Wie Event1644Reader.ps1 verwenden, um die LDAP-Abfrage in Windows Server analysieren

Wichtig: Dieser Artikel wurde maschinell übersetzt und wird dann möglicherweise mithilfe des Community Translation Framework (CTF) von Mitgliedern unserer Microsoft Community nachbearbeitet. Weitere Informationen zu CTF finden Sie unter http://support.microsoft.com/gp/machine-translation-corrections/de.

Den englischen Originalartikel können Sie über folgenden Link abrufen: 3060643
Dieser Artikel beschreibt eine Skript, die Active Directory-Ereignis-ID 1644 in Windows Server 2012 und Windows Server 2008 R2, Windows Server 2008 analysiert. Überprüfung der aus dem Skript und dann die Problemanalyse.
Über das Event1644Reader.ps1-Skript
Active wird Directory-ID 1644 im Verzeichnisdienst-Ereignisprotokoll protokolliert. Dieses Ereignis identifiziert, teure, ineffiziente oder langsam Protokol Akses Direktori Ringan (LDAP) durchsucht, die Active Directory-Domänencontroller verwaltet werden. Allgemeine NTDS-Ereignis-ID 1644 kann zum Aufzeichnen LDAP-Suchvorgänge im Verzeichnisdienst-Ereignisprotokoll basierend auf die Anzahl der Objekte in der Active Directory-Datenbank, die besucht wurden, die Anzahl der Objekte, die zurückgegeben wurden oder die Ausführungszeit für LDAP-Suchen auf dem Domänencontroller gefiltert werden. Weitere Informationen zu Ereignis-ID 1644 finden Sie Hotfix 2800945 fügt Daten in Active Directory-Ereignisprotokoll.

Event1644Reader.ps1 ist ein Windows PowerShell-Skript, die Daten aus 1644 Ereignisse, die in gespeicherten Verzeichnisdienst-Ereignisprotokollen gehostet werden. Anschließend importiert die Daten in eine Reihe von PivotTables in einer Microsoft Excel-Kalkulationstabelle können Administratoren Einblicke über LDAP-Arbeitslasten, die gewartet werden durch die Domänencontroller und die Clients, die diese Abfragen generieren.
So erhalten Sie das Skript
Sie erhalten das Skript aus dem Microsoft Script Center.

Script Center Haftungsausschluss
Die Beispielskripts werden unter keinem Microsoft-Supportprogramm oder Service nicht unterstützt. Die Beispielskripts werden wie ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle konkludenten Garantien einschließlich, aber nicht beschränkt auf, stillschweigende Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck. Das gesamte Risiko der Verwendung oder Leistung der Beispielskripte und-Dokumentation liegt bei Ihnen. In keinem Fall sind Microsoft und seine Autoren Personen beteiligt erstellen, Produktion oder Übermittlung der Skripts werden für Schäden (einschliesslich, ohne Beschränkung, Folge- oder Schäden Gewinne, Geschäftsabläufe, Verlust von Geschäftsinformationen) aus der Nutzung oder Unfähigkeit Beispielskripts oder Dokumentation verwenden, auch wenn Microsoft von der Möglichkeit solcher Schäden hingewiesen wurde.

Unterstützung Online
Online-Peer-Unterstützung beitreten Die offizielle Scripting Guys Forum! Um Kommentare abgeben oder Fehler in Skripts zu ermöglichen, starten Sie eine neue Diskussion auf der Registerkarte Diskussionen für dieses Skript.

Mit dem Skript
Ereignis-ID 1644 erfasst werden LDAP-Abfragen besser analysieren, gehen Sie folgendermaßen vor:
  1. Stellen Sie sicher, dass Domänencontroller, Erfassung erweiterte Problembehandlung1644 Metadaten.

