Cómo supervisar y solucionar el uso de memoria de bloque paginado en Exchange Server 2003 o en Exchange 2000 Server

Seleccione idioma Seleccione idioma
Id. de artículo: 912376 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Resumen

el tamaño o el número de tokens de acceso de cliente puede el factor de limitación en el número de clientes que puede admitir un servidor que ejecuta Microsoft Exchange Server. Este artículo describe cómo se asignan los tokens de seguridad en un servidor Exchange para admitir conexiones de cliente. Además, este artículo contiene sugerencias supervisar y controlar el uso de símbolo (token) de memoria.

Cada testigo de acceso requiere algunos memoria de núcleo de Microsoft Windows. La cantidad varía dependiendo de varios factores. Pertenencia es uno de los factores más importantes. El tamaño del símbolo (token) aumenta en proporción directa en el número de pertenencias a grupos.

Las secuencias de comandos que contiene este artículo muestran un medio para contar los testigos de seguridad y generar estadísticas acerca del número de grupos de seguridad al que pertenecen los usuarios de Exchange. Esta información puede ayudarle a estimar el tamaño en memoria de los símbolos de acceso que están asociados con esos usuarios.

INTRODUCCIÓN

Este artículo describe cómo administrar de forma proactiva y reducir el uso de memoria de bloque paginado que se utiliza por conexiones de cliente a un Exchange servidor. Puede reducir el uso de memoria de bloque paginado controlando el tamaño y el número de tokens de acceso. Revisión 912480 directamente reduce el número de tokens de acceso de cliente que utilizan un cliente cuando realiza una conexión a Microsoft Exchange Server 2003 Service Pack 2 (SP2). El resto del artículo describe cómo reducir el tamaño del testigo de acceso. Además, en este artículo se describen otros métodos que puede utilizar para controlar, distribuir y optimizar las conexiones cliente en el contexto de tokens de acceso.

Una revisión para Exchange 2003 SP2 está disponible para optimizar el uso de tokens de cliente. Esta revisión puede reducir el consumo de símbolo (token) de memoria que está relacionada con los clientes MAPI mediante hasta un tercio. Debe aplicar esta revisión sólo si está experimentando paginado problemas de agotamiento de memoria debidos token asignaciones. Para obtener más información acerca de revisión 912480, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
912480Un servidor de Exchange Server 2003 que aloja muchas sesiones de cliente de Outlook puede quedarse sin memoria de bloque paginado

Más información

Testigos de acceso

Cuando una cuenta de Windows intenta tener acceso a un seguro en Windows se construye el recurso, un token de acceso. El token de acceso se utiliza para determinar si se debe conceder acceso y debe concederse el grado de acceso. Símbolos (tokens) se genera por el servidor que aloja el recurso. El servidor consulta los controladores de dominio adecuado para obtener la información de símbolo (token).

El token de acceso consta de varias partes de información, principalmente los identificadores de seguridad (SID) para la cuenta de usuario y para los grupos de seguridad a los que pertenece la cuenta de usuario. Después de un usuario se autentica a un servidor, los SID apropiados asociados con el usuario y pertenencias a grupos del usuario se colocan en un token de acceso. Un SID es una cadena de números que identifica un principal de seguridad de Windows o el grupo de seguridad. Para obtener más información, vea el documento "Seguridad identificadores Technical Reference". Para ver este documento, visite el siguiente sitio Web de Microsoft:
http://technet2.microsoft.com/windowsserver/en/library/a320b892-f678-490d-adf0-fb97984c2bd71033.mspx
Los SID no son ningún secreto más que los nombres de inicio de sesión. Los SID son únicos identificadores numéricos que están asociados con los nombres de objeto. El SID sigue siendo el mismo para la duración de un objeto de Active Directory. Por lo tanto, se puede utilizar el SID para identificar un objeto independientemente de otros atributos de objeto cambian de manera concluyente.

Cada recurso protegido en un servidor tiene una lista de control de acceso discrecional (DACL) asociada a él. La DACL enumera los SID que se permite o deniega el acceso al recurso.

