上篇文章中，我们已经分析了KDC　7事件，本篇文章中，我们将进一步介绍解决KDC 7问题的方法。

　　如果遇到KDC 7事件你该怎么办？

　　在你的系统中按照如下步骤找出引发KDC 7事件的原因：

　　1、如果事件是在重启后记录的，那么请查阅微软知识库第973669号文章。条件符合的话，就安装文章提供的修补程序。

　　2、查找是否运行着客户端清单代理程序。此类程序会过于频繁地查询目录表，导致域控制器负载过重。降低这些程序查询的频率可以减轻域控制器的负担。

　　3、查找是否运行着第三方的AD监视程序。这类工具会给目录带来额外的负担。禁用它们，看看KDC 7事件是否还是会频繁发生。

　　如果第1到第3步都不管用，那么你就接着往下看：

　　4、 使用PerfMon收集性能数据：

　　a、为以下对象添加“All counters”和“All instances”项：

•  内存
•  网络接口
•  对象
•  分页文件
•  物理磁盘
•  进程（只收集 _total 和LSASS）
•  处理器
•  重定向器
•  服务器
•  NT目录服务
•  系统

　　b、Frequency：根据你的环境中KDC 7事件发生的频率设定此项设置的值。因为在我的例子中KDC 7事件大概一秒钟发生一次，所以设置为每两秒收集一次数据。

　　c、Logs：设置日志文件的大小为50MB。当你使用诸如日志性能分析器（Performance Analysis of Logs）之类的工具时，小的日志文件有助于工具的正常运行，可以最小化事件发生时待分析的数据量，并且还允许你删除不需要的日志，节省磁盘空间。

　　5、 收集网络跟踪信息。我喜欢在域控制器不设过滤的情况下收集网络信息。使用命令行模式的网络监视器，你可以设置事件参数，只抓取小文件。
对计划任务使用如下的命令。要经常性地运行如下的命令，查看抓取的文件，当没 有KDC 7事件发生时，记得根据需要删除这些文件：

NMCAP.EXE /network "HP Network Team #1"
 /DisableConversations /MinDiskQuota:50M
 /Capture /File X:pathDC24.chn:50M
  with P:path being the path to whatever drive/path you want  to use.

　　“MinDiskQuota”参数可以设置成你想要的任何大小。此例中，日志文件大小被设置得较小，因为KDC 7是在很短的时间内频繁发生的。“chn:50M”将日志文件串联起来，因此分析数据时可以很方便地从一个日志文件过渡到另一个日志文件。

　　解决KDC 7事件问题没有捷径，收集数据是找出问题原因的最好办法。如果还不行，最后的办法就是使用ADPlus对系统磁盘进行转存。请记住，如果你碰到的是我描述的这种情况，转存恐怕也非常困难。因为错误事件随机发生，而且只持续一到两秒钟。