    Hinweis Windows Server 2012 R2 hinzugefügt erweiterte 1644 der Protokollierung durch Aufzeichnen der Dauer der LDAP-Abfragen und andere Metadaten. Verbesserte 1644 Protokollierung wurde mehr Windows Server 2012 und Windows Server 2008 R2, Windows Server 2008 durch Hotfix 2800945.
  2. Legen Sie den Wert des folgenden Registrierungseintrags Produktsupport5:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics\Field Engineering
    Hinweis Field engineering Ausführlichkeit des Protokolls auf 5 festlegen verursacht andere Ereignisse in das Ereignisprotokoll des Verzeichnisdienstes protokolliert werden. Field Engineering auf den Standardwert 0 zurückgesetzt, wenn Sie nicht aktiv 1644 Ereignisse sammeln. (Diese Aktion ist keinen Neustart erforderlich.)
  3. Wenn die folgenden Registrierungseinträge vorhanden sind, ändern Sie die Werte in den gewünschten Schwellenwert in Millisekunden. Ein bestimmten Registrierungseintrag nicht vorhanden ist, erstellen Sie einen neuen Eintrag mit diesem Namen und legen Sie seinen Wert auf den gewünschten Schwellenwert in Millisekunden.
    PfadDatentypStandardwert
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Search Schwellenwert Zeit (ms)DWORD30.000
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Expensive Suche Ergebnisse SchwellenwertDWORD10.000
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Inefficient Suche Ergebnisse SchwellenwertDWORD1.000
    Hinweise
    • Field Engineering Protokollierungsstufe aktiviert und Suche Schwellenwert Zeit (mSek) -Registrierungseintrag nicht verwendet oder auf 0gesetzt ist, wird der Standardwert von den Zeitschwellenwert 30.000 Millisekunden. (Diese Aktion ist keinen Neustart erforderlich.)
    • Eine Strategie wird den Registrierungswert für die ineffiziente Suche Ergebnisse Schwellenwert und die teure Suche Ergebnisse Schwellenwert Registrierungseinträge festgelegt, und dann Suchzeit identifizierten Ereignisse konzentrieren (ms). Beginnen Sie mit einem größeren Wert z. B. 100 Millisekunden und dann schrittweise verringern Sie den Wert Abfragen auftreten in Ihrer Umgebung optimieren.
    • Event1644Reader.ps1 können Ereignisse von mehreren Domänencontrollern analysieren. Konfigurieren Sie Feld Engineering, Suchzeit, teuer und ineffizient Registrierungsschlüssel auf allen Domänencontrollern, die LDAP-Suche überprüfen soll.

  4. Downloaden Sie die Datei Event1644Reader.ps1Microsoft Script Center Computer, der Analyse gespeichert Active Directory Service EVTX Dateien mit 1644-Ereignissen.

    Dieser Computer muss Microsoft Excel 2010 oder höher installiert und muss genügend Speicherplatz zum Hosten der Verzeichnisdienst-Ereignisprotokollen, die das Skript analysieren.
  5. Kopie Verzeichnisdienst-Ereignisprotokollen, die 1644 Ereignisse vom Domänencontroller enthalten, 1644 Protokollierung 1644 Analyse Computer aktiviert.
  6. In Penjelajah Windows mit der rechten Maustaste der Datei Event1644Reader.ps1 , und wählen Sie mit PowerShell ausführen.
    Screenshot für diesen Schritt ist:
    Der Screenshot in diesem Schritt.
  7. Drücken Sie J PowerShell-Ausführungsrichtlinie ggf. umgehen.
  8. Geben Sie den Pfad der zu analysierenden Dateien EVTX.
  9. Wenn die Meldung wie die folgende Abbildung angezeigt wird, Aktionen Sie die folgenden:
    Screenshot von PowerShell.
    • Drücken Sie die EINGABETASTE zur alle EVTX-Dateien, die sich in demselben Verzeichnis wie die Datei Enent1644Reader.ps1.
    • Typ der Laufwerk:\Pfad Pfad, der zu analysierenden EVTX-Dateien enthält.

    Hinweis Event1644Reader.ps1 analysiert 1644 Ereignisse alle Ebene Verzeichnisdienst-Ereignisprotokollen, die im Ziel Pfad jedes Mal befinden, die das Skript ausgeführt wird.
  10. Öffnen Sie das Arbeitsblatt Daten und durchlaufen die Reihe von Registerkarten, und speichern Sie die Excel-Tabelle als erforderlich. Weitere Informationen zu den Registerkarten im Arbeitsblatt finden Sie in der "Walkthrough des Excel-Arbeitsblatts erstellt von 1644Reder.ps1"Abschnitt.
Hinweis *.CSV-Dateien, die vom Tool erstellt wurden, werden nicht automatisch entfernt. *.CSV-Dateien bereinigen, nach Abschluss der Untersuchung berücksichtigt.
Weitere Informationen

Walkthrough des Excel-Arbeitsblatts, das Event1644Reader.ps1 erstellt wird

Event1644Reader.ps1 extrahiert Metadaten 1644 Ereignisse in gespeicherten Verzeichnisdienst-Ereignisprotokollen und importiert die Daten in einer Reihe von Registerkarten Arbeitsblätter in einer Microsoft Excel-Kalkulationstabelle.

