Como monitorizar e resolver a utilização de memória de bloco paginado no Exchange Server 2003 ou no Exchange 2000 Server

Traduções de Artigos Traduções de Artigos
Artigo: 912376 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

Sumário

o tamanho ou número de tokens de acesso de cliente pode ser o factor de limitação no número de clientes que um servidor que está a executar o Microsoft Exchange Server pode suportar. Este artigo descreve como os tokens de segurança são atribuídos num servidor do Exchange para suportar ligações de cliente. Além disso, este artigo contém sugestões sobre como monitorizar e controlar a utilização de memória token.

Token de acesso de cada requer alguma memória kernel de Microsoft Windows. A quantidade varia dependendo de vários factores. Membros do grupo é um dos factores mais importantes. O tamanho aumenta token na proporção directa para o número de membros do grupo.

Os scripts contidos neste artigo demonstram uma forma de contar os tokens de segurança e gerar estatísticas sobre o número de grupos de segurança aos quais pertencem os utilizadores do Exchange. Estas informações podem ajudar a estimar o tamanho de memória de tokens de acesso que estão associados esses utilizadores.

INTRODUÇÃO

Este artigo descreve como gerir preventivamente e reduzir a utilização de memória de bloco paginado que é utilizada por ligações de cliente para um Exchange servidor. Pode reduzir a utilização de memória de bloco paginado, controlar o tamanho e o número de tokens de acesso. Correcção 912480 directamente reduz o número de tokens de acesso de cliente são utilizadas por um cliente quando torna uma ligação para o Microsoft Exchange Server 2003 Service Pack 2 (SP2). O resto do artigo descreve como reduzir o tamanho do token de acesso. Além disso, este artigo descreve outros métodos que pode utilizar para controlar, distribuir e optimizar a ligações de cliente no contexto de tokens de acesso.

Uma correcção para o Exchange 2003 SP2 está disponível para optimizar a utilização de tokens de cliente. Esta correcção pode reduzir o consumo de memória token está relacionado com clientes MAPI por até um terço. Deve aplicar esta correcção apenas se tiver de bloco paginado memória esgotamento problemas causados por atribuições de token. Para obter mais informações sobre a correcção 912480, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
912480Um servidor do Exchange Server 2003 que hospeda demasiadas sessões de cliente do Outlook poderá ficar sem memória de bloco paginado

Mais Informação

Tokens de acesso

Quando uma conta do Windows tenta aceder a um Windows seguro recurso, um token de acesso é construído. O token de acesso é utilizado para determinar se deve ser concedido acesso e quanto acesso deve ser concedido. Tokens são incorporados pelo servidor que hospeda o recurso. O servidor consulta controladores de domínio adequado para obter as informações tokens.

O token de acesso consiste em várias partes de informação, nomeadamente os identificadores de segurança (SIDs para a conta de utilizador e os grupos de segurança aos quais pertence a conta de utilizador). Depois de autentica um utilizador a um servidor, o SID adequado que estão associadas com o utilizador e membros do grupo do utilizador são colocados no token de acesso. Um SID é uma cadeia de números que identifica exclusivamente um principal de segurança de Windows ou o grupo de segurança. Para mais informações, consulte o documento "Referência da técnica de identificadores de segurança". Para ver este documento, visite o seguinte Web site da Microsoft:
http://technet2.microsoft.com/windowsserver/en/library/a320b892-f678-490d-adf0-fb97984c2bd71033.mspx
SID estão existem segredos mais do que os nomes de início de sessão. SID são identificadores numéricos exclusivos associados aos nomes de objectos. O SID permanece a mesma para a duração de um objecto do Active Directory. Por conseguinte, o SID pode ser utilizado para identificar conclusively objecto independentemente se alterar outros atributos do objecto.

Cada recurso seguro num servidor tem uma lista de controlo de acesso discricionário (DACL) associada. A DACL lista SID que é permitido ou negado acesso ao recurso.