Cuando un usuario intenta tener acceso a un recurso protegido, se compara la lista de SID en token de acceso del usuario a la lista de SID en la DACL del recurso. Si un SID en el símbolo (token) coincide con un SID en la DACL del recurso, se concede acceso adecuado. Confiable no puede determinar el número de grupos de seguridad al que pertenece contar el número de grupos que aparecen en la propiedad Miembro del objeto usuario de una cuenta de usuario. Esto es debido los cuatro factores siguientes:
  • anidamiento de grupos

    En dominios de modo nativo de Microsoft Windows 2000 o dominios de modo funcional de Windows Server 2003, pueden ser grupos anidados más flexible que en dominios de modo mixto. Cuando se agrega un grupo al token del usuario, también se agregan los SID de grupos anidados.
  • pertenencia a grupos universales

    Si el dominio de cuentas de usuario está en modo mixto, los grupos universales no se agregarán al testigo de acceso. Tan pronto como el dominio al que pertenece la cuenta se convierte en modo nativo o uno de los modos funcionales de Windows Server 2003, pertenencias a grupos universales se agregarán al símbolo (token).
  • SIDHistory

    Las cuentas que se migran desde dominios de Microsoft Windows NT 4.0 o de otros dominios de Active Directory pueden tener muchos pertenencias a grupos en sus atributos SIDHistory. Para obtener más información sobre SIDHistory, visite el siguiente sitio Web de Microsoft:
    http://technet.microsoft.com/en-us/library/Bb727125.aspx
    SIDHistory sólo está disponible para dominios de cuenta de usuario que ya están en modo nativo de Windows 2000 o en los modos funcionales de Windows Server 2003. Si el dominio de cuentas de usuario está en modo mixto, los grupos de SIDHistory se omitirán. En la práctica, estos grupos no deben existir.
  • grupos locales de dominio

    Si un recurso protegido está alojado en un dominio de modo funcional de Windows Server 2003 en modo nativo de Windows 2000 o, se agregará al símbolo (token) de grupos locales de dominio en el dominio de recursos al que pertenece la cuenta de usuario. Por ejemplo, suponga que un usuario del dominio intenta tener acceso a un recurso en el dominio B. En modo nativo de Windows 2000 o en los modos funcionales de Windows Server 2003, todos los grupos locales de dominio en dominio B al que pertenece el usuario se agregarán al testigo de acceso. Grupos locales de dominio en el dominio al que pertenece el usuario no se agregará al símbolo (token) que generados por un servidor en el dominio B. Esto es porque local grupos de dominio del dominio se irrelevantes a dominio B.

Símbolo (token) de copias

Token de acceso de un usuario se almacena en el servidor en memoria de núcleo de bloque paginado. En cualquier momento, es probable que ser varias copias del testigo de cada usuario en la memoria. Por ejemplo, si un cliente, asigna un recurso compartido en un servidor basado en Windows Server 2003 mediante el comando NET USE , dos copias del testigo del usuario se mantendrán en el servidor para admitir esta conexión.

Es probable que generar varias copias del token de usuario, dependiendo de la aplicación y su configuración de cada aplicación de cliente que se conecta a un servidor de Exchange.

No hay una cantidad finita de memoria de bloque paginado disponible. Por lo tanto, hay un límite al número de conexiones de cliente que puede mantener un servidor al mismo tiempo. En un servidor basado en Windows que tiene más de 1 gigabyte (GB) de memoria física instalada, la memoria de bloque paginado máximo es unos 350 megabytes (MB). Este importe se puede reducir optimización de la memoria en favor de otros recursos que pueden estar en suministro más corto.

Las recomendaciones de optimización de memoria para un servidor a gran escala incluyen el uso de la / 3 GB modificador de boot.ini. Esto reduce la memoria de bloque paginado máximo a menos de 250 MB. En este contexto, un servidor a gran escala es aquel que hosts miles de buzones y tiene más de 1 GB de RAM instalada.

Si no utilizan el / 3 GB modificador, es probable que los servicios de Exchange Server deberán reiniciarse periódicamente para desfragmentar la memoria virtual. Comerciales fuera memoria de núcleo de bloque paginado de memoria adicionales de la aplicación es un equilibrio merece la pena. Sin embargo, este equilibrio significa que debe supervisar más estrechamente el uso de memoria de bloque paginado. Para obtener más información acerca de la optimización de la memoria para Exchange Server, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
815372How to optimize memory usage in Exchange Server 2003
Además, vea la sección de "Ruling Out memoria-Bound Problems" del papel de "Troubleshooting Exchange Server 2003 Performance" en blanco. Para ver estas notas del producto, visite el siguiente sitio Web de Microsoft:
http://technet.microsoft.com/en-us/library/4b012bda-8711-4617-9239-f3527de884a3.aspx
Símbolos de cliente suelen ser el mayor consumidor único de memoria de bloque paginado en un servidor de Exchange. Si el token de usuario promedio es grande, el consumo de memoria paginada es probable que se convierten en un cuello de botella importante para la escalabilidad de Exchange Server.