In der folgenden Tabelle werden die Daten auf jeder Registerkarte zusammengefasst:
TabulatorBeschreibung
RawDataJedes Datenfeld von Ereignis-ID 1644 erfasst werden in separate Spalten importiert. Filtern von Daten werden automatisch aktivierten, sortieren oder Filtern auf eine Spaltenüberschrift. Verwenden Sie 1644-Ereignisprotokolle von mehreren Domänencontrollern im Verzeichnis PowerShell-Skript oder Admin angegeben Verzeichnis befand, Filter LDAP-Abfragen anzeigen, die bestimmten Domänencontrollern abzielen.
Top_StartingNodeStellt eine sortierte Liste der LDAP-Abfragen in einem gegebenen Ziel Verzeichnispartitionen. Wenn die meisten Abfragen in einem stattfinden Partition (Schema-, Konfigurations- oder Domäne) sinnvoll, diese Partition als Filter in den verbleibenden Pivottabellen. Drillthrough Detail macht die oberen Filter (z. B. die LDAP-Abfrage), Client-IPs, das Abfragen Datums- und Zeitstempel für Abfragen sowie.
Top_CallersListet die IP-Adressen, die LDAP-Abfragen suchen Count absteigend mit Gesamtsumme ausgegeben. Prozentsatz der laufenden Summe können Sie Top Aufrufer identifizieren. (D. h. können Top 10 oder 20 Aufrufer generieren 80 Prozent des Datenträgers Abfrage angenommen, viele Aufrufe Ihres Problems). Drillthrough Detail macht Filter und Datum und Uhrzeit Schritte, dass jeder Client ausgestellt LDAP in einem bestimmten Abfragen.
Top_FiltersListen ausgestellt am häufigsten LDAP-Abfragen in absteigender Reihenfolge Volume. Dies schließt die durchschnittliche Suchzeit. Drillthrough Detail macht der LDAP-Client-IP-Adresse sowie Datum und Uhrzeit bei jeder Abfrage wurde.
TotalSearchTime von BenutzernIP-Adressen in absteigender Reihenfolge der gesamten Suche über alle LDAP-Abfragen in diesem Beispiel führt. Drillthrough Detail identifiziert die LDAP-Abfragen und Datum und Uhrzeit bei jeder Abfrage ausgegeben wurde.
TotalSearchTime FilterLDAP-Abfragen in absteigender Reihenfolge total Dauer führt. Drillthrough Detail macht der LDAP-Client-IP-Adresse sowie Datum und Zeit wenn jede übereinstimmende Abfrage übermittelt wurde.
Suchzeit zähltZeigt die Anzahl der LDAP-Abfragen, die aufgetreten in QUARTILE zeitbasierte. Langsamere Abfragen sind fehlerhaft. Schnellere Abfragen sind nützlich, wenn sie oft ausgestellt werden nicht. Microsoft Exchange möchte LDAP-Abfragen, die von Exchange-Servern in 50 Millisekunden aufgelöst werden oder weniger. So konzentriert sich die erste Quartil Gruppe auf, "Zeitperiode."
Leere PivotTableDies ist eine leere PivotTable, die Sie ändern können, um die Daten für Ihr Szenario anzeigen.

Szenarioanalyse

LDAP-Abfragen sind langsam oder CPU-Nutzung auf Domänencontrollern ist, kann dies zu ausgegebenen Abfragen, ineffiziente Abfragen, Kombinationen dieser Abfragen, Asynchronous Thread Queue (ATQ) Poolspeichers oder viele Benachrichtigungen verursacht.

Verwenden Clients Problem teure, ineffiziente oder viele LDAP-Abfragen Event1644Reader.ps1 zum Sammeln von Daten auf den Domänencontrollern zu IP-Adressen der Clients. Anschließend ordnen Sie solche Abfragen die Prozess-ID, den Prozessnamen oder die aufrufende Anwendung auf den Clientcomputern.

Die folgende Tabelle enthält möglichen Optimierungen für dieses Problem.

Optimierung-AusgleichZusammenfassung
Beenden Sie übermäßige Auslastung. Partien oder LDAP-Abfragen beendet verursachen, oberen aufrufenden Clients und Arbeit zu identifizieren und Eliminieren der übermäßigen Auslastung konzentrieren.

