Sie sind zurzeit offline. Es wird auf die erneute Herstellung einer Internetverbindung gewartet.

Schwere WAN und Domänencontroller CPU-Auslastung bei Systemstatus-Sicherungskopien

Wichtig: Dieser Artikel wurde maschinell übersetzt und wird dann möglicherweise mithilfe des Community Translation Framework (CTF) von Mitgliedern unserer Microsoft Community nachbearbeitet. Weitere Informationen zu CTF finden Sie unter http://support.microsoft.com/gp/machine-translation-corrections/de.

Den englischen Originalartikel können Sie über folgenden Link abrufen: 2789917

Dieser Artikel beschreibt, wie Systemstatus-Sicherungskopien von Active Directory-Domänencontrollern transitiv Attribute aktualisieren, die Active Directory Service Interfaces (ADSI) Clients aggregate Schema herunterladen verursachen. Dieser Download wird potenziell Belastung Rolle Domänencontroller-Computer und das Netzwerk.
Problembeschreibung
Folgendes können auftreten, wenn Sie Sicherung der Schemapartition auf jedem Domänencontroller in einer Active Directory-Gesamtstruktur ausführen:
  • Verbesserte CPU-Auslastung auf Rolle Domänencontrollern bei Windows-basierten Computern Abfrageverweis Active Directory Attribute werden für folgende Zwecke verwendet:
    • Updates für aggregate Schema erkannt
    • Zum Kopieren des aggregate Schemas von Domänencontrollern, wenn eine Änderung erkannt
  • Lightweight Directory Access Protocol (LDAP) Netzwerkverkehr erhöht ADSI-Clients den Inhalt der aggregate Schema Domänencontroller kopieren.
Ursache
Dieses Problem tritt auf, weil das Attribut DSA-Signatur im Schemanamenskontext (Schemanamenskontext) aktualisiert wird beim Durchführen einer Sicherung eines Domänencontrollers, auf dem Windows Server 2003 Service Pack 1 (SP1) oder höher ausgeführt wird.

Bei das DSA-Signatur -Attribut durch eine Sicherung des Systemstatus werden Datumsangaben auf zwei Attribute aktualisiert. Eines dieser Attribute befindet sich auf dem Schema-NC-Kopfes und anderen befindet sich auf der CN = Aggregate, CN = Schema Objekt.

Windows-Clients, die ADSI Abfragen und Skripts ausführen, Abfrage diese Attribute zum aggregate Schema zu erkennen. Wenn sie diese Updates erkennen herunterladen ADSI-Clients eine aktualisierte Kopie der aggregate Schema von einem Domänencontroller über eine LDAP-lesen

Hinweis
Weitere Informationen zum Erkennen des aggregate Schemas, die mit der LDAP-Abfragen und Netzwerk-e/a finden Sie im Abschnitt "Weitere Informationen".
Abhilfemaßnahmen
Eine serverseitige Lösung und eine Abhilfe clientseitige bieten teilweisen Befreiung reduziert aber nicht beseitigen oft ADSI Clients aggregate Schema herunterladen. Die clientseitigen und serverseitigen Abhilfe können unabhängig voneinander durchgeführt werden. Dies bedeutet, dass Sie nur die clientseitigen Lösung, serverseitige ändern oder beiden Abhilfen implementieren können.

Serverseitige Lösung



DSA-Signatur bearbeiten

Serverseitige Lösung besteht aus verhindert, dass Systemstatus-Sicherungskopien der SchemapartitionDSA Signaturattribut aktualisieren. Das DSA-Signatur -Attribut enthält ein DRA_INHIBIT_BACKUP_AUTO_STAMP -Flag, um festzustellen, ob eine Sicherung des Systemstatus dieses Attribut aktualisiert. Allerdings da DSA Signaturattribut in großen Binärformat gespeichert wird, kann es problemlos geändert werden mit einem Tool wie LDP. EXE oder ADSIEDIT. MSC.

Um dieses Problem zu umgehen, führen Sie ein Windows PowerShell-Skript oder eine ausführbare Datei, die Systemstatus-Sicherungskopien verhindert Attributs DSA-Signatur für die Schemapartition und wiederum das WhenChanged -Attribut auf dem Schema-NC-Kopfes und WhenModified -Attribut auf die CN = Aggregate Objekte.

Siehe die DSASignature Attribut bearbeiten PowerShell-Skript auf der Microsoft Script Center-Website.

Sie können auch kompilieren und führen den folgenden Beispielcode zum Festlegen oder Entfernen des Kennzeichens DRA_INHIBIT_BACKUP_AUTO_STAMPDSA-Signatur -Attribut in der Schemanamenskontext.

