Event1644Reader.ps1 を使用して Windows Server の LDAP クエリのパフォーマンスを分析する方法

重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。

英語版 KB:3060643
この資料では、Windows Server 2012 の、Windows Server 2008 R2、および Windows Server 2008 では、Active Directory イベント ID 1644 の分析を支援するスクリプトについて説明します。レビュー、 スクリプトを使用する手順を実行します。問題を分析します。.
Event1644Reader.ps1 スクリプトの詳細
Active Directory イベント ID 1644 がディレクトリ サービス イベント ログに記録されます。このイベント高価で非効率的なまたは Active Directory ドメイン コント ローラーによって処理され、低速なライトウェイト ディレクトリ アクセス プロトコル (LDAP) 検索します。NTDS 一般的なイベント ID 1644 は、閲覧された Active Directory データベース内のオブジェクトの数、返されたオブジェクトの数、またはドメイン コント ローラー上で LDAP 検索の実行時間に基づいて、ディレクトリ サービス イベント ログ内のレコードの LDAP 検索をフィルター処理できます。イベント ID 1644 の詳細については、次を参照してください。 修正プログラム 2800945 は、Active Directory イベント ログをパフォーマンス データを追加します。.

Event1644Reader.ps1 は、保存されているディレクトリ サービス イベント ログ内でホストされている 1644年のイベントからデータを抽出する Windows PowerShell スクリプトです。次に、一連の管理者が、ドメイン コント ローラーおよびそれらのクエリを生成しているクライアントでサービスが実行される LDAP のワークロードに関する情報を取得できるように、Microsoft Excel のワークシートにピボット テーブルにデータをインポートします。
スクリプトを入手する方法
スクリプトを取得することができます、 Microsoft スクリプト センター.

スクリプト センターについての免責事項
サンプル スクリプトは、Microsoft の標準サポート プログラムまたはサービスではサポートされていません。サンプル スクリプトは、どのような種類の保証もなく、IS として提供されます。さらに、Microsoft はいかなる黙示の保証を含む、いずれかのもので、商品性または特定目的に対する適合性の。サンプル スクリプトおよびドキュメントのパフォーマンスまたは使用から生じるすべてのリスク負担しなければなりません。いかなる場合にマイクロソフトでは、著者、または作成、製造、関連する他のユーザーまたはスクリプトの提供するいかなる損害に対して責任を負いません一切など、制限、ビジネス利益、業務の中断、ビジネス情報の損失の損失の損害またはその他の金銭の損失のないマイクロソフトが損害の可能性について知らされていた場合でもに、サンプル スクリプトまたはドキュメントを使用すること、または使用から生じる。

オンライン ピア サポート
オンライン ピア サポートでは、次のように参加します。 公式のスクリプト Guys フォーラムです。 サンプル スクリプトのフィードバック、またはレポートのバグを提供するには、このスクリプトの [ディスカッション] タブで新しいディスカッションを開始してください。

スクリプトを使用する方法
イベント ID 1644 でキャプチャされている LDAP クエリをより正確に分析するのには以下の手順を実行します。
  1. 確認ドメイン コント ローラーが強化されたキャプチャのトラブルシューティングを1644年イベントのメタデータ。

    注: <b>Windows Server 2012 R2 では、LDAP クエリの期間とその他のメタデータを記録することによってログ拡張の 1644年イベントを追加します。拡張 1644年イベント ログ設定されている修正プログラムによって、Windows Server 2012 の、Windows Server 2008 R2、および Windows Server 2008 に移植されました。 2800945.
  2. フィールド エンジニア リングの次のレジストリ エントリの値を5に設定します。
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics\Field Engineering
    注: <b>フィールド エンジニア リング ログの詳細レベルを 5 に設定すると、ディレクトリ サービス イベント ログにログに記録するには、他のイベントが発生します。1644 イベントをアクティブに収集がない場合は 0 の既定値に戻すフィールド エンジニア リングをリセットします。(この操作は再起動は必要ありません。)
  3. 次のレジストリ エントリが存在する場合は、値を目的のしきい値 (ミリ秒単位) に変更します。特定のレジストリ エントリが存在しない場合その名前を持つ新しいエントリを作成し、目的のしきい値 (ミリ秒単位) の値を設定します。
    レジストリ パスデータ型既定値
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Search 時間のしきい値 (ミリ秒)DWORD30,000
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Expensive の検索結果のしきい値DWORD10,000
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Inefficient の検索結果のしきい値DWORD1,000
    注:
    • フィールド エンジニア リング ログ出力のレベルを有効にすると検索時間のしきい値 (ミリ秒)のレジストリ エントリが実行されていないか、 0に設定されて、時間のしきい値の既定値は、30,000 ミリ秒です。(この操作は再起動は必要ありません。)
    • 非効率的な検索結果のしきい値と高価な検索結果のしきい値の両方のレジストリ設定のレジストリ値を設定する方法の 1 つになり、検索時間が指定されているイベントに注目押し (ミリ秒)。100 ミリ秒のような大きい値で起動し、し、増分値を小さく、環境内で発生しているクエリを最適化するとします。
    • Event1644Reader.ps1 は、複数のドメイン コント ローラーからのイベントを解析できます。LDAP 検索を確認するすべてのドメイン コント ローラーには、フィールド エンジニア リング、検索時間、コスト、および非効率的なレジストリ キーの設定を構成します。

  4. Event1644Reader.ps1ファイルをダウンロードします。 Microsoft スクリプト センター 分析するコンピューターに 1644年イベントが含まれているアクティブなディレクトリ サービスの EVTX ファイルを保存します。

    このコンピューターは、Microsoft Excel 2010 を持つ必要があります。 またはそれ以降のバージョンがインストールされているし、スクリプトを解析するディレクトリ サービス イベント ログをホストするための十分なディスク領域がある必要があります。
  5. 1644 イベントが 1644年分析コンピューターへのログオンを有効になっているドメイン コント ローラーから 1644年のイベントを含むディレクトリ サービス イベント ログをコピーに保存されます。
  6. Windows エクスプ ローラーでファイルを右クリックして、 Event1644Reader.ps1 し、 PowerShell を使用して実行を選択します。
    スクリーン ショットのこの手順を次に示します。
    この手順のスクリーン ショットです。
  7. 必要に応じて PowerShell 実行ポリシーをバイパスするのには Y を押します。
  8. 解析する EVTX ファイルのパスを指定します。
  9. 次のスクリーン ショットと、プロンプトが表示された場合は、次の操作を実行します。
    PowerShell のスクリーン ショットです。
    • Enent1644Reader.ps1 ファイルと同じディレクトリにあるすべての EVTX ファイルを解析するには、enter キーを押します。
    • 型、 ドライブ:\パス 解析する EVTX ファイルを含むパスです。

    注: <b>Event1644Reader.ps1 は、1644 のイベントのスクリプトが実行されるたびに、対象となるパス内にあるすべての上位レベルのディレクトリ サービス イベント ログを解析します。
  10. ワークシートのデータを確認し、一連のタブでは、順を追ってを開き、必要に応じて Excel のスプレッドシートを保存します。ワークシートのタブの詳細についてを参照してください、」1644Reder.ps1 によって作成された Excel スプレッドシートのチュートリアルセクションに進んでください。
ツールが組み込まれている*.csv ファイルは自動的に削除されません。調査が完了した後は、*.csv ファイルをパージすることを検討してください。
詳細

Event1644Reader.ps1 によって作成された Excel スプレッドシートのチュートリアル

Event1644Reader.ps1 は保存されているディレクトリ サービス イベント ログにイベントを 1644年からメタデータを抽出し、一連の Microsoft Excel スプレッドシート内のタブ付きのワークシートにデータをインポートします。

次の表は、各タブに含まれるデータをまとめたものです。
タブ説明
RawDataイベント ID 1644 によってキャプチャされた各データ フィールドは、個別の列にインポートされます。データのフィルター処理は自動対応できるように、並べ替えまたはフィルターすることができます任意の列ヘッダーにします。PowerShell スクリプトと同じディレクトリまたは管理者が指定したディレクトリに存在する複数のドメイン コント ローラーからのイベント ログを 1644年場合場合、は、特定のドメイン コント ローラーを対象とする LDAP クエリを表示するのにはフィルターを使用します。
Top_StartingNode特定のサンプルでは、LDAP クエリの対象となるディレクトリ パーティションの一覧を提供します。ほとんどのクエリが 1 つで発生しているかどうか (スキーマ、構成、またはドメイン) のパーティションは、他のピボット テーブル レポートでフィルターとしてそのパーティションを追加することを検討してください。ドリルスルーの詳細など、LDAP クエリ)、最上位のフィルターを公開するクライアントの ip アドレス、それらのクエリとクエリの日付と時刻のスタンプを発行しました。
Top_Callers総合計の割合で検索数の降順に LDAP クエリを発行したクライアントの IP アドレスを一覧表示します。実行中の合計の割合を使用して、最上位の呼び出し元を識別するのに役立ちます。(つまり、10、20 の最上位の呼び出し元が発生する、クエリのボリュームの 80% 呼び出しが多すぎますが、問題)。ドリルスルーの詳細は、フィルター、および特定のサンプルではそれぞれのクライアントが発行した LDAP に対してクエリを実行する日付と時刻の手順を公開します。
Top_Filtersリストには、最も頻繁にボリュームを降順での LDAP クエリが発行されます。これには、平均検索時間が含まれます。ドリルスルーの詳細は、日付と時刻の各クエリが送信された LDAP クライアントの IP アドレスを公開します。
呼び出し元が TotalSearchTimeすべての LDAP クエリのサンプルでクライアントの IP アドレス検索の合計時間の降順で表示されます。ドリルスルーの詳細は、日付と時刻の各クエリが発行された LDAP クエリを識別します。
フィルターで TotalSearchTime総検索時間の降順での LDAP クエリの一覧が表示されます。ドリルスルーの詳細は、日付と時刻が一致する各クエリが送信された LDAP クライアントの IP アドレスを公開します。
検索時間をランク付けします。四分位数を時間ベースで発生した LDAP クエリの数を表示します。低速のクエリは、正しくないです。高速のクエリは、多くの場合、発行されていない場合に有効です。Microsoft Exchange では、50 ミリ秒単位で解決するように Exchange サーバーによって発行された以下の LDAP クエリが必要があります。では、最初の 25% のグループは、その時「バケツ。」に焦点を当てます。
空白のピボットこれは、シナリオでは、特定のデータを表示するには必要に応じて変更できますが、空白のピボット テーブルです。

シナリオ分析

LDAP クエリは時間がかかり、CPU 使用率が高いドメイン コント ローラーの場合や、これが過度に発行されたクエリ、非効率なクエリのクエリ、非同期スレッド キュー (ATQ) プールの枯渇、または多数の変更通知のいくつかの組み合わせによって発生可能性があります。

場合は高価で非効率的なクライアントの問題や、LDAP クエリの多くは、クライアントの IP アドレスを識別するドメイン コント ローラーでデータを収集するために Event1644Reader.ps1 を使用します。次に、プロセス ID、プロセス名、または呼び出し元のアプリケーションをクライアント コンピューターにこのようなクエリをマップします。

次の表は、この問題に対して実行可能な最適化をします。

最適化とリスクの軽減概要
過度のワークロードを停止します。 大量または LDAP クエリ サービスが停止する場合、焦点を特定し、過剰な負荷の原因を排除するには、最上位の呼び出し元クライアントと作業します。

PROCMON を使用してアプリケーションの識別に使用できるオプションは、ETL と ETW トレース、およびクライアント側で LDAP クエリを生成するアプリケーションを識別するのには、デバッグの分析。Topping サービスまたは LDAP クエリを生成するアプリケーションを削除するのいずれかの 2 分割の方法を使用する別の方式です。発行されたクエリは、呼び出し元のアプリケーションまたはプロセスを意味します。
LDAP クエリ ・ オプティマイザーが更新をインストールします。 Windows Server 2012 R2 には、ほとんどのクエリのパフォーマンスを向上させる更新済みの LDAP クエリ オプティマイザーが含まれています。Windows Server 2012 R2 のサブセットは、Windows Server 2008 R2 と Windows Server 2012 の内に移植されましたです。 修正プログラム 2862304.
クライアントがサイトに最適なドメイン コント ローラーにクエリを送信していることを確認します。 WAN 経由の LDAP クエリを送信すると、LDAP クエリのドメイン コント ローラーとクライアントへの返信の配信にネットワークの遅延が導入されています。Active Directory 内のクライアントおよびサーバー コンピューターの Active Directory サイトとサブネットの定義が存在することを確認します。

アプリケーションがないことをリモート ・ サイトのドメイン コント ローラーまたは読み取り-書き込み可能なドメイン コント ローラーに参照をハード コーディングされたサイトに最適なドメイン コント ローラーが存在する場合にのみを確認します。
クエリを実行する頻度を減らすためにソフトウェア開発者と協力します。これには、キャッシュの使用が含まれます。でも効率的に発行されたクエリは、クエリの発行頻度が高すぎる場合、適切にサイジングおよび構成済みのドメイン コント ローラーを打ち勝つことのできます。
アプリケーションは、クエリのボリュームを調整する必要がありますか、ネットワーク、LDAP、および CPU を減らすためにクエリ結果をキャッシュにロードします。
迅速に実行する LDAP クエリを最適化します。クエリの構文より迅速に実行するために再構成する必要があります。
クエリの要素をフィルター内で右または左へ移動すると、パフォーマンスが向上します。
Double 型の値を追加する「いない」ことがありますクエリ パフォーマンスを向上します。
ツリーの下のクエリを起動することによってアクセスされるオブジェクトの数を減らすことを検討してください。
クエリによって返される属性の数を削減します。
必要に応じて Active Directory の属性にインデックスを追加します。インデックスを追加すると、クエリのパフォーマンスが向上することができます。これは、データベース サイズの増加の副作用が発生し、インデックスのビルド中に Active Directory のレプリケーションを一時的に遅れる可能性があります。
クエリ オプティマイザーと他のコンポーネントのコードの欠陥が存在するかどうかを決定します。LDAP クエリ オプティマイザーと他のコンポーネントの障害には、スループットを減らすことができます。

既知の問題

Excel スプレッドシート内の値は、表示したり、英語以外の言語を使用しているコンピューター上で適切にレンダリングします。

たとえば、このコンピューターで発生コマンドレットとしての地域の設定を指定するカルチャを取得Windows PowerShell のようになります。
PS C:\Windows\System32\WindowsPowerShell\v1.0> Get-Culture LCID             Name             DisplayName  ----             ----             -----------1031             de-DE            German (Germany)PS C:\Windows\System32\WindowsPowerShell\v1.0> Get-UICultureLCID            Name            DisplayName  ----             ----             -----------1033             en-US            English (United States)                                                      
この状況では、Excel スプレッドシート内の数値は次のスクリーン ショットに示すようにレンダリングされます。
Excel 表示のスクリーン ショット

この問題を解決するには、コントロール パネルの [地域の設定項目では、ピリオド (.) を小数点の記号を変更します。


LDAP クエリの詳細については、次のブログを参照してください。

警告: この記事は自動翻訳されています

プロパティ

文書番号:3060643 - 最終更新日: 09/25/2015 09:19:00 - リビジョン: 3.0

Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows Server 2012 Datacenter, Windows Server 2012 Standard, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Foundation

  • kbprb kbtshoot kbexpertiseadvanced kbsurveynew kbmt KB3060643 KbMtja
フィードバック