Cómo calcular el tamaño de símbolo (token)

Tamaño de token de acceso en bytes se puede estimar mediante la fórmula siguiente:
[x 12 el número de derechos de usuario] + [símbolo (token) sobrecarga] + [número de x 44 de pertenencias a grupos] = símbolo (token) de tamaño en bytes
  • Derechos de usuario incluyen derechos, como "Inicio de sesión local"o "tener acceso a este equipo desde la red." Los derechos de usuario único que se agregan a un token de acceso son esos derechos de usuario se configuran en el servidor que aloja un recurso protegido. La mayoría de los usuarios de Exchange Server son probable que tienen sólo dos o tres derechos de usuario en el servidor de Exchange. Los administradores pueden tener docenas de derechos de usuario. Cada derecho de usuario requiere 12 bytes para almacenarlo en el símbolo (token).
  • Token sobrecarga incluye varios campos como el símbolo (token) de origen, fecha de caducidad y información de suplantación. Para un usuario típico de dominio que no tiene acceso especial ni restricciones, es probable que estar comprendido entre 400 y 500 bytes token sobrecarga. Normalmente, la estimación de 500 bytes de derechos de usuario y token sobrecarga es más que suficiente.
  • Cada pertenencia, agrega el SID del grupo al token junto con un 16 bytes adicionales para los atributos asociados y la información. El tamaño máximo posible para un SID es de 68 bytes. Sin embargo, es raro que un SID que este tamaño. En Windows Server 2003 y en versiones anteriores de Windows, el SID típico para un usuario o un grupo es 28 bytes de longitud. Por tanto, cada grupo de seguridad al que pertenece normalmente un usuario agrega 44 bytes al tamaño de símbolo (token) del usuario.

Asignación de símbolo (token) de memoria

Si un símbolo (token) es menor que 4 kilobytes (KB), la cantidad de memoria de núcleo que se asigna para él es exactamente lo que es necesario para contener el símbolo (token). Por ejemplo, considere un usuario típico que pertenezca a 30 grupos de seguridad. Mediante la fórmula que se menciona en la sección "Cómo calcular el tamaño de símbolo (token)", token de este usuario será aproximadamente 1,820 bytes (44 bytes x 30 grupos + 500 bytes sobrecarga = 1,820).

Pero si un símbolo (token) es incluso ligeramente mayor que 4 KB (4096 bytes), la cantidad de memoria asignada por copia saltará a exactamente 8 KB (8.192 bytes). Si un símbolo (token) es incluso ligeramente mayor que 8 KB, la asignación de memoria saltará a exactamente 12 KB. Por lo tanto, cada vez que los tamaños de símbolo (token) se cruza con uno de estos límites de 4 KB críticos, hay un salto repentino en el uso de memoria de bloque paginado.

Generalmente, un usuario pertenece a grupos de seguridad más de 80 será cerca o irá sobre el límite de 4 KB. Por lo tanto, el usuario necesitará un token de 8 KB. Si un usuario pertenece a más de 170 grupos, el símbolo (token) es probable que requieren 12 KB y así sucesivamente.

En el ejemplo siguiente se muestra cómo importante es supervisar y controlar tamaño de símbolo (token) de cliente promedio. Considere un Service Pack 2 de Exchange 2003 en el que todos los clientes utilizan Microsoft Office Outlook 2003 en modo de caché del servidor. Un cliente típico de modo en caché hace que siete u ocho copias de su símbolo de generarse en un equipo basado en Windows Server 2003. Si el token de promedio de cliente es exactamente 4 KB, cada cliente de modo en caché requiere hasta 32 KB de memoria de bloque paginado.

Nota La revisión de servicio de almacén de información de Microsoft Exchange que se describe en la sección "Introducción" puede reducir el número de copias de símbolo (token) para cada usuario de modo de caché a cuatro o cinco en lugar de siete o ocho. Está previsto que incluirá en Exchange Server 2003 Service Pack 3.

