Způsob sledování a odstraňování problémů při použití paměti stránkovaného fondu v Exchange Server 2003 nebo Exchange 2000 Server

Překlady článku Překlady článku
ID článku: 912376 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Velikosti nebo počtu přístupové tokeny klienta může být omezení koeficient počet klientů podporujících server spuštěný Microsoft Exchange Server. Tento článek popisuje, jak jsou přidělovány tokeny zabezpečení na serveru Exchange pro podporu připojení klienta. Tento článek obsahuje také návrhy způsob sledování a řízení použití tokenu paměti.

Každý přístupový token vyžaduje některé paměti jádra systému Windows. Částka se liší v závislosti na několika faktorech. Členství je jedním z nejdůležitějších faktorů. Velikost tokenu zvyšuje v přímé poměru počet členství ve skupinách.

Skripty, které tento článek obsahuje demonstrují způsob spočítat tokeny zabezpečení a generovat statistiky o počet skupin zabezpečení, do kterých uživatelé Exchange patří. Tyto informace mohou pomoci odhadu velikosti v paměti přístupové tokeny, které jsou přidruženy těchto uživatelů.

Úvod

Tento článek popisuje jak aktivně spravovat a snížit použití paměti stránkovaného fondu, která je používána klientská připojení Exchange server. Je-li snížit použití paměti stránkovaného fondu, řízení velikosti a počtu přístupové tokeny. Hotfix 912480 přímo snižuje počet klientské přístupové tokeny, které klient používá při provede připojení k Microsoft Exchange Server 2003 Service Pack 2 (SP2). Zbytek článku popisuje, jak zmenšit velikost přístupový token. Tento článek dále popisuje jiné metody, které můžete použít k řízení, distribuovat a optimalizovat připojení klienta v kontextu přístupové tokeny.

Oprava hotfix pro Exchange 2003 SP2 k dispozici optimalizovat použití klienta tokeny. Tato oprava hotfix můžete snížit spotřebu token paměti až jednu třetinu související s klientů MAPI. Použití této opravy hotfix, pouze pokud se setkáváte stránkovaného fondu paměti vyčerpání problémy, které jsou způsobeny token přidělení. Další informace o opravě hotfix 912480 klepnutím na následující číslo článku databáze Microsoft Knowledge Base:
912480Exchange Server 2003 server, který je hostitelem relace klienta Outlook mnoho pravděpodobně nedostatek paměti stránkovaného fondu

Další informace

Přístupové tokeny

Pokud účet systému Windows pokusí o přístup k zabezpečené Windows zkonstruovat prostředku přístupový token. Token přístupu slouží k určení, zda přístup udělen a kolik přístup by mělo být uděleno. Tokeny jsou vestavěny serverem hostitelem prostředku. Server dotazy řadiče příslušné domény získat token informace.

Token přístupu skládá z několika kusy informace, zejména identifikátory zabezpečení (SID účtu uživatele a skupiny zabezpečení, do kterých patří uživatelský účet). Po uživatel ověřuje server odpovídající SID, které jsou spojeny s uživatelem a členství skupiny uživatele jsou umístěny v přístupovém tokenu. SID je řetězec čísla, která jednoznačně identifikuje komitenta zabezpečení systému Windows nebo skupiny zabezpečení. Další informace o zobrazení dokumentu "Zabezpečení identifikátory Technical Reference". Tento dokument naleznete na následujícím webu společnosti Microsoft:
http://technet2.microsoft.com/windowsserver/en/library/a320b892-f678-490d-adf0-fb97984c2bd71033.mspx
Identifikátory jsou žádné další tajný klíč než přihlašovacích jmen. Identifikátory jsou jedinečné číselné identifikátory, které jsou spojeny s názvy objektů. SID zůstává stejný pro životnost objektu Active Directory. Proto SID lze jednoznačně identifikovat objekt bez ohledu na to, zda ostatní atributy objektu změnit.

Každý zabezpečené prostředek na serveru má volitelný seznam řízení přístupu (DACL) přidružen. Uvádí seznam DACL SID, povolen nebo odepřen přístup k prostředku.

