Berat WAN dan domain kontroler penggunaan CPU ketika Anda melakukan cadangan keadaan sistem

PENTING: Artikel ini diterjemahkan oleh perangkat lunak penerjemahan mesin Microsoft, dan mungkin telah diedit oleh Masyarakat Microsoft melalui teknologi CTF dan bukan oleh seorang penerjemah profesional. Microsoft menawarkan baik artikel yang diterjemahkan oleh manusia maupun artikel hasil editan terjemahan oleh mesin/komunitas, sehingga Anda dapat mengakses semua artikel di Sentra Pengetahuan yang kami miliki dalam berbagai bahasa. Namun artikel hasil editan mesin atau bahkan komunitas tidak selalu sempurna. Artikel ini dapat mengandung kesalahan dalam hal kosa kata, sintaksis atau tatabahasa, sangat mirip dengan penutur asing yang membuat kekeliruan ketika berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab atas ketidakakuratan, kesalahan atau kerugian apa pun akibat dari kekeliruan dalam penerjemahan isi atau penggunaannya oleh pelanggan kami. Microsoft juga akan senantiasa memperbarui perangkat lunak penerjemahan mesin dan alat untuk menyempurnakan Editan Hasil Penerjemahan Mesin.

Klik disini untuk melihat versi Inggris dari artikel ini: 2789917

Artikel ini menjelaskan bagaimana cadangan keadaan sistem dengan pengontrol domain direktori aktif secara transitif ke memperbarui atribut referensi yang menyebabkan klien Antarmuka layanan direktori Aktif (ADSI) untuk men-download skema agregat. Proses download berpotensi meningkatkan beban pengontrol domain peran komputer dan jaringan yang digunakan.
Gejala
Masalah berikut ini dapat terjadi ketika Anda melakukan cadangan keadaan sistem skema partisi pada semua pengontrol domain di hutan Direktori Aktif:
  • Peningkatan penggunaan CPU di pengontrol domain peran komputer saat komputer berbasis Windows permintaan referensi Active Directory atribut yang digunakan untuk tujuan berikut ini:
    • Untuk mendeteksi pembaruan skema agregat
    • Untuk menyalin skema agregat dari pengendali domain jika perubahan yang terdeteksi
  • Peningkatan protokol akses direktori ringan (LDAP) lalu lintas jaringan saat klien ADSI menyalin konten dari skema agregat dari pengendali domain.
Penyebab
Masalah ini terjadi karena atribut DSA tanda Diperbarui pada skema penamaan konteks (skema NC) saat Anda membuat cadangan status sistem pengontrol domain yang menjalankan Windows Server 2003 Service Pack 1 (SP1) atau versi yang lebih baru.

Ketika atribut DSA tanda diperbarui dengan cadangan keadaan sistem, Cap tanggal Diperbarui pada dua atribut referensi. Salah satu dari atribut ini terletak di skema NC kepala, dan lain yang terletak di CN = agregat, CN = skema objek.

Windows klien yang menjalankan aplikasi ADSI dan skrip query atribut referensi ini untuk mendeteksi pembaruan skema agregat. Ketika mereka mendeteksi pembaruan tersebut, klien ADSI download kopi karbon diperbarui skema agregat dari pengendali domain melalui LDAP membaca.

Catatan
untuk informasi selengkapnya tentang mendeteksi skema agregat yang berkaitan dengan jaringan I/O dan permintaan LDAP, lihat bagian "Informasi selengkapnya".
Pemecahan masalah
Sisi server pemecahan masalah dan solusi sisi klien memberikan bantuan parsial dengan mengurangi tetapi tidak menghilangkan jumlah waktu ADSI klien download skema agregat. Sisi klien dan server-side penyelesaian dapat diterapkan secara terpisah dari satu sama lain. Ini berarti bahwa Anda dapat menerapkan penyelesaian sisi klien hanya, perubahan sisi server, atau penyelesaian keduanya secara bersamaan.

Penyelesaian sisi server



Mengedit DSA-tanda tangan

Sisi server penyelesaian terdiri mencegah cadangan keadaan sistem partisi skema memperbarui atributDSA-tanda tangan . Atribut DSA-tanda tangan berisi DRA_INHIBIT_BACKUP_AUTO_STAMP bendera untuk menentukan apakah cadangan keadaan sistem diperbarui atribut ini. Namun, karena atribut DSA tanda disimpan dalam format besar biner, itu tidak dapat diubah dengan mudah menggunakan alat seperti LDP. EXE atau ADSIEDIT. MSC.

Untuk mengatasi masalah ini, menjalankan skrip Windows PowerShell atau berkas yang dapat dijalankan yang mencegah cadangan keadaan sistem memperbarui atribut DSA-tanda tangan pada partisi skema dan, bergantian, atribut whenChanged pada skema NC kepala dan whenModified atribut di CN = agregat objek.

Lihat Edit dSASignature atribut PowerShell script di situs Microsoft Script Center.

Anda juga dapat mengkompilasi dan menjalankan kode contoh berikut untuk menyetel atau menghapus bendera DRA_INHIBIT_BACKUP_AUTO_STAMP dalam atribut DSA-tanda tangan pada skema NC.

Tanpa memperhatikan apakah PowerShell atau memperbaiki programatik digunakan, ada efek samping negatif mengaktifkan bendera DRA_INHIBIT_BACKUP_AUTO_STAMP . Efek samping didokumentasikan di bagian "Informasi selengkapnya".

Catatan Kode sampel ini harus dijalankan di bawah skema admin keamanan konteks pada pengendali domain.

Memastikan bahwa definisi terbaru

Akhirnya, membuat yakin thatIPv4 dan subnet IPv6, situs dan subnet ke situs definisi terbaru di forest Active Directory dan Tutup semua subnet perusahaan Anda di semua hutan. Melakukan hal ini membuat surethat komputer yang menjalankan aplikasi ADSI yang menanyakan dan menyalin diperbarui versi jangan agregat skema ini dari pengendali domain optimal situs. Untuk informasi selengkapnya tentang cara mengkonfigurasi pengaturan situs, kunjungi situs web Microsoft TechNet berikut:

Kode contoh

//+-------------------------------------------------------------------------////// File: dsasignaturemod.c//// This is a sample program for setting or clearing the// DRA_INHIBIT_BACKUP_AUTO_STAMP flag in the dSASignature// attribute on the schema NC.////--------------------------------------------------------------------------#include <windows.h>#include <winldap.h>#include <winber.h>#include <strsafe.h>#include <stdio.h>#include <conio.h>#define CHECKLDAP(result, op) if (result) { printf("%s failed with LDAP error=0x%x(%d)\n", op, result, result); goto Exit; }#define CHECKLDAPLE(result, op) if (!result) { printf("%s failed with LDAP error=0x%x(%d)\n", op, LdapGetLastError(), LdapGetLastError()); goto Exit; }//// Type definitions for the dsaSignature attribute//#define DRA_INHIBIT_BACKUP_AUTO_STAMP (0x1)typedef struct _BACKUP_NC_HEAD_DSA_SIGNATURE_STATE_V1 {DWORD dwFlags;LONGLONG BackupErrorLatencySecs;UUID dsaGuid;} BACKUP_NC_HEAD_DSA_SIGNATURE_STATE_V1;typedef struct _BACKUP_NC_HEAD_DSA_SIGNATURE_STATE {DWORD dwVersion;DWORD cbSize;union{BACKUP_NC_HEAD_DSA_SIGNATURE_STATE_V1 V1;};} BACKUP_NC_HEAD_DSA_SIGNATURE_STATE;// Whether we are setting or clearing the bitBOOL gfSet = FALSE;// Whether we are querying the bitBOOL gfGet = FALSE;// Whether we are automating and want to skip PromptForOK()BOOL skipPrompt = FALSE;// Copy of the schema NC DNLPWSTR pszSchemaNCCopy = NULL;BOOL PromptForOK(){int prompt;BOOL ret = skipPrompt;printf("\n");printf("This program is about to %s the DRA_INHIBIT_BACKUP_AUTO_STAMP flag in\n", gfSet ? "set" : "clear");printf("the dSASignature attribute on the following directory NC:\n");printf("\n");printf(" %S\n", pszSchemaNCCopy);printf("\n");if (!skipPrompt) {printf("Do you wish to continue? (Y\\N)");prompt = _getch();printf("\n");ret = (prompt == 'Y' || prompt == 'y') ? TRUE : FALSE;}return ret;}void Usage(){CHAR szExeName[MAX_PATH];ZeroMemory(szExeName, sizeof(szExeName));GetModuleFileNameA(NULL, szExeName, ARRAYSIZE(szExeName));printf("Usage:\n");printf("\n");printf("%s [/get | /set | /clear] [/auto]\n", szExeName);printf("\n");printf(" /get - queries current state of the DRA_INHIBIT_BACKUP_AUTO_STAMP flag\n");printf(" /set - sets the DRA_INHIBIT_BACKUP_AUTO_STAMP flag\n");printf(" /clear - clears the DRA_INHIBIT_BACKUP_AUTO_STAMP flag\n");printf(" /auto - skips the prompt for proceeding (for automation purposes)\n");printf("\n");}BOOL ParseArgs(int argc, __in char ** argv){BOOL ret = FALSE;if (argc >= 2){if (!_stricmp("/get", argv[1])) {gfGet = TRUE;ret = TRUE;}else if (!_stricmp("/set", argv[1])) {gfSet = TRUE;ret = TRUE;}else if (!_stricmp("/clear", argv[1])) {gfSet = FALSE;ret = TRUE;}if (argc >= 3){if (!_stricmp("/auto", argv[2])) {skipPrompt = TRUE;}}}return ret;} void __cdecl main(int argc, __in char ** argv){BOOL fFoundDSASignature = FALSE;BOOL fFlagSet = FALSE;LDAP* ldap = NULL;ULONG cb = 0;ULONG cch = 0;ULONG result = 0;LPWSTR pszAttrs[2] = { 0 };LPWSTR* ppszSchemaNC = NULL;LDAPMod mod;LDAPMod* mods[2];LDAPMessage* pldapMsg = NULL;LDAPMessage* pldapResults = NULL;struct berval valMod;struct berval* vals[2];struct berval** val = NULL;BACKUP_NC_HEAD_DSA_SIGNATURE_STATE dsaSignature;ZeroMemory(&dsaSignature, sizeof(dsaSignature));if (!ParseArgs(argc, argv)) {Usage();return;}printf("\n");//// Init connection handle//ldap = ldap_init(NULL, LDAP_PORT);CHECKLDAPLE(ldap, "ldap_init");//// Connect to DC//result = ldap_connect(ldap, NULL);CHECKLDAP(result, "ldap_connect");//// Retrieve schema NC name//pszAttrs[0] = L"schemaNamingContext";pszAttrs[1] = NULL;result = ldap_search_sW(ldap,NULL,LDAP_SCOPE_BASE,L"(objectclass=*)",pszAttrs,0,&pldapResults);CHECKLDAP(result, "ldap_search_s for schemaNamingContext");pldapMsg = ldap_first_entry(ldap, pldapResults);CHECKLDAPLE(pldapMsg, "ldap_first_entry");//// Make a copy of the schema NC name//ppszSchemaNC = (LPWSTR*)ldap_get_valuesW(ldap, pldapMsg, L"schemaNamingContext");cch = wcslen(ppszSchemaNC[0]) + 1;pszSchemaNCCopy = (LPWSTR)malloc(cch * sizeof(WCHAR));StringCchCopy(pszSchemaNCCopy, cch, ppszSchemaNC[0]);ldap_value_free(ppszSchemaNC);ppszSchemaNC = NULL;ldap_msgfree(pldapResults);pldapResults = NULL;//// Bind to the DC//result = ldap_bind_s(ldap, pszSchemaNCCopy, NULL, LDAP_AUTH_NEGOTIATE);CHECKLDAP(result, "ldap_bind_s");//// Retrieve current value of the dSASignature attribute//pszAttrs[0] = L"dSASignature";pszAttrs[1] = NULL;result = ldap_search_sW(ldap,pszSchemaNCCopy,LDAP_SCOPE_BASE,L"(objectclass=*)",pszAttrs,0,&pldapResults);CHECKLDAP(result, "ldap_search_s for dSASignature");pldapMsg = ldap_first_entry(ldap, pldapResults);CHECKLDAPLE(pldapMsg, "ldap_first_entry");//// Make a copy of the dSASignature attribute.//val = (struct berval**)ldap_get_values_len(ldap, pldapMsg, L"dSASignature");// Make sure that the value was there and seems to be the correct size.if (val && val[0]) {if (val[0]->bv_len == sizeof(BACKUP_NC_HEAD_DSA_SIGNATURE_STATE)) {memcpy(&dsaSignature, val[0]->bv_val, val[0]->bv_len);fFoundDSASignature = TRUE;}}ldap_value_free_len(val);val = NULL;ldap_msgfree(pldapResults);pldapResults = NULL;//// Sanity check//if (!fFoundDSASignature ||dsaSignature.dwVersion != 1) {printf("The dSASignature attribute was either not\n");printf("found or was in an unexpected format.\n");goto Exit;}//// Cache whether the flag is set already or not//fFlagSet = (DRA_INHIBIT_BACKUP_AUTO_STAMP & dsaSignature.V1.dwFlags) ? TRUE : FALSE;//// If query-only mode, display current setting and leave//if (gfGet) {printf("The target directory %s have the DRA_INHIBIT_BACKUP_AUTO_STAMP set.\n",fFlagSet ? "DOES" : "DOES NOT");goto Exit;}//// If doing a modification, see whether there is anything to do.//if (gfSet && fFlagSet) {printf("The /set operation was specified but the target directory already\n");printf(" has the flag set. Exiting with no changes.\n");goto Exit;}else if (!gfSet && !fFlagSet) {printf("The /clear operation was specified but the target directory already\n");printf(" has the flag cleared. Exiting with no changes.\n");goto Exit;}//// Yes there is work to do; prompt the admin// for approval before you continue.//if (!PromptForOK()) {goto Exit;}//// Set or clear the bit in our local copy//if (gfSet) {dsaSignature.V1.dwFlags |= DRA_INHIBIT_BACKUP_AUTO_STAMP;}else {dsaSignature.V1.dwFlags &= (~DRA_INHIBIT_BACKUP_AUTO_STAMP);}//// Prepare for the modify//ZeroMemory(&valMod, sizeof(valMod));valMod.bv_len = sizeof(dsaSignature);valMod.bv_val = (PCHAR)&dsaSignature;vals[0] = &valMod;vals[1] = NULL;ZeroMemory(&mod, sizeof(mod));mod.mod_op = LDAP_MOD_REPLACE | LDAP_MOD_BVALUES;mod.mod_type = L"dSASignature";mod.mod_vals.modv_bvals = vals;mods[0] = &mod;mods[1] = NULL;//// And do it://result = ldap_modify_s(ldap,pszSchemaNCCopy,mods);CHECKLDAP(result, "ldap_modify_s for dSASignature");printf("\n");printf("Modification succeeded!\n");Exit:if (pszSchemaNCCopy) {free(pszSchemaNCCopy);}if (ldap) {ldap_unbind(ldap);}printf("\n");return;}

Contoh program output

Berikut ini adalah contoh output program:
C:\>dsasignaturemod.exe /get The target directory DOES NOT have the DRA_INHIBIT_BACKUP_AUTO_STAMP set.
C:\>dsasignaturemod.exe /set  This program is about to set the DRA_INHIBIT_BACKUP_AUTO_STAMP flag inthe dSASignature attribute on the following directory NC:     CN=Schema,CN=Configuration,DC=rootdomain,DC=com Do you wish to continue? (Y\N) Modification succeeded!
C:\>dsasignaturemod.exe /set /auto  This program is about to set the DRA_INHIBIT_BACKUP_AUTO_STAMP flag inthe dSASignature attribute on the following directory NC:     CN=Schema,CN=Configuration,DC=rootdomain,DC=com  Modification succeeded!
C:\>dsasignaturemod.exe /get The target directory DOES have the DRA_INHIBIT_BACKUP_AUTO_STAMP set.
C:\>dsasignaturemod.exe /clear  This program is about to clear the DRA_INHIBIT_BACKUP_AUTO_STAMP flag inthe dSASignature attribute on the following directory NC:     CN=Schema,CN=Configuration,DC=rootdomain,DC=com Do you wish to continue? (Y\N) Modification succeeded!
C:\>dsasignaturemod.exe /clear /auto  This program is about to clear the DRA_INHIBIT_BACKUP_AUTO_STAMP flag inthe dSASignature attribute on the following directory NC:     CN=Schema,CN=Configuration,DC=rootdomain,DC=com  Modification succeeded!

Penyelesaian sisi klien

Mengoptimalkan pilihan pengendali domain

Beberapa aplikasi secara eksplisit terhubung ke pengendali domain tertentu dan kemudian download cache skema terbaru dari pengendali domain. Namun, aplikasi biasanya Tinggalkan untuk pencari pengendali domain untuk menemukan pengendali domain terbaik untuk tertentu LDAP penamaan konteks. Klien mungkin mengalami penundaan yang nyata dalam memperbarui tembolok skema karena target pengontrol domain melalui sambungan jaringan lambat. Hal ini mungkin terjadi di seluruh forest batas. Tujuan Anda harus selalu men-download cache skema dari pengendali domain terdekat dalam jaringan.

Pemecahan masalah

Sisi klien penyelesaian terdiri dari konfigurasi komputer yang menjalankan Windows Vista, Windows Server 2008 atau versi yang lebih baru untuk menggunakan penyimpanan per-mesin berbasis skema agregat.

Pada komputer berbasis Windows XP, tembolok agregat skema digunakan per mesin penyimpanan. Ini berarti bahwa download skema agregat bersama di antara semua pengguna yang log on ke komputer lokal, selama salah satu pengguna memiliki hak administratif atau toko lokal di sistem berkas dan registri memiliki izin tertulis diberikan kepada pengguna yang diotentikasi. Jika tidak, tembolok skema harus didownload ke RAM pada setiap sesi ADSI dan dibuang setelah ADSI sesi berakhir.

Di Windows Vista dan versi yang lebih baru, tembolok skema ADSI diterapkan di penyimpanan per-pengguna. Meskipun Keamanan ditingkatkan dengan tembolok per-pengguna, setiap pengguna unik yang masuk ke Protokol Desktop Jarakjauh (RDP) atau Terminal Server AQ, kios, atau sistem multi-pengguna lain dapat menyebabkan komputer yang sama untuk men-download ADSI skema cache.

Anda dapat memaksa mundur konfigurasi per mesin penyimpanan di komputer yang menjalankan Windows Vista dan versi yang lebih baru dengan mengatur PerMachine REG-DWORD di lintasan registri HKLM\SYSTEM\CurrentControlSet\Services\ADSI\Cache nilai 1. Selain itu, Anda harus memberi akses tulis %systemroot%\SchCache dan HKLM\Software\Microsoft\ADs\Providers\LDAP untuk pengguna yang diotentikasi. Untuk informasi selengkapnya, lihat ADSI dan kontrol akun pengguna.

Catatan Menggunakan penyimpanan "per mesin" akan sangat membantu dalam skenario di mana profil roaming akan dihapus ketika pengguna log. Pengguna tersebut harus membangun profil roaming dan mungkin harus mengunduh skema agregat. Skenario tertentu yang menyebabkan penghapusan profil roaming meliputi berikut ini:
  • Pengguna yang dikonfigurasi untuk log on dengan menggunakan profil pengguna wajib.
  • Pengguna yang kebijakan "Hapus profil pengguna lebih tua daripada ditetapkan jumlah hari pada startup sistem".
  • Pengguna yang kebijakan "Hapus cache kopi karbon profil roaming".
  • Pengguna profilnya cache dihapus oleh alat seperti DELPROF atau skrip. EXE atau item yang sama.
Informasi lebih lanjut

Informasi tentang ADSI

Klien ADSI adalah implementasi program yang mengakses direktori aktif untuk menyesuaikan ke Model objek komponen (COM).

Komputer berbasis Windows yang menggunakan aplikasi ADSI dan skrip mempertahankan kopi karbon lokal agregat skema direktori aktif. Di awal setiap sesi klien ADSI, atribut skema referensi akan diperiksa untuk perubahan. Karena tidak ada eksplisit atribut di direktori aktif unik mengidentifikasi kemungkinan perubahan pada skema direktori aktif, atribut proksi yang digunakan untuk menentukan saat komputer berbasis Windows akan menyalin kopi karbon diperbarui skema agregat melalui jaringan dari pengendali domain di domain masing-masing klien. aplikasi contoh ADSI meliputi berikut ini:
  • Active Directory administrasi pusat konsol manajemen Microsoft (MMC) snap-in
  • Domain dan direktori aktif kepercayaan MMC snap-in
  • Situs direktori aktif dan Services MMC snap-in
  • snap-in pengguna direktori aktif dan komputer MMC
  • snap-in ADSI Edit MMC
  • snap-in DHCP MMC
  • snap-in MMC DNS Manager
  • Konsol manajemen Exchange
  • Kelompok manajemen snap-in MMC kebijakan
  • Squery.exe

Atribut yang digunakan untuk mendeteksi perubahan skema agregat

Daftar Tabel berikut ini menyediakan kajian tentang atribut yang digunakan untuk mendeteksi perubahan agregat skema untuk setiap versi Windows:

Versi sistem operasi klien ADSISyarat ADSI skema cache unduhan
Windows XP
Windows Server 2003
Windows Server 2003 R2
Windows Vista / Windows Server 2008
Windows 7 / Windows Server 2008 R2
Pemutakhiran modifyTimeStamp atribut pada objek agregat skema
Windows 8 / Windows Server 2012
Windows 8.1 / Windows Server 2012 R2
Pemutakhiran whenChanged skema atribut
Jika perubahan yang terdeteksi pada salah satu dari atribut proxy ini, klien ADSI unduhan kopi karbon baru agregat skema.

Komputer yang menjalankan sistem operasi yang lebih lama daripada Windows 8 atau Windows Server 2012 query atribut modifyTimeStamp pada skema agregat. ModifyTimeStamp diperbarui dengan me-restart layanan direktori aktif sehingga restart pengendali domain atau memulai ulang layanan direktori aktif disebabkan beberapa ADSI klien untuk men-download cache skema agregat dari pengendali domain ketika perubahan tidak sah skema telah terjadi. Ini adalah kurang dari masalah, karena direktori aktif menjadi layanan restartable di Windows Server 2008.

Komputer yang menjalankan Windows 8, Windows Server 2012, atau versi yang lebih baru meminta atribut whenChanged pada skema NC kepala. Atribut whenChanged memiliki efek samping dimutakhirkan saat cadangan keadaan sistem pembaruan atribut DSA-tanda tangan pada skema penamaan konteks. Ini bergantian pembaruan stempel waktu di atribut whenChanged skema NC kepala.

Peristiwa yang memperbarui skema agregat proxy atribut pada pengendali domain

Daftar Tabel berikut ini menyediakan kajian tentang atribut referensi yang diperbarui sesuai dengan versi sistem operasi dan pengoperasian yang memicu atribut pemutakhiran.

Versi sistem operasi pengendali domainKondisi untuk pembaruan atribut agregat skema modifyTimeStampKondisi untuk pembaruan atribut skema whenChanged
Windows Server 2003
Windows Server 2003 R2
Windows Server 2008
Windows Server 2008 R2
pengendali domain atau layanan direktori NT (NTDS) dimulai Ekstensi skema / sistem negara cadangan
Windows Server 2008 R2 dengan KB 2671874
Windows Server 2012
Windows Server 2012 R2
Ekstensi skema / sistem negara cadanganEkstensi skema / sistem negara cadangan
Jika perubahan terdeteksi, ADSI skema tembolok telah diunduh. Cadangan keadaan sistem menulis data di atribut DSA tanda Skema penamaan konteks yang menghasilkan stempel waktu diperbarui whenChanged skema.

Mendeteksi agregat skema cache pemutakhiran klien ADSI

Untuk mendeteksi CPU tinggi dan penggunaan jaringan, gunakan Monitor jaringan 3.4 alat untuk merekam penggunaan jaringan, dan kemudian ikuti langkah-langkah untuk menganalisis hasil:
  1. Gunakan salah satu dari berikut ini menampilkan filter tool, tergantung pada sistem operasi Windows Anda.

    Catatan Filter ini, silakan menggantikan string "CN = skema, CN = Configuration, DC = Contoso, DC = com" dengan garis jatuh berseri direktori aktif Skema penamaan konteks yang dimaksud DN (nama).
    Windows 7 dan klien sebelumnya
    Gunakan filter tampilan berikut untuk query nilai atribut modifyTimeStamp pada objek agregat skema di lalu-lintas jaringan yang diambil:
    (LDAPMessage.SearchRequest.BaseObject.OctetStream == "CN=Aggregate,CN=Schema,CN=Configuration,DC=Contoso,DC=com" AND LDAPMessage.SearchRequest.Attributes.Attribute.OctetStream == "modifyTimeStamp") OR(LDAPMessage.SearchResultEntry.ObjectName.OctetStream == "CN=Aggregate,CN=Schema,CN=Configuration,DC=Contoso,DC=com" AND LDAPMessage.SearchResultEntry.Attributes.PartialAttribute.Type.OctetStream == "modifyTimeStamp")
    Windows 8 dan kemudian klien

    Gunakan filter tampilan berikut untuk query nilai atribut whenChanged pada skema kepala NC lalu lintas jaringan ditangkap:
    (LDAPMessage.SearchRequest.BaseObject.OctetStream == "CN=Schema,CN=Configuration,DC=Contoso,DC=com" AND LDAPMessage.SearchRequest.Attributes.Attribute.OctetStream == "whenChanged") OR (LDAPMessage.SearchResultEntry.ObjectName.OctetStream == "CN=Schema,CN=Configuration,DC=Contoso,DC=com" AND LDAPMessage.SearchResultEntry.Attributes.PartialAttribute.Type.OctetStream == "whenChanged")
    secara asali, nilai ini dibandingkan dengan nilai waktu dalam registri klien dalam bukti kunci berikut ini:

    HKEY_CURRENT_USER\Software\Microsoft\ADs\Providers\LDAP\CN=Aggregate,CN=Schema,CN=Configuration,DC=<root domain>,DC=com

    Klien unduhan cache skema diperbarui jika atribut modifyTimeStamp atau whenChanged lebih tinggi dari nilai yang disimpan di registri. (Atribut ini tergantung pada sistem operasi klien.)

    Berikut ini adalah contoh screen shot alat:

    Screenshot ini adalah contoh bahwa jika atribut modifyTimeStamp atau whenChanged lebih tinggi dari nilai yang disimpan di registri

    Screenshot, Anda dapat melihat berikut ini:
    • Klien ADSI pengikatan ke pengendali domain di Frame nama 8.
    • Pencarian LDAP atribut diubah proxy skema disimpan di salah satu frame LDAPSASLBuffer awal yang diikuti pengikatan.
    • Lalu lintas LDAP terenkripsi dalam beberapa LDAPSASLBuffer frame (target port di DC = TCP 389).
    • pengendali domain terus mengirim data terenkripsi tambahan lebih banyak frame TCP yang memiliki panjang beban TCP 1460.
  2. Setelah Anda telah mengidentifikasi percakapan benar di jaringan jejak yang menunjukkan perilaku ini, Anda dapat menyaring pada port TCP yang menggunakan klien. Dalam contoh, percakapan dimulai dari klien melalui TCP port 65237. Filter Monitor jaringan seperti "tcp.port == 65237" dapat digunakan untuk memisahkan terkait frame.
  3. Jika Anda menyalin semua frame dalam percakapan dan tempel ke Microsoft Excel, Anda melihat bahwa kopi karbon agregat skema asali berukuran TCP beban 2 megabyte (MB) data pada kabel. Ukuran file skema agregat asali adalah sekitar 4 MB setelah pengkodean.

Lalu-lintas jaringan yang berhubungan dengan proses sisi klien

Anda dapat menggunakan Monitor sistem (Sysmon) untuk menentukan proses pada klien yang diinisiasi percakapan ini. ID Kejadian 3 dicatat dalam log kejadian Microsoft-Windows-Sysmon operasi ketika Sysmon diinstal dan dikonfigurasi untuk log LDAP sambungan. Hal ini memungkinkan Anda berkaitan dengan lalu lintas jaringan proses sisi klien karena log sumber IP dan port bersama-sama dengan nama ProcessID dan gambar.


Nama log: Microsoft-Windows-Sysmon/operasional
Sumber: Microsoft-Windows-Sysmon
Tanggal: Tanggal
ID Kejadian: 3
Kategori tugas: Sambungan mendeteksi jaringan (aturan: NetworkConnect)
Tingkat: informasi
Kata kunci:
Pengguna: SISTEM
Komputer: Komputer
Keterangan:
Sambungan jaringan yang terdeteksi:
SequenceNumber: 206
UtcTime: UtcTime
ProcessGuid: {ProcessGuid}
ProcessId: 3220
Gambar: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
Pengguna: Nama pengguna
Protokol: tcp
Memulai: benar
SourceIsIpv6: palsu
SourceIp: SourceIp
SourceHostname: ADSIClient
SourcePort: 65237
SourcePortName:
DestinationIsIpv6: palsu
DestinationIp: DestinationIp
DestinationHostname: DestinationHostname
DestinationPort: 389
DestinationPortName: ldap
Xml peristiwa:

<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider name="Microsoft-Windows-Sysmon" guid=""></Provider></System></Event>"{Nama penyedia}" />
<EventID>3</EventID>
<Version>4</Version>
<Level>4</Level>
<Task>3</Task>
<Opcode>0</Opcode>
<Keywords>0x8000000000000000</Keywords>
<TimeCreated SystemTime=" systemtime=""></TimeCreated SystemTime=">Waktu" />
<EventRecordID>39</EventRecordID>
<Correlation></Correlation>
<Execution processid="1140" threadid="3492"></Execution>
<Channel>Microsoft-Windows-Sysmon/operasional</Channel>
<>r >Komputer
<Security UserID=" userid=""></Security UserID=">UserID" />

<EventData>
<Data name="SequenceNumber">206</Data>
<Data name="UtcTime"></Data></EventData>Waktu
<Data name="ProcessGuid">{</Data>ProcessGuid}
<Data name="ProcessId">3220</Data>
<Data name="Image">C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe</Data>
<Data name="User"></Data>Pengguna
<Data name="Protocol">TCP</Data>
<Data name="Initiated">benar</Data>
<Data name="SourceIsIpv6">palsu</Data>
<Data name="SourceIp"></Data>SourceIp
<Data name="SourceHostname"></Data>SourceHostname
<Data name="SourcePort">65237</Data>
<Data name="SourcePortName">
</Data>
<Data name="DestinationIsIpv6">palsu</Data>
<Data name="DestinationIp"></Data>DestinationIp
<Data name="DestinationHostname"></Data>DestinationHostname
<Data name="DestinationPort">389</Data>
<Data name="DestinationPortName">LDAP</Data>

Monitor proses masuk klien

Monitor proses masuk klien menyediakan informasi kontekstual yang kaya. Filter Monitor proses log masuk ID proses yang dicatat dalam acara log dengan Sysmon.

Screenshot filter Monitor proses log masuk ID proses yang dicatat dalam acara log dengan Sysmon

Anda akan menemukan operasi berikut ini yang menarik.
Operasigaris jatuh berseri
RegOpenKeyHKLM\SYSTEM\CurrentControlSet\Services\ADSI\Cache
RegQueryValueHKCU\Software\Microsoft\ADs\Providers\LDAP\CN = agregat, CN = skema, CN = Configuration, DC =anak domain, DC =domain akar, DC = com\Time
TCP menerimaNama host>: Port-> <DCName> </DCName>: LDAP
RegCreateKeyHKCU\SOFTWARE\Microsoft\ADs\Providers\LDAP\CN = agregat, CN = skema, CN = Configuration, DC =anak domain, DC =domain akar, DC = com
WriteFileC:\Users\<username>\AppData\Local\Microsoft\Windows\SchCache\</username>anak domain.domain akar. com.sch
Catatan Salah satu cara untuk memeriksa apakah komputer berbasis Windows yang memperbarui kopi karbon lokal agregat skema cache adalah untuk melihat perubahan dalam Cap tanggal berkas *.sch di sistem berkas lokal ADSI klien.

Anda dapat menggunakan data dalam Daftar Tabel berikut ini untuk memperbaiki filter Anda untuk log Monitor proses yang sangat besar.

Filter opsional tambahan:
KolomHubunganNilai
garis jatuh berseriBerisiSchCache
OperasiAdalahWriteFile
Screenshot adalah proses Monitor Filter

Mengkonfigurasi Sysmon log LDAP koneksi

  1. Download Sysmon di klien.
  2. Buat berkas teks baru untuk konfigurasi Sysmon, simpan berkas sebagai Sysmonconfig.xml, dan tambahkan konten berikut ini:

    <Sysmon schemaversion="2.0">  <!-- Capture all hashes -->  <HashAlgorithms>*</HashAlgorithms>  <EventFiltering>  <!-- Log all drivers except if the signature -->  <!-- contains Microsoft or Windows -->  <DriverLoad onmatch="exclude">  <Signature condition="contains">microsoft</Signature>  <Signature condition="contains">windows</Signature>  </DriverLoad>  <!-- Do not log process termination -->  <ProcessTerminate onmatch="include" />  <!-- Log network connection if the destination port equal 443 -->  <NetworkConnect onmatch="include">  <DestinationPort>389</DestinationPort><DestinationPort>636</DestinationPort><DestinationPort>3268</DestinationPort><DestinationPort>3269</DestinationPort>  </NetworkConnect>  </EventFiltering></Sysmon>
  3. Jalankan perintah berikut ini untuk menginstal Sysmon:
    Sysmon -i sysmonconfig.xml

Efek samping yang mengaktifkan bendera DRA_INHIBIT_BACKUP_AUTO_STAMP

Satu efek samping mengaktifkan bendera DRA_INHIBIT_BACKUP_AUTO_STAMP adalah peristiwa ID 2089 salah akan menunjukkan bahwa partisi skema tidak sedang ditangkap di hutan yang akan membuat cadangan keadaan sistem.

Contoh peristiwa ID 2089 yang menyerupai berikut ini dicatat di log aplikasi:


Jenis Kejadian: Peringatan
Sumber peristiwa: Replikasi NTDS
Kategori peristiwa: cadangan
ID Kejadian: 2089
Tanggal: tanggal
Waktu: waktu
Pengguna: Nama pengguna
Komputer: nama komputer
Keterangan:

Partisi direktori ini telah tidak telah membuat cadangan sejak di setidaknya berikut jumlah hari.

Partisi direktori:

CN = skema, DC = hutan akar dns aplikasi partisi

Catatan Dicatat kejadian ID 2089 tidak untuk partisi utama lain seperti CN = Configuration atau domain direktori partisi karena tidak ada metode untuk menjalankan khusus partisi cadangan. Untuk informasi selengkapnya, lihat artikel Pangkalan Pengetahuan Microsoft berikut ini:
914034 Replikasi NTDS peristiwa 2089 akan dicatat ketika Windows Server 2003 SP1 dan kemudian pengendali domain yang tidak didukung dalam jangka waktu tertentu

Peringatan: Artikel ini telah diterjemahkan secara otomatis

Properti

ID Artikel: 2789917 - Tinjauan Terakhir: 07/28/2015 15:54:00 - Revisi: 3.0

Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Essentials, Windows Server 2012 Datacenter, Windows Server 2012 Standard, Windows Server 2012 Essentials, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard

  • kbexpertiseadvanced kbsurveynew kbbug kbprb kbtshoot kbmt KB2789917 KbMtid
Tanggapan