Controler WAN și domeniu greu de utilizare CPU atunci când efectuați copia de rezervă stării sistemului

IMPORTANT: Acest articol este tradus cu ajutorul software-ului Microsoft de traducere automată și poate fi corectat prin intermediul tehnologiei Community Translation Framework (CTF). Microsoft oferă articole traduse automat, post-editate de comunitate și articole traduse de oameni, pentru a permite accesul la toate articolele din Baza noastră de cunoștințe în mai multe limbi. Articolele traduse automat și post-editate pot conține greșeli de vocabular, sintaxă și/sau gramatică. Microsoft nu este responsabil de inexactitățile, erorile sau daunele cauzate de traducerea greșită a conținutului sau de utilizarea acestuia de către clienți. Găsiți mai multe informații despre traducerea în colaborare la http://support.microsoft.com/gp/machine-translation-corrections/ro.

Faceți clic aici pentru a vizualiza versiunea în limba engleză a acestui articol: 2789917

Acest articol descrie cum sistem de stare copiile de rezervă de controlere de domeniu Active Directory reproduc update atributele de referință care provoca clienții Active Directory Service Interfaces (ADSI) pentru a descărca schema cumulate. Acest proces de descărcare creşte potențial load pe computere cu rol controler de domeniu și rețeaua subordonată.
Simptome
Atunci când efectuați sistem stare copiere de rezervă a partiției de schemă pe orice controler de domeniu într-o pădure Active Directory, pot apărea următoarele probleme:
  • Crescut de utilizare a CPU pe computere cu rol domeniu controler atunci când computerele bazate pe Windows interogare referință Active Directory atributele care sunt utilizate pentru următoarele:
    • Pentru a detecta actualizărilor la schema de cumulate
    • Pentru a copia schema cumulate din controlerele de domeniu dacă o modificare este detectat
  • Crescut lightweight directory access protocol (LDAP) traficul din rețea atunci când clienții ADSI copiați conținutul schema cumulate din controlerele de domeniu.
Cauză
Această problemă apare deoarece atributul DSA Signature este actualizat în nominalizare context schemă (schemă NC) atunci când efectuați o copiere de rezervă sistem de stare un controler de domeniu care execută Windows Server 2003 pachet Service Pack 1 (SP1) sau o versiune ulterioară.

Când atributul DSA Signature este actualizată de o copiere de rezervă sistem de stare, mărcile de dată sunt actualizate pe două atribute de referință. Una dintre aceste atribute se află pe schema NC cap și alte se află pe CN = agregat, CN = Schema obiect.

Clienții Windows care se execută ADSI aplicaţii şi scripturi de interogare aceste atribute de referință pentru detectarea actualizărilor la schema de cumulate. Atunci când detectează aceste actualizări, clienții ADSI Descărcați o copie actualizată a schema cumulate dintr-un controler de domeniu prin intermediul unei LDAP citiți.

Notă
pentru mai multe informații despre detectarea schema cumulate care sunt legate de interogări LDAP și rețea I/O, consultați secțiunea "Mai multe informații".
Soluții
O soluție de partea server și o soluție de partea client oferă scutire parțială de reducerea, dar nu eliminarea de câte ori ca ADSI clienții să descarce schema cumulate. Soluțiile de partea client şi server-side pot fi aplicate independent de ele. Aceasta înseamnă că aveți posibilitatea să implementați soluția partea client, modificarea partea server sau ambele soluții în același marcă de timp.

Soluție de partea server



Editare semnătură DSA

Soluția de partea serverului este format din împiedică actualizarea atributulDSA Signature sistem de stare face o copiere de rezervă a partiției de schemă. Atributul DSA Signature conține un semnalizator DRA_INHIBIT_BACKUP_AUTO_STAMP pentru a determina dacă o copiere de rezervă sistem de stare actualizate acest atribut. Cu toate acestea, deoarece atributul DSA semnătură sunt stocate în format binar mare, acesta nu pot fi modificate cu ușurință utilizând un instrument, cum ar fi LDP. EXE sau ADSIEDIT. MSC.

Pentru a rezolva această problemă, executați un script Windows PowerShell sau un fișier executabil care împiedică actualizarea atributul DSA semnătura pe partiția de schemă sistem stare copiile de rezervă și, în schimb, atributul whenChanged schema NC cap și whenModified atribut pe CN = agregat obiecte.