Při pokusu uživatele o přístup k prostředku zabezpečené seznamu SID v tokenu přístupu uživatele je porovnána se seznamem SID DACL prostředku. Pokud SID v tokenu odpovídá SID v seznamu DACL prostředku, příslušný přístup udělen. Nelze spolehlivě zjistit počet skupin zabezpečení, do které patří uživatelský účet podle počítání počtu skupin, které jsou uvedeny na vlastnost Členem objekt uživatele. Toto je z důvodu následující čtyři faktory:
  • Vnoření skupin

    Doménami v nativním režimu systému Windows 2000 nebo Windows Server 2003 funkční režimu domény skupin mohou být vnořené flexibilně více než v kombinovaném režimu domény. Skupinu je přidán do tokenu uživatele, SID vnořené skupiny přidáni také.
  • Univerzální skupina členství

    Doména uživatelského účtu je v kombinovaném režimu, nebude univerzální skupiny do tokenu přístupu přidána. Jako domény, do které patří účet je převeden na nativní režim nebo jeden z režimů funkční Windows Server 2003, členství v univerzální skupině přidán do tokenu.
  • SIDHistory

    Účty, které jsou přeneseny z domén Microsoft Windows NT 4.0 nebo jiných domén služby Active Directory může mít mnoho členství v jejich atributy SIDHistory. Další informace o SIDHistory naleznete na následujícím webu:
    http://technet.microsoft.com/en-us/library/Bb727125.aspx
    Je k dispozici pouze pro uživatele domén účtů, které jsou již v nativním režimu systému Windows 2000 nebo Windows Server 2003 funkční režimy SIDHistory. Pokud je uživatelský účet domény v kombinovaném režimu, skupiny z SIDHistory ignorována. V praxi by neexistuje těchto skupin.
  • Místní skupiny domény

    Pokud je zabezpečené prostředek umístěn v nativním režimu systému Windows 2000 nebo Windows Server 2003 funkční režimu domény, místní skupiny domény v doméně prostředků, ke které patří uživatelský účet přidán do tokenu. Předpokládejme například, že uživatel v doméně A pokusí o přístup k prostředku v doméně B. V nativním režimu systému Windows 2000 nebo Windows Server 2003 funkční režimy všechny místní skupiny domény v doméně B, do které uživatel patří do přístupového tokenu. Místní skupiny domény v doméně A do kterých uživatel patří, nebudou přidány do tokenu generovaných serverem v doméně B. Je to proto, že domény místní skupiny z domény jsou irelevantní do domény B.

Token kopií

Token přístupu uživatele je uložena na serveru v paměti stránkovaného fondu jádra. Kdykoli nejsou pravděpodobně více kopií token každý uživatel v paměti. Například klient mapuje sdílené složky na serveru se systémem Windows Server 2003 pomocí příkazu NET USE, bude být dvě kopie tokenu uživatele uchovávány na serveru pro podporu tohoto připojení.

Každá klientská aplikace připojí k serveru Exchange je pravděpodobně generovat více kopií token uživatele v závislosti na aplikaci a její konfiguraci.

Je k dispozici omezené množství paměti stránkovaného fondu. Proto je omezen počet klientských připojení, které udržují serveru současně. Na serveru systémem Windows, který má více než 1 gigabajt (GB) fyzické paměti nainstalované paměti stránkovaného fondu maximální je přibližně 350 megabajtů (MB). Tato částka může být snížena optimalizace paměti prospěch z jiných zdrojů může být kratší dodávek.

Použití zahrnout doporučení optimalizace paměti pro rozsáhlých serveru Exchange / 3 GB souboru boot.ini přepínač. Tím se sníží maximální stránkovaného fondu paměti na méně než 250 MB. V tomto kontextu rozsáhlých server Exchange je jeden hostitelé tisíce poštovních schránek a má více než 1 GB RAM nainstalované.

Pokud nepoužíváte / 3 GB přepínač, je pravděpodobné, že služby Exchange Server restartování pravidelně defragmentovat virtuální paměti. Obchodování vypnout paměti stránkovaného fondu jádra pro další aplikace paměti je worthwhile tradeoff. Tento tradeoff však znamená, že je třeba přesněji sledovat použití paměti stránkovaného fondu. Další informace o optimalizaci paměti pro Exchange Server klepnutím na následující číslo článku databáze Microsoft Knowledge Base:
815372Optimalizace využití paměti serveru Exchange Server 2003
Navíc zobrazit "Ruling limitu paměti související problémy" části "Odstraňování Exchange Server 2003 výkonu" Bílý papír Tento dokument naleznete na následujícím webu společnosti Microsoft:
http://technet.microsoft.com/en-us/library/4b012bda-8711-4617-9239-f3527de884a3.aspx
Klient tokeny jsou obvykle největších jediné spotřebitele paměti stránkovaného fondu na serveru Exchange. Pokud je token uživatele průměrný velký, je pravděpodobně stane důležité problémové místo pro Exchange Server škálovatelnost spotřeba paměti stránkovaného fondu.

