As consultas LDAP são executadas mais lentamente do que o esperado no serviço de diretório AD ou LDS/ADAM e a ID de Evento 1644 pode ser registrada

Este artigo fornece uma solução alternativa para um problema em que as consultas LDAP são executadas lentamente em um computador Windows Server que usa um LDS do AD ou um serviço de diretório ADAM.

Aplica-se a: Windows Server 2012 R2
Número de KB original: 951581

Sintomas

Em um computador do Windows Server que usa um serviço de diretório do Active Directory Lightweight Directory Services (AD LDS) ou do AD/AM (Active Directory Application Mode), determinados aplicativos não são executados em níveis de desempenho esperados.

Quando você habilita o log de engenharia de campo (depuração) para rastrear uma consulta LDAP, o log de eventos a seguir mostra que a consulta LDAP é uma consulta ineficiente.

Observação

Os atributos usados neste evento são apenas exemplos.

Além disso, você experimenta alta utilização da CPU e um tempo de resposta lento. Se o banco de dados for consideravelmente maior do que a memória física disponível para o servidor de diretório, você também poderá ver o aumento da IO do disco durante o processamento dessa consulta.

Ao inspecionar os atributos no filtro de pesquisa, você descobre que todos eles têm índices definidos. E se os atributos não tiverem índices definidos e você adicionar os índices por meio de uma alteração de esquema, o problema persistirá ou não melhorará muito.

Motivo

Ao criar um rastreamento de rede da consulta LDAP, você percebe que ela é uma consulta de página.

O servidor LDAP só pode usar um índice durante o processamento de uma consulta de página. Isso ocorre porque a implementação LDAP para pesquisas de página não cria um contexto caro para a consulta e, portanto, usa apenas um índice para uma consulta de página.

Solução alternativa

Para contornar esse problema, você pode enviar a consulta sem usar o controle de consulta paged. Isso permite que o servidor LDAP otimize para filtros mais complexos.

Observação

Por padrão, as consultas de página estão habilitadas para algumas bibliotecas de clientes LDAP. Portanto, talvez seja necessário escrever um código adicional em seu aplicativo para habilitar e desabilitar consultas de página conforme apropriado para sua situação específica.

Status

A Microsoft confirmou que esse é um problema.

Referências

Como configurar o log de eventos de diagnóstico do Active Directory e do LDS