ثقيل WAN ومجال تحكم استخدام وحدة المعالجة المركزية عند إجراء النسخ الاحتياطي حالة النظام

هام: تمت ترجمة هذه المقالة باستخدام برامج مايكروسوفت للترجمة الآلية ومن المحتمل ان يتم تحريرها او تدقيقها بعد ذلك من خلال تكنولوجيا منصة مجموعات الترجمة(CTF) او من خلال مترجم بشري. تقدم لك شركة مايكروسوفت هذه المقالات المترجمة بشكل آلي او بالترجمة البشرية او بعد تحريرها وتدقيقها من قبل مجموعات الترجمة حتى تمكنكم من الوصول إلى جميع المقالات الموجودة في قواعد المعرفة لديها بلغات مختلفة. إلا أن المقالات المترجمة قد تحتوي على أخطاء في المفردات او بناء الجمل او النحو. وعليه، فإن شركة مايكروسوفت ليست مسؤولة عن اية أخطاء او عدم دقة في الترجمة او أية أضرار قد تحدث نتيجة أخطاء في ترجمة محتويات النص او استخدامه من قبل العملاء.

اضغط هنا لرابط المقالة باللغة الانجليزية2789917

توضح هذه المقالة كيفية تحديث النسخ الاحتياطي حالة النظام بوحدات التحكم بالمجال Active Directory خلال الانتقال سمات مرجع تؤدي عملاء واجهات خدمة الدليل النشط (ADSI) لتحميل تجميع المخطط. هذه عملية التحميل المحتمل زيادة التحميل على أجهزة كمبيوتر بدور وحدة تحكم المجال والشبكة الأساسية.
الأعراض
قد تحدث المشاكل التالية عند إجراء النسخ الاحتياطي لحالة النظام القسم المخطط على أية وحدة تحكم مجال في مجموعة تفرعات "Active Directory":
  • زيادة استخدام وحدة المعالجة المركزية على أجهزة دور وحدة تحكم المجال عند سمات مرجع استعلام Active Directory في أجهزة الكمبيوتر المستندة إلى Windows التي تستخدم للأغراض التالية:
    • للكشف عن التحديثات للمخطط الإجمالي
    • اكتشاف نسخ المخطط الإجمالي من وحدات تحكم المجال إذا كان التغيير
  • زيادة حركة مرور بروتوكول الوصول الخفيف إلى الدليل (LDAP) على شبكة الاتصال عند عملاء ADSI نسخ محتويات المخطط الإجمالي من وحدات التحكم بالمجال.
السبب
تحدث هذه المشكلة لأنه يتم تحديث السمة DSA التوقيع في سياق تسمية المخطط (مخطط NC) عند إجراء نسخة احتياطية من حالة نظام وحدة تحكم المجال الذي يقوم بتشغيل حزمة الخدمة Windows Server 2003 service Pack 1 (SP1) أو إصدار أحدث.

عندما يتم تحديث السمة DSA التوقيع بنسخة احتياطية لحالة نظام، يتم تحديث طوابع التاريخ على سمتين المرجع. توجد إحدى هذه السمات على رؤوس NC المخطط والآخر الموجود على CN التجميع، CN = = مخطط الكائن.

عملاء Windows تشغيل ADSI التطبيقات والبرامج النصية الاستعلام هذه السمات مرجع للكشف عن تحديثات المخطط الإجمالي. عند الكشف عن هذه التحديثات، عملاء ADSI تحميل نسخة محدثة من المخطط الإجمالي من وحدة تحكم مجال من خلال قراءة LDAP.

ملاحظة
لمزيد من المعلومات حول الكشف عن تجميع المخطط المرتبط بشبكة الإدخال/الإخراج واستعلامات LDAP، راجع قسم "مزيد من المعلومات".
الحلول
حل مؤقت على الخادم والعميل حلاً تقديم الإغاثة جزئيا بتقليل ولكن عدم إلغاء عدد المرات أن عملاء ADSI تحميل المخطط الإجمالي. ويمكن تنفيذ حلول العميل والخادم كل على حدة. وهذا يعني تطبيق الحل البديل العميل فقط أو تغيير الخادم كلا الحلول في نفس الوقت.

الحل البديل على الخادم



تحرير التوقيع بدل الإقامة اليومي

يتكون الحل الخادم من منع تحديث سمةتوقيع DSA النسخ الاحتياطي حالة النظام قسم مخطط. تحتوي السمة DSA التوقيع على علامة DRA_INHIBIT_BACKUP_AUTO_STAMP لتحديد ما إذا كان النسخ احتياطي لحالة نظام تحديث هذه السمة. ومع ذلك، لأنه يتم تخزين سمة توقيع DSA في تنسيق ثنائي كبير، فإنه لا يمكن تغيير بسهولة باستخدام أداة مثل الحزب الديمقراطي الليبرالي. EXE أو ADSIEDIT. لجنة السلامة البحرية.

للتغلب على هذه المشكلة، تشغيل برنامج Windows PowerShell أو الملف القابل للتنفيذ الذي يمنع النسخ الاحتياطي حالة النظام من تحديث السمة DSA التوقيع على قسم مخطط و، بدورها، سمة السمة whenChanged على رؤوس NC المخطط و وينموديفيد على CN = إجمالي الكائنات.