Jak vypočítat velikost tokenu

Token přístupu velikost v bajtech můžete Odhadovaná pomocí následující vzorec:
[číslo 12 x uživatelská práva] + [token režijní náklady] + [44 x počet členství] = token velikost v bajtech
  • Zahrnout uživatelská práva práva Přihlásit se místně "nebo přistupovat k tomuto počítači ze sítě." Pouze uživatelská práva, které jsou přidány do tokenu přístupu jsou ty, které jsou nakonfigurovány na serveru, který je hostitelem prostředku zabezpečené uživatelská práva. Většina uživatelů Exchange Server budou pravděpodobně mít dva nebo tři uživatelská práva na serveru Exchange. Správci mohou mít desítky uživatelská práva. Každé uživatelské právo vyžaduje 12 bajtů ukládat v tokenu.
  • Režie tokenu obsahuje více polí, například token zdroj, čas vypršení platnosti a informace zosobnění. Pro typické domény uživatele, který má žádné speciální přístup nebo omezení je pravděpodobně mezi 400 a 500 bajtů režie token. Odhadování 500 bajtů pro uživatelská práva a režie token je obvykle více než dostatečná.
  • Každý členství přidá skupinu SID token společně s 16 bajtů pro přidružené atributy a informace. Maximální možná velikost SID je 68 bajtů. Je však výjimečných SID být velké. Windows Server 2003 a dřívějších verzích systému Windows je typická SID pro uživatele nebo skupinu délku 28 bajtů. Každou skupinu zabezpečení, do které uživatel patří obvykle proto přidá 44 bajtů velikost tokenu uživatele.

Přidělení paměti tokenu

Pokud token je menší než 4 kilobajty (KB), velikost paměti jádra, který je přiřazen pro něj je přesně co je vyžadován podržte tokenu. Zvažte například běžný uživatel, který patří do skupiny zabezpečení 30. Pomocí vzorce uvedená v části „ jak vypočítat velikost tokenu „ token tento uživatel být o 1,820 bajtů (44 bajtů x 30 skupin + režijní 500 bajtů = 1,820).

Ale pokud token je dokonce mírně větší než 4 KB (4 096 bajtů), velikost paměti přidělené za kopie přeskočí přesně 8 KB (8 192 bajtů). Pokud je token i mírně větší než 8 KB, bude přechod přesně 12 KB přidělení paměti. Proto při každém token velikostí protíná jeden z těchto kritické 4 KB hranic je náhlé přeskakování v použití paměti stránkovaného fondu.

Uživatel, který patří do více než 80 skupin zabezpečení obecně bude poblíž nebo přejde nad hranici 4 KB. Uživatel tedy bude vyžadovat token 8 KB. Pokud uživatel patří do více než 170 skupin, token je pravděpodobně vyžadovat 12 KB atd.

Následující příklad ukazuje, jak je důležité na sledování a řízení token velikost průměrný klienta. Zvažte Exchange 2003 Service Pack 2 serveru, na které všichni klienti používali aplikace Microsoft Office Outlook 2003 v režimu s mezipamětí. Typický klientský režim mezipaměti způsobí sedm nebo osm kopií jeho token generován v počítači se systémem Windows Server 2003. Pokud je token průměrný klienta přesně 4 KB, každý klient mezipaměti režimu vyžaduje až 32 KB paměti stránkovaného fondu.

Poznámka: Opravy hotfix službu úložiště informací serveru Exchange, která je popsána v části "Úvod" může snížit počet kopií token pro každého uživatele do mezipaměti režimu čtyři nebo pět namísto sedm nebo osm. Tato oprava hotfix je naplánováno mají být zahrnuty v Microsoft Exchange Server 2003 Service Pack 3.