Consultați Editare dSASignature atribut Script PowerShell pe site-ul Microsoft Script Center.

De asemenea, puteți compila și executați următorul exemplu de cod pentru a seta sau a debifa semnalizatorul DRA_INHIBIT_BACKUP_AUTO_STAMP în atributul DSA Signature schema NC.

Indiferent dacă se utilizează un PowerShell sau programatic fix, există un efect negativ partea a permite semnalizatorul DRA_INHIBIT_BACKUP_AUTO_STAMP . Acest efect secundar este descrisă în secțiunea "Mai multe informații".

Notă Acest exemplu de cod trebuie să execute sub o schemă de administrare context de securitate pe un controler de domeniu.

Asigurându-vă că definițiile sunt actualizate

În cele din urmă, asigurați-vă că thatIPv4 şi IPv6 subrețea, site-ul și subrețeaua la site definițiile sunt actualizate în pădure Active Directory şi acoperă toate subrețele Enterprise dvs. în toate păduri. Aceasta face surethat computere care execută ADSI aplicații care sunt interogarea și copierea versiuni actualizate ale cumulate schemă face acest lucru din controlerele de domeniu site-ul optime. Pentru mai multe informații despre cum se configurează setări site, mergeți la următorul site Web Microsoft TechNet:

exemplu de cod

//+-------------------------------------------------------------------------////// File: dsasignaturemod.c//// This is a sample program for setting or clearing the// DRA_INHIBIT_BACKUP_AUTO_STAMP flag in the dSASignature// attribute on the schema NC.////--------------------------------------------------------------------------#include <windows.h>#include <winldap.h>#include <winber.h>#include <strsafe.h>#include <stdio.h>#include <conio.h>#define CHECKLDAP(result, op) if (result) { printf("%s failed with LDAP error=0x%x(%d)\n", op, result, result); goto Exit; }#define CHECKLDAPLE(result, op) if (!result) { printf("%s failed with LDAP error=0x%x(%d)\n", op, LdapGetLastError(), LdapGetLastError()); goto Exit; }//// Type definitions for the dsaSignature attribute//#define DRA_INHIBIT_BACKUP_AUTO_STAMP (0x1)typedef struct _BACKUP_NC_HEAD_DSA_SIGNATURE_STATE_V1 {DWORD dwFlags;LONGLONG BackupErrorLatencySecs;UUID dsaGuid;} BACKUP_NC_HEAD_DSA_SIGNATURE_STATE_V1;typedef struct _BACKUP_NC_HEAD_DSA_SIGNATURE_STATE {DWORD dwVersion;DWORD cbSize;union{BACKUP_NC_HEAD_DSA_SIGNATURE_STATE_V1 V1;};} BACKUP_NC_HEAD_DSA_SIGNATURE_STATE;// Whether we are setting or clearing the bitBOOL gfSet = FALSE;// Whether we are querying the bitBOOL gfGet = FALSE;// Whether we are automating and want to skip PromptForOK()BOOL skipPrompt = FALSE;// Copy of the schema NC DNLPWSTR pszSchemaNCCopy = NULL;BOOL PromptForOK(){int prompt;BOOL ret = skipPrompt;printf("\n");printf("This program is about to %s the DRA_INHIBIT_BACKUP_AUTO_STAMP flag in\n", gfSet ? "set" : "clear");printf("the dSASignature attribute on the following directory NC:\n");printf("\n");printf(" %S\n", pszSchemaNCCopy);printf("\n");if (!skipPrompt) {printf("Do you wish to continue? (Y\\N)");prompt = _getch();printf("\n");ret = (prompt == 'Y' || prompt == 'y') ? TRUE : FALSE;}return ret;}void Usage(){CHAR szExeName[MAX_PATH];ZeroMemory(szExeName, sizeof(szExeName));GetModuleFileNameA(NULL, szExeName, ARRAYSIZE(szExeName));printf("Usage:\n");printf("\n");printf("%s [/get | /set | /clear] [/auto]\n", szExeName);printf("\n");printf(" /get - queries current state of the DRA_INHIBIT_BACKUP_AUTO_STAMP flag\n");printf(" /set - sets the DRA_INHIBIT_BACKUP_AUTO_STAMP flag\n");printf(" /clear - clears the DRA_INHIBIT_BACKUP_AUTO_STAMP flag\n");printf(" /auto - skips the prompt for proceeding (for automation purposes)\n");printf("\n");}BOOL ParseArgs(int argc, __in char ** argv){BOOL ret = FALSE;if (argc >= 2){if (!_stricmp("/get", argv[1])) {gfGet = TRUE;ret = TRUE;}else if (!_stricmp("/set", argv[1])) {gfSet = TRUE;ret = TRUE;}else if (!_stricmp("/clear", argv[1])) {gfSet = FALSE;ret = TRUE;}if (argc >= 3){if (!