Como usar o Event1644Reader.ps1 para analisar o desempenho da consulta LDAP no Windows Server

IMPORTANTE: Este artigo foi traduzido pelo software de tradução automática da Microsoft e eventualmente pode ter sido editado pela Microsoft Community através da tecnologia Community Translation Framework (CTF) ou por um tradutor profissional. A Microsoft oferece artigos traduzidos automaticamente por software, por tradutores profissionais e editados pela comunidade para que você tenha acesso a todos os artigos de nossa Base de Conhecimento em diversos idiomas. No entanto, um artigo traduzido pode conter erros de vocabulário, sintaxe e/ou gramática. A Microsoft não é responsável por qualquer inexatidão, erro ou dano causado por qualquer tradução imprecisa do conteúdo ou por seu uso pelos nossos clientes.

Clique aqui para ver a versão em Inglês deste artigo: 3060643
Este artigo descreve um script que ajuda a analisar o evento ID da falha 1644 do Active Directory no Windows Server 2008, Windows Server 2008 R2 e Windows Server 2012. Revisão da etapas para usar o script. e, em seguida analisar seus problemas.
Sobre o script de Event1644Reader.ps1
Active Directory evento ID da falha 1644 é registrado no log de eventos do serviço de diretório. Este evento identifica o caro e ineficiente ou lenta LDAP Lightweight Directory Access Protocol () procura que são atendidos pelos controladores de domínio do Active Directory. Evento de NTDS geral da falha 1644 ID pode ser filtrado para pesquisas LDAP registros no log de eventos de serviços de diretório com base no número de objetos no banco de dados do Active Directory que foram visitadas, o número de objetos que foram retornados ou o tempo de execução de pesquisa LDAP no controlador de domínio. Para obter mais informações sobre o evento ID da falha 1644, consulte 2800945 hotfix adiciona dados de desempenho do log de eventos do Active Directory.

Event1644Reader.ps1 é um script do Windows PowerShell que extrai dados de eventos da falha 1644 que são hospedados nos logs de eventos de serviço de diretório salvos. Em seguida, importa os dados em uma série de tabelas dinâmicas em uma planilha do Microsoft Excel para ajudar os administradores a obter informações sobre as cargas de trabalho LDAP que estão sendo atendidas pelos controladores de domínio e os clientes que estão gerando consultas.
Como obter o script
Você pode obter o script a partir do Microsoft Script Center.

Isenção de responsabilidade do script Center
Não há suporte para os scripts de exemplo em qualquer serviço ou programa de suporte padrão da Microsoft. Os scripts de exemplo são fornecidos como estão, sem garantia de qualquer tipo. Microsoft também se isenta de todas as garantias implícitas, sem limitação, quaisquer garantias de comercialização ou adequação a um propósito específico implícitas. Todos os riscos decorrentes do uso ou do desempenho dos scripts de exemplo e documentação permanecem com você. Em nenhuma circunstância a Microsoft, seus autores ou qualquer pessoa envolvida na criação, produção ou entrega dos scripts serão responsáveis por quaisquer danos (incluindo, sem limitação, danos por perda de lucros comerciais, interrupção de negócios, perda de informações comerciais ou outras perdas PECUNIÁRIAS) decorrente do uso ou da incapacidade de usar os scripts de exemplo ou a documentação, mesmo que a Microsoft tenha sido avisada da possibilidade de tais danos.

Suporte online do mesmo nível
Para obter suporte online do mesmo nível, ingresse O fórum de equipe script oficial! Para fornecer comentários ou relatar bugs em scripts de exemplo, inicie uma nova discussão na guia discussões para esse script.

Como usar o script
Para melhor analisar as consultas LDAP que são capturadas no evento ID da falha 1644, execute essas etapas:
  1. Certifique-se de que os controladores de domínio que você está solucionando problemas captura aprimoradametadados de evento da falha 1644.

    Observação: Windows Server 2012 R2 adicionado avançada evento da falha 1644 log gravando a duração das consultas LDAP e outros metadados. O avançado da falha 1644 log de eventos foi backported para Windows Server 2008, Windows Server 2008 R2 e Windows Server 2012 pelo hotfix 2800945.
  2. Defina o valor da seguinte entrada de registro de Engenharia de campo para 5:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics\Field Engineering
    Observação: Definir nível de detalhes de log de engenharia de campo para 5 fará com que outros eventos devem ser registrados no log de eventos do serviço de diretório. Redefina engenharia de campo de volta para seu valor padrão de 0 quando você não estiver coletando eventos da falha 1644 ativamente. (Essa ação não requer uma reinicialização.)
  3. Se as seguintes entradas do Registro existirem, altere os valores para o limite desejado em milissegundos. Se não existir uma entrada de registro específica, crie uma nova entrada com esse nome e, em seguida, defina seu valor para o limite desejado em milissegundos.
    Caminho do registroTipo de dadosValor padrão
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Search tempo limite (MS)DWORD30.000
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Expensive limite de resultados de pesquisaDWORD10.000
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Inefficient limite de resultados de pesquisaDWORD1.000
    Observações:
    • Quando a engenharia de campo nível de log é habilitado e a entrada de registro do Limite de tempo de pesquisa (MS) não é usada ou é definida como 0, o valor padrão de limite de tempo é 30.000 milissegundos. (Essa ação não requer uma reinicialização.)
    • Seria uma estratégia definir o valor do registro para as configurações do registro o limite ineficiente de resultados de pesquisa e o cara limite de resultados de pesquisa e foco em eventos que são identificados pelo tempo de pesquisa mantenha (MS). Inicie com um valor maior, como 100 milissegundos e incrementalmente diminuir o valor como otimizar as consultas que estão ocorrendo no seu ambiente.
    • Event1644Reader.ps1 pode analisar eventos de vários controladores de domínio. Configure a engenharia de campo, tempo de pesquisa, cara e configurações da chave do registro ineficiente em todos os controladores de domínio em que você deseja analisar pesquisas LDAP.

  4. Baixe o arquivo Event1644Reader.ps1Microsoft Script Center no computador que analisará salva arquivos arquivo EVTX de serviço do Active Directory que contêm eventos da falha 1644.

    Este computador deve ter o Microsoft Excel 2010 ou posterior instalado e deve ter espaço em disco suficiente para hospedar os logs de eventos do serviço de diretório que analisa o script.
  5. Cópia salva os logs de eventos do serviço de diretório que contêm os eventos da falha 1644 dos controladores de domínio em que você ativou o log para o computador de análise da falha 1644 de eventos da falha 1644.
  6. No Windows Explorer, clique com botão direito no arquivo Event1644Reader.ps1 ,e, em seguida, selecione executar com o PowerShell.
    Esta é a tela para esta etapa:
    A captura de tela desta etapa.
  7. Pressione Y para ignorar a diretiva de execução do PowerShell conforme necessário.
  8. Especifique o caminho dos arquivos de arquivo EVTX ser analisada.
  9. Quando aparecer o aviso como a screen shot a seguir, execute as seguintes ações:
    A captura de tela do PowerShell.
    • Pressione Enter para analisar todos os arquivos de arquivo EVTX estão localizados no mesmo diretório que o arquivo Enent1644Reader.ps1.
    • Tipo de unidade:\caminho caminho que contém os arquivos do arquivo EVTX ser analisada.

    Observação: Event1644Reader.ps1 analisa os eventos da falha 1644 em todos os logs de eventos do serviço de diretório de nível estão localizados no caminho de destino sempre que o script for executado.
  10. Abra a planilha para analisar os dados e percorrer a série de guias e, em seguida, salve a planilha do Excel conforme necessário. Para obter mais informações sobre as guias de planilha, consulte o "Explicação passo a passo da planilha do Excel criada por 1644Reder.ps1"a seção.
Nota *. csv arquivos que são criados pela ferramenta não são removidos automaticamente. Considere a eliminação de arquivos *. csv depois que a investigação estiver concluída.
Mais Informações

Explicação passo a passo da planilha do Excel que é criada por Event1644Reader.ps1

Event1644Reader.ps1 extrai metadados da falha 1644 eventos nos logs de eventos de serviço de diretório salvos e importa dados para uma série de planilhas com guias em uma planilha do Microsoft Excel.

A tabela a seguir resume os dados contidos em cada guia:
GuiaDescrição
Dados brutosCada campo de dados capturado pelo evento ID da falha 1644 é importado para colunas individuais. Filtragem de dados é automaticamente habilitado para que você pode classificar ou filtrar em qualquer cabeçalho de coluna. Se estivessem da falha 1644 logs de eventos de vários controladores de domínio no mesmo diretório que o script do PowerShell ou no diretório especificado pelo administrador, use filtros para exibir consultas LDAP que tem como alvo a controladores de domínio específicos.
Top_StartingNodeFornece uma lista classificada de partições de diretório alvo de consultas LDAP em uma determinada amostra. Se a maioria das consultas está ocorrendo em uma única partição (esquema, configuração ou domínio), considere a adição de partição como um filtro nas tabelas dinâmicas restantes. Detalhes de drill-through expõe os filtros superior (por exemplo, a consulta LDAP), o cliente IPs que emitiu as consultas e os carimbos de data e hora para essas consultas.
Top_CallersLista os endereços IP do cliente que emitiu as consultas LDAP em decrescente ordem de pesquisa de contagem com porcentagem do total geral. Porcentagem do total em execução o ajuda a identificar os chamadores superior. (Isto é, os chamadores top 10 ou 20 podem gerar 80 por cento do volume de consulta, considerando que muitas chamadas de seu problema). Detalhes de drill-through expõe os filtros e as etapas de data e hora que cada cliente emitiu LDAP consultas em uma determinada amostra.
Top_FiltersListas com mais freqüência emitido consultas LDAP em volume ordem decrescente. Isso inclui o tempo médio de pesquisa. Detalhes de drill-through expõe o endereço IP do cliente LDAP e a data e a hora em que cada consulta foi enviada.
TotalSearchTime por chamadoresLista os endereços IP do cliente em ordem decrescente de tempo total de pesquisa em todas as consultas LDAP no exemplo. Detalhes de análise identificam as consultas LDAP e a data e a hora em que cada consulta foi emitida.
TotalSearchTime pelos filtrosLista as consultas LDAP em ordem decrescente de tempo total de pesquisa. Detalhes de drill-through expõe o endereço IP do cliente LDAP e a data e a hora em que cada consulta correspondente foi enviada.
Tempo de pesquisa classificaExibe o número de consultas LDAP que ocorreu em Quartis baseados em tempo. Consultas mais lentas são ruins. Consultas mais rápidas são bons se eles não são emitidos com muita freqüência. Microsoft Exchange quer consultas LDAP que são emitidos pelos servidores Exchange sejam resolvidos em 50 milissegundos ou menos. Assim, o primeiro grupo quartil concentra-se no tempo "bucket."
Dinâmica em brancoEsta é uma tabela dinâmica em branco que você pode alterar conforme necessário, para mostrar os dados específicos do seu cenário.

Análise do cenário

Se as consultas LDAP são lentas ou se a utilização da CPU é alta em controladores de domínio, isso pode ser causado por consultas excessivamente emitidas, consultas ineficientes, alguma combinação dessas consultas, esgotamento do pool de fila de Thread assíncronas (ATQ) ou muitas das notificações de alteração.

Se o problema de clientes caro e ineficiente ou lotes de consultas LDAP, usam Event1644Reader.ps1 para coletar dados sobre os controladores de domínio para identificar os endereços IP dos clientes. Em seguida, mapear essas consultas para a identificação do processo, o nome do processo ou do aplicativo de chamada nos computadores cliente.

A tabela a seguir lista as otimizações possíveis para esse problema.

Otimização/atenuaçãoSinopse
Pare a carga de trabalho excessiva. Se muitos ou consultas LDAP causarem interrupções de serviço, enfocar os clientes que chamam superior e trabalho para identificar e eliminar a fonte da carga de trabalho excessiva.

Opções possíveis para identificar aplicativos incluem o uso de PROCMON, o rastreamento ETW/ETL e análise de depuração para identificar o aplicativo que gera consultas LDAP no cliente. Outra estratégia é usar uma abordagem de dividir por dois no topo dos serviços ou remoção de aplicativos que estão gerando consultas LDAP. As consultas emitidas podem pertencer o aplicativo ou o processo de chamada.
Instale um Otimizador de consultas LDAP atualizado. Windows Server 2012 R2 contém um Otimizador de consultas LDAP atualizado que melhora o desempenho para a maioria das consultas. Subconjuntos do Windows Server 2012 R2 são backported para Windows Server 2008 R2 e Windows Server 2012 em hotfix 2862304.
Certifique-se de que os clientes estiverem enviando consultas aos controladores de domínio do site ideal. Envio de consultas LDAP na WAN introduz latência de rede para a entrega da consulta LDAP para o controlador de domínio e a resposta para o cliente. Certifique-se de que os sites do Active Directory e definições de sub-rede existem para computadores cliente e servidor no Active Directory.

Certifique-se de que os aplicativos não têm referências embutida para controladores de domínio do site remoto ou controladores de domínio graváveis de leitura somente quando existirem controladores de domínio do site ideal.
Trabalhar com os desenvolvedores de software para reduzir a freqüência na qual as consultas são emitidas. Isso inclui o uso de cache.Mesmo com eficiência emitidas consultas superar para baixo de um controlador de domínio apropriadamente dimensionados e configurados se consultas são emitidas com muita freqüência.
Aplicativos podem ter que controlar o volume de consulta ou cache resultados da consulta para reduzir a rede, o LDAP e a CPU carrega.
Otimize a consulta LDAP seja executada mais rapidamente.Sintaxe de consulta pode ter que ser reestruturados para executar mais rapidamente.
Movendo elementos de consulta para a esquerda ou para direita no filtro pode melhorar o desempenho.
Adicionar um duplo "não" pode melhorar o desempenho da consulta.
Considere a redução do número de objetos que visitou iniciando consultas inferior na árvore.
Reduza o número de atributos que estão sendo retornados por consultas.
Adicione índices para atributos do Active Directory conforme necessário.Adicionar índices pode melhorar o desempenho da consulta. Isso tem o efeito colateral de aumentar o tamanho do banco de dados e pode atrasar temporariamente a replicação do Active Directory durante a criação do índice.
Determine se um defeito de código existe no otimizador de consultas e outros componentes.Defeitos no otimizador de consulta LDAP e outros componentes podem reduzir a taxa de transferência.

Problema conhecido

Os valores na planilha do Excel não são exibidos ou processados corretamente em computadores que usam idiomas diferentes do inglês.

Por exemplo, isso ocorre em um computador quando o Windows PowerShell de Cultura Get cmdlet indica a configuração regional como segue:
PS C:\Windows\System32\WindowsPowerShell\v1.0> Get-Culture LCID             Name             DisplayName  ----             ----             -----------1031             de-DE            German (Germany)PS C:\Windows\System32\WindowsPowerShell\v1.0> Get-UICultureLCID            Name            DisplayName  ----             ----             -----------1033             en-US            English (United States)                                                      
Nessa situação, os números na planilha do Excel são processados como no screen shot a seguir:
captura de tela para o processamento do Excel

Para resolver esse problema, altere o Símbolo Decimal como um ponto (.) no item no painel de controle configurações de região .


Para obter mais informações sobre consultas LDAP, consulte o seguinte blog:

Propriedades

ID do Artigo: 3060643 - Última Revisão: 09/25/2015 09:22:00 - Revisão: 3.0

Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Essentials, Windows Server 2012 R2 Foundation, Windows Server 2012 Datacenter, Windows Server 2012 Standard, Windows Server 2012 Essentials, Windows Server 2012 Foundation, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Foundation

  • kbprb kbtshoot kbexpertiseadvanced kbsurveynew kbmt KB3060643 KbMtpt
Comentários