Pokud je server nakonfigurován pomocí / 3 GB přepnout, bude mít o 250 MB paměti stránkovaného fondu přiděleny na serveru. Doporučujeme, spotřeba typické stránkovaného fondu pro server má být více než 200 MB. Nutné vyhradit dostatek paměti pro špičkovém zatížení serveru. Stránkovaného fondu paměti spotřeba je obvykle více než 220 MB byste měli vzít okamžité kroky ke snížení zatížení serveru.

Předpokládejme 150 MB paměti stránkovaného fondu je k dispozici pro klienta tokeny Exchange Server. Pokud je každý klient token 4 KB, server lze pohodlně podporovat více než 4,500 souběžných uživatelů mezipaměti režimu Outlook před token použití se stanou problémové místo. Všimněte si, že tento maximální 7,300 uživatelům mezipaměti režimu by zvýšit použitím opravy hotfix 912480. Pokud velikost tokenu byly přeskočit 8 KB, maximální počet klientů by snížena o polovinu bez ohledu na to, zda byla použita hotfix 912480.

Poznámka: Jestliže spustíte aplikaci Outlook 2003 v režimu online, obvykle bude k dispozici tři nebo čtyři token kopií pro každého klienta bez ohledu na to, zda byla použita hotfix 912480.

Příznaky vyčerpání paměti jádra

Pokud blízko k právě vyčerpání prostředků paměti jádra, server stane pomalé nebo odmítl připojení a další požadavky. Aplikace může náhle selhat. Navíc pokusy o připojení k ohrožený server může vrátit chybovou 1450, "Nedostatek systémové zdroje." V extrémních případech může server zobrazit chybová zpráva na modré obrazovce a přestane reagovat.

Navíc může být do systémového protokolu zaznamenány následující události:

ID události: 2019
Zdroj: SRV
Popis: Server nemůže vyhradit paměť ze systémového nestránkovaného fondu, protože fond je prázdný.

ID události: 2020
Zdroj: SRV
Popis: Server nemůže vyhradit paměť ze systémového stránkovaného fondu, protože fond je prázdný.

ID události: 2000
Zdroj: SRV
Popis: Na serveru volání systémové služby se neočekávaně nezdařilo.

Pokud je nedostatek paměti stránkovaného fondu přechodné, bude pravděpodobně serveru obnovit. Aplikace může být poněkud pružnější dočasné nedostatky paměti. Žádná aplikace, lze však spustit navždy, pokud nejsou splněny požadavky kritické zdroje. Nedostatek paměti stránkovaného fondu trvá velmi dlouho, je pravděpodobné, že aktivační událost kaskádové problémových míst. V takovém serveru pravděpodobně muset restartovat opět jej funkční.

Standardní zatížení by měl být přibližně 50 MB k dispozici paměť stránkovaného fondu. Pokud máte méně než 30 megabajtů volného, byste měli vzít okamžité kroky ke snížení zatížení serveru.

Staticky přidělené paměti stránkovaného fondu Windows během spuštění. Fondu nelze zvýšit bez překonfigurování a restartování serveru. Částka k dispozici paměť stránkovaného fondu závisí na několika faktorech. Tyto faktory zahrnují spouštěcí přepínače například / USERVA a / 3 GB, nastavení registru a fyzické paměti RAM.

Jak zmenšit velikost tokeny přístupu uživatele

Můžete použít následující tři strategie snížit velikost tokenu:
  • Snížit počet skupin zabezpečení, do které patří každého uživatele.
  • Hostitelem servery Exchange v jiné doméně od uživatelů, kteří se připojují k servery Exchange.

    Tato strategie může snížit velikost uživatelské tokeny podle odebere místní skupiny domény pro doménu uživatelského účtu z tokenu je předkládán serveru Exchange. Tento postup funguje, protože místní skupiny domény z jedné domény nejsou zachovány v tokenu, který je generován na serveru v jiné doméně.
  • Když je možné převést skupin zabezpečení distribuční skupiny.

    Velikost tokenu není zvýšeno podle členství ve skupinách zabezpečení distribuční skupiny. Uživatelé mohou patřit tisíce distribuční skupiny nemají vliv na velikost tokenu. Pokud skupiny není používán odepřít nebo udělit přístup k prostředkům, měli distribuční skupinu není skupiny zabezpečení.