_stricmp("/auto", argv[2])) {skipPrompt = TRUE;}}}return ret;} void __cdecl main(int argc, __in char ** argv){BOOL fFoundDSASignature = FALSE;BOOL fFlagSet = FALSE;LDAP* ldap = NULL;ULONG cb = 0;ULONG cch = 0;ULONG result = 0;LPWSTR pszAttrs[2] = { 0 };LPWSTR* ppszSchemaNC = NULL;LDAPMod mod;LDAPMod* mods[2];LDAPMessage* pldapMsg = NULL;LDAPMessage* pldapResults = NULL;struct berval valMod;struct berval* vals[2];struct berval** val = NULL;BACKUP_NC_HEAD_DSA_SIGNATURE_STATE dsaSignature;ZeroMemory(&dsaSignature, sizeof(dsaSignature));if (!ParseArgs(argc, argv)) {Usage();return;}printf("\n");//// Init connection handle//ldap = ldap_init(NULL, LDAP_PORT);CHECKLDAPLE(ldap, "ldap_init");//// Connect to DC//result = ldap_connect(ldap, NULL);CHECKLDAP(result, "ldap_connect");//// Retrieve schema NC name//pszAttrs[0] = L"schemaNamingContext";pszAttrs[1] = NULL;result = ldap_search_sW(ldap,NULL,LDAP_SCOPE_BASE,L"(objectclass=*)",pszAttrs,0,&pldapResults);CHECKLDAP(result, "ldap_search_s for schemaNamingContext");pldapMsg = ldap_first_entry(ldap, pldapResults);CHECKLDAPLE(pldapMsg, "ldap_first_entry");//// Make a copy of the schema NC name//ppszSchemaNC = (LPWSTR*)ldap_get_valuesW(ldap, pldapMsg, L"schemaNamingContext");cch = wcslen(ppszSchemaNC[0]) + 1;pszSchemaNCCopy = (LPWSTR)malloc(cch * sizeof(WCHAR));StringCchCopy(pszSchemaNCCopy, cch, ppszSchemaNC[0]);ldap_value_free(ppszSchemaNC);ppszSchemaNC = NULL;ldap_msgfree(pldapResults);pldapResults = NULL;//// Bind to the DC//result = ldap_bind_s(ldap, pszSchemaNCCopy, NULL, LDAP_AUTH_NEGOTIATE);CHECKLDAP(result, "ldap_bind_s");//// Retrieve current value of the dSASignature attribute//pszAttrs[0] = L"dSASignature";pszAttrs[1] = NULL;result = ldap_search_sW(ldap,pszSchemaNCCopy,LDAP_SCOPE_BASE,L"(objectclass=*)",pszAttrs,0,&pldapResults);CHECKLDAP(result, "ldap_search_s for dSASignature");pldapMsg = ldap_first_entry(ldap, pldapResults);CHECKLDAPLE(pldapMsg, "ldap_first_entry");//// Make a copy of the dSASignature attribute.//val = (struct berval**)ldap_get_values_len(ldap, pldapMsg, L"dSASignature");// Make sure that the value was there and seems to be the correct size.if (val && val[0]) {if (val[0]->bv_len == sizeof(BACKUP_NC_HEAD_DSA_SIGNATURE_STATE)) {memcpy(&dsaSignature, val[0]->bv_val, val[0]->bv_len);fFoundDSASignature = TRUE;}}ldap_value_free_len(val);val = NULL;ldap_msgfree(pldapResults);pldapResults = NULL;//// Sanity check//if (!fFoundDSASignature ||dsaSignature.dwVersion != 1) {printf("The dSASignature attribute was either not\n");printf("found or was in an unexpected format.\n");goto Exit;}//// Cache whether the flag is set already or not//fFlagSet = (DRA_INHIBIT_BACKUP_AUTO_STAMP & dsaSignature.V1.dwFlags) ? TRUE : FALSE;//// If query-only mode, display current setting and leave//if (gfGet) {printf("The target directory %s have the DRA_INHIBIT_BACKUP_AUTO_STAMP set.\n",fFlagSet ? "DOES" : "DOES NOT");goto Exit;}//// If doing a modification, see whether there is anything to do.//if (gfSet && fFlagSet) {printf("The /set operation was specified but the target directory already\n");printf(" has the flag set. Exiting with no changes.\n");goto Exit;}else if (!gfSet && !fFlagSet) {printf("The /clear operation was specified but the target directory already\n");printf(" has the flag cleared. Exiting with no changes.\n");goto Exit;}//// Yes there is work to do; prompt the admin// for approval before you continue.//if (!PromptForOK()) {goto Exit;}//// Set or clear the bit in our local copy//if (gfSet) {dsaSignature.V1.dwFlags |= DRA_INHIBIT_BACKUP_AUTO_STAMP;}else {dsaSignature.V1.dwFlags &= (~DRA_INHIBIT_BACKUP_AUTO_STAMP);}//// Prepare for the modify//ZeroMemory(&valMod, sizeof(valMod));valMod.bv_len = sizeof(dsaSignature);valMod.bv_val = (PCHAR)&dsaSignature;vals[0] = &valMod;vals[1] = NULL;ZeroMemory(&mod, sizeof(mod));mod.mod_op = LDAP_MOD_REPLACE | LDAP_MOD_BVALUES;mod.mod_type = L"dSASignature";mod.mod_vals.modv_bvals = vals;mods[0] = &mod;mods[1] = NULL;//// And do it://result = ldap_modify_s(ldap,pszSchemaNCCopy,mods);CHECKLDAP(result, "ldap_modify_s for dSASignature");printf("\n");printf("Modification succeeded!\n");Exit:if (pszSchemaNCCopy) {free(pszSchemaNCCopy);}if (ldap) {ldap_unbind(ldap);}printf("\n");return;}