انظر تحرير السمة دساسيجناتوري البرنامج النصي PowerShell على موقع مركز البرامج النصية ل Microsoft.

يمكنك أيضا تجميع وتشغيل نموذج التعليمات البرمجية التالية لتعيين أو مسح علامة DRA_INHIBIT_BACKUP_AUTO_STAMP في السمة DSA التوقيع على NC المخطط.

بغض النظر عن ما إذا كان استخدام PowerShell أو الإصلاح البرنامجي، أحد آثار الجانبية سلبية لتمكين العلامة DRA_INHIBIT_BACKUP_AUTO_STAMP . تأثير جانبي هذا الموثق في القسم "مزيد من المعلومات".

ملاحظة: يجب تشغيل هذا نموذج التعليمات البرمجية ضمن سياق أمان إدارة مخطط على وحدة تحكم مجال.

التأكد من أن تعريفات محدثة

وأخيراً، تأكد من thatIPv4 والشبكة الفرعية والموقع وتعريفات الشبكة الفرعية إلى موقع IPv6 هي حتى الآن في مجموعة تفرعات "Active Directory" الخاص بك وتغطي كافة الشبكات الفرعية للمؤسسة في جميع الغابات. هذا الإجراء يجعل سوريثات أجهزة الكمبيوتر التي تشغل تطبيقات ADSI التي تقوم بالاستعلام عنها وذلك نسخ الإصدارات المحدثة من المخطط الإجمالي من وحدات تحكم المجال في الموقع الأمثل. لمزيد من المعلومات حول كيفية تكوين إعدادات الموقع، انتقل إلى موقع Microsoft TechNet التالي على الويب:

نموذج لتعليمة برمجية

//+-------------------------------------------------------------------------////// File: dsasignaturemod.c//// This is a sample program for setting or clearing the// DRA_INHIBIT_BACKUP_AUTO_STAMP flag in the dSASignature// attribute on the schema NC.////--------------------------------------------------------------------------#include <windows.h>#include <winldap.h>#include <winber.h>#include <strsafe.h>#include <stdio.h>#include <conio.h>#define CHECKLDAP(result, op) if (result) { printf("%s failed with LDAP error=0x%x(%d)\n", op, result, result); goto Exit; }#define CHECKLDAPLE(result, op) if (!result) { printf("%s failed with LDAP error=0x%x(%d)\n", op, LdapGetLastError(), LdapGetLastError()); goto Exit; }//// Type definitions for the dsaSignature attribute//#define DRA_INHIBIT_BACKUP_AUTO_STAMP (0x1)typedef struct _BACKUP_NC_HEAD_DSA_SIGNATURE_STATE_V1 {DWORD dwFlags;LONGLONG BackupErrorLatencySecs;UUID dsaGuid;} BACKUP_NC_HEAD_DSA_SIGNATURE_STATE_V1;typedef struct _BACKUP_NC_HEAD_DSA_SIGNATURE_STATE {DWORD dwVersion;DWORD cbSize;union{BACKUP_NC_HEAD_DSA_SIGNATURE_STATE_V1 V1;};} BACKUP_NC_HEAD_DSA_SIGNATURE_STATE;// Whether we are setting or clearing the bitBOOL gfSet = FALSE;// Whether we are querying the bitBOOL gfGet = FALSE;// Whether we are automating and want to skip PromptForOK()BOOL skipPrompt = FALSE;// Copy of the schema NC DNLPWSTR pszSchemaNCCopy = NULL;BOOL PromptForOK(){int prompt;BOOL ret = skipPrompt;printf("\n");printf("This program is about to %s the DRA_INHIBIT_BACKUP_AUTO_STAMP flag in\n", gfSet ? "set" : "clear");printf("the dSASignature attribute on the following directory NC:\n");printf("\n");printf(" %S\n", pszSchemaNCCopy);printf("\n");if (!skipPrompt) {printf("Do you wish to continue? (Y\\N)");prompt = _getch();printf("\n");ret = (prompt == 'Y' || prompt == 'y') ? TRUE : FALSE;}return ret;}void Usage(){CHAR szExeName[MAX_PATH];ZeroMemory(szExeName, sizeof(szExeName));GetModuleFileNameA(NULL, szExeName, ARRAYSIZE(szExeName));printf("Usage:\n");printf("\n");printf("%s [/get | /set | /clear] [/auto]\n", szExeName);printf("\n");printf(" /get - queries current state of the DRA_INHIBIT_BACKUP_AUTO_STAMP flag\n");printf(" /set - sets the DRA_INHIBIT_BACKUP_AUTO_STAMP flag\n");printf(" /clear - clears the DRA_INHIBIT_BACKUP_AUTO_STAMP flag\n");printf(" /auto - skips the prompt for proceeding (for automation purposes)\n");printf("\n");}BOOL ParseArgs(int argc, __in char ** argv){BOOL ret = FALSE;if (argc >= 2){if (!_stricmp("/get", argv[1])) {gfGet = TRUE;ret = TRUE;}else if (!_stricmp("/set", argv[1])) {gfSet = TRUE;ret = TRUE;}else if (!_stricmp("/clear", argv[1])) {gfSet = FALSE;ret = TRUE;}if (argc >= 3){if (!_stricmp("/auto", argv[2])) {skipPrompt = TRUE;}}}return ret;} void __cdecl main(int argc, __in char ** argv){BOOL fFoundDSASignature = FALSE;BOOL fFlagSet = FALSE;LDAP* ldap = NULL;ULONG cb = 0;ULONG cch = 0;ULONG result = 0;LPWSTR pszAttrs[2] = { 0 };LPWSTR* ppszSchemaNC = NULL;LDAPMod mod;LDAPMod* mods[2];LDAPMessage* pldapMsg = NULL;LDAPMessage* pldapResults = NULL;struct berval valMod;struct berval* vals[2];struct berval** val = NULL;BACKUP_NC_HEAD_DSA_SIGNATURE_STATE dsaSignature;ZeroMemory(&dsaSignature, sizeof(dsaSignature));if (!ParseArgs(argc, argv)) {Usage();return;}printf("\n");//// Init connection handle//ldap = ldap_init(NULL, LDAP_PORT);CHECKLDAPLE(ldap, "ldap_init");//// Connect to DC//result = ldap_connect(ldap, NULL);CHECKLDAP(result, "ldap_connect");//// Retrieve schema NC name//pszAttrs[0] = L"schemaNamingContext";pszAttrs[1] = NULL;result = ldap_search_sW(ldap,NULL,LDAP_SCOPE_BASE,L"(objectclass=*)",pszAttrs,0,&pldapResults);CHECKLDAP(result, "ldap_search_s for schemaNamingContext");pldapMsg = ldap_first_entry(ldap, pldapResults);CHECKLDAPLE(pldapMsg, "ldap_first_entry");//// Make a copy of the schema NC name//ppszSchemaNC = (LPWSTR*)ldap_get_valuesW(ldap, pldapMsg, L"schemaNamingContext");cch = wcslen(ppszSchemaNC[0]) + 1;pszSchemaNCCopy = (LPWSTR)malloc(cch * sizeof(WCHAR));StringCchCopy(pszSchemaNCCopy, cch, ppszSchemaNC[0]);ldap_value_free(ppszSchemaNC);ppszSchemaNC = NULL;ldap_msgfree(pldapResults);pldapResults = NULL;//// Bind to the DC//result = ldap_bind_s(ldap, pszSchemaNCCopy, NULL, LDAP_AUTH_NEGOTIATE);CHECKLDAP(result, "ldap_bind_s");//// Retrieve current value of the dSASignature attribute//pszAttrs[0] = L"dSASignature";pszAttrs[1] = NULL;result = ldap_search_sW(ldap,pszSchemaNCCopy,LDAP_SCOPE_BASE,L"(objectclass=*)",pszAttrs,0,&pldapResults);CHECKLDAP(result, "ldap_search_s for dSASignature");pldapMsg = ldap_first_entry(ldap, pldapResults);CHECKLDAPLE(pldapMsg, "ldap_first_entry");//// Make a copy of the dSASignature attribute.//val = (struct berval**)ldap_get_values_len(ldap, pldapMsg, L"dSASignature");// Make sure that the value was there and seems to be the correct size.if (val && val[0]) {if (val[0]->bv_len == sizeof(BACKUP_NC_HEAD_DSA_SIGNATURE_STATE)) {memcpy(&dsaSignature, val[0]->bv_val, val[0]->bv_len);fFoundDSASignature = TRUE;}}ldap_value_free_len(val);val = NULL;ldap_msgfree(pldapResults);pldapResults = NULL;//// Sanity check//if (!fFoundDSASignature ||dsaSignature.dwVersion != 1) {printf("The dSASignature attribute was either not\n");printf("found or was in an unexpected format.\n");goto Exit;}//// Cache whether the flag is set already or not//fFlagSet = (DRA_INHIBIT_BACKUP_AUTO_STAMP & dsaSignature.V1.dwFlags) ? TRUE : FALSE;//// If query-only mode, display current setting and leave//if (gfGet) {printf("The target directory %s have the DRA_INHIBIT_BACKUP_AUTO_STAMP set.\n",fFlagSet ? "DOES" : "DOES NOT");goto Exit;}//// If doing a modification, see whether there is anything to do.//if (gfSet && fFlagSet) {printf("The /set operation was specified but the target directory already\n");printf(" has the flag set. Exiting with no changes.\n");goto Exit;}else if (!gfSet && !fFlagSet) {printf("The /clear operation was specified but the target directory already\n");printf(" has the flag cleared. Exiting with no changes.\n");goto Exit;}//// Yes there is work to do; prompt the admin// for approval before you continue.//if (!PromptForOK()) {goto Exit;}//// Set or clear the bit in our local copy//if (gfSet) {dsaSignature.V1.dwFlags |= DRA_INHIBIT_BACKUP_AUTO_STAMP;}else {dsaSignature.V1.dwFlags &= (~DRA_INHIBIT_BACKUP_AUTO_STAMP);}//// Prepare for the modify//ZeroMemory(&valMod, sizeof(valMod));valMod.bv_len = sizeof(dsaSignature);valMod.bv_val = (PCHAR)&dsaSignature;vals[0] = &valMod;vals[1] = NULL;ZeroMemory(&mod, sizeof(mod));mod.mod_op = LDAP_MOD_REPLACE | LDAP_MOD_BVALUES;mod.mod_type = L"dSASignature";mod.mod_vals.modv_bvals = vals;mods[0] = &mod;mods[1] = NULL;//// And do it://result = ldap_modify_s(ldap,pszSchemaNCCopy,mods);CHECKLDAP(result, "ldap_modify_s for dSASignature");printf("\n");printf("Modification succeeded!\n");Exit:if (pszSchemaNCCopy) {free(pszSchemaNCCopy);}if (ldap) {ldap_unbind(ldap);}printf("\n");return;}