Jak snížit počet přístupové tokeny v paměti na serveru

Jako minimální praktické mít snížena typické velikost tokenu, dalším krokem je spravovat počet současných připojení provedené na serveru. Počet současných připojení lze spravovat pomocí následujících metod:
  • Omezit neoprávněným klientů a aplikací.

    Každý klient může provádět více připojení k serveru. Navíc různé klienty provést různý počet připojení na základě nejrůznější faktory. Úplný seznam všech klientů k serveru připojit i nemáte. Uživatelé mohou nainstalovat Outlook doplňky, které další připojení. Vývojáři mohou spouštět aplikace, které provést mnoho připojení nebo, nelze vypnout připojení po ukončení práce. Druhy klienti připojit k serveru a jaké efekty mají na využití paměti jádra, proto byste analyzovat. Další informace naleznete v části „ Jak zobrazit přidělení token velikostí „.
  • Odeberte úložiště veřejných složek ze serveru. Potom přímé klientů veřejné složky na jiném serveru.

    Tato akce eliminuje připojení veřejné složky jsou provedeny klienty.
  • Odeberte účet pro mnoho připojení klienta konkrétní veřejné složky.

    Jsou vhodné kandidátů odebrání volném Schedule+ složku a adresář offline. Klienti musí provést další připojení k těmto složkám při naplánování událostí nebo stáhnout adresář.
  • Přidat repliky veřejných složek intenzivně přistupovat distribuovat počet klientů, kteří se připojují k jejich mezi více serverů.
  • Nainstalovat servery vyhrazené veřejné složky eliminovat všechny veřejné složky připojení ze serverů poštovní schránky.
  • Rovnoměrně distribuovat uživatelům plně připojení mezi více serverů. Uživatelé plně připojení jsou pravděpodobně těm, kteří mají více počítačů nebo zařízení a uživatelům, kteří jsou mobilní uživatele.
  • Distribuovat uživatelům, kteří mají tokeny velké zabezpečení mezi více serverů.
  • Opravu hotfix 912480 token optimalizace. Další informace o opravě hotfix 912480 klepnutím na následující číslo článku databáze Microsoft Knowledge Base:
    912480Exchange Server 2003 server, který je hostitelem relace klienta Outlook mnoho pravděpodobně nedostatek paměti stránkovaného fondu

Jak sledovat paměti stránkovaného fondu na serveru Exchange

Obecně platí měli byste mít 50 MB volného stránkovaného fondu paměti k dispozici v rámci typické serveru načíst podmínky. Dále byste měli mít 30 MB volného místa pod zatížení ve špičce.

Je snadné určit, kolik paměti stránkovaného fondu je právě používán. Správce úloh systému Windows zobrazí stránkovaného fondu využití v oblasti Paměti jádra na kartě Výkon. Můžete také sledovat použití paměti stránkovaného fondu v čase s Čítač Bajty stránkovaného Paměť\Bajty ve Sledování systému Windows.

Server Exchange, který je nakonfigurován pro použití / 3 GB spouštěcí přepínač bude mít velikost paměti stránkovaného fondu maximální možné 250 MB. Tento server bude mít navíc non stránkovaného--paměť fondu maximálně 128 MB. Bez / 3 GB přepnout, maximální hodnoty jsou 350 MB paměti stránkovaného fondu a 256 MB paměti nestránkovaného fondu.

Proto typické rozsáhlých Exchange server používat více než 200 MB stránkovaného fondu paměti podmínkách typické. Používání paměti stránkovaného fondu více než 220 MB vyžaduje okamžitou pozornost.

Pokud jsou v rámci těchto omezení a server hlásí chyby vztahující se k vyčerpání paměti stránkovaného fondu, je pravděpodobné, přidělení paměti stránkovaného fondu počáteční je menší než bylo očekáváno. To může být způsobeno hardwarem poptávek ovladači zařízení nebo podle, která snižuje počáteční optimalizace paměti stránkovaného fondu přidělení paměti i více. Velké paměti konfigurací, například více než 4 GB fyzické paměti RAM jsou nejběžnější příčinou tohoto problému.

Každý bajt fyzické paměti RAM, ve které je nainstalován server vyžaduje některé paměti jádra, adresa a spravovat jej. RAM, která je nainstalována další adresu prostoru jádra musí být vyhrazena pro něj. Adresa místa může tříleté z paměti stránkovaného fondu k uspokojení této poptávky.