Quando um utilizador tenta aceder a um recurso protegido, a lista de SID no token de acesso do utilizador é comparado com a lista de SID na DACL do recurso. Se um SID no token de corresponder a um SID na DACL do recurso, é concedido acesso apropriado. Forma fiável não é possível determinar o número de grupos de segurança ao qual pertence uma conta de utilizador contando o número de grupos que estão listados na propriedade De membro do objecto de utilizador. Isto deve os quatro seguintes factores:
  • aninhamento de grupos

    Em domínios de modo nativo do Microsoft Windows 2000 ou domínios de modo de funcionalidade do Windows Server 2003, grupos podem ser aninhados com mais flexibilidade do que em domínios de modo misto. Quando um grupo é adicionado ao token do utilizador, também são adicionados os SID de grupos aninhados.
  • membros do grupo universal

    Se o domínio de conta de utilizador estiver no modo misto, os grupos universais não serão adicionados ao token de acesso. Assim que o domínio a que pertence a conta é convertido para o modo nativo ou um dos modos de funcionalidade do Windows Server 2003, os membros do grupo universal serão adicionados ao token de.
  • SIDHistory

    Contas migradas de domínios do Microsoft Windows NT 4.0 ou outros domínios do Active Directory poderão ter muitos membros de grupos nos respectivos atributos de SIDHistory. Para obter mais informações sobre SIDHistory, visite o seguinte Web site da Microsoft:
    http://technet.microsoft.com/en-us/library/Bb727125.aspx
    Está disponível apenas para domínios de conta do utilizador que já estão no modo nativo do Windows 2000 ou no Windows Server 2003 funcionais modos SIDHistory. Se o domínio de conta de utilizador estiver no modo misto, grupos de SIDHistory serão ignorados. Na prática, estes grupos não devem existir.
  • grupos de domínio local

    Se um recurso protegido estiver alojado num domínio de modo de funcionalidade do Windows Server 2003 ou modo nativo do Windows 2000, grupos de domínio local no domínio de recursos a que pertence a conta de utilizador serão adicionados ao token de. Por exemplo, suponha que um utilizador no domínio A tenta aceder a um recurso no domínio B. No modo nativo do Windows 2000 ou no Windows Server 2003 modos funcionais, todos os grupos locais de domínio no domínio B para o qual o utilizador pertence vão ser adicionados ao token de acesso. Grupos locais de domínio de um domínio ao qual pertence o utilizador não serão adicionados ao token de que é gerado por um servidor no domínio B. Isto acontece porque o domínio local grupos do domínio A são irrelevante para o domínio B.

Tokens cópias

Token de acesso do utilizador é armazenado no servidor na memória do kernel de bloco paginado. Em qualquer altura, existe provavelmente encontram várias cópias do token de cada utilizador na memória. Por exemplo, se um cliente liga uma partilha num servidor baseado no Windows Server 2003 utilizando o comando NET USE , duas cópias do token do utilizador serão guardadas no servidor para suportar esta ligação.

Cada aplicação de cliente que liga a um servidor do Exchange é provável que gerar várias cópias do token de utilizador, dependendo da aplicação e a configuração.

Existe uma quantidade finita de memória de bloco paginado disponível. Por conseguinte, existe um limite para o número de ligações de cliente pode manter um servidor ao mesmo tempo. Num servidor baseado no Windows que tenha mais do que 1 gigabyte (GB) de memória física instalada, a memória de bloco paginado máxima é cerca de 350 megabytes (MB). Este valor pode ser reduzido através da optimização da memória em favor de outros recursos que podem ser de fornecimento mais curto.

Recomendações de optimização de memória para um servidor do Exchange em larga escala incluem a utilização do / 3 GB parâmetro boot.ini. Isto reduz a memória de bloco paginado máxima para menos de 250 MB. Neste contexto, um servidor de Exchange em grande escala é um que anfitriões milhares de caixas de correio e que tenha mais do que 1 GB de RAM instalada.

Se não utilizar o / 3 GB parâmetro, é provável que serviços do Exchange Server terão de ser reiniciado periodicamente para desfragmentar a memória virtual. Comerc desactivar a memória kernel de bloco paginado para memória de aplicações adicionais é uma solução de compromisso compensador. No entanto, esta solução de compromisso significa que deve monitorizar a utilização de memória de bloco paginado melhor. Para obter mais informações sobre optimização da memória para o Exchange Server, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
815372Como optimizar a utilização da memória no Exchange Server 2003
Além disso, consulte a secção "Problemas de Ruling sem limite de memória" papel "Resolução de problemas relacionados com Exchange Server 2003 Performance" branco. Para ver esta documentação técnica, visite o seguinte Web site da Microsoft:
http://technet.microsoft.com/en-us/library/4b012bda-8711-4617-9239-f3527de884a3.aspx
Tokens de cliente são normalmente o maior consumidor único de memória de bloco paginado num servidor do Exchange. Se o token de utilizador média for grande, consumo de memória de bloco paginado é provável que seja um congestionamento importante para a escalabilidade do Exchange Server.

Como calcular o tamanho do token

Tamanho de token de acesso em bytes pode ser estimado utilizando a seguinte fórmula:
[número 12 x de direitos de utilizador] + [token sobrecarga] + [44 x número de membros do grupo] = token tamanho em bytes
  • Direitos de utilizador incluem direitos como "Iniciar sessão localmente"ou "aceder a este computador a partir da rede." Os direitos de utilizador apenas que são adicionados a um token de acesso são esses direitos de utilizador configuradas no servidor que hospeda um recurso protegido. A maior parte dos utilizadores de Exchange Server é provável apenas duas ou três direitos de utilizador no servidor do Exchange. Os administradores podem ter dezenas de direitos de utilizador. Cada direito de utilizador requer 12 bytes armazená-las no token de.
  • Token sobrecarga inclui vários campos tais como a origem token, hora de expiração e informações de representação. Para um utilizador típico de domínio que não tem acesso especial ou restrições, token sobrecarga é provavelmente entre 400 e 500 bytes. Normalmente, a estimativa 500 bytes para direitos de utilizador e token sobrecarga é mais suficiente.
  • Cada membro do grupo adiciona o SID de grupo para o token juntamente com uma 16 bytes para atributos associados e informações adicionais. O tamanho máximo possível para um SID é 68 bytes. No entanto, é raro um SID para este tamanho. No Windows Server 2003 e em versões anteriores do Windows, o SID típico para um utilizador ou um grupo é 28 bytes de comprimento. Por conseguinte, cada grupo de segurança para o qual um utilizador pertence normalmente adiciona 44 bytes tamanho token do utilizador.

Atribuição de memória token

Se um token for inferior a 4 quilobytes (KB), a quantidade de memória kernel que é atribuída para o mesmo é exactamente o que é necessário para reter o token. Por exemplo, considere a um utilizador normal que pertença a 30 grupos de segurança. Utilizando a fórmula que é mencionada na secção "Como calcular o tamanho do token", o token do utilizador será cerca 1,820 bytes (grupos de 44 bytes x 30 + 500 bytes gerais = 1,820).

Mas se um token for mesmo ligeiramente maior do que 4 KB (4.096 bytes), a quantidade de memória atribuída por cópia passa exactamente 8 KB (8.192 bytes). Se um token for mesmo ligeiramente maior do que 8 KB, a atribuição de memória passa a exactamente 12 KB. Assim, sempre que os tamanhos de tokens cruza destes limites de 4 KB críticas, existe um salto repentino na utilização de memória de bloco paginado.

Geralmente, um utilizador que pertença a mais de 80 grupos de segurança será perto ou irá ultrapasse o limite de 4 KB. Por conseguinte, o utilizador irá requerer um token de 8 KB. Se um utilizador pertencer a mais do que 170 grupos, o token é provável que requerem KB 12 e assim sucessivamente.

O exemplo seguinte ilustra como importante é para monitorizar e controlar tamanho de token de cliente médio. Considere uma Exchange 2003 Service Pack 2 servidor no qual todos os clientes utilizar o Microsoft Office Outlook 2003 no modo em cache. Um cliente de modo em cache típico faz com que sete ou oito cópias do respectivo token sejam geradas num computador com o Windows Server 2003. Se o token do cliente médio é exactamente a 4 KB, cada cliente do modo em cache requer até 32 KB de memória de bloco paginado.

Nota A correcção de serviço do Microsoft Exchange Information Store que é descrita na secção "Introdução" pode reduzir o número de cópias de tokens para cada utilizador de modo em cache para quatro ou cinco em vez de sete ou oito. Esta correcção está programada para serem incluídos no Microsoft Exchange Server 2003 Service Pack 3.