Si el servidor está configurado utilizando la / 3 GB cambie, hay aproximadamente 250 MB de memoria paginada asignada en el servidor. Se recomienda que el consumo de típica paginado para el servidor debe ser no más de 200 MB. Debe reservar suficiente memoria para los picos de la carga del servidor. Si paginados de memoria de grupo de consumo es normalmente más de 220 MB, debe tomar medidas inmediatas para reducir la carga en el servidor.

Suponga que está disponible para símbolos de cliente de Exchange Server 150 MB de memoria de bloque paginado. Si cada símbolo de cliente es 4 KB, el servidor puede admitir cómodamente más de 4.500 usuarios simultáneos de modo de caché de Outlook antes de símbolo (token) de uso se convierta en un cuello de botella. Tenga en cuenta que aplicar revisión 912480 aumentaría este máximo para los usuarios de modo de caché 7,300. Si fuera del tamaño de símbolo (token) saltar a 8 KB, podría reducirse el número máximo de clientes por la mitad, independientemente de si se ha aplicado el hotfix 912480.

Nota Si Outlook 2003 se ejecuta en modo con conexión, normalmente habrá tres o cuatro copias de símbolo (token) para cada cliente independientemente de si se ha aplicado el hotfix 912480.

Síntomas de agotamiento de memoria de núcleo

Si cerca para que se agote los recursos de memoria del núcleo, el servidor pasa a ser lento o rechaza las solicitudes adicionales y conexiones. Las aplicaciones pueden fallar de repente. Además, intenta conectar a servidor afectado puede devolver error 1450, "Recursos de sistema insuficientes". En casos extremos, el servidor puede mostrar un mensaje de error en una pantalla azul y dejar de responder.

Además, pueden anotarse los sucesos siguientes en el registro del sistema:

ID. de suceso: 2019
Origen: SRV
Descripción: El servidor no puede asignar desde el sistema no paginado porque el bloque estaba vacío.

ID. de suceso: 2020
Origen: SRV
Descripción: El servidor no pudo asignar desde el grupo paginado del sistema porque el bloque estaba vacío.

ID. de suceso: 2000
Origen: SRV
Descripción: De el servidor un servicio del sistema error inesperado llamada a.

Si una escasez de memoria de bloque paginado es transitoria, es probable que se recuperará el servidor. Las aplicaciones pueden ser algo más resistentes a temporal escasez de memoria. Sin embargo, ninguna aplicación puede ejecutar indefinidamente si no se cumplen las solicitudes de recurso crítico. Si la escasez de memoria de bloque paginado dura mucho tiempo, es probable que desencadenan los cuellos de botella en cascada. En este caso, el servidor probablemente tendrá que reiniciarse para que sea funcional de nuevo.

Bajo carga estándar, debe haber aproximadamente 50 MB de memoria paginable disponible. Si tiene menos de 30 megabytes libres, debe tomar medidas inmediatas para reducir la carga en el servidor.

Memoria de bloque paginado está asignado estáticamente durante Windows inicio. El grupo no puede aumentarse sin volver a configurar y reiniciar el servidor. La cantidad de memoria paginable disponible depende de varios factores. Estos factores incluyen modificadores de inicio como / USERVA y / 3 GB , configuración del registro y de RAM física.

Cómo reducir el tamaño de tokens de acceso de usuario

Puede utilizar las siguientes tres estrategias para reducir el tamaño de símbolo (token):
  • Reducir el número de grupos de seguridad a los que pertenece cada usuario.
  • Alojar servidores de Exchange en un dominio diferente de los usuarios que se conectan a los servidores de Exchange.

    Esta estrategia puede reducir el tamaño de tokens de usuario mediante la eliminación grupos locales de dominio del dominio de cuenta de usuario del token del que se presenta al servidor de Exchange. Esto funciona porque no se mantienen grupos locales de dominio de un dominio en el token que se genera en un servidor en un dominio diferente.
  • Cuando se puede convertir a grupos de seguridad en grupos de distribución.

    Tamaño de símbolo (token) se incrementa en pertenencia a grupos de seguridad, no grupos de distribución. Los usuarios pueden pertenecer a miles de grupos de distribución que no afectan al tamaño de símbolo (token). Si un grupo no se utiliza para denegar o conceder acceso a los recursos, debe ser un grupo de distribución, no un grupo de seguridad.

Cómo reducir el número de testigos de acceso en la memoria del servidor

Tan pronto como ha reducido el tamaño típico de símbolo (token) al práctico mínimo, el paso siguiente es administrar el número de conexiones simultáneas que se realizan en el servidor. Puede administrar el número de conexiones simultáneas mediante los métodos siguientes:
  • Restringir los clientes no autorizados y aplicaciones.

    Cada cliente puede realizar múltiples conexiones al servidor. Además, los distintos clientes Asegúrese distinto número de conexiones basadas en una amplia variedad de factores. Aún no tiene una lista completa de todos los clientes conectarse al servidor. Los usuarios pueden instalar complementos de Outlook que conexiones adicionales. Los desarrolladores pueden ejecutar aplicaciones que hacen muchas conexiones o que no se cierran las conexiones, cuando haya terminado. Por lo tanto, debe analizar qué tipos de los clientes conexión al servidor y qué tipos de efectos tienen en el uso de memoria del núcleo. Para obtener más información, consulte la sección "Cómo ver los tamaños de asignación de símbolo (token)".
  • Quitar el almacén de carpetas públicas del servidor. A continuación, dirigir a los clientes a las carpetas públicas en un servidor diferente.

    Esta acción elimina conexiones de carpetas públicas que realizan los clientes.
  • Quitar específicas carpetas públicas que cuenta para muchas conexiones de cliente.

    Buenos candidatos para la eliminación son la disponibilidad de Schedule + carpeta y la Libreta de direcciones sin conexión. Los clientes deben realizar conexiones adicionales a estas carpetas cuando programar citas o descargar la Libreta de direcciones.
  • Agregar réplicas de difícil acceso carpetas públicas para distribuir el número de clientes conectados a ellos a través de varios servidores.
  • Instalar servidores de carpetas públicas dedicado para eliminar todas las conexiones de servidores de buzones de carpetas públicas.
  • Distribuir uniformemente los usuarios de una gran conexión a través de varios servidores. Es probable que aquellos que tienen varios equipos o dispositivos y aquellos que son los usuarios móviles los usuarios de conexión pesado.
  • Distribuir los usuarios con tokens de seguridad grandes en varios servidores.
  • Aplicar revisión 912480 para optimizar el símbolo (token). Para obtener más información acerca de revisión 912480, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    912480Un servidor de Exchange Server 2003 que aloja muchas sesiones de cliente de Outlook puede quedarse sin memoria de bloque paginado

Cómo supervisar la memoria paginada en un servidor de Exchange

Generalmente, debe tener 50 MB de memoria libre del bloque paginado disponible bajo servidor típica condiciones de carga. Además, debe tener libre cargas pico de 30 MB.

Es fácil determinar cuánta memoria de bloque paginado que se utiliza actualmente. Administrador de tareas de Windows muestra el uso de grupo en el área de Memoria del núcleo en la ficha rendimiento de paginado. También puede supervisar el uso de memoria de bloque paginado tiempo con el contador Memoria\Bytes del bloque paginado en Monitor de sistema de Windows.

Un servidor de Exchange está configurado para utilizar el / 3 GB modificador de inicio tendrá un tamaño de memoria de máximo posible de bloque paginado de aproximadamente 250 MB. Además, este servidor tendrá un máximo de no--grupo de memoria paginada de 128 MB. Sin el / 3 GB cambiar, los valores máximos son 350 MB de memoria de bloque paginado y 256 MB para memoria no paginable.

Por lo tanto, una Exchange a gran escala típica servidor debe utilizar no más de 200 MB de bloque paginado memoria de grupo bajo condiciones normales. Uso de memoria de bloque paginado de más de 220 MB requiere atención inmediata.

Si están dentro de estos límites y el servidor informa de errores relacionados con el agotamiento de memoria de bloque paginado, es probable que la asignación de memoria paginada inicial es menor de lo esperado. Esto puede deberse a demandas de hardware, con controladores de dispositivo, o ajustando memoria que reduce inicial paginada aún más de asignación de memoria de grupo. Configuraciones de grandes cantidades de memoria, por ejemplo, en más de 4 GB de RAM física, son la causa más común de este problema.

Cada byte de memoria RAM física instalado en un servidor requiere memoria del núcleo para dirección y administrarlo. La RAM más que está instalada, se debe reservar el espacio de direcciones del núcleo más para él. Puede se toma prestado el espacio de direcciones de memoria de bloque paginado para satisfacer esta demanda.

Recomendamos instale más de 4 GB de RAM física en un servidor que se dedica a ejecutar Exchange Server 2003. Exchange Server hará un uso eficaz de hasta 4 GB de RAM. Sin embargo, Exchange Server no aprovechará RAM adicional incluso si está disponible. Los servidores que admiten la característica de memoria de agregar acceso directo también pueden producir reducciones importantes en la disponibilidad de memoria de bloque paginado. Incluso si está instalado no más de 4 GB de RAM, se puede reservar espacio de direcciones para la cantidad máxima teórica de hot-add RAM que pudiera instalarse.

Puede utilizar a un depurador del núcleo para ver el tamaño de memoria de bloque paginado inicial y otras asignaciones de memoria del núcleo.

importante Los comandos que pueden utilizarse durante un sesión de depuración de núcleo pueden provocar que el sistema inestable o detener. Recomendamos que detener todos los servicios de Exchange Server antes de iniciar un sesión de depuración de núcleo y que reinicie el servidor después de la sesión.

Configurar un núcleo tradicional de depuración de sesión para Windows 2000, puede ser una tarea compleja. Esta tarea requiere normalmente un equipo adicional, cableado especializado y un reinicio del servidor.

Como alternativa, puede utilizarse la utilidad LiveKD de Sysinternals para iniciar un sesión desde la consola del servidor de depuración de núcleo. LiveKD no es necesario que reinicie el servidor. Para obtener más información, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
894067La herramienta rendimiento no muestra con precisión las entradas de sistema Free Page Table disponibles en Windows Server 2003
Para Windows Server 2003, el depurador de núcleo KD admite la depuración directamente desde la consola del servidor sin hardware o preparación especial. Para obtener las herramientas de depuración para Windows, visite el siguiente sitio Web de Microsoft:
http://www.microsoft.com/whdc/devtools/debugging/default.mspx
Iniciar al depurador mediante el comando KD.EXE - KL . A continuación, ejecute el ! vm comando para ver la memoria paginada máxima. Por ejemplo, ejecute los comandos siguientes:
KD.EXE - KL
VM!

Cómo ver los tamaños de símbolo (token) de asignación

Outlook no es el cliente sólo puede conectarse a un Exchange Server de base de datos. Los complementos de Outlook, funcionalidad, los clientes de mensajería instantánea de búsqueda de motores de búsqueda en el escritorio que incluyen correo y aplicaciones personalizadas pueden todo realizar conexiones adicionales y causar la generación de copias adicionales de símbolo (token).

Puede comprobar el efecto de una aplicación de cliente o mediante la utilidad de Poolmon.exe en un entorno de laboratorio. Para ello, siga estos pasos:
  1. Generar un laboratorio aislado organización de Exchange.
  2. Instalar Poolmon en el servidor de Exchange. Para obtener más información acerca de cómo configurar Poolmon.exe, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    177415Pérdidas de cómo utilizar a Monitor de grupo de memoria (Poolmon.exe) para solucionar problemas de memoria del núcleo
  3. Ejecutar Poolmon.exe con la / iToke modificador ( Poolmon /iToke ). Tenga en cuenta que la / iToke parámetro distingue mayúsculas de minúsculas. Esto configurará Poolmon.exe para mostrar sólo las asignaciones de símbolo (token). También puede utilizar este comando en un servidor de producción para ver el total allocations símbolo (token) en tiempo real.
  4. Configurar una cuenta de usuario Active Directory es similar al usuario de Exchange Server típico en su entorno. Es decir, configure una cuenta de usuario que tenga un número equivalente de pertenencia a grupos de seguridad, un perfil de permisos similar y así sucesivamente.
  5. Inicie sesión en Exchange Server como el usuario de prueba que tiene las aplicaciones de cliente y configuraciones que desea probar. Espere unos minutos después de iniciar sesión para que la aplicación cliente cargar completamente y estabilizar.
  6. Salga de la aplicación cliente cuando observe el cambio en los símbolo (token) bytes de Poolmon.exe. Quizás tenga que realizar este varias veces para obtener una lectura precisa de cuántos bytes se liberan cuando salga del cliente. Otras asignaciones de símbolo (token) pueden ser creados o destruidos al mismo tiempo durante la prueba.
Nota Si cambia la cuenta de usuario, como agregando o eliminando la pertenencia a grupos de seguridad, debe cerrar la cuenta de Windows y vuelva a iniciarla antes de que estos cambios se reflejarán en el token de acceso.

Cómo auditar la pertenencia a grupos

Los ejemplos de secuencias de comandos siguientes contienen los parámetros de la línea de comandos e instrucciones en la parte superior de cada secuencia de comandos. Puede pegar las secuencias de comandos en el Bloc de notas y después guardarlos como archivos .vbs. No guarde los archivos como archivos .txt.
  • La secuencia de comandos Groups.vbs imprime nombres de cuenta de usuario de buzón de Exchange Server y los grupos de seguridad a la que pertenecen. Además, la copia impresa contiene una columna independiente que enumera los grupos de SIDHistory. Puede restringir la secuencia de comandos a un único servidor de Exchange o obtener un informe para varios servidores de Exchange mediante un carácter comodín.

    Nota No puede utilizar un carácter comodín (*) para tener acceso a todos los servidores de Exchange. Debe proporcionar al menos un nombre de servidor parcial. Por ejemplo, puede utilizar una cadena que es similar el siguiente:
    EXCH - HQ *
  • La secuencia de comandos Groups_statistics.vbs proporciona una vista de histograma basado en texto que muestra cuántos usuarios pertenecen a 50 grupos, 60 grupos, 70 grupos y así sucesivamente. Esto puede ayudarle a determinar el tamaño de símbolo (token) promedio probable para los usuarios.
Consulte "Cómo calcular el tamaño de símbolo (token)" y "Asignación de memoria de token" secciones para detallada información acerca de los tamaños de símbolo (token).

Secuencias de comandos

Groups.vbs
'==============================================================================
' NAME: Groups.vbs
' AUTHOR: Kyryl Perederiy, Microsoft IT, MACS Engineering
' DATE  : 12/15/2005
' COMMENT: The script runs through all mailbox enabled user objects in the 
' forest and calculates the number of security groups and groups in SID 
' history for each object. User objects can be filtered by Exchange home server.
' PARAMETERS: <output file> <GC Domain Controller> <Domain Naming Context> [<Exchange Server(s)>]
' EXAMPLE: CSCRIPT groups.vbs groups.tsv EXCH-DC-01 dc=root,dc=company,dc=com EXCH-MBX-*
' Version 1.0
'==========================================================================
On Error Resume Next
Set strArgs = WScript.Arguments
Set fso = CreateObject("Scripting.FileSystemObject")
Set fileStream = fso.OpenTextFile(strArgs(0), 2, True, TristateTrue)
fileStream.WriteLine "DN	Mail	Domain	Login	Server	GRP	SIDHISTORY"

Count=0
DCS = strArgs(1) ' Domain Controller
strDomainNC = strArgs(2) ' Domain Naming Context for the forest
strFilter = "(&(mail=*)(objectCategory=person)(objectClass=user)" &_
			"(msExchHomeServerName=*" & strArgs(3) & "))" 'Mail users search filter

Set oConnection = CreateObject("ADODB.Connection") ' Setup the ADO connection
Set Com = CreateObject("ADODB.Command")
oConnection.Provider = "ADsDSOObject"
oConnection.Open "ADs Provider"
Set Com.ActiveConnection = oConnection ' Create a command object on this connection
Com.CommandText = "<LDAP://" & DCS & ":3268/" & strDomainNC & ">;" &_
					strFilter & ";distinguishedName,mail,sAMAccountName," &_
					"msExchHomeServerName,SIDHistory,homeMDB;subtree"

' Set search preferences
Com.Properties("Page Size") = 1000
Com.Properties("Asynchronous") = True
Com.Properties("Timeout") = 120 ' seconds
set oRecordSet = Com.Execute

oRecordSet.MoveFirst

While Not oRecordset.Eof

	Count=Count+1
	DN = oRecordset.Fields("distinguishedName").Value
	Mail = oRecordset.Fields("mail").Value
	Server = oRecordset.Fields("msExchHomeServerName").Value
	Server = Mid(Server,InStrRev(Server,"=")+1)
   	Domain = Split(DN,",DC=")
	Login = UCase(Domain(1)) & "\" & oRecordset.Fields("sAMAccountName").Value
	
	set oDirObject = GetObject("LDAP://" & DCS & "/" & replace(DN,"/","\/"))

	' tokenGroups is a computed attribute that contains the list of SIDs 
	' due to a transitive group membership expansion operation on a given user
	oDirObject.GetInfoEx ARRAY("tokengroups"),0 
	
	' Size of the array correspond to the number of groups
	GROUPS = ubound(oDirObject.GetEx("tokengroups"))+1

	If IsNull(oRecordSet.Fields("SIDHistory").Value ) Then 
		SIDHIST = "0" 
	Else 
		SIDHIST = ubound(oDirObject.GetEx("sidhistory"))
	End If

	WScript.Echo Count & CHR(9) & DN & CHR(9) & GROUPS
	fileStream.WriteLine _
		DN & CHR(9) &_
		Mail & CHR(9) &_
		UCase(Domain(1)) & CHR(9) &_
		Login & CHR(9) &_
		Server & CHR(9) &_
		GROUPS & CHR(9) &_
		SIDHIST & CHR(9)

	oRecordset.MoveNext

Wend

WScript.Echo "Total: " & Count & " users found on the server(s): " & strArgs(3)
Groups_statistics.vbs
'==========================================================================
' NAME: groups_statistics.vbs
' AUTHOR: Kyryl Perederiy, Microsoft IT, MACS Engineering
' DATE  : 12/15/2005
' COMMENT: The script runs through all mailbox enabled user objects in the 
' forest and calculates statistical distribution for group membership.
' PARAMETERS: <output file> <GC Domain Controller> <Domain Naming Context> [<ExchHomeServerName>]
' EXAMPLE: CSCRIPT groups_statistics.vbs groups_statistics.tsv EXCH-DC-01 dc=root,dc=company,dc=com EXCH-MBX-0*
' Version 1.0
'==========================================================================
On Error Resume Next
Dim GROUPS(100)
Set strArgs = WScript.Arguments
Set fso = CreateObject("Scripting.FileSystemObject")
Set fileStream = fso.OpenTextFile(strArgs(0), 2, True, TristateTrue)
fileStream.WriteLine "Groups" & CHR(9) & "Users"

Count=0
DCS = strArgs(1) ' Domain Controller
strDomainNC = strArgs(2) ' Domain Naming Context for the forest
strFilter = "(&(mail=*)(objectCategory=person)(objectClass=user)" &_
			"(msExchHomeServerName=*" & strArgs(3) & "))" 'Mail users search filter

Set oConnection = CreateObject("ADODB.Connection") ' Setup the ADO connection
Set Com = CreateObject("ADODB.Command")
oConnection.Provider = "ADsDSOObject"
oConnection.Open "ADs Provider"
Set Com.ActiveConnection = oConnection ' Create a command object on this connection
Com.CommandText = "<LDAP://" & DCS & ":3268/" & strDomainNC & ">;" &_
					strFilter & ";distinguishedName,sAMAccountName;subtree"

' Set search preferences.
Com.Properties("Page Size") = 1000
Com.Properties("Asynchronous") = True
Com.Properties("Timeout") = 120 'seconds
set oRecordSet = Com.Execute

oRecordSet.MoveFirst

While Not oRecordset.Eof

	Count=Count+1
	set oDirObject = GetObject("LDAP://" & strArgs(1) & "/" &_
		replace(oRecordset.Fields("distinguishedName").Value,"/","\/"))
	oDirObject.GetInfoEx ARRAY("tokengroups"),0
	GRP = ubound(oDirObject.GetEx("tokengroups"))+1
	GROUPS(Int(GRP/10)) = GROUPS(Int(GRP/10)) + 1
	WScript.Echo Count & CHR(9) & oRecordset.Fields("sAMAccountName").Value & CHR(9) & GRP
	oRecordset.MoveNext
Wend
WScript.Echo "Total: " & Count & " users found"
WScript.Echo "See " & strArgs(0) & " for details..."
For i=0 to 100
	fileStream.WriteLine i*10 & CHR(9) & GROUPS(i)
Next

Los productos de terceros que se analizan en este artículo están fabricados por compañías independientes de Microsoft. Microsoft no otorga ninguna garantía, implícita o de otro tipo, respecto al rendimiento o confiabilidad de estos productos.

Propiedades

Id. de artículo: 912376 - Última revisión: viernes, 16 de noviembre de 2007 - Versión: 2.4
La información de este artículo se refiere a:
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
  • Microsoft Exchange 2000 Enterprise Server
  • Microsoft Exchange 2000 Server Standard Edition
Palabras clave: 
kbmt kbhowto kbinfo KB912376 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 912376

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com