Unabhängig davon, ob ein PowerShell oder programmgesteuerte Updates verwendet wird wird eine negative Auswirkung ermöglicht das DRA_INHIBIT_BACKUP_AUTO_STAMP -Flag. Dieser Nebeneffekt ist im Abschnitt "Weitere Informationen" beschrieben.

Hinweis Dieser Code muss in einem Schema-Admin-Sicherheitskontext auf einem Domänencontroller ausgeführt werden.

Sicherstellen, dass auf dem neuesten Stand sind

Stellen Sie sicher, dass thatIPv4 und IPv6-Subnetz, Standort und Subnetz Websitedefinitionen sind aktuell in Active Directory-Gesamtstruktur und decken alle Subnetze des Unternehmens in allen Gesamtstrukturen. Auf diese Weise Surethat Computer mit ADSI-Clientanwendungen, die Abfragen und kopieren aktualisierte Versionen der aggregate Schema dazu Site optimalen Domänencontroller. Weitere Informationen zum Konfigurieren der Website finden Sie auf der folgenden Microsoft TechNet-Website:

Beispielcode

//+-------------------------------------------------------------------------////// File: dsasignaturemod.c//// This is a sample program for setting or clearing the// DRA_INHIBIT_BACKUP_AUTO_STAMP flag in the dSASignature// attribute on the schema NC.////--------------------------------------------------------------------------#include <windows.h>#include <winldap.h>#include <winber.h>#include <strsafe.h>#include <stdio.h>#include <conio.h>#define CHECKLDAP(result, op) if (result) { printf("%s failed with LDAP error=0x%x(%d)\n", op, result, result); goto Exit; }#define CHECKLDAPLE(result, op) if (!result) { printf("%s failed with LDAP error=0x%x(%d)\n", op, LdapGetLastError(), LdapGetLastError()); goto Exit; }//// Type definitions for the dsaSignature attribute//#define DRA_INHIBIT_BACKUP_AUTO_STAMP (0x1)typedef struct _BACKUP_NC_HEAD_DSA_SIGNATURE_STATE_V1 {DWORD dwFlags;LONGLONG BackupErrorLatencySecs;UUID dsaGuid;} BACKUP_NC_HEAD_DSA_SIGNATURE_STATE_V1;typedef struct _BACKUP_NC_HEAD_DSA_SIGNATURE_STATE {DWORD dwVersion;DWORD cbSize;union{BACKUP_NC_HEAD_DSA_SIGNATURE_STATE_V1 V1;};} BACKUP_NC_HEAD_DSA_SIGNATURE_STATE;// Whether we are setting or clearing the bitBOOL gfSet = FALSE;// Whether we are querying the bitBOOL gfGet = FALSE;// Whether we are automating and want to skip PromptForOK()BOOL skipPrompt = FALSE;// Copy of the schema NC DNLPWSTR pszSchemaNCCopy = NULL;BOOL PromptForOK(){int prompt;BOOL ret = skipPrompt;printf("\n");printf("This program is about to %s the DRA_INHIBIT_BACKUP_AUTO_STAMP flag in\n", gfSet ? "set" : "clear");printf("the dSASignature attribute on the following directory NC:\n");printf("\n");printf(" %S\n", pszSchemaNCCopy);printf("\n");if (!skipPrompt) {printf("Do you wish to continue? (Y\\N)");prompt = _getch();printf("\n");ret = (prompt == 'Y' || prompt == 'y') ? TRUE : FALSE;}return ret;}void Usage(){CHAR szExeName[MAX_PATH];ZeroMemory(szExeName, sizeof(szExeName));GetModuleFileNameA(NULL, szExeName, ARRAYSIZE(szExeName));printf("Usage:\n");printf("\n");printf("%s [/get | /set | /clear] [/auto]\n", szExeName);printf("\n");printf(" /get - queries current state of the DRA_INHIBIT_BACKUP_AUTO_STAMP flag\n");printf(" /set - sets the DRA_INHIBIT_BACKUP_AUTO_STAMP flag\n");printf(" /clear - clears the DRA_INHIBIT_BACKUP_AUTO_STAMP flag\n");printf(" /auto - skips the prompt for proceeding (for automation purposes)\n");printf("\n");}BOOL ParseArgs(int argc, __in char ** argv){BOOL ret = FALSE;if (argc >= 2){if (!_stricmp("/get", argv[1])) {gfGet = TRUE;ret = TRUE;}else if (!_stricmp("/set", argv[1])) {gfSet = TRUE;ret = TRUE;}else if (!_stricmp("/clear", argv[1])) {gfSet = FALSE;ret = TRUE;}if (argc >= 3){if (!