Eșantion program de ieșire

Ieșiri de program eșantion sunt următoarele:
C:\>dsasignaturemod.exe /get The target directory DOES NOT have the DRA_INHIBIT_BACKUP_AUTO_STAMP set.
C:\>dsasignaturemod.exe /set  This program is about to set the DRA_INHIBIT_BACKUP_AUTO_STAMP flag inthe dSASignature attribute on the following directory NC:     CN=Schema,CN=Configuration,DC=rootdomain,DC=com Do you wish to continue? (Y\N) Modification succeeded!
C:\>dsasignaturemod.exe /set /auto  This program is about to set the DRA_INHIBIT_BACKUP_AUTO_STAMP flag inthe dSASignature attribute on the following directory NC:     CN=Schema,CN=Configuration,DC=rootdomain,DC=com  Modification succeeded!
C:\>dsasignaturemod.exe /get The target directory DOES have the DRA_INHIBIT_BACKUP_AUTO_STAMP set.
C:\>dsasignaturemod.exe /clear  This program is about to clear the DRA_INHIBIT_BACKUP_AUTO_STAMP flag inthe dSASignature attribute on the following directory NC:     CN=Schema,CN=Configuration,DC=rootdomain,DC=com Do you wish to continue? (Y\N) Modification succeeded!
C:\>dsasignaturemod.exe /clear /auto  This program is about to clear the DRA_INHIBIT_BACKUP_AUTO_STAMP flag inthe dSASignature attribute on the following directory NC:     CN=Schema,CN=Configuration,DC=rootdomain,DC=com  Modification succeeded!

Soluție de partea client

Optimizarea selecție de controler de domeniu

Unele aplicații în mod explicit să vă conectați la un controler de domeniu specific și apoi descărcați memoria cache schema actualizată de pe acest controler de domeniu. Cu toate acestea, aplicații, de obicei, lasă Locator controler de domeniu pentru a găsi cele mai bune controlerul de domeniu pentru un anumit LDAP nominalizare context. Clienții pot experimenta o întârziere evidentă în actualizarea memoria cache de schemă, deoarece ele ținti controlerele de domeniu printr-o conexiune de rețea lentă. Acest lucru este probabil să apară dincolo de limitele de pădure. Scopul ar trebui să fie întotdeauna pentru a descărca memoria cache de schemă de controlerul de domeniu mai apropiat în rețea.

Soluție

Soluția de partea client constă din computere care execută Windows Vista, Windows Server 2008 sau versiuni mai recente pentru a utiliza un magazin per-bazate pe mașini pentru schema cumulate configurarea.