Se o servidor é configurado utilizando o / 3 GB mude, vão existir cerca de 250 MB de memória de bloco paginado atribuída no servidor. Recomendamos que o consumo de típica de bloco paginado para o servidor deve ser não mais de 200 MB. Tem a reservar memória suficiente para picos na carga do servidor. Se paginada consumo é normalmente mais de 220 MB de memória de conjunto, deve tomar medidas imediatas para reduzir a carga no servidor.

Suponha que 150 MB de memória de bloco paginado é disponível para tokens de cliente do Exchange Server. Se cada token do cliente de 4 KB, o servidor pode suportar confortavelmente mais de 4.500 utilizadores de modo em cache do Outlook em simultâneo antes de utilizar token ficará um congestionamento. Tenha em atenção que aplicar a correcção 912480 iria aumentar este máximo para utilizadores do modo em cache 7,300. Se o tamanho do token saltar para 8 KB, o número máximo de clientes deve ser reduzido por meio, independentemente de se correcção 912480 foi aplicada.

Nota Se Outlook 2003 é executado no modo online, normalmente, haverá três ou quatro cópias tokens para cada cliente independentemente se correcção 912480 foi aplicada.

Sintomas de Esgotamento de memória kernel

Se recursos de memória kernel estão próximos esgote, o servidor fica lento ou recusa pedidos adicionais e ligações. Aplicações poderão falhar inesperadamente. Além disso, tenta ligar ao servidor afectado poderá devolver o erro 1450, "Recursos de sistema insuficientes." Em casos extremos, o servidor poderá apresentar uma mensagem de erro num ecrã azul e deixar de responder.

Além disso, os seguintes eventos poderão ser registados no registo do sistema:

ID do evento: 2019
Origem: SRV
Descrição: O servidor não conseguiu atribuir do sistema não paginado porque o conjunto está vazio.

ID do evento: 2020
Origem: SRV
Descrição: O servidor não conseguiu atribuir do conjunto paginado de sistema porque o conjunto está vazio.

ID do evento: 2000
Origem: SRV
Descrição: Chamada do servidor para um serviço do sistema falhou inesperadamente.

Se uma falta de memória de bloco paginado é transitória, o servidor provavelmente recuperará. Aplicações podem ser um pouco resistentes para temporária falta de memória. No entanto, não existe uma aplicação pode ser executado sempre se recurso crítico pedidos não foram satisfeitos. Se a falta de memória de bloco paginado durar muito tempo, é provável que accionam congestionamentos em cascata. Neste caso, o servidor provavelmente terá ser reiniciado para que seja funcional novamente.

Padrão sobrecarregado deve ser aproximadamente 50 MB de memória de bloco paginado disponível. Se tiver menos de 30 megabytes livres, deve tomar medidas imediatas para reduzir a carga no servidor.

Memória de bloco paginado é atribuída estaticamente durante Windows arranque. O conjunto não pode ser aumentado sem reconfigurar e reiniciar o servidor. A quantidade de memória de bloco paginado disponível depende de vários factores. Estes factores incluem os parâmetros de arranque como / USERVA e / 3 GB , definições de registo e RAM física.

Como reduzir o tamanho de tokens de acesso de utilizador

Pode utilizar as seguintes três estratégias para reduzir o tamanho do token:
  • Reduza o número de grupos de segurança aos quais pertence cada utilizador.
  • Aloje servidores Exchange num domínio diferente de utilizadores ligue a servidores Exchange.

    Esta estratégia pode reduzir o tamanho de tokens de utilizador, remover grupos locais de domínio para o domínio de conta de utilizador do token apresentada para o servidor do Exchange. Isto funciona porque os grupos locais de domínio do domínio não são mantidos no token de que é gerado num servidor num domínio diferente.
  • Quando é possível converta grupos de segurança para grupos de distribuição.

    Tamanho do token é aumentado em membros de grupos de segurança, não os grupos de distribuição. Os utilizadores podem pertencer a milhares de grupos de distribuição não afectam o tamanho do token. Se um grupo não está a ser utilizado para negar ou conceder acesso a recursos, deve ser um grupo de distribuição, não um grupo de segurança.

Como reduzir o número de tokens de acesso na memória no servidor

Assim que reduziu o tamanho do token normal ao mínimo práticos, o passo seguinte consiste em Gerir o número de ligações simultâneas que efectuadas para o servidor. Pode gerir o número de ligações simultâneas utilizando os métodos seguintes:
  • Restringir os clientes não autorizados e aplicações.