_stricmp("/auto", argv[2])) {skipPrompt = TRUE;}}}return ret;} void __cdecl main(int argc, __in char ** argv){BOOL fFoundDSASignature = FALSE;BOOL fFlagSet = FALSE;LDAP* ldap = NULL;ULONG cb = 0;ULONG cch = 0;ULONG result = 0;LPWSTR pszAttrs[2] = { 0 };LPWSTR* ppszSchemaNC = NULL;LDAPMod mod;LDAPMod* mods[2];LDAPMessage* pldapMsg = NULL;LDAPMessage* pldapResults = NULL;struct berval valMod;struct berval* vals[2];struct berval** val = NULL;BACKUP_NC_HEAD_DSA_SIGNATURE_STATE dsaSignature;ZeroMemory(&dsaSignature, sizeof(dsaSignature));if (!ParseArgs(argc, argv)) {Usage();return;}printf("\n");//// Init connection handle//ldap = ldap_init(NULL, LDAP_PORT);CHECKLDAPLE(ldap, "ldap_init");//// Connect to DC//result = ldap_connect(ldap, NULL);CHECKLDAP(result, "ldap_connect");//// Retrieve schema NC name//pszAttrs[0] = L"schemaNamingContext";pszAttrs[1] = NULL;result = ldap_search_sW(ldap,NULL,LDAP_SCOPE_BASE,L"(objectclass=*)",pszAttrs,0,&pldapResults);CHECKLDAP(result, "ldap_search_s for schemaNamingContext");pldapMsg = ldap_first_entry(ldap, pldapResults);CHECKLDAPLE(pldapMsg, "ldap_first_entry");//// Make a copy of the schema NC name//ppszSchemaNC = (LPWSTR*)ldap_get_valuesW(ldap, pldapMsg, L"schemaNamingContext");cch = wcslen(ppszSchemaNC[0]) + 1;pszSchemaNCCopy = (LPWSTR)malloc(cch * sizeof(WCHAR));StringCchCopy(pszSchemaNCCopy, cch, ppszSchemaNC[0]);ldap_value_free(ppszSchemaNC);ppszSchemaNC = NULL;ldap_msgfree(pldapResults);pldapResults = NULL;//// Bind to the DC//result = ldap_bind_s(ldap, pszSchemaNCCopy, NULL, LDAP_AUTH_NEGOTIATE);CHECKLDAP(result, "ldap_bind_s");//// Retrieve current value of the dSASignature attribute//pszAttrs[0] = L"dSASignature";pszAttrs[1] = NULL;result = ldap_search_sW(ldap,pszSchemaNCCopy,LDAP_SCOPE_BASE,L"(objectclass=*)",pszAttrs,0,&pldapResults);CHECKLDAP(result, "ldap_search_s for dSASignature");pldapMsg = ldap_first_entry(ldap, pldapResults);CHECKLDAPLE(pldapMsg, "ldap_first_entry");//// Make a copy of the dSASignature attribute.//val = (struct berval**)ldap_get_values_len(ldap, pldapMsg, L"dSASignature");// Make sure that the value was there and seems to be the correct size.if (val && val[0]) {if (val[0]->bv_len == sizeof(BACKUP_NC_HEAD_DSA_SIGNATURE_STATE)) {memcpy(&dsaSignature, val[0]->bv_val, val[0]->bv_len);fFoundDSASignature = TRUE;}}ldap_value_free_len(val);val = NULL;ldap_msgfree(pldapResults);pldapResults = NULL;//// Sanity check//if (!fFoundDSASignature ||dsaSignature.dwVersion != 1) {printf("The dSASignature attribute was either not\n");printf("found or was in an unexpected format.\n");goto Exit;}//// Cache whether the flag is set already or not//fFlagSet = (DRA_INHIBIT_BACKUP_AUTO_STAMP & dsaSignature.V1.dwFlags) ? TRUE : FALSE;//// If query-only mode, display current setting and leave//if (gfGet) {printf("The target directory %s have the DRA_INHIBIT_BACKUP_AUTO_STAMP set.\n",fFlagSet ? "DOES" : "DOES NOT");goto Exit;}//// If doing a modification, see whether there is anything to do.//if (gfSet && fFlagSet) {printf("The /set operation was specified but the target directory already\n");printf(" has the flag set. Exiting with no changes.\n");goto Exit;}else if (!gfSet && !fFlagSet) {printf("The /clear operation was specified but the target directory already\n");printf(" has the flag cleared. Exiting with no changes.\n");goto Exit;}//// Yes there is work to do; prompt the admin// for approval before you continue.//if (!PromptForOK()) {goto Exit;}//// Set or clear the bit in our local copy//if (gfSet) {dsaSignature.V1.dwFlags |= DRA_INHIBIT_BACKUP_AUTO_STAMP;}else {dsaSignature.V1.dwFlags &= (~DRA_INHIBIT_BACKUP_AUTO_STAMP);}//// Prepare for the modify//ZeroMemory(&valMod, sizeof(valMod));valMod.bv_len = sizeof(dsaSignature);valMod.bv_val = (PCHAR)&dsaSignature;vals[0] = &valMod;vals[1] = NULL;ZeroMemory(&mod, sizeof(mod));mod.mod_op = LDAP_MOD_REPLACE | LDAP_MOD_BVALUES;mod.mod_type = L"dSASignature";mod.mod_vals.modv_bvals = vals;mods[0] = &mod;mods[1] = NULL;//// And do it://result = ldap_modify_s(ldap,pszSchemaNCCopy,mods);CHECKLDAP(result, "ldap_modify_s for dSASignature");printf("\n");printf("Modification succeeded!\n");Exit:if (pszSchemaNCCopy) {free(pszSchemaNCCopy);}if (ldap) {ldap_unbind(ldap);}printf("\n");return;}