Pe computerele cu Windows XP, memoria cache de schemă cumulate utilizează un depozit de pe computer. Acest lucru înseamnă că descărcarea de schemă cumulate a fost partajate între toți utilizatorii care au fost conecta pe computer local, cât marcă de timp oricare dintre utilizatorii au drepturi de administrator acordat sau magazine locale în sistemul de fișiere și registry aveți permisiuni de scriere acordate utilizatorilor autentificați. În caz contrar, memoria cache de schemă a trebuit să fie descărcate în memoria RAM în timpul fiecare sesiune ADSI și a fost discarded după sesiune ADSI s-a încheiat.

Windows Vista și versiuni mai recente, memoria cache de schemă ADSI este implementată într-un magazin de utilizator. Deși securitate este îmbunătățită cu memoria cache de utilizator, fiecare utilizator unic, care se face conecta la un Protocol Desktop la distanță (RDP) sau Terminal Server AQ, chioșc sau alt sistem multiutilizator poate provoca același computer pentru a descărca ADSI schemă de cache.

Aveți posibilitatea să forțați o rezervă la configurația per machine magazin pe computere care execută Windows Vista și versiuni ulterioare prin setarea PerMachine REG DWORD în HKLM\SYSTEM\CurrentControlSet\Services\ADSI\Cache cale de registry la valoarea 1. În plus, trebuie să acorde acces la scriere pe %systemroot%\SchCache și HKLM\Software\Microsoft\ADs\Providers\LDAP utilizatorilor autentificați. Pentru mai multe informații, consultați ADSI și Control cont utilizator.

Notă Folosind magazinul "per machine" este utilă mai ales în scenarii în care un utilizator roaming profilul este șters atunci când utilizatorul face Log off. Astfel de utilizatori au pentru a construi un profil nou de roaming și poate fi necesar să descărcați schema cumulate. Scenarii specifice care cauzează ștergerea unui profil roaming se numără următoarele:
  • Utilizatorii care sunt configurate pentru a face conecta utilizând profiluri de utilizator obligatoriu.
  • Utilizatorii care sunt politica "șterge profilurile de utilizator mai vechi de un anumit număr de zile la pornirea sistemului".
  • Utilizatorii care sunt politica "ștergeți copiile cache profiluri migratoare".
  • Un utilizator acela memorate în cache a fost șters de către un script sau un instrument de DELPROF. EXE sau echivalent.
Informaţii suplimentare

Informații despre ADSI

Un client ADSI este o implementare prin program care accesează Active Directory pentru a respecta la Model COM (Component Object).

Computerele cu Windows care se execută ADSI aplicaţii şi scripturi întreține o copie locală a schema cumulate Active Directory. La începutul fiecare sesiune client ADSI, atributul schemă de referință este verificat modificările. Deoarece nici un atribut explicit în Active Directory identifică toate modificările posibile schema Active Directory, proxy atribute sunt utilizate pentru a determina când computerele bazate pe Windows ar trebui să copiați o copie actualizată a schema cumulate prin rețea la un controler de domeniu din domeniu respectiv clientului. Exemple de aplicaţii ADSI includ următoarele:
  • Active Directory Administrative centrul Microsoft consolă de gestionare (MMC) de completare snap-in
  • Snap-in Active Directory Domains and MMC relații de încredere
  • Snap-in Active Directory Sites and Services MMC
  • Snap-in Active Directory Users and Computers MMC
  • Completare snap-in ADSI Edit MMC
  • Completare snap-in DHCP MMC
  • Completare snap-in MMC DNS Manager
  • Consolă de gestionare Exchange
  • Group Policy Management completare snap-in
  • Squery.exe

Atributele care sunt utilizate pentru a detecta modificările din schemă cumulate

Următorul tabel oferă o prezentare generală a atributele care sunt utilizate pentru a detecta modificările cumulate schemă pentru fiecare versiune de Windows:

ADSI client versiunea sistemului de operareCondiție pentru descărcare de cache ADSI schemă
Windows XP
Windows Server 2003
Windows Server 2003 R2
Windows Vista / Windows Server 2008
Windows 7 / Windows Server 2008 R2
Actualizare modifyTimeStamp atribut cumulate schemă obiect
Windows 8 / Windows Server 2012
Windows 8.1 / Windows Server 2012 R2
Actualizare whenChanged schemă atribut
Dacă se detectează o modificare pe unul dintre aceste atribute proxy, clientul ADSI Descarcă o copie nouă de schemă cumulate.