إخراج البرنامج عينة

فيما يلي عينة مخرجات البرنامج:
C:\>dsasignaturemod.exe /get The target directory DOES NOT have the DRA_INHIBIT_BACKUP_AUTO_STAMP set.
C:\>dsasignaturemod.exe /set  This program is about to set the DRA_INHIBIT_BACKUP_AUTO_STAMP flag inthe dSASignature attribute on the following directory NC:     CN=Schema,CN=Configuration,DC=rootdomain,DC=com Do you wish to continue? (Y\N) Modification succeeded!
C:\>dsasignaturemod.exe /set /auto  This program is about to set the DRA_INHIBIT_BACKUP_AUTO_STAMP flag inthe dSASignature attribute on the following directory NC:     CN=Schema,CN=Configuration,DC=rootdomain,DC=com  Modification succeeded!
C:\>dsasignaturemod.exe /get The target directory DOES have the DRA_INHIBIT_BACKUP_AUTO_STAMP set.
C:\>dsasignaturemod.exe /clear  This program is about to clear the DRA_INHIBIT_BACKUP_AUTO_STAMP flag inthe dSASignature attribute on the following directory NC:     CN=Schema,CN=Configuration,DC=rootdomain,DC=com Do you wish to continue? (Y\N) Modification succeeded!
C:\>dsasignaturemod.exe /clear /auto  This program is about to clear the DRA_INHIBIT_BACKUP_AUTO_STAMP flag inthe dSASignature attribute on the following directory NC:     CN=Schema,CN=Configuration,DC=rootdomain,DC=com  Modification succeeded!

الحل البديل العميل

تحسين تحديد وحدة تحكم المجال

بعض التطبيقات بشكل صريح الاتصال بوحدة تحكم مجال معينة ثم قم بتنزيل مخطط تحديث ذاكرة التخزين المؤقت من وحدة تحكم المجال هذه. ومع ذلك، التطبيقات عادة تركها "محدد موقع وحدة تحكم المجال" للبحث عن وحدة تحكم مجال أفضل لسياق LDAP تسمية معينة. قد يلاحظ العملاء في تأخير ملحوظ في تحديث التخزين المؤقت للمخطط لتوجيهها بوحدات التحكم بالمجال عبر اتصال شبكة اتصال بطيء. من المرجح أن تحدث عبر حدود الغابات. يجب أن يكون الهدف دائماً لتحميل التخزين المؤقت للمخطط من وحدة تحكم المجال الأقرب من حيث الشبكة.

الحل البديل

يتكون الحل العميل لتكوين أجهزة كمبيوتر تعمل بنظام التشغيل Windows Vista Windows Server 2008 أو الإصدارات الأحدث ﻻستخدام مخزن كل جهاز المستندة للمخطط الإجمالي.

على أجهزة الكمبيوتر المستندة إلى نظام التشغيل Windows XP، استخدام التخزين المؤقت للمخطط الإجمالي متجر لكل جهاز. وهذا يعني أنه تم مشاركتها تحميل المخطط الإجمالي بين كافة المستخدمين الذين تم تسجيل الدخول إلى الكمبيوتر المحلي، طالما لدى المستخدمين أما منح حقوق إدارية أو المتاجر المحلية في نظام الملفات والتسجيل أذونات الكتابة الممنوحة للمستخدمين المصادق عليهم. خلاف ذلك، كان ليتم تحميلها في الذاكرة أثناء كل دورة ADSI التخزين المؤقت للمخطط والتخلص منها بعد انتهاء الجلسة ADSI.

في نظام التشغيل Windows Vista والإصدارات الأحدث، يتم تنفيذ التخزين المؤقت للمخطط ADSI في متجر لكل مستخدم. على الرغم من أن تحسين الأمان في التخزين المؤقت لكل مستخدم، قد يؤدي كل مستخدم فريد الذي قام بتسجيل الدخول إلى بروتوكول سطح المكتب البعيد (RDP) أو "ملقم المحطة الطرفية" AQأو مراقبة نظام متعدد المستخدمين الآخرين نفس الكمبيوتر تحميل ذاكرة التخزين المؤقت مخطط ADSI.