Beispiel-Ausgabe

Folgendes sind Beispiel Programm Ausgaben:
C:\>dsasignaturemod.exe /get The target directory DOES NOT have the DRA_INHIBIT_BACKUP_AUTO_STAMP set.
C:\>dsasignaturemod.exe /set  This program is about to set the DRA_INHIBIT_BACKUP_AUTO_STAMP flag inthe dSASignature attribute on the following directory NC:     CN=Schema,CN=Configuration,DC=rootdomain,DC=com Do you wish to continue? (Y\N) Modification succeeded!
C:\>dsasignaturemod.exe /set /auto  This program is about to set the DRA_INHIBIT_BACKUP_AUTO_STAMP flag inthe dSASignature attribute on the following directory NC:     CN=Schema,CN=Configuration,DC=rootdomain,DC=com  Modification succeeded!
C:\>dsasignaturemod.exe /get The target directory DOES have the DRA_INHIBIT_BACKUP_AUTO_STAMP set.
C:\>dsasignaturemod.exe /clear  This program is about to clear the DRA_INHIBIT_BACKUP_AUTO_STAMP flag inthe dSASignature attribute on the following directory NC:     CN=Schema,CN=Configuration,DC=rootdomain,DC=com Do you wish to continue? (Y\N) Modification succeeded!
C:\>dsasignaturemod.exe /clear /auto  This program is about to clear the DRA_INHIBIT_BACKUP_AUTO_STAMP flag inthe dSASignature attribute on the following directory NC:     CN=Schema,CN=Configuration,DC=rootdomain,DC=com  Modification succeeded!

Clientseitige Abhilfe

Optimieren der Domänencontrollerauswahl

Einige Programme explizit auf einen bestimmten Domänencontroller verbinden und downloaden den aktualisierten Schemacache von diesem Domänencontroller. Allerdings dafür Programme normalerweise Domänencontrollerlocator am besten geeigneten Domänencontroller für eine bestimmte LDAP-Namenskontext gefunden. Kunden können eine deutliche Verzögerung den Schemacache aktualisieren, da sie Domänencontroller über eine langsame Verbindung Ziel auftreten. Dies ist wahrscheinlich über Gesamtstrukturgrenzen hinweg. Ihr Ziel sollte den Schemacache aus der Domänencontroller in Bezug auf das Netzwerk herunterladen.

Dieses Problem umgehen

Konfigurieren von Computern mit Windows Vista, Windows Server 2008 oder höher, um eine pro-Computer-basierten Speicher für aggregate Schema verwenden der clientseitigen Lösung besteht aus.

Auf Windows XP-basierten Computern verwendet aggregate Schemacache pro Computer speichern. Dies bedeutet, dass das Herunterladen der aggregate Schema alle Benutzer am lokalen Computer anmelden teilten, solange der Benutzer Administratorrechte gewährt oder lokalen Speicher im Dateisystem und der Registrierung Write-Berechtigungen für authentifizierte Benutzer. Anderenfalls Schemacache musste jede Sitzung ADSI in den Arbeitsspeicher heruntergeladen werden und nach dem Ende der Sitzungs ADSI verworfen wurde.

Unter Windows Vista und höher wird der Schemacache ADSI in einem Speicher pro Benutzer implementiert. Sicherheit mit benutzerspezifischen Cache verbessert, möglicherweise jeden eindeutigen Benutzer Remote Desktop Protocol (RDP) oder Terminalserver AQ, Kiosk oder andere Mehrbenutzersystem Anmelden des Computers ADSI-Schemacache herunterladen.

Sie können ein Fallback pro Computerspeicher-Konfiguration auf Computern erzwingen, die Windows Vista und höheren Versionen ausgeführt werden, durch PerMachine REG DWORD im Registrierungspfad HKLM\SYSTEM\CurrentControlSet\Services\ADSI\Cache auf den Wert 1 festlegen. Darüber hinaus müssen Sie authentifizierten Benutzer Schreibzugriff auf %systemroot%\SchCache und HKLM\Software\Microsoft\ADs\Providers\LDAP erteilen. Weitere Informationen finden Sie unter ADSI und Benutzerkontensteuerung.

Hinweis Mit "pro Computer" Speicher ist besonders nützlich in Szenarien, in denen ein servergespeichertes Benutzerprofil gelöscht wird, wenn sich der Benutzer abmeldet. Solche Benutzer neues servergespeichertes Profil erstellen und möglicherweise aggregate Schema herunterladen. Die folgenden: Szenarien, die ein servergespeichertes Profil gelöscht
  • Benutzer mit verbindlichen Benutzerprofilen anmelden konfiguriert sind.
  • Benutzer, die für die Richtlinie "Benutzerprofile, die älter als eine angegebene Anzahl von Tagen auf Löschen".
  • Benutzer, die für die Richtlinie "zwischengespeicherte Kopien von servergespeicherten Profilen löschen".
  • Ein Benutzer, dessen zwischengespeicherte Profil durch ein Skript oder ein Tool wie DELPROF gelöscht wurde. EXE oder äquivalent.
Weitere Informationen

Informationen zu ADSI

ADSI-Client ist eine programmgesteuerte Implementierung, die Active Directory zugreift, um das Component Object Model (COM) entsprechen.

Windows-basierte Computer mit ADSI Abfragen und Skripts verwaltet lokale aggregate Active Directory-Schema. Schemaattribut Verweis wird zu Beginn jeder Sitzung der ADSI-Client Änderungen überprüft. Da keine explizites Attribut in Active Directory eindeutig alle möglichen Active Directory-Schema erkennt, wird Proxy Attribute bestimmt bei Windows-basierten Computern eine aktualisierte Kopie der aggregate Schema über das Netzwerk von einem Domänencontroller in Domänen der Client kopieren soll. Die Beispiele für ADSI-Clientanwendungen:
  • Active Directory Administrative Center Microsoft Management Console (MMC)-Snap-in
  • Snap-in Active Directory-Domänen und Vertrauensstellungen
  • Active Directory-Standorte und -Dienste-MMC-Snap-in
  • Active Directory-Benutzer und -Computer-MMC-Snap-in
  • Dieses MMC-Snap-in
  • DHCP-MMC-Snap-in
  • DNS-Manager-MMC-Snap-in
  • Exchange-Verwaltungskonsole
  • Group Policy Management MMC-Snap-in
  • Squery.exe

Attribute, mit denen Veränderungen aggregate Schema

Folgende Tabelle enthält eine Übersicht über Attribute, die aggregate Schema ändert sich für jede Version von Windows erkannt:

ADSI-Client BetriebssystemversionBedingung für ADSI-Schema Cache herunterladen
Windows XP
Windows Server 2003
Windows Server 2003 R2
Windows Vista / WindowsServer 2008
Windows 7 / Windows Server 2008 R2
Update des ModifyTimeStamp -Attributs aggregate Schema-Objekt
Windows 8 / Windows Server 2012
8.1 Windows / Windows Server 2012 R2
Aktualisierung der WhenChanged Schemaattribut
Wenn eine Änderung auf einem Proxy Attribute ermittelt, downloadet der ADSI-Client eine neue Kopie der aggregate Schema.

Computer mit Betriebssystemen vor Windows 8 oder Windows Server 2012 Abfrage das Attribut ModifyTimeStamp aggregate Schema. ModifyTimeStamp von Neustarts des Active Directory-Dienstes aktualisiert wurde, dass einen Domänencontroller neu gestartet oder Neustarten des Dienstes Active Directory verursacht einige ADSI-Clients aggregieren Schemacache von einem Domänencontroller herunterladen, wenn keine legitimen Schema geändert wurde. Dies war weniger ein Problem, weil Active Directory eine startfähige Dienst in Windows Server 2008 wurde.

Computer mit Windows 8, Windows Server 2012 oder höher Abfragen WhenChanged -Attribut auf dem Schema-NC-Kopfes. Das WhenChanged -Attribut hat den Nebeneffekt aktualisiert wird, wenn eine Sicherung des Systemstatus Attributs DSA-Signatur Schemanamenskontext aktualisiert. Den Zeitstempel auf dem WhenChanged -Attribut der Schema-NC-Kopfes aktualisiert wiederum.

Ereignisse, die aggregate Proxy Schemaattribute auf einem Domänencontroller aktualisieren

Folgende Tabelle enthält eine Übersicht über die Attribute, die Version des Betriebssystems und die Operationen, die Attributen aus aktualisiert werden.

Domain Controller BetriebssystemversionBedingung für Aktualisierung von aggregierten Schemaattribut modifyTimeStampBedingung für das Update von Schemaattribut whenChanged
Windows Server 2003
Windows Server 2003 R2
Windows Server 2008
Windows Server 2008 R2;
Domänencontroller oder NT Directory Service (NTDS) startet Schemaerweiterung / System state Backup
Windows Server 2008 R2 mit KB 2671874
Windows Server 2012
Windows Server 2012 R2
Schemaerweiterung / System state BackupSchemaerweiterung / System state Backup
Eine Änderung erkannt wird, hat der Schemacache ADSI heruntergeladen werden. Eine Sicherung des Systemstatus schreibt Daten in DSA Signaturattribut Schemanamenskontext, die einen aktualisierten WhenChanged Zeitstempel des Schemas führt.

Erkennen von aggregierten Aktualisierung von ADSI-clients

Hoher CPU-Auslastung und Auslastung ermitteln Sie mithilfe der Netzwerkmonitor 3.4 Tool zur Netzwerkverwendung erfassen und führen diese Schritte, um die Ergebnisse zu analysieren:
  1. Können Sie mithilfe einer der folgenden Anzeigefilter, je nach Betriebssystem Windows.

    Hinweis Ersetzen Sie die Zeichenfolge, in diese Filter "CN = Schema, CN = Configuration, DC = Contoso, DC = com" durch den Pfad definierten Namen (DN) des Active Directory Schemanamenskontext betreffenden.
    Windows 7 und früheren clients
    Verwenden Sie den folgenden Anzeigefilter ModifyTimeStamp -Attributwert für das Aggregieren Schemaobjekt abgefangenen Netzwerkverkehr Abfragen:
    (LDAPMessage.SearchRequest.BaseObject.OctetStream == "CN=Aggregate,CN=Schema,CN=Configuration,DC=Contoso,DC=com" AND LDAPMessage.SearchRequest.Attributes.Attribute.OctetStream == "modifyTimeStamp") OR(LDAPMessage.SearchResultEntry.ObjectName.OctetStream == "CN=Aggregate,CN=Schema,CN=Configuration,DC=Contoso,DC=com" AND LDAPMessage.SearchResultEntry.Attributes.PartialAttribute.Type.OctetStream == "modifyTimeStamp")
    Windows 8 und neuere clients

    Verwenden Sie folgenden Anzeigefilter WhenChanged Attributwert auf dem Schema-NC-Kopfes erfassten Netzwerkverkehr Abfragen:
    (LDAPMessage.SearchRequest.BaseObject.OctetStream == "CN=Schema,CN=Configuration,DC=Contoso,DC=com" AND LDAPMessage.SearchRequest.Attributes.Attribute.OctetStream == "whenChanged") OR (LDAPMessage.SearchResultEntry.ObjectName.OctetStream == "CN=Schema,CN=Configuration,DC=Contoso,DC=com" AND LDAPMessage.SearchResultEntry.Attributes.PartialAttribute.Type.OctetStream == "whenChanged")
    Standardmäßig ist dieser Wert mit dem Zeitwert in der Registrierung des Clients im folgenden Schlüssel verglichen:

    HKEY_CURRENT_USER\Software\Microsoft\ADs\Providers\LDAP\CN=Aggregate,CN=Schema,CN=Configuration,DC=<root domain>,DC=com

    Der Client lädt aktualisierte Schemacache ist die Zeit in das ModifyTimeStamp oder das WhenChanged -Attribut höher als der Wert, der in der Registrierung gespeichert. (Dieses Attribut hängt vom Betriebssystem des Clients ab.)

    Im folgenden finden ein Beispiel-Screenshot des Tools:

    Diese Abbildung ist ein Beispiel, wenn die Zeit im ModifyTimeStamp oder WhenChanged-Attribut ist höher als der Wert in der Registrierung gespeichert

    Aus dem Screenshot wird Folgendes angezeigt:
    • Der ADSI-Client bindet auf den Domänencontroller Frame Name 8.
    • LDAP-Suche nach geänderten Proxyattributs Schema wird in einer frühen LDAPSASLBuffer Frames gespeichert, die die Bindung folgen.
    • LDAP-Datenverkehr verschlüsselt in mehreren LDAPSASLBuffer Rahmen (Ziel-Port auf DC = TCP 389).
    • Der Domänencontroller wird zusätzliche verschlüsselte Daten über viele TCP-Frames zu senden, die eine TCP Nutzlastlänge von 1460 fortgesetzt.
  2. Nachdem Sie die richtige Konversation identifiziert haben in Netzwerk-Trace, das dieses Verhalten aufweist, können Sie TCP-Port, der vom Client verwendeten Filtern. Im Beispiel wird die Unterhaltung über TCP-Port 65237 vom Client initiiert. Netzwerkmonitor Filter wie "tcp.port == 65237" einsetzen, um verwandte Rahmen.
  3. Wenn Sie alle Frames Unterhaltung und Einfügen in Microsoft Excel kopieren, hat Kopie aggregate Schema standardmäßig TCP-Nutzlastgröße von 2 MB (Megabyte) Daten bei der Übertragung angezeigt. Die Größe der aggregate Standardschema ist ungefähr 4 MB nach der Codierung.

Korrelation von Netzwerkverkehr clientseitigen Prozess

Systemmonitor (Sysmon) können Sie um den Prozess auf dem Client zu bestimmen, die der Unterhaltung initiiert. Ereignis-ID 3 wird im Ereignisprotokoll von Microsoft Windows Systemmonitor Vorgang protokolliert, wenn Systemmonitor installiert und Protokoll LDAP-Verbindungen konfiguriert. Dadurch werden Netzwerkverkehr clientseitigen Prozess beziehen, da IP-Quelladresse und Port zusammen mit dem Namen ProcessID und Image protokolliert.


Protokollname: Microsoft Windows-Systemmonitor/Betrieb
Quelle: Microsoft-Windows-Systemmonitor
Datum: Datum
Ereignis-ID: 3
Aufgabenkategorie: Netzwerk-Verbindung erkannt (Regel: NetworkConnect)
Ebene: Informationen
Schlüsselwörter:
Benutzer: SYSTEM
Computer: Computer
Beschreibung
Netzwerkverbindung erkannt:
SequenceNumber: 206
UtcTime: UtcTime
ProcessGuid: {ProcessGuid}
Prozess-ID: 3220
Bild: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
Benutzer: Benutzername
Protokoll: Tcp
Gestartet: true
SourceIsIpv6: false
SourceIp: SourceIp
SourceHostname: ADSIClient
Quellport: 65237
SourcePortName:
DestinationIsIpv6: false
DestinationIp: DestinationIp
DestinationHostname: DestinationHostname
DestinationPort: 389
DestinationPortName: Ldap
Ereignis-Xml:

<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider name="Microsoft-Windows-Sysmon" guid=""></Provider></System></Event>"{Name des Anbieters}" />
<EventID>3</EventID>
<Version>4</Version>
<Level>4</Level>
<Task>3</Task>
<Opcode>0</Opcode>
<Keywords>0 x 8000000000000000</Keywords>
<TimeCreated SystemTime=" systemtime=""></TimeCreated SystemTime=">Zeit" />
<EventRecordID>39</EventRecordID>
<Correlation></Correlation>
<Execution processid="1140" threadid="3492"></Execution>
<Channel>Microsoft Windows-Systemmonitor/Betrieb</Channel>
<>R &gt;Computer
<Security UserID=" userid=""></Security UserID=">Benutzer-ID" />

<EventData>
<Data name="SequenceNumber">206</Data>
<Data name="UtcTime"></Data></EventData>Zeit
<Data name="ProcessGuid">{</Data>ProcessGuid}
<Data name="ProcessId">3220</Data>
<Data name="Image">C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe</Data>
<Data name="User"></Data>Benutzer
<Data name="Protocol">TCP</Data>
<Data name="Initiated">true</Data>
<Data name="SourceIsIpv6">false</Data>
<Data name="SourceIp"></Data>SourceIp
<Data name="SourceHostname"></Data>SourceHostname
<Data name="SourcePort">65237</Data>
<Data name="SourcePortName">
</Data>
<Data name="DestinationIsIpv6">false</Data>
<Data name="DestinationIp"></Data>DestinationIp
<Data name="DestinationHostname"></Data>DestinationHostname
<Data name="DestinationPort">389</Data>
<Data name="DestinationPortName">LDAP</Data>

Process Monitor Client anmelden

Process Monitor Client anmelden stellt umfangreiche Kontextinformationen bereit. Filtern Sie Process Monitor Anmelden die Prozess-ID, die im Systemmonitor protokolliert Ereignis protokolliert wird.

Der Screenshot filtert Process Monitor Anmelden die Prozess-ID angemeldet bei Systemmonitor protokolliert

Sie finden die folgenden Vorgänge aus.
VorgangPfad
RegOpenKeyHKLM\SYSTEM\CurrentControlSet\Services\ADSI\Cache
RegQueryValueHKCU\Software\Microsoft\ADs\Providers\LDAP\CN = Aggregate, CN = Schema, CN = Configuration, DC =untergeordnete Domäne, DC =Stammdomäne, DC = Com\Time
Empfangene TCP-HOSTNAME&gt;: Port-> <DCName> </DCName>: LDAP
Funktionen RegCreateKeyHKCU\SOFTWARE\Microsoft\ADs\Providers\LDAP\CN = Aggregate, CN = Schema, CN = Configuration, DC =untergeordnete Domäne, DC =Stammdomäne, DC = com
WriteFileC:\Users\<username>\AppData\Local\Microsoft\Windows\SchCache\</username>untergeordnete Domäne.Stammdomäne. com.sch
Hinweis Eine Möglichkeit zu überprüfen, ob Windows-Computer die lokale Kopie der aggregate Schemacache aktualisieren ist in der Datumsstempel der Datei *.sch im lokalen Dateisystem des ADSI-Clients überwachen.

Die Daten können in der folgenden Tabelle anpassen den Filter für sehr große Process Monitor-Protokollen.

Zusätzliche optionale Filter:
SpalteBeziehungWert
PfadEnthältSchCache
VorgangIstWriteFile
Der Screenshot ist Process Monitor Filter

Systemmonitor Protokoll LDAP-Verbindung konfigurieren

  1. Herunterladen Systemmonitor auf dem Client.
  2. Erstellen Sie eine neue Textdatei für die Systemmonitor-Konfiguration, speichern Sie die Datei als Sysmonconfig.xml und fügen Sie den folgenden Inhalt hinzu:

    <Sysmon schemaversion="2.0">  <!-- Capture all hashes -->  <HashAlgorithms>*</HashAlgorithms>  <EventFiltering>  <!-- Log all drivers except if the signature -->  <!-- contains Microsoft or Windows -->  <DriverLoad onmatch="exclude">  <Signature condition="contains">microsoft</Signature>  <Signature condition="contains">windows</Signature>  </DriverLoad>  <!-- Do not log process termination -->  <ProcessTerminate onmatch="include" />  <!-- Log network connection if the destination port equal 443 -->  <NetworkConnect onmatch="include">  <DestinationPort>389</DestinationPort><DestinationPort>636</DestinationPort><DestinationPort>3268</DestinationPort><DestinationPort>3269</DestinationPort>  </NetworkConnect>  </EventFiltering></Sysmon>
  3. Führen Sie den folgenden Befehl Sysmon installieren:
    Systemmonitor -i sysmonconfig.xml

Aktivieren das DRA_INHIBIT_BACKUP_AUTO_STAMP-Flag Nebeneffekt

Ein Nebeneffekt, aktivieren das DRA_INHIBIT_BACKUP_AUTO_STAMP -Flag ist, Ereignis, das ID 2089 fälschlicherweise angegeben wird, dass die Schemapartition nicht in Gesamtstrukturen aufgezeichnet werden, das System State Backups erstellen.

Samplingereignis ID 2089, die der folgenden ähnelt, wird im Anwendungsprotokoll protokolliert:


Ereignistyp: Warnung
Quelle: NTDS-Replikation
Kategorie: Sicherung
Ereignis-ID: 2089
Datum: Datum
Uhrzeit: Zeit
Benutzer: Benutzername
Computer: Computername
Beschreibung

Dieser Verzeichnispartition nicht gesichert wurde seit auf mindestens die folgende Anzahl von Tagen.

Verzeichnispartition:

CN = Schema, DC = Forest Root DNS-Anwendungspartition

Hinweis Ereignis-ID 2089 wird nicht wie bei anderen Schlüssel Partitionen protokolliert CN = Configuration oder Domänenverzeichnis partitionieren, da es keine Methode zur Anwendungsverzeichnispartition spezifischen Sicherung. Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
914034 NTDS-Replikation Ereignis 2089 wird protokolliert, wenn Windows Server 2003 SP1 und höher Domänencontroller nicht in einem bestimmten Zeitraum gesichert werden

Warnung: Dieser Artikel wurde automatisch übersetzt.

Eigenschaften

Artikelnummer: 2789917 – Letzte Überarbeitung: 07/28/2015 15:51:00 – Revision: 3.0

Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Essentials, Windows Server 2012 Datacenter, Windows Server 2012 Standard, Windows Server 2012 Essentials, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard

  • kbexpertiseadvanced kbsurveynew kbbug kbprb kbtshoot kbmt KB2789917 KbMtde
Feedback