Doporučujeme instalovat více než 4 GB fyzické paměti RAM v serveru je vyhrazený systémem 2003 Exchange Server. Exchange Server provede efektivní použití až ke 4 GB RAM. Však Exchange Server není využívat další paměti i Pokud je k dispozici. Servery, které podporují funkci Hot přidáním paměti může také způsobit významné snížení v dostupnosti paměti stránkovaného fondu. I v případě, že je nainstalován více než 4 GB RAM adresu může být vyhrazena pro Teoretická maximální množství hot-add RAM, které by mohly být nainstalovány.

Ladicí program jádra můžete použít k zobrazení velikost paměti stránkovaného fondu počáteční a jiných přidělení paměti jádra.

Důležité: Příkazy lze během jádra ladicí relace může způsobit systému stát nestabilní nebo stop. Doporučujeme před iniciovat jádra ladicí relace zastavit všechny služby Exchange Server a restartujte server po relace.

Nastavení tradiční jádra ladicí relace systému Windows 2000 může být složitý úkol. Tento úkol je obvykle vyžaduje zvláštní počítače, specializované kabeláž a restartování serveru.

Případně nástroj LiveKD z Sysinternals lze spustit jádra ladicí relace z konzoly serveru. LiveKD nevyžaduje restartování serveru. Další informace naleznete následujícím článku znalostní databáze Microsoft Knowledge Base:
894067Nástroj Výkon přesně nezobrazuje položky k dispozici volné stránkovací tabulky systému Windows Server 2003
Windows Server 2003 podporuje ladicí program jádra KD ladění přímo z konzoly serveru bez speciální přípravy nebo hardwaru. Získání Debugging Tools for Windows naleznete na následujícím webu:
http://www.microsoft.com/whdc/devtools/debugging/default.mspx
Spustit ladicí program pomocí příkazu KD.EXE - KL. Potom spusťte ! vm příkaz zobrazit maximální stránkovaného fondu paměti. Například spusťte následující příkazy:
KL KD.EXE
! VM

Jak zobrazit přidělení token velikostí

Aplikace Outlook není pouze klienta, který lze připojit k databázi Exchange Server. Doplňky aplikace Outlook, plochy vyhledávací stroje patří pošty funkce okamžité zasílání zpráv klienti, hledání a vlastních aplikací můžete provést všechny další připojení a způsobit generování další kopie token.

Efekt klienta nebo aplikace můžete ověřit pomocí nástroj Poolmon.exe v laboratorní prostředí. Postupujte takto:
  1. Generovat izolované laboratoř organizace Exchange.
  2. Nainstalujte Poolmon na serveru Exchange. Další informace o konfiguraci Poolmon.exe Klepnutím na následující číslo článku databáze Microsoft Knowledge Base:
    177415Jak použít Memory Pool Monitor (Poolmon.exe) k odstraňování paměti jádra nevrací
  3. Spustit Poolmon.exe s / iToke přepínač (/iToke Poolmon). Všimněte si, že / iToke parametr rozlišuje velká a malá písmena. Nakonfiguruje Poolmon.exe zobrazit pouze token přidělení. Tento příkaz lze použít také na provozní server zobrazení celkového přidělení token v reálném čase.
  4. Konfigurovat uživatelský účet služby Active Directory, který je podobný typické uživatele Exchange Server ve vašem prostředí. To znamená nakonfigurovat uživatelský účet má ekvivalentní počet členství ve skupinách zabezpečení, podobná oprávnění profilu a tak dále.
  5. Přihlaste se k Exchange Server jako test uživatele, který má klientských aplikací a konfigurace, které chcete testovat. Počkejte několik minut po přihlášení pro klientské aplikace zcela načíst a stabilizovat.
  6. Ukončit aplikace klienta při si všimnete změn v tokenu bajtů v Poolmon.exe. Můžete mít proveďte tento několikrát získat přesné čtení, kolik bajtů jsou uvolněna při ukončení klienta. Jiných token přidělení může být vytvořen nebo zničení současně během testu.
Poznámka: Pokud změníte uživatelský účet, například přidáním nebo odstraněním členství ve skupinách zabezpečení musíte odhlášení účtu ze systému Windows a potom se přihlaste před tyto změny se odrazí v přístupovém tokenu.