يمكنك فرض احتياطي لتكوين كل جهاز مخزن على أجهزة كمبيوتر تعمل بنظام التشغيل Windows Vista والإصدارات الأحدث بتعيين "بيرماتشيني" REG DWORD في مسار التسجيل HKLM\SYSTEM\CurrentControlSet\Services\ADSI\Cache لقيمة 1. بالإضافة إلى ذلك، يجب منح حق الوصول للكتابة على %systemroot%\SchCache و HKLM\Software\Microsoft\ADs\Providers\LDAP للمستخدمين المصادق عليهم. لمزيد من المعلومات، راجع ADSI والتحكم في حساب المستخدم.

ملاحظة: استخدام مخزن "لكل جهاز" مفيد بشكل خاص في سيناريوهات حذف التشكيل الجانبي المتجول للمستخدم عند تسجيل خروج المستخدم. هؤلاء المستخدمين إنشاء تشكيل جانبي متجول جديدة وقد يلزم تنزيل مخطط التجميعية. وحدات السيناريو المحددة التي تسبب حذف التشكيل الجانبي المتجول ما يلي:
  • المستخدمون الذين تم تكوينها لتسجيل الدخول باستخدام التشكيلات الجانبية الإلزامية للمستخدم.
  • المستخدمون الذين تطبق سياسة "حذف ترتيب ملفات تعريف المستخدمين بدلاً من رقم محدد من الأيام عند بدء تشغيل النظام".
  • المستخدمون الذين تطبق سياسة "حذف نسخ التشكيلات الجانبية المتجولة المخزنة مؤقتاً".
  • مستخدم الشخصية المخزنة التي تم حذفها من قبل برنامج نصي أو أداة مثل DELPROF. EXE أو ما يعادلها.
معلومات أخرى

معلومات حول ADSI

عميل ADSI هو تطبيق برمجي الوصول إلى Active Directory لمطابقة لنموذج كائن المكون (COM).

أجهزة الكمبيوتر المستندة إلى Windows التي تقوم بتشغيل البرامج النصية وتطبيقات ADSI الاحتفاظ بنسخة محلية من مخطط "Active Directory" التجميعية. في بداية كل جلسة عمل عميل ADSI قيد المرجع مخطط السمة للتغييرات. لأنه لم يتم تحديد السمة صريحة في "Active Directory" يعرف بشكل فريد كل التغييرات المحتملة لمخطط "Active Directory"، يتم استخدام السمات الوكيل لتحديد متى يجب نسخ أجهزة الكمبيوتر المستندة إلى Windows نسخة محدثة من المخطط الإجمالي عبر الشبكة من وحدة تحكم مجال في المجال الخاص للعميل. أمثلة لتطبيقات ADSI تشمل ما يلي:
  • نشط الدليل الإداري مركز Microsoft Management Console (MMC) الأداة الإضافية
  • الأداة الإضافية MMC يثق ومجالات Active directory
  • الأداة الإضافية مواقع Active directory وخدمات MMC
  • الأداة الإضافية مستخدمي Active directory وأجهزة الكمبيوتر MMC
  • الأداة الإضافية MMC تحرير ADSI
  • الأداة الإضافية DHCP MMC
  • الأداة الإضافية MMC "إدارة DNS"
  • وحدة تحكم إدارة Exchange
  • مجموعة نهج إدارة الأداة الإضافية MMC
  • Squery.exe

السمات التي يتم استخدامها للكشف عن التغييرات في المخطط الإجمالي

يوفر الجدول التالي نظرة عامة حول الخصائص المستخدمة للكشف عن تغييرات المخطط الإجمالي لكل إصدار من Windows:

إصدار نظام التشغيل عميل ADSIحالة تحميل ذاكرة التخزين المؤقت للمخطط ADSI
Windows XP
نظام التشغيل Windows Server 2003
Windows Server 2003 R2
نظام التشغيل Windows Vista/Windows Server 2008
ويندوز 7/Windows Server 2008 R2
تحديث السمة موديفيتيميستامب على كائن المخطط الإجمالي
ويندوز 8/Windows Server 2012
ويندوز 8، 1/Windows Server 2012 R2
تحديث whenChanged مخطط السمة
إذا تم الكشف عن تغيير في أحد السمات الوكيل، العميل ADSI تنزيل نسخة جديدة من تجميع المخطط.

أجهزة الكمبيوتر التي تستخدم أنظمة تشغيل أقدم من Windows 8 أو Windows Server 2012 الاستعلام السمة موديفيتيميستامب على المخطط الإجمالي. تم تحديث موديفيتيميستامب بواسطة إعادة تشغيل خدمة Active Directory حيث أن إعادة تشغيل وحدة تحكم بمجال أو إعادة تشغيل خدمة "Active Directory" تسبب بعض العملاء ADSI لتحميل التخزين المؤقت للمخطط الإجمالي من وحدة تحكم مجال عند حدث أي تغيير مخطط المشروع. هذا وكان أقل من قضية وقت مبكر، لأن أصبح Active Directory خدمة القابل لإعادة التشغيل في Windows Server 2008.

أجهزة الكمبيوتر التي تشغل Windows 8 2012 ملقم Windows أو إصدار أحدث الاستعلام السمة whenChanged على رؤوس NC المخطط. السمة whenChanged لها تأثير جانبي ليتم تحديثها عندما تقوم النسخ احتياطي لحالة نظام تحديث السمة DSA التوقيع في سياق تسمية المخطط. هذا بدوره على تحديث الطابع الزمني على سمة whenChanged رؤوس NC المخطط.

الأحداث التي تقوم بتحديث سمات وكيل تجميع المخطط على وحدة تحكم المجال

يوفر الجدول التالي نظرة عامة حول سمات مرجع يتم تحديثها وفقا لإصدار نظام التشغيل وعمليات تشغيل التحديثات السمة.

إصدار نظام تشغيل وحدة تحكم المجالشرط لتحديث سمة مخطط إجمالي موديفيتيميستامبحالة التحديث whenChanged مخطط السمة
نظام التشغيل Windows Server 2003
Windows Server 2003 R2
نظام التشغيل Windows Server 2008
Windows Server 2008 R2
بدء تشغيل وحدة التحكم بالمجال أو خدمة الدليل NT (NTDS) مخطط ملحق/النسخ الاحتياطي لحالة النظام
نظام التشغيل Windows Server 2008 R2 مع كيلو بايت 2671874
Windows Server 2012
Windows Server 2012 R2
مخطط ملحق/النسخ الاحتياطي لحالة النظاممخطط ملحق/النسخ الاحتياطي لحالة النظام
إذا تم الكشف عن تغيير، بالتخزين المؤقت للمخطط ADSI ليتم تحميلها. نسخة احتياطية لحالة نظام بكتابة بيانات في سمة توقيع DSA لسياق تسمية المخطط يؤدي طابع الزمني محدث whenChanged المخطط.

الكشف عن تحديثات ذاكرة التخزين المؤقت للمخطط التجميع عن طريق عملاء ADSI

الكشف عن استخدام شبكة الاتصال ووحدة المعالجة المركزية عالية، استخدم 3.4 مراقب شبكة الاتصال أداة لالتقاط استخدام شبكة الاتصال، ومن ثم اتبع هذه الخطوات لتحليل النتائج:
  1. استخدم أحد عوامل تصفية العرض التالية في الأداة وفقا لنظام التشغيل Windows.

    ملاحظة: في عوامل التصفية هذه، الرجاء استبدال السلسلة "CN مخطط, CN = التكوين، DC = Contoso، DC = = com" بمسار الاسم المميز (DN) Active Directory سياق تسمية المخطط المطلوب.
    ويندوز 7 والعملاء الأقدم
    استخدام عامل تصفية العرض التالي للاستعلام عن قيمة السمة موديفيتيميستامب على كائن المخطط الإجمالي في حركة مرور شبكة الاتصال التي تم التقاطها:
    (LDAPMessage.SearchRequest.BaseObject.OctetStream == "CN=Aggregate,CN=Schema,CN=Configuration,DC=Contoso,DC=com" AND LDAPMessage.SearchRequest.Attributes.Attribute.OctetStream == "modifyTimeStamp") OR(LDAPMessage.SearchResultEntry.ObjectName.OctetStream == "CN=Aggregate,CN=Schema,CN=Configuration,DC=Contoso,DC=com" AND LDAPMessage.SearchResultEntry.Attributes.PartialAttribute.Type.OctetStream == "modifyTimeStamp")
    ويندوز 8 وعملاء لاحقاً

    استخدام عامل تصفية العرض التالي للاستعلام عن قيمة السمة whenChanged على مخطط رؤوس NC في حركة مرور شبكة الاتصال التي تم التقاطها:
    (LDAPMessage.SearchRequest.BaseObject.OctetStream == "CN=Schema,CN=Configuration,DC=Contoso,DC=com" AND LDAPMessage.SearchRequest.Attributes.Attribute.OctetStream == "whenChanged") OR (LDAPMessage.SearchResultEntry.ObjectName.OctetStream == "CN=Schema,CN=Configuration,DC=Contoso,DC=com" AND LDAPMessage.SearchResultEntry.Attributes.PartialAttribute.Type.OctetStream == "whenChanged")
    بشكل افتراضي، تتم مقارنة هذه القيمة بقيمة الوقت في تسجيل عميل في المفتاح التالي:

    HKEY_CURRENT_USER\Software\Microsoft\ADs\Providers\LDAP\CN=Aggregate,CN=Schema,CN=Configuration,DC=<root domain>,DC=com

    تحميل العميل ذاكرة التخزين مؤقت لمخطط محدث إذا كان الوقت في السمة موديفيتيميستامب أو whenChanged يتجاوز القيمة التي يتم تخزينها في التسجيل. (هذه السمة يعتمد على نظام التشغيل).

    التالي لقطة شاشة عينة من الأداة:

    هذه الصورة مثال ذلك إذا كان الوقت في السمة موديفيتيميستامب أو whenChanged يتجاوز القيمة التي يتم تخزينها في التسجيل

    من لقطة الشاشة، راجع ما يلي:
    • ربط العميل ADSI لوحدة تحكم المجال في 8 اسم الإطار.
    • يتم تخزين بحث LDAP لسمة الوكيل تغيير المخطط في أحد الإطارات لدابساسلبوفير المبكرة التي تتبع الربط.
    • يتم تشفير نقل بيانات LDAP في العديد من الإطارات لدابساسلبوفير (استهداف المنفذ على DC = TCP 389).
    • وحدة التحكم بالمجال وتواصل إرسال مزيد من البيانات المشفرة عبر العديد من الإطارات TCP التي يكون طوله 1460 حمولة TCP.
  2. بعد أن يكون تعريف المحادثة الصحيح في تتبع شبكة الاتصال التي يتم عرض هذا السلوك، يمكنك تصفية منفذ TCP الذي يستخدمه العميل. في المثال، يتم بدء المحادثة من العميل عبر منفذ TCP 65237. عامل تصفية "مراقب شبكة الاتصال" مثل "tcp.port = = 65237" يمكن أن تستخدم لعزل الجداول ذات الصلة.
  3. إذا قمت بنسخ كافة الإطارات في هذه المحادثة واللصق في Microsoft Excel، ترى أن نسخة تجميع المخطط الافتراضي قام حمولة TCP حجم 2 ميغابايت (MB) من البيانات على السلك. حجم ملف تجميع المخطط الافتراضي هو حوالي 4 ميغا بايت بعد الترميز.

ربط حركة مرور شبكة الاتصال إلى عملية العميل

يمكنك استخدام "مراقب النظام" (Sysmon) لتحديد العملية على العميل الذي قام ببدء هذه المحادثة. يتم تسجيل معرف الحدث 3 في سجل الحدث "تشغيل" Microsoft Windows Sysmon عند Sysmon تم تثبيته وتكوينه لتسجيل الاتصالات LDAP. يتيح هذا إمكانية ربط حركة مرور شبكة الاتصال إلى عملية العميل نظراً لتسجيل عنوان IP المصدر ومنفذ إلى جانب اسم ProcessID والصورة.


اسم السجل: Microsoft Windows-Sysmon/التشغيل
المصدر: Microsoft Windows Sysmon
التاريخ: التاريخ
معرف الحدث: 3
فئة المهمة: تم الكشف عن اتصال الشبكة (القاعدة: الشبكةالاتصال)
مستوى: معلومات
الكلمات الرئيسية:
المستخدم: النظام
جهاز الكمبيوتر: جهاز الكمبيوتر
الوصف:
تم الكشف عن اتصال الشبكة:
رقم متسلسل: 206
أوتكتيمي: أوتكتيمي
بروسيسجويد: {بروسيسجويد}
ProcessId: 3220
الصورة: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
المستخدم: اسم المستخدم
بروتوكول: tcp
بدأت: صحيح
SourceIsIpv6: خطأ
سورسيب: سورسيب
سورسيهوستنامي: أدسيكليينت
سورسيبورت: 65237
سورسيبورتنامي:
DestinationIsIpv6: خطأ
ديستيناتيونيب: ديستيناتيونيب
ديستيناتيونهوستنامي: ديستيناتيونهوستنامي
ديستيناتيونبورت: 389
ديستيناتيونبورتنامي: ldap
حدث Xml:

<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider name="Microsoft-Windows-Sysmon" guid=""></Provider></System></Event>"{اسم الموفر}" />
<EventID>3</EventID>
<Version>4</Version>
<Level>4</Level>
<Task>3</Task>
<Opcode>0</Opcode>
<Keywords>0x8000000000000000</Keywords>
<TimeCreated SystemTime=" systemtime=""></TimeCreated SystemTime=">الوقت" />
<EventRecordID>39</EventRecordID>
<Correlation></Correlation>
<Execution processid="1140" threadid="3492"></Execution>
<Channel>Microsoft Windows-Sysmon/التشغيل</Channel>
<>r >جهاز الكمبيوتر
<Security UserID=" userid=""></Security UserID=">معرف المستخدم" />

<EventData>
<Data name="SequenceNumber">206</Data>
<Data name="UtcTime"></Data></EventData>الوقت
<Data name="ProcessGuid">{</Data>بروسيسجويد}
<Data name="ProcessId">3220</Data>
<Data name="Image">C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe</Data>
<Data name="User"></Data>المستخدم
<Data name="Protocol">tcp</Data>
<Data name="Initiated">صحيح</Data>
<Data name="SourceIsIpv6">خطأ</Data>
<Data name="SourceIp"></Data>سورسيب
<Data name="SourceHostname"></Data>سورسيهوستنامي
<Data name="SourcePort">65237</Data>
<Data name="SourcePortName">
</Data>
<Data name="DestinationIsIpv6">خطأ</Data>
<Data name="DestinationIp"></Data>ديستيناتيونيب
<Data name="DestinationHostname"></Data>ديستيناتيونهوستنامي
<Data name="DestinationPort">389</Data>
<Data name="DestinationPortName">ldap</Data>

مراقبة عملية التسجيل على العميل

مراقبة عملية التسجيل على العميل توفير المعلومات السياقية الغنية. تصفية سجل "عملية مراقبة" على "معرف العملية" التي يتم تسجيلها في الأحداث المسجلة بواسطة Sysmon.

