Cómo utilizar Event1644Reader.ps1 para analizar el rendimiento de las consultas LDAP en Windows Server

Este artículo describe una secuencia de comandos que ayuda a analizar 1644 de identificador de sucesos de Active Directory en Windows Server 2008, Windows Server 2008 R2 y Windows Server 2012. Revise los pasos necesarios para utilizar la secuencia de comandos y analizar sus problemas.

Acerca de la secuencia de comandos Event1644Reader.ps1

Sucesos de Active Directory 1644 ID se registran en el registro de sucesos del servicio de directorio. Este evento identifica costosos, ineficientes o protocolo de acceso a directorios (LDAP) de ligero lento búsquedas que son atendidas por los controladores de dominio de Active Directory. Suceso General de NTDS ID 1644 puede filtrarse para búsquedas de LDAP de registros en el registro de sucesos de servicios de directorio basados en el número de objetos en la base de datos de Active Directory que se han visitado, el número de objetos que se han devuelto o el tiempo de ejecución de la búsqueda LDAP en el controlador de dominio. Para obtener más información acerca del suceso ID 1644, consulte la revisión 2800945 agrega datos de rendimiento para el registro de sucesos de Active Directory.

Event1644Reader.ps1 es una secuencia de comandos de Windows PowerShell que extrae datos de eventos de 1644 que se alojan en los registros de sucesos guardados de servicio de directorio. A continuación, importa datos en una serie de tablas dinámicas en una hoja de cálculo de Microsoft Excel para ayudar a los administradores tener conocimientos acerca de las cargas de trabajo LDAP son atendidas por los controladores de dominio y clientes que generan las consultas.

Cómo obtener la secuencia de comandos

Puede obtener la secuencia de comandos desde el Centro de secuencia de comandos de Microsoft.

Renuncia de Script Center
No se admiten las secuencias de comandos de ejemplo con ningún servicio o programa de soporte estándar de Microsoft. Las secuencias de comandos de ejemplo se proporcionan tal cual sin garantía de ningún tipo. Microsoft renuncia a todas las garantías implícitas las incluidas, sin limitación, garantías de comerciabilidad o idoneidad para un propósito particular implícitas. Todo el riesgo derivado del uso o el rendimiento de las secuencias de comandos de ejemplo y documentación permanece con usted. En ningún caso serán Microsoft, sus autores, o cualquier otra persona implicada en la creación, producción, o entrega de las secuencias de comandos serán responsables por ningún daño (incluyendo, sin limitación, daños por pérdida de beneficios empresariales, interrupción de negocios, pérdida de información comercial u otra pérdida pecuniaria) derivado del uso o la incapacidad para utilizar las secuencias de comandos de ejemplo o la documentación, aunque se hubiera avisado a Microsoft de la posibilidad de dichos daños.

Soporte técnico en línea
Soporte técnico en línea, únase a el foro oficial chicos de Scripting! Para proporcionar comentarios o informar de errores en las secuencias de comandos de ejemplo, inicie una nueva discusión en la ficha de discusiones para esta secuencia de comandos.

Cómo utilizar la secuencia de comandos

Para analizar mejor las consultas LDAP que se capturan en el evento ID 1644, siga estos pasos:
  1. Asegúrese de que los controladores de dominio que está solucionando problemas de captura mejorada1644 metadatos.

    Nota: R2 de Windows Server 2012 agrega mejorada mediante la grabación de la duración de las consultas LDAP y otros metadatos de registro de sucesos de 1644. La mejorada 1644 el registro de sucesos era utilizados en Windows Server 2008, Windows Server 2008 R2 y Windows Server 2012 por la revisión 2800945.
  2. Establezca el valor de la siguiente entrada del registro de Ingeniería de campo 5:
    Ingeniería HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics\Field
    Nota: Establecer el nivel de detalle de registro ingeniería de campo en 5 hará que otros eventos se registren en el registro de sucesos del servicio de directorio. Restablecer la ingeniería de campo a su valor predeterminado de 0 cuando se están recopilando los eventos 1644 no. (Esta acción no requiere un reinicio).
  3. Si existen las siguientes entradas del registro, cambie los valores al umbral deseado en milisegundos. Si no existe una entrada del registro concreta, cree una nueva entrada con ese nombre y, a continuación, establezca su valor en el umbral deseado en milisegundos.
    Ruta de acceso del registroTipo de datosValor predeterminado
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Search el umbral de tiempo (mseg.)DWORD30.000
    Umbral de resultados de búsqueda de HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\ExpensiveDWORD10.000
    Umbral de resultados de búsqueda de HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\InefficientDWORD1.000
    Notas:
    • Cuando está habilitada la ingeniería de campo de nivel de registro y la entrada de registro de Umbral de tiempo de búsqueda (ms) no se utiliza o está establecida en 0, el valor predeterminado del umbral de tiempo es de 30.000 milisegundos. (Esta acción no requiere un reinicio).
    • Una estrategia sería establecer el valor del registro para el umbral de resultados de la búsqueda ineficiente y el costoso umbral de resultados de la búsqueda de valores del registro y centrarse en los eventos que se identifican por el tiempo de búsqueda mantenga (ms). Comience con un valor mayor como 100 milisegundos y reducir gradualmente el valor como optimizar las consultas que se están produciendo en su entorno.
    • Event1644Reader.ps1 puede analizar los eventos de varios controladores de dominio. Configurar la ingeniería de campo, tiempo costoso, de búsqueda y configuración del registro ineficientes en todos los controladores de dominio en el que desee revisar búsquedas LDAP.

  4. Descargue el archivo de Event1644Reader.ps1 desde el Centro de secuencia de comandos de Microsoften el equipo a analizar archivos archivo EVTX servicio de Active Directory que contienen eventos 1644 guardado.

    Este equipo debe tener Microsoft Excel 2010 o una versión posterior había instalado y debe tener suficiente espacio en disco para alojar los registros de sucesos del servicio de directorio que analiza la secuencia de comandos.
  5. Copiar guarda registros de sucesos del servicio de directorios que contienen los eventos de los controladores de dominio donde ha habilitado en el equipo de análisis 1644 del registro de sucesos de 1644 1644.
  6. En el Explorador de Windows, haga clic en el archivo Event1644Reader.ps1 ,y, a continuación, seleccione Ejecutar con PowerShell.
    La captura de pantalla de este paso es el siguiente:
    The screen shot of this step.
  7. Presione s para omitir la directiva de ejecución de PowerShell según sea necesario.
  8. Especifique la ruta de los archivos del archivo EVTX que va a analizarse.
  9. Cuando aparezca el símbolo del sistema como la siguiente captura de pantalla, realice las acciones siguientes:
    The screen shot of PowerShell.
    • Presione ENTRAR para analizar todos los archivos del archivo EVTX que se encuentran en el mismo directorio que el archivo Enent1644Reader.ps1.
    • Escriba la unidad: \ruta de acceso que contiene el archivo EVTX archivos para analizar.

    Nota: Event1644Reader.ps1 analiza 1644 eventos en todos los registros de eventos de servicio de directorio de nivel superior que se encuentran en la ruta de acceso destino cada vez que se ejecuta la secuencia de comandos.
  10. Abra la hoja de cálculo para revisar datos y recorrer la serie de fichas y, a continuación, guarde la hoja de cálculo de Excel según sea necesario. Para obtener más información acerca de las fichas en la hoja de cálculo, consulte la sección "Tutorial de la hoja de cálculo de Excel creado por 1644Reder.ps1".
Nota los archivos *.csv generados por la herramienta no se quitan automáticamente. Considere la posibilidad de purgar archivos *.csv una vez finalizada su investigación.

Más información

Tutorial de la hoja de cálculo de Excel creado por Event1644Reader.ps1

Análisis de escenarios

Problema conocido


Para obtener más información acerca de consultas LDAP, consulte el blog siguiente:
Propiedades

Id. de artículo: 3060643 - Última revisión: 22 ene. 2017 - Revisión: 1

Comentarios