Event1644Reader.ps1를 사용 하 여 Windows Server의 LDAP 쿼리 성능을 분석 하는 방법

Windows Server 2012, Windows Server 2008 R2 및 Windows Server 2008의 Active Directory 이벤트 ID 1644 분석 하는 데 도움이 되는 스크립트에 설명 합니다. 스크립트를 사용 하는 단계 그 다음으로 분석 하 여 문제를검토 합니다.

Event1644Reader.ps1 스크립트에 대 한

Active Directory 이벤트 ID 1644 디렉터리 서비스 이벤트 로그에 기록 됩니다. 비용이 많이 드는, 비효율적,이 이벤트를 식별 하거나 Active Directory 도메인 컨트롤러에서 서비스 하는 느린 경량 디렉터리 액세스 프로토콜 (LDAP) 검색 합니다. NTDS 일반 이벤트 ID 1644 방문한 Active Directory 데이터베이스에 있는 개체의 수, 반환 된 개체 수 또는 도메인 컨트롤러에서 LDAP 검색 실행 시간에 따라 디렉터리 서비스 이벤트 로그에 기록 되는 LDAP 검색에 필터링 할 수 있습니다. 이벤트 ID 1644에 대 한 자세한 내용은 Active Directory 이벤트 로그에 대 한 성능 데이터를 추가 하는 핫픽스 2800945를참조 하십시오.

Event1644Reader.ps1에 저장 된 디렉터리 서비스 이벤트 로그에서 호스팅되는 1644 이벤트에서 데이터를 추출 하는 Windows PowerShell 스크립트입니다. 그런 다음 일련의 관리자가 LDAP 쿼리를 생성 하는 클라이언트와 도메인 컨트롤러에서 서비스 되 고 있는 작업에 대 한 통찰력을 얻을 수 있도록 스프레드시트를 Microsoft Excel에서 피벗 테이블에 해당 데이터를 가져옵니다.

스크립트를 구하는 방법

Microsoft 스크립트 센터에서 스크립트를 얻을 수 있습니다.

스크립트 센터 책임의 한계
샘플 스크립트는 Microsoft 표준 지원 프로그램이 나 서비스에 의해 지원 되지 않습니다. 샘플 스크립트는 어떠한 종류의 보증도 없이 있는 그대로 제공 됩니다. Microsoft는 묵시적된 보증을 포함 하 여, 제한 없이 상품성 또는 특정 목적에의 적합성의 보증을 암시 합니다. 사용 또는 성능 샘플 스크립트 및 설명서의 위험은 당신과. 다른 사람이 작성, 프로덕션, 관련 어떠한 경우에 Microsoft, 그 작성자 또는 스크립트의 배달 책임을 지지 않습니다 어떠한 손해 (포함 하 되 제한 되지 않음, 영업 이익, 영업 중단, 영업 정보 손실의 손실로 인 한 손해 또는 기타 금전적 손실을) Microsoft가 그와 같은 손해의 가능성을 사전에 알고 있었던 경우에 사용을 또는 샘플 스크립트 또는 설명서를 사용할 수 없음으로 발생 하는.

온라인 피어 지원
온라인 피어 지원을 위한 참가할 의 공식 Scripting Guy 포럼! 예제 스크립트에서 사용자 의견 또는 보고서 버그를 제공 하려면이 스크립트의 토론 탭에서 새로운 토론을 시작 하십시오.

스크립트를 사용 하는 방법

이벤트 ID 1644에에서 표현 된 LDAP 쿼리를 더 잘 분석 하려면 다음과이 같이 하십시오.
  1. 되도록 향상 된 캡처를 해결 하는 도메인 컨트롤러1644 이벤트 메타 데이터입니다.

    참고: Windows Server 2012 R2 향상 된 1644 이벤트 로그 LDAP 쿼리 기간 및 기타 메타 데이터를 기록 하 여 추가 합니다. 향상 된 1644 이벤트 로깅 핫픽스 2800945에 의해 Windows Server 2012, Windows Server 2008 R2 및 Windows Server 2008로 backported 되었습니다.
  2. 필드 엔지니어링 다음 레지스트리 항목의 값을 5로 설정 합니다.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics\Field 엔지니어링
    참고: 필드 엔지니어링 로그의 자세한 정도 5로 설정 하면 다른 이벤트는 디렉터리 서비스 이벤트 로그에 기록 됩니다. 1644 이벤트를 적극적으로 수집 하지 않는 경우 기본값인 0으로 다시 필드 엔지니어링을 다시 설정 합니다. (이 이렇게 다시 필요 하지 않습니다.)
  3. 다음 레지스트리 항목이 존재 하는 경우 원하는 임계값 (밀리초) 값을 변경 합니다. 특정 레지스트리 항목이 존재 하지 않는 같은 이름의 새 항목을 만들고 원하는 임계값 (밀리초) 값을 설정 합니다.
    레지스트리 경로데이터 형식기본값
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Search 시간 임계값 (밀리초)DWORD30000
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Expensive 검색 결과 한계DWORD10000
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Inefficient 검색 결과 한계DWORD1, 000
    참고
    • 필드 엔지니어링 로깅 수준을 사용 하 고 검색 시간 임계값 (밀리초) 레지스트리 항목 사용 되지 않는 또는 0으로 설정 된 경우에 시간 임계값의 기본값은 30, 000 밀리초입니다. (이 이렇게 다시 필요 하지 않습니다.)
    • 한 가지 전략 비효율적인 검색 결과 한계 및 비용이 많이 드는 검색 결과 한계 레지스트리 설정에 대 한 레지스트리 값을 설정 하는 것 잡고 검색 시간으로 식별 되는 이벤트에 초점 (밀리초). 같은 100 밀리초 보다 큰 값을 사용 하 여 시작한 환경에서 발생 하는 쿼리를 최적화할 때 증분 값 감소 합니다.
    • Event1644Reader.ps1 여러 도메인 컨트롤러에서 이벤트를 구문 분석할 수 있습니다. LDAP 검색을 검토 하고자 하는 모든 도메인 컨트롤러에서 필드 엔지니어링, 검색 시간, 비용, 및 비효율적인 레지스트리 키 설정을 구성 합니다.

  4. 1644 이벤트를 포함 하는 Active Directory 서비스 EVTX 파일 저장 분석 하는 컴퓨터에 Microsoft 스크립트 센터에서 Event1644Reader.ps1 파일을 다운로드 합니다.

    이 컴퓨터에 Microsoft Excel 2010 있어야 합니다. 또는 이후 버전 설치 하 고 스크립트를 파싱하는 디렉터리 서비스 이벤트 로그를 호스팅할 충분 한 디스크 공간이 있어야 합니다.
  5. 복사는 1644 이벤트 1644 이벤트 1644 분석 컴퓨터에 대 한 로깅을 사용할 수 있는 도메인 컨트롤러를 포함 하는 디렉터리 서비스 이벤트 로그를 저장 합니다.
  6. Windows 탐색기에서 Event1644Reader.ps1 파일을 마우스 오른쪽 단추로한 다음 PowerShell을 사용 하 여 실행을 선택 합니다.
    다음은이 단계에 대 한 화면입니다.
    The screen shot of this step.
  7. PowerShell 실행 정책은 필요에 따라 무시 하려면 Y 키를 누릅니다.
  8. 구문 분석 EVTX 파일의 경로 지정 합니다.
  9. 다음 스크린 샷에서와 메시지가 표시 되 면 다음 작업을 수행할:
    The screen shot of PowerShell.
    • Enent1644Reader.ps1 파일과 같은 디렉터리에 있는 모든 EVTX 파일을 구문 분석 하는 Enter 키를 누릅니다.
    • 드라이브: \경로 경로 EVTX에 포함 된 파일을 구문 분석 합니다.

    참고: Event1644Reader.ps1은 1644 이벤트 스크립트가 실행 될 때마다 대상된 경로에 있는 모든 상위 수준 디렉터리 서비스 이벤트 로그를 구문 분석 합니다.
  10. 워크시트 데이터를 검토 하 고 루프는 일련의 탭을 연 다음 필요에 따라 Excel 스프레드시트를 저장 합니다. 워크시트의 탭에 대 한 자세한 내용은 "Excel 스프레드시트 1644Reder.ps1에서 만든 연습" 절을 참조.
도구에서 기본 제공 되는 참고 *.csv 파일을 자동으로 제거 되지 않습니다. 검사를 완료 한 후 *.csv 파일을 제거 하는 것이 좋습니다.

자세한 내용

Event1644Reader.ps1에서 만든 Excel 스프레드시트의 연습

시나리오 분석

알려진된 문제


LDAP 쿼리에 대 한 자세한 내용은 다음 블로그를 참조 하십시오.
속성

문서 ID: 3060643 - 마지막 검토: 2017. 2. 6. - 수정: 1

Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows Server 2012 Datacenter, Windows Server 2012 Datacenter, Windows Server 2012 Datacenter, Windows Server 2012 Datacenter, Windows Server 2012 Standard, Windows Server 2012 Standard, Windows Server 2012 Standard, Windows Server 2012 Standard, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2012 Foundation, Windows Server 2012 Foundation, Windows Server 2012 Foundation, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Foundation

피드백