تسجيل دخول تسجيل في الأحداث المسجلة بواسطة Sysmon معرف العملية مراقبة عملية تصفية الصورة

ستجد العمليات التالية للفائدة.
العمليةمسار
RegOpenKeyHKLM\SYSTEM\CurrentControlSet\Services\ADSI\Cache
RegQueryValueHKCU\Software\Microsoft\ADs\Providers\LDAP\CN التجميع، CN = مخطط, CN = = التكوين، DC =مجال تابع، DC =مجال جذر، DC = com\Time
تلقي TCPاسم المضيف>: منفذ-> <DCName> </DCName>: LDAP
ريجكريتيكييHKCU\SOFTWARE\Microsoft\ADs\Providers\LDAP\CN التجميع، CN = مخطط, CN = = التكوين، DC =مجال تابع، DC =مجال جذر، DC = com
WriteFileC:\Users\<username>\AppData\Local\Microsoft\Windows\SchCache\</username>مجال تابع.مجال جذر. com.sch
ملاحظة: طريقة واحدة للتحقق ما إذا كانت أجهزة الكمبيوتر المستندة إلى Windows بتحديث النسخة المحلية من التخزين المؤقت للمخطط الإجمالي مراقبة التغييرات في طابع التاريخ للملف *.sch في نظام الملفات المحلي للعميل ADSI.

يمكنك استخدام البيانات الموجودة في الجدول التالي لضبط عامل التصفية لسجلات "مراقبة عملية" كبيرة جداً.

عوامل تصفية إضافية اختيارية:
العمودعلاقةالقيمة
مساريحتوي علىشكاكي
العمليةيتمWriteFile
الصورة هي

تكوين Sysmon لتسجيل الاتصالات LDAP

  1. تنزيل Sysmon على العميل.
  2. إنشاء ملف نصي جديد لتكوين Sysmon وحفظ الملف ك Sysmonconfig.xml وإضافة المحتويات التالية:

    <Sysmon schemaversion="2.0">  <!-- Capture all hashes -->  <HashAlgorithms>*</HashAlgorithms>  <EventFiltering>  <!-- Log all drivers except if the signature -->  <!-- contains Microsoft or Windows -->  <DriverLoad onmatch="exclude">  <Signature condition="contains">microsoft</Signature>  <Signature condition="contains">windows</Signature>  </DriverLoad>  <!-- Do not log process termination -->  <ProcessTerminate onmatch="include" />  <!-- Log network connection if the destination port equal 443 -->  <NetworkConnect onmatch="include">  <DestinationPort>389</DestinationPort><DestinationPort>636</DestinationPort><DestinationPort>3268</DestinationPort><DestinationPort>3269</DestinationPort>  </NetworkConnect>  </EventFiltering></Sysmon>
  3. قم بتشغيل الأمر التالي لتثبيت Sysmon:
    Sysmon-i sysmonconfig.xml

الآثار الجانبية لتمكين العلامة DRA_INHIBIT_BACKUP_AUTO_STAMP

واحد الآثار الجانبية لتمكين العلامة DRA_INHIBIT_BACKUP_AUTO_STAMP هو ذلك الحدث 2089 معرف بشكل غير صحيح تشير إلى أن قسم مخطط لا يتم يتم التقاطها بالغابات التي تقوم بإنشاء نظام حالة النسخ الاحتياطي.

يتم تسجيل حدث عينة 2089 معرف مشابهة للرسالة التالية في سجل التطبيق:


نوع الحدث: تحذير
مصدر الحدث: النسخ المتماثل NTDS
فئة الحدث: النسخ الاحتياطي
معرف الحدث: 2089
التاريخ: التاريخ
الوقت: الوقت
المستخدم: اسم المستخدم
جهاز الكمبيوتر: اسم الكمبيوتر
الوصف:

هذا القسم من الدليل لم تم احتياطياً منذ على الأقل التالي عدد الأيام.

قسم الدليل:

CN = المخطط، DC = قسم التطبيق dns جذر الغابة

ملاحظة: لم يتم تسجيل معرف الحدث 2089 لأقسام رئيسية أخرى مثل CN = التكوين أو تقسيم الدليل للمجال لأنه لا توجد طريقة لإجراء النسخ الاحتياطي الخاصة بالقسم. لمزيد من المعلومات، راجع مقالة قاعدة معارف Microsoft التالية:
914034 يتم تسجيل 2089 الأحداث NTDS النسخ المتماثل إذا كان نظام التشغيل Windows Server 2003 SP1 وأحدث وحدات التحكم بالمجال غير مدعومة في فترة زمنية محددة

تحذير: تمت ترجمة هذه المقالة تلقائيًا

خصائص

رقم الموضوع: 2789917 - آخر مراجعة: 07/28/2015 15:51:00 - المراجعة: 3.0

Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Essentials, Windows Server 2012 Datacenter, Windows Server 2012 Standard, Windows Server 2012 Essentials, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard

  • kbexpertiseadvanced kbsurveynew kbbug kbprb kbtshoot kbmt KB2789917 KbMtar
تعليقات