Jak auditovat členství

Následující příklady skript obsahovat parametry příkazového řádku a pokyny na začátku každého skriptu. Skripty vložit do poznámkového bloku a uložit je jako soubory VBS. Neukládejte soubory jako soubory s příponou TXT.
  • Skript Groups.vbs vytiskne názvy Exchange Server poštovní schránky uživatelských účtů a skupin zabezpečení, do kterých patří. Výtisk dále obsahuje seznam skupin z SIDHistory samostatný sloupec. Omezit skript jediný server Exchange nebo získat sestavu více servery Exchange pomocí zástupných znaků.

    Poznámka: Zástupný znak (*) nelze použít k přístupu k všechny servery Exchange. Musíte zadat alespoň částečný název serveru. Například můžete použít řetězec je podobná následující:
    EXCH - HQ-*
  • Skript Groups_statistics.vbs poskytuje zobrazení histogramu založené na text, který zobrazuje, kolik uživatelů patří do skupiny 50, 60 skupin, 70 skupin a podobně. Můžete určit pravděpodobné Průměrná velikost tokenu pro uživatele.
Zobrazit „ jak vypočítat velikost tokenu „ a "Token přidělení paměti" částech Podrobné informace o tokenu velikostí.

skripty

Groups.vbs
'==============================================================================
' NAME: Groups.vbs
' AUTHOR: Kyryl Perederiy, Microsoft IT, MACS Engineering
' DATE  : 12/15/2005
' COMMENT: The script runs through all mailbox enabled user objects in the 
' forest and calculates the number of security groups and groups in SID 
' history for each object. User objects can be filtered by Exchange home server.
' PARAMETERS: <output file> <GC Domain Controller> <Domain Naming Context> [<Exchange Server(s)>]
' EXAMPLE: CSCRIPT groups.vbs groups.tsv EXCH-DC-01 dc=root,dc=company,dc=com EXCH-MBX-*
' Version 1.0
'==========================================================================
On Error Resume Next
Set strArgs = WScript.Arguments
Set fso = CreateObject("Scripting.FileSystemObject")
Set fileStream = fso.OpenTextFile(strArgs(0), 2, True, TristateTrue)
fileStream.WriteLine "DN	Mail	Domain	Login	Server	GRP	SIDHISTORY"

Count=0
DCS = strArgs(1) ' Domain Controller
strDomainNC = strArgs(2) ' Domain Naming Context for the forest
strFilter = "(&(mail=*)(objectCategory=person)(objectClass=user)" &_
			"(msExchHomeServerName=*" & strArgs(3) & "))" 'Mail users search filter

Set oConnection = CreateObject("ADODB.Connection") ' Setup the ADO connection
Set Com = CreateObject("ADODB.Command")
oConnection.Provider = "ADsDSOObject"
oConnection.Open "ADs Provider"
Set Com.ActiveConnection = oConnection ' Create a command object on this connection
Com.CommandText = "<LDAP://" & DCS & ":3268/" & strDomainNC & ">;" &_
					strFilter & ";distinguishedName,mail,sAMAccountName," &_
					"msExchHomeServerName,SIDHistory,homeMDB;subtree"

' Set search preferences
Com.Properties("Page Size") = 1000
Com.Properties("Asynchronous") = True
Com.Properties("Timeout") = 120 ' seconds
set oRecordSet = Com.Execute

oRecordSet.MoveFirst

While Not oRecordset.Eof

	Count=Count+1
	DN = oRecordset.Fields("distinguishedName").Value
	Mail = oRecordset.Fields("mail").Value
	Server = oRecordset.Fields("msExchHomeServerName").Value
	Server = Mid(Server,InStrRev(Server,"=")+1)
   	Domain = Split(DN,",DC=")
	Login = UCase(Domain(1)) & "\" & oRecordset.Fields("sAMAccountName").Value
	
	set oDirObject = GetObject("LDAP://" & DCS & "/" & replace(DN,"/","\/"))

	' tokenGroups is a computed attribute that contains the list of SIDs 
	' due to a transitive group membership expansion operation on a given user
	oDirObject.GetInfoEx ARRAY("tokengroups"),0 
	
	' Size of the array correspond to the number of groups
	GROUPS = ubound(oDirObject.GetEx("tokengroups"))+1

