取合规性数据库的配置时出错。 未配置合规性数据库的连接字符串。

    此消息指示 的 HKLM\Software\Microsoft\MBAM Server\Web\ComplianceDBConnectionString 符合性数据库连接字符串信息无效。 验证此注册表项的值。

如果看到以下任何消息,请验证 IIS 服务器中的应用池凭据是否可以连接到合规性数据库:

  • GetRecoveryKeyForCurrentUser:将审核事件记录到合规性数据库时出错。
  • QueryRecoveryKeyIdsForUser:将审核事件记录到合规性数据库时出错。
  • QueryRecoveryKeyIdsForUser:将审核事件记录到合规性数据库时出错。

111:WebAppDbError

这些错误指示以下两个条件之一

  • MBAM 网站/webservices 无法连接到合规性或恢复数据库
  • MBAM 网站/webservices 执行帐户 (应用池帐户) 无法对合规性或恢复数据库运行 GetVersion 存储过程

事件中包含的消息提供有关异常的更多详细信息。

验证应用池帐户是否可以连接到合规性或恢复数据库。 确认它有权运行 GetVersion 存储过程。

112:WebAppError

验证服务主体名称 (SPN) 注册时出错。

若要验证 SPN,它会查询 Active Directory 以检索 SPN 映射执行帐户的列表。 它还会查询 ApplicationHost.config 以获取网站绑定。 此错误消息指示它无法与 Active Directory 通信,或者无法加载 ApplicationHost.config 文件。

验证应用池帐户是否有权查询 Active Directory 或 ApplicationHost.config 文件。 此外,请验证文件中的站点绑定条目 ApplicationHost.config

操作

4:PerformanceCounterError

检索性能计数器时出错。

跟踪消息包含实际的异常消息,其中一些消息在此处列出:

  • ArgumentNullException:如果请求的性能计数器的类别、计数器或实例无效,则会引发此异常。
  • System.InvalidOperationException:categoryName 是空字符串 (“”) 。 counterName 是空字符串 (“”) 。
  • 请求的读/写权限设置对此计数器无效。
  • 如果 readOnly 为 true) ,则指定的类别不存在 (。
  • 如果 readOnly 为 false) ,则指定的类别不是.NET Framework自定义类别 (。
  • 指定的类别标记为多实例,并需要使用实例名称创建性能计数器。
  • instanceName 长度超过 127 个字符。
  • categoryName 和 counterName 已本地化为不同的语言。
  • System.ComponentModel.Win32Exception:访问系统 API 时出错。
  • System.UnauthorizedAccessException:在没有管理特权的情况下执行的代码尝试读取性能计数器。

事件中的消息提供了有关异常的更多详细信息。

System.UnauthorizedAccessException对于 ,请验证应用池帐户是否有权访问性能计数器 API。

200:HelpDeskInformation

管理网站应用程序已成功找到并连接到受支持的恢复/合规性数据库版本。

指示从支持人员网站成功连接到恢复或合规性数据库。

201:SelfServicePortalInformation

自助服务门户应用程序已成功找到并连接到受支持的恢复/合规性数据库版本。

指示从自助服务门户成功连接到恢复或合规性数据库。

202:WebAppInformation

应用程序已正确注册其 SPN。

指示针对执行帐户正确注册支持网站所需的 SPN。

另请参阅

有关使用这些日志的详细信息,请参阅 BitLocker 事件日志

有关故障排除的详细信息,请参阅 BitLocker 疑难解答

有关安装这些网站的详细信息,请参阅 设置 BitLocker 报表和门户