Optionen zu Applikationen auch PROCMON, ETL-ETW-Protokollierung und Debug-Analyse zum Identifizieren der Anwendung, die LDAP-Abfragen auf dem Client generiert. Eine andere Strategie ist die Verwendung ein Ansatzes Dividieren von zwei Dienste wurden oder Entfernen von Programmen, die LDAP-Abfragen generiert werden. Die ausgegebenen Abfragen können die aufrufende Anwendung oder den Prozess implizieren.
Installieren Sie eine aktualisierte LDAP-Abfrageoptimierer. Windows Server 2012 R2 enthält eine aktualisierte LDAP-Abfrageoptimierer, die Leistung für die meisten Abfragen. Teile von Windows Server 2012 R2 sind mehr Windows Server 2008 R2 und Windows Server 2012 in Hotfix 2862304.
Stellen Sie sicher, dass Clients Abfragen an Standort optimalen Domänencontroller senden. LDAP-Abfragen über das WAN gesendet stellt Netzwerklatenz in der Übermittlung die LDAP-Abfrage an den Domänencontroller und die Antwort an den Client. Stellen Sie sicher, dass Active Directory-Standorte und Subnetzdefinitionen für Client- und Servercomputern in Active Directory vorhanden.

Stellen Sie sicher, dass Programme nicht hartcodierte Verweise an Remote-Standorten Domänencontroller oder Lesen beschreibbare Domänencontroller erst Site optimalen Domänencontroller vorhanden sind.
Arbeiten Sie mit Software-Entwicklern, die Häufigkeit zu reduzieren, mit der Abfragen gesendet werden. Dies umfasst die Verwendung zwischenspeichern.Auch effizient ausgegebene Abfragen können Sie einen entsprechend großen und konfigurierten Domänencontroller schlagen Abfragen oft ausgestellt werden.
Clientanwendungen können Lautstärke Abfrage einschränken oder Abfrageergebnisse zu Netzwerk, LDAP und CPU-Cache geladen.
Optimieren Sie die LDAP-Abfrage schneller ausgeführt.Abfragesyntax möglicherweise neu strukturiert werden, um schneller ausgeführt.
Abfrageelemente verschieben nach links oder rechts innerhalb des Filters kann die Leistung verbessern.
Hinzufügen von Double kann "" Abfrageperformance verbessern.
Verringern Sie die Anzahl der Objekte, die von Abfragen in der Struktur unten starten besucht.
Reduzieren Sie die Anzahl der Attribute, die von Abfragen zurückgegeben werden.
Active Directory-Attribute wie Indizes hinzufügen.Hinzufügen von Indizes kann die Abfrageperformance verbessern. Dies hat den Nebeneffekt, steigenden Datenbankgrößen und Active Directory-Replikation während der Erstellung möglicherweise vorübergehend verzögern.
Ermitteln Sie ein Codefehlers in der Abfrageoptimierer und andere Komponenten.Fehler in der LDAP-Abfrageoptimierer und andere Komponenten können Durchsatz reduzieren.

Bekanntes Problem

Die Werte in der Excel-Tabelle werden nicht angezeigt oder auf Computern mit nicht-englischen ordnungsgemäß gerendert.

Dies tritt z. B. auf einem Computer, folgt die Get-Kultur Windows PowerShell-Cmdlet die regionale Einstellung gibt an:
PS C:\Windows\System32\WindowsPowerShell\v1.0> Get-Culture LCID             Name             DisplayName  ----             ----             -----------1031             de-DE            German (Germany)PS C:\Windows\System32\WindowsPowerShell\v1.0> Get-UICultureLCID            Name            DisplayName  ----             ----             -----------1033             en-US            English (United States)                                                      
In diesem Fall werden Nummern in der Excel-Tabelle wie in Abbildung dargestellt:
Screenshot für Excel-rendering

Um dieses Problem zu beheben, ändern Sie das Dezimaltrennzeichen in Regionen Element im Bedienfeld einen Punkt (.).


Weitere Informationen zu LDAP-Abfragen finden Sie im folgenden Blogbeitrag:

Warnung: Dieser Artikel wurde automatisch übersetzt.

Eigenschaften

Artikelnummer: 3060643 – Letzte Überarbeitung: 09/24/2015 18:08:00 – Revision: 3.0

Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows Server 2012 Datacenter, Windows Server 2012 Standard, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Foundation

  • kbprb kbtshoot kbexpertiseadvanced kbsurveynew kbmt KB3060643 KbMtde
Feedback