	If IsNull(oRecordSet.Fields("SIDHistory").Value ) Then 
		SIDHIST = "0" 
	Else 
		SIDHIST = ubound(oDirObject.GetEx("sidhistory"))
	End If

	WScript.Echo Count & CHR(9) & DN & CHR(9) & GROUPS
	fileStream.WriteLine _
		DN & CHR(9) &_
		Mail & CHR(9) &_
		UCase(Domain(1)) & CHR(9) &_
		Login & CHR(9) &_
		Server & CHR(9) &_
		GROUPS & CHR(9) &_
		SIDHIST & CHR(9)

	oRecordset.MoveNext

Wend

WScript.Echo "Total: " & Count & " users found on the server(s): " & strArgs(3)
Groups_statistics.vbs
'==========================================================================
' NAME: groups_statistics.vbs
' AUTHOR: Kyryl Perederiy, Microsoft IT, MACS Engineering
' DATE  : 12/15/2005
' COMMENT: The script runs through all mailbox enabled user objects in the 
' forest and calculates statistical distribution for group membership.
' PARAMETERS: <output file> <GC Domain Controller> <Domain Naming Context> [<ExchHomeServerName>]
' EXAMPLE: CSCRIPT groups_statistics.vbs groups_statistics.tsv EXCH-DC-01 dc=root,dc=company,dc=com EXCH-MBX-0*
' Version 1.0
'==========================================================================
On Error Resume Next
Dim GROUPS(100)
Set strArgs = WScript.Arguments
Set fso = CreateObject("Scripting.FileSystemObject")
Set fileStream = fso.OpenTextFile(strArgs(0), 2, True, TristateTrue)
fileStream.WriteLine "Groups" & CHR(9) & "Users"

Count=0
DCS = strArgs(1) ' Domain Controller
strDomainNC = strArgs(2) ' Domain Naming Context for the forest
strFilter = "(&(mail=*)(objectCategory=person)(objectClass=user)" &_
			"(msExchHomeServerName=*" & strArgs(3) & "))" 'Mail users search filter

Set oConnection = CreateObject("ADODB.Connection") ' Setup the ADO connection
Set Com = CreateObject("ADODB.Command")
oConnection.Provider = "ADsDSOObject"
oConnection.Open "ADs Provider"
Set Com.ActiveConnection = oConnection ' Create a command object on this connection
Com.CommandText = "<LDAP://" & DCS & ":3268/" & strDomainNC & ">;" &_
					strFilter & ";distinguishedName,sAMAccountName;subtree"

' Set search preferences.
Com.Properties("Page Size") = 1000
Com.Properties("Asynchronous") = True
Com.Properties("Timeout") = 120 'seconds
set oRecordSet = Com.Execute

oRecordSet.MoveFirst

While Not oRecordset.Eof

	Count=Count+1
	set oDirObject = GetObject("LDAP://" & strArgs(1) & "/" &_
		replace(oRecordset.Fields("distinguishedName").Value,"/","\/"))
	oDirObject.GetInfoEx ARRAY("tokengroups"),0
	GRP = ubound(oDirObject.GetEx("tokengroups"))+1
	GROUPS(Int(GRP/10)) = GROUPS(Int(GRP/10)) + 1
	WScript.Echo Count & CHR(9) & oRecordset.Fields("sAMAccountName").Value & CHR(9) & GRP
	oRecordset.MoveNext
Wend
WScript.Echo "Total: " & Count & " users found"
WScript.Echo "See " & strArgs(0) & " for details..."
For i=0 to 100
	fileStream.WriteLine i*10 & CHR(9) & GROUPS(i)
Next

Produkty třetích stran, o nichž se hovoří v tomto článku, jsou vyráběny společnostmi nezávislými na společnosti Microsoft. Společnost Microsoft neposkytuje žádnou záruku (implicitně předpokládanou ani jinou) týkající se výkonu a spolehlivosti těchto produktů.

Vlastnosti

ID článku: 912376 - Poslední aktualizace: 16. listopadu 2007 - Revize: 2.4
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
  • Microsoft Exchange 2000 Enterprise Server
  • Microsoft Exchange 2000 Server Standard Edition
Klíčová slova: 
kbmt kbhowto kbinfo KB912376 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:912376

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com