    Cada cliente pode tornar várias ligações ao servidor. Além disso, diferentes clientes Certifique números diferentes de ligações com base numa grande variedade de factores. Pode não ter ainda uma lista completa de todos os clientes que ligam ao servidor. Os utilizadores podem instalar o Outlook suplementos que efectuem ligações adicionais. Os programadores podem executar aplicações que efectuar muitas ligações ou que não encerre ligações quando concluídos. Por este motivo, deve analisar o que tipos de clientes de ligar ao servidor e o tipo de efeitos que possuem a utilização da memória kernel. Para mais informações, consulte a secção "Como visualizar tamanhos de atribuição token".
  • Remova o arquivo de pastas públicas do servidor. Em seguida, direcciona clientes para pastas públicas num servidor diferente.

    Esta acção elimina a pasta pública ligações efectuadas por clientes.
  • Remova pastas públicas específicas que conta para muitas ligações de cliente.

    Bons candidatos para remoção são o Schedule + Free/Busy pasta e o livro de endereços offline. Os clientes têm efectuar ligações adicionais a estas pastas quando podem agendar compromissos ou transferir o livro de endereços.
  • Adicione réplicas das pastas públicas acedidas muito para distribuir o número de clientes que estejam ligados por vários servidores.
  • Instale servidores de pasta pública dedicado para eliminar todas as ligações de pasta pública a partir de servidores de caixas de correio.
  • Distribua uniformemente os utilizadores de um grande volume de ligação por vários servidores. Os utilizadores de um grande volume de ligação é provável que os que têm vários computadores ou dispositivos e quem são os utilizadores móveis.
  • Distribua utilizadores tokens de segurança grandes em vários servidores.
  • Aplicar correcção 912480 para optimização do token. Para obter mais informações sobre a correcção 912480, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
    912480Um servidor do Exchange Server 2003 que hospeda demasiadas sessões de cliente do Outlook poderá ficar sem memória de bloco paginado

Como monitorizar a memória de bloco paginado num servidor do Exchange

Normalmente, deverá ter 50 MB de memória de bloco paginado livre disponível em típica carregar condições. Além disso, deverá ter 30 MB livres em cargas de pico.

É fácil determinar a quantidade de memória de bloco paginado está a ser utilizado. Gestor de tarefas do Windows apresenta paginada a utilização do conjunto na área de Memória Kernel no separador desempenho . Também pode monitorizar a utilização de memória de bloco paginado longo do tempo com o contador Memória\Bytes na memória de bytes na memória paginável no Monitor de sistema do Windows.

Um servidor do Exchange que está configurado para utilizar o / 3 GB parâmetro de arranque terá um tamanho de memória máximo possível de bloco paginado de cerca de 250 MB. Além disso, este servidor irá ter um máximo de não-paginável--memória de conjunto de 128 MB. Sem o / 3 GB mudar, os valores são 350 MB de memória de bloco paginado e 256 MB de memória não paginado.

Por este motivo, uma típica Exchange em larga escala servidor deve utilizar mais de 200 MB de bloco paginado conjunto de memória em condições normais. Utilização da memória de bloco paginado de mais de 220 MB requer atenção imediata.

Se estiver dentro desses limites e o servidor está a comunicar erros relacionados com o esgotamento da memória de bloco paginado, é provável que a atribuição de memória de bloco paginado inicial é menor do que o esperado. Isto pode ser causado por pedidos de hardware, por controladores de dispositivo, ou através da optimização da memória que reduz inicial paginada atribuição de memória conjunto ainda mais. Configurações de memória de grandes dimensões como, por exemplo, mais do que 4 GB de RAM física, são a causa mais comum deste problema.

Cada byte de RAM física instalada num servidor requer alguma memória kernel para endereçar e geri-lo. Quanto mais RAM instalada, o espaço de endereço kernel mais deve ser reservado para o mesmo. Pode ser emprestado espaço de endereços de memória de bloco paginado para satisfazer este pedido.