Computerele care execută sisteme de operare anterioare Windows 8 sau Windows Server 2012 atributul modifyTimeStamp cumulate schema de interogare. ModifyTimeStamp a fost actualizat de reporniri ale serviciul Active Directory, astfel încât repornirea unui controler de domeniu sau reporniți serviciul Active Directory provocată de unele ADSI clienții să descărcați memoria cache de schemă cumulate dintr-un controler de domeniu când au avut loc nicio modificare legitime schemă. Acest lucru a fost mai puţin de o problemă mai devreme în, deoarece Active Directory a devenit un serviciu restartable în Windows Server 2008.

Computerele care execută Windows 8, Windows Server 2012 sau o versiune mai recentă de interogare atributul whenChanged schema NC cap. Atributul whenChanged are ca efect partea actualizează când o copiere de rezervă sistem de stare actualizări atributul DSA semnătură în contextul schemă de denumire. Acest lucru actualizări la rândul său marca de marcă de timp atributul whenChanged schema NC cap.

Evenimentele care actualizarea cumulată schemă atributele proxy pe un controler de domeniu

Următorul tabel oferă o prezentare generală a atributele de referință care sunt actualizate în funcţie de versiunea sistemului de operare și operațiunile care declanșează atribut actualizări.

Domain controller versiunea sistemului de operareStare pentru actualizare de atributul modifyTimeStamp cumulate schemăStare pentru actualizare de atributul whenChanged schemă
Windows Server 2003
Windows Server 2003 R2
Windows Server 2008
Windows Server 2008 R2
controler de domeniu sau NT Directory Service (NTDS) pornește Extindere schemă / sistem stat copiere de rezervă
Windows Server 2008 R2 cu KB 2671874
Windows Server 2012
Windows Server 2012 R2
Extindere schemă / sistem stat copiere de rezervăExtindere schemă / sistem stat copiere de rezervă
Dacă se detectează o modificare, memoria cache de schemă ADSI are se descarcă. O copiere de rezervă sistem de stare scrie date în atributul DSA semnătura de schemă de denumire contextul care are ca rezultat o actualizat whenChanged temporal pentru schema.

Detectarea cumulate schemă cache actualizări de ADSI clienții

Pentru a detecta high CPU și utilizare rețea, utilizați Monitor reţea 3.4 instrument pentru a captura de reţea de utilizare, și apoi urmați acești pași pentru a analiza rezultatele:
  1. Utilizați una dintre următoarele filtre de afișare în instrumentul, în funcție de sistemul de operare Windows.

    Notă În aceste filtre, vă rugăm să înlocuiască șirul "CN schemă, CN = = configurare, DC = Contoso, DC = com" cu calea Nume distinct (DN) schemă Active Directory nominalizare context în cauză.
    Windows 7 și clienții anterioare
    Utilizați următoarele filtre de afișare interoghează valoarea atributului modifyTimeStamp obiectului schemă cumulate din capturat traficul de rețea:
    (LDAPMessage.SearchRequest.BaseObject.OctetStream == "CN=Aggregate,CN=Schema,CN=Configuration,DC=Contoso,DC=com" AND LDAPMessage.SearchRequest.Attributes.Attribute.OctetStream == "modifyTimeStamp") OR(LDAPMessage.SearchResultEntry.ObjectName.OctetStream == "CN=Aggregate,CN=Schema,CN=Configuration,DC=Contoso,DC=com" AND LDAPMessage.SearchResultEntry.Attributes.PartialAttribute.Type.OctetStream == "modifyTimeStamp")
    Windows 8 și clienții mai târziu

    Utilizați următoarele filtre de afișare pentru a interoga de valoarea atributului whenChanged schema NC head în traficul de rețea capturate:
    (LDAPMessage.SearchRequest.BaseObject.OctetStream == "CN=Schema,CN=Configuration,DC=Contoso,DC=com" AND LDAPMessage.SearchRequest.Attributes.Attribute.OctetStream == "whenChanged") OR (LDAPMessage.SearchResultEntry.ObjectName.OctetStream == "CN=Schema,CN=Configuration,DC=Contoso,DC=com" AND LDAPMessage.SearchResultEntry.Attributes.PartialAttribute.Type.OctetStream == "whenChanged")
    implicit, această valoare este comparat cu valoarea dată în clientului în următoarea cheie de registry:

    HKEY_CURRENT_USER\Software\Microsoft\ADs\Providers\LDAP\CN=Aggregate,CN=Schema,CN=Configuration,DC=<root domain>,DC=com

    Clientul descărcări un cache schema actualizată dacă ora în atributul modifyTimeStamp sau whenChanged este mai târziu decât valoarea pe care este stocat în registry. (Acest atribut depinde de sistemul de operare client.)