Recomendamos que não instale mais do que 4 GB de RAM física num servidor dedicado com o Exchange Server 2003. Exchange Server fará uma utilização eficiente da até 4 GB de RAM. No entanto, Exchange Server não irá tirar partido da RAM adicional mesmo que esteja disponível. Servidores que suportam a funcionalidade de memória adicionar atalho também podem causar reduções significativas a disponibilidade de memória de bloco paginado. Mesmo se estiver instalado mais do que 4 GB de RAM, espaço de endereço pode ser reservado durante o período máximo teórico de hot-add RAM que pode ser instalado.

Pode utilizar um depurador de kernel para ver o tamanho da memória de bloco paginado inicial e outras atribuições de memória kernel.

importante Comandos que podem ser utilizados durante um sessão de depuração de kernel podem fazer com que o sistema instável ou parar. Recomendamos que pare todos os serviços do Exchange Server antes de iniciar um sessão de depuração de kernel e que reinicie o servidor depois da sessão.

Configurar um kernel tradicional depuração sessão para o Windows 2000 pode ser uma tarefa complexa. Esta tarefa normalmente requer um computador adicional, cabos especializadas e um reinício do servidor.

Em alternativa, o utilitário LiveKD da Sysinternals pode ser utilizado para iniciar um sessão da consola do servidor de depuração de kernel. LiveKD não requer que reinicie o servidor. Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
894067A ferramenta de desempenho não mostra correctamente as entradas de tabela de páginas sistema livre disponíveis no Windows Server 2003
Para o Windows Server 2003, o depurador do kernel KD suporta a depuração directamente da consola servidor sem preparação especial ou hardware. Para obter o Debugging Tools for Windows, visite o seguinte Web site da Microsoft:
http://www.microsoft.com/whdc/devtools/debugging/default.mspx
Inicie o depurador, utilizando o comando KD.EXE - KL . Em seguida, execute o ! vm comando para visualizar a memória de bloco paginado máxima. Por exemplo, execute os seguintes comandos:
KD.EXE - KL
VM!

Como visualizar tamanhos de token de atribuição

O Outlook não é o cliente só pode ligar a um Exchange Server base de dados. O Outlook add-ins, motores de procura do ambiente de trabalho que incluam correio procurar funcionalidade, mensagens instantâneas clientes, e aplicações personalizadas podem fazer tudo ligações adicionais e causar a geração do tokens de cópias adicionais.

Pode verificar o efeito de um cliente ou aplicação utilizando o utilitário Poolmon.exe num ambiente experimental. Para o fazer, siga estes passos:
  1. Gerar um laboratório isolado organização do Exchange.
  2. Instale o Poolmon no servidor Exchange. Para obter mais informações sobre como configurar o Poolmon.exe, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
    177415Como utilizar o Monitor de conjunto de memória (Poolmon.exe) para resolver problemas de memória kernel fugas
  3. Executar Poolmon.exe com o / iToke parâmetro ( Poolmon /iToke ). Tenha em atenção que o / iToke parâmetro é sensível a maiúsculas / minúsculas. Isto configurará Poolmon.exe para apresentar apenas as atribuições tokens. Também pode utilizar este comando num servidor de produção para visualizar atribuições de tokens totais em tempo real.
  4. Configure uma conta de utilizador do Active Directory que é semelhante ao utilizador do Exchange Server normal no seu ambiente. Isto é, configure uma conta de utilizador que tenha um número equivalente de membros de grupos de segurança, um perfil de permissões semelhantes e assim sucessivamente.
  5. Inicie sessão no Exchange Server como o utilizador de teste com as aplicações de cliente e configurações que pretende testar. Aguarde alguns minutos depois de iniciar sessão para a aplicação do cliente carregar completamente e estabilizar.
  6. Sair da aplicação cliente quando detectar a alteração no tokens bytes Poolmon.exe. Poderá ter de fazer esta várias vezes para obter uma leitura precisa de quantos bytes são libertados quando sai do cliente. Outras atribuições de tokens podem ser criadas ou destruídas ao mesmo tempo durante o teste.
Nota Se alterar a conta de utilizador, como, por exemplo, adicionando ou eliminando membros do grupo de segurança, deve terminar a conta do Windows e, em seguida, voltar a iniciar sessão antes destas alterações serão reflectidas no token de acesso.

Como auditar os membros do grupo

Os exemplos de script seguintes contêm parâmetros da linha de comandos e instruções na parte superior de cada script. Pode colar os scripts no bloco de notas e, em seguida, guardá-los como ficheiros .vbs. Não guarde os ficheiros como ficheiros .txt.
  • O script Groups.vbs imprime nomes de conta de utilizador de caixa de correio do Exchange Server e os grupos de segurança a que pertencem. Além disso, a impressão contém uma coluna separada que lista os grupos de SIDHistory. Pode restringir o script a um único servidor do Exchange ou obter um relatório para vários servidores do Exchange, utilizando um carácter universal.

    Nota Não pode utilizar um carácter universal (*) para aceder a todos os servidores do Exchange. Tem de fornecer, pelo menos, um nome de servidor parcial. Por exemplo, pode utilizar uma cadeia que é semelhante o seguinte:
    EXCH - HQ *
  • O script Groups_statistics.vbs fornece uma vista histograma baseado em texto que mostra quantos utilizadores pertencem a 50 grupos, 60 grupos, grupos de 70 e assim sucessivamente. Isto pode ajudar a determinar o provável tamanho médio de token para utilizadores.
Consulte o "como calcular o tamanho do token" e "Token atribuição de memória" secções para informações detalhadas sobre os tamanhos de tokens.

Scripts

Groups.vbs
'==============================================================================
' NAME: Groups.vbs
' AUTHOR: Kyryl Perederiy, Microsoft IT, MACS Engineering
' DATE  : 12/15/2005
' COMMENT: The script runs through all mailbox enabled user objects in the 
' forest and calculates the number of security groups and groups in SID 
' history for each object. User objects can be filtered by Exchange home server.
' PARAMETERS: <output file> <GC Domain Controller> <Domain Naming Context> [<Exchange Server(s)>]
' EXAMPLE: CSCRIPT groups.vbs groups.tsv EXCH-DC-01 dc=root,dc=company,dc=com EXCH-MBX-*
' Version 1.0
'==========================================================================
On Error Resume Next
Set strArgs = WScript.Arguments
Set fso = CreateObject("Scripting.FileSystemObject")
Set fileStream = fso.OpenTextFile(strArgs(0), 2, True, TristateTrue)
fileStream.WriteLine "DN	Mail	Domain	Login	Server	GRP	SIDHISTORY"

Count=0
DCS = strArgs(1) ' Domain Controller
strDomainNC = strArgs(2) ' Domain Naming Context for the forest
strFilter = "(&(mail=*)(objectCategory=person)(objectClass=user)" &_
			"(msExchHomeServerName=*" & strArgs(3) & "))" 'Mail users search filter

Set oConnection = CreateObject("ADODB.Connection") ' Setup the ADO connection
Set Com = CreateObject("ADODB.Command")
oConnection.Provider = "ADsDSOObject"
oConnection.Open "ADs Provider"
Set Com.ActiveConnection = oConnection ' Create a command object on this connection
Com.CommandText = "<LDAP://" & DCS & ":3268/" & strDomainNC & ">;" &_
					strFilter & ";distinguishedName,mail,sAMAccountName," &_
					"msExchHomeServerName,SIDHistory,homeMDB;subtree"

' Set search preferences
Com.Properties("Page Size") = 1000
Com.Properties("Asynchronous") = True
Com.Properties("Timeout") = 120 ' seconds
set oRecordSet = Com.Execute

oRecordSet.MoveFirst

While Not oRecordset.Eof

	Count=Count+1
	DN = oRecordset.Fields("distinguishedName").Value
	Mail = oRecordset.Fields("mail").Value
	Server = oRecordset.Fields("msExchHomeServerName").Value
	Server = Mid(Server,InStrRev(Server,"=")+1)
   	Domain = Split(DN,",DC=")
	Login = UCase(Domain(1)) & "\" & oRecordset.Fields("sAMAccountName").Value
	
	set oDirObject = GetObject("LDAP://" & DCS & "/" & replace(DN,"/","\/"))

	' tokenGroups is a computed attribute that contains the list of SIDs 
	' due to a transitive group membership expansion operation on a given user
	oDirObject.GetInfoEx ARRAY("tokengroups"),0 
	
	' Size of the array correspond to the number of groups
	GROUPS = ubound(oDirObject.GetEx("tokengroups"))+1

	If IsNull(oRecordSet.Fields("SIDHistory").Value ) Then 
		SIDHIST = "0" 
	Else 
		SIDHIST = ubound(oDirObject.GetEx("sidhistory"))
	End If

	WScript.Echo Count & CHR(9) & DN & CHR(9) & GROUPS
	fileStream.WriteLine _
		DN & CHR(9) &_
		Mail & CHR(9) &_
		UCase(Domain(1)) & CHR(9) &_
		Login & CHR(9) &_
		Server & CHR(9) &_
		GROUPS & CHR(9) &_
		SIDHIST & CHR(9)

	oRecordset.MoveNext

Wend

WScript.Echo "Total: " & Count & " users found on the server(s): " & strArgs(3)
Groups_statistics.vbs
'==========================================================================
' NAME: groups_statistics.vbs
' AUTHOR: Kyryl Perederiy, Microsoft IT, MACS Engineering
' DATE  : 12/15/2005
' COMMENT: The script runs through all mailbox enabled user objects in the 
' forest and calculates statistical distribution for group membership.
' PARAMETERS: <output file> <GC Domain Controller> <Domain Naming Context> [<ExchHomeServerName>]
' EXAMPLE: CSCRIPT groups_statistics.vbs groups_statistics.tsv EXCH-DC-01 dc=root,dc=company,dc=com EXCH-MBX-0*
' Version 1.0
'==========================================================================
On Error Resume Next
Dim GROUPS(100)
Set strArgs = WScript.Arguments
Set fso = CreateObject("Scripting.FileSystemObject")
Set fileStream = fso.OpenTextFile(strArgs(0), 2, True, TristateTrue)
fileStream.WriteLine "Groups" & CHR(9) & "Users"

Count=0
DCS = strArgs(1) ' Domain Controller
strDomainNC = strArgs(2) ' Domain Naming Context for the forest
strFilter = "(&(mail=*)(objectCategory=person)(objectClass=user)" &_
			"(msExchHomeServerName=*" & strArgs(3) & "))" 'Mail users search filter

Set oConnection = CreateObject("ADODB.Connection") ' Setup the ADO connection
Set Com = CreateObject("ADODB.Command")
oConnection.Provider = "ADsDSOObject"
oConnection.Open "ADs Provider"
Set Com.ActiveConnection = oConnection ' Create a command object on this connection
Com.CommandText = "<LDAP://" & DCS & ":3268/" & strDomainNC & ">;" &_
					strFilter & ";distinguishedName,sAMAccountName;subtree"

' Set search preferences.
Com.Properties("Page Size") = 1000
Com.Properties("Asynchronous") = True
Com.Properties("Timeout") = 120 'seconds
set oRecordSet = Com.Execute

oRecordSet.MoveFirst

While Not oRecordset.Eof

	Count=Count+1
	set oDirObject = GetObject("LDAP://" & strArgs(1) & "/" &_
		replace(oRecordset.Fields("distinguishedName").Value,"/","\/"))
	oDirObject.GetInfoEx ARRAY("tokengroups"),0
	GRP = ubound(oDirObject.GetEx("tokengroups"))+1
	GROUPS(Int(GRP/10)) = GROUPS(Int(GRP/10)) + 1
	WScript.Echo Count & CHR(9) & oRecordset.Fields("sAMAccountName").Value & CHR(9) & GRP
	oRecordset.MoveNext
Wend
WScript.Echo "Total: " & Count & " users found"
WScript.Echo "See " & strArgs(0) & " for details..."
For i=0 to 100
	fileStream.WriteLine i*10 & CHR(9) & GROUPS(i)
Next

Os produtos de outros fabricantes explicado neste artigo são fabricados por empresas independentes da Microsoft. A Microsoft não oferece nenhuma garantia, expressa ou implícita, relativamente ao desempenho ou fiabilidade destes produtos.

Propriedades

Artigo: 912376 - Última revisão: 16 de novembro de 2007 - Revisão: 2.4
A informação contida neste artigo aplica-se a:
  • Microsoft Exchange Server 2003 Enterprise Edition
  • Microsoft Exchange Server 2003 Standard Edition
  • Microsoft Exchange 2000 Enterprise Server
  • Microsoft Exchange 2000 Server Standard Edition
Palavras-chave: 
kbmt kbhowto kbinfo KB912376 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 912376

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com