    Aceasta este o captură de ecran eșantion de instrumentul:

    Această imagine este un exemplu că, dacă ora în atributul modifyTimeStamp sau whenChanged este mai târziu decât valoarea pe care este stocat în registry

    La fotografia de ecran, aveți posibilitatea să vedeți următoarele:
    • Clientul ADSI se leagă la controlerul de domeniu în cadrul nume 8.
    • Căutare LDAP pentru atributul schemă modificate proxy este stocat într-una dintre primele LDAPSASLBuffer cadrele care bind urmați.
    • Trafic LDAP sunt criptate în mai multe cadre LDAPSASLBuffer (ţintă portul DC = TCP 389).
    • Controlerul de domeniu Urmărire să trimită date criptate suplimentare prin multe cadre TCP care au o lungime de componentă TCP de 1460.
  2. După ce ați identificați conversație corecte în urmărire în rețea care este prezintă acest comportament, aveți posibilitatea să filtrați portul TCP care utilizează client. În exemplul, conversația este inițiată de client prin portul TCP 65237. Un filtru Monitor reţea, cum ar fi "tcp.port == 65237" ar putea fi folosite pentru a izola asociate cadre.
  3. Dacă se copiază toate cadre din această conversație și lipiți în Microsoft Excel, vedeți că copiei implicite cumulate schemă are o dimensiune de componentă de TCP de 2 megaocteți (MO) acoperire de date pe fire. Dimensiunea fișierului de schema cumulate implicit este aproximativ 4 MB după codificarea.

Corelare traficul de rețea pentru a procesului de partea client

Puteţi utiliza System Monitor (bară) pentru a determina procesul de la client de această conversație. Event ID 3 este înregistrat în jurnal de evenimente Microsoft-Windows-bară operațiune atunci când bară este instalat și configurat pentru conexiunile de LDAP jurnal. Acest lucru vă permite să se referă traficul de rețea la un proces de partea client, deoarece înregistrează IP sursă și portul cu nume de sign-in ProcessID și imagine.


Nume: Microsoft-Windows-bară/operațional
Sursă: Microsoft-Windows-bară
Data: Data
ID eveniment: 3
Categorie activitate: Conexiune detectate de rețea (regulă: NetworkConnect)
Nivel: informaţii
Cuvinte cheie:
Utilizator: sistem
Computer: Computerul
Descriere:
Conexiunea la rețea detectate:
SequenceNumber: 206
UtcTime: UtcTime
ProcessGuid: {ProcessGuid}
ProcessId: 3220
Imagine: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
Utilizator: nume de sign-in de utilizator
Protocol: tcp
Inițiată: adevărate
SourceIsIpv6: false
SourceIp: SourceIp
SourceHostname: ADSIClient
SourcePort: 65237
SourcePortName:
DestinationIsIpv6: false
DestinationIp: DestinationIp
DestinationHostname: DestinationHostname
DestinationPort: 389
DestinationPortName: ldap
Eveniment Xml:

<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider name="Microsoft-Windows-Sysmon" guid=""></Provider></System></Event>"{Nume furnizor}" />
<EventID>3</EventID>
<Version>4</Version>
<Level>4</Level>
<Task>3</Task>
<Opcode>0</Opcode>
<Keywords>0x8000000000000000</Keywords>
<TimeCreated SystemTime=" systemtime=""></TimeCreated SystemTime=">Ora" />
<EventRecordID>39</EventRecordID>
<Correlation></Correlation>
<Execution processid="1140" threadid="3492"></Execution>
<Channel>Microsoft-Windows-bară/operațional</Channel>
<>r >Computerul
<Security UserID=" userid=""></Security UserID=">ID utilizator" />

<EventData>
<Data name="SequenceNumber">206</Data>
<Data name="UtcTime"></Data></EventData>Ora
<Data name="ProcessGuid">{</Data>ProcessGuid}
<Data name="ProcessId">3220</Data>
<Data name="Image">C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe</Data>
<Data name="User"></Data>Utilizator
<Data name="Protocol">TCP</Data>
<Data name="Initiated">adevărate</Data>
<Data name="SourceIsIpv6">fals</Data>
<Data name="SourceIp"></Data>SourceIp
<Data name="SourceHostname"></Data>SourceHostname
<Data name="SourcePort">65237</Data>
<Data name="SourcePortName">
</Data>
<Data name="DestinationIsIpv6">fals</Data>
<Data name="DestinationIp"></Data>DestinationIp
<Data name="DestinationHostname"></Data>DestinationHostname
<Data name="DestinationPort">389</Data>
<Data name="DestinationPortName">LDAP</Data>

Process Monitor înregistrarea în jurnal pe client

Process Monitor înregistrarea în jurnal pe client oferă bogat informațiile contextuale. Filtru Monitor procesul de conecta ID-ul procesului care se înregistrează în evenimente înregistrate de bară.

Captura de ecran filtre Monitor procesul de conecta ID-ul procesului înregistrează în evenimente înregistrate de bară

Veți găsi următoarele operațiuni de interes.
OperațiuneCale
RegOpenKeyHKLM\SYSTEM\CurrentControlSet\Services\ADSI\Cache
RegQueryValueHKCU\Software\Microsoft\ADs\Providers\LDAP\CN = agregat, CN = schemă, CN = Configuration, DC =domeniu fiu, DC =domeniu rădăcină, DC = com\Time
Primire TCPHOSTNAME>: Port-> <DCName> </DCName>: LDAP
RegCreateKeyHKCU\SOFTWARE\Microsoft\ADs\Providers\LDAP\CN = agregat, CN = schemă, CN = Configuration, DC =domeniu fiu, DC =domeniu rădăcină, DC = com
WriteFileC:\Users\<username>\AppData\Local\Microsoft\Windows\SchCache\</username>domeniu fiu.domeniu rădăcină. com.sch
Notă O modalitate pentru a verifica dacă computerele bazate pe Windows sunt actualizarea copie locală a memoriei cache cumulate schemă este să urmăriți pentru modificările în marca de data fișierului *.sch în sistemul de fișiere local ADSI clientului.

Utilizați datele în tabelul următor se poate rafina filtru pentru jurnalele Process Monitor foarte mare.

Filtrele suplimentare opționale:
ColoanăRelațieValoare
CaleConțineSchCache
OperațiuneEsteWriteFile
Captura de ecran este Process Monitor filtru

Configurarea bară pentru conexiunile de LDAP jurnal

  1. Descărcare Bară pe client.
  2. Creați un nou fișier text pentru bară de configurare, salvați fișierul ca Sysmonconfig.xml și adăugați următorul conținut:

    <Sysmon schemaversion="2.0">  <!-- Capture all hashes -->  <HashAlgorithms>*</HashAlgorithms>  <EventFiltering>  <!-- Log all drivers except if the signature -->  <!-- contains Microsoft or Windows -->  <DriverLoad onmatch="exclude">  <Signature condition="contains">microsoft</Signature>  <Signature condition="contains">windows</Signature>  </DriverLoad>  <!-- Do not log process termination -->  <ProcessTerminate onmatch="include" />  <!-- Log network connection if the destination port equal 443 -->  <NetworkConnect onmatch="include">  <DestinationPort>389</DestinationPort><DestinationPort>636</DestinationPort><DestinationPort>3268</DestinationPort><DestinationPort>3269</DestinationPort>  </NetworkConnect>  </EventFiltering></Sysmon>
  3. Executaţi următoarea comandă pentru a instala bară:
    Bară -i sysmonconfig.xml

Efect secundar de activare semnalizatorul DRA_INHIBIT_BACKUP_AUTO_STAMP

Un efect secundar de activare semnalizatorul DRA_INHIBIT_BACKUP_AUTO_STAMP este că event ID 2089 va incorect indică faptul că partiția de schemă nu este capturate în, care sunt crearea sistem stare copiile de rezervă.

În Jurnalul de aplicații se înregistrează un eveniment eșantion ID 2089 care seamănă cu următorul:


Tip eveniment: avertisment
Sursă eveniment: Reproducere NTDS
Categorie eveniment: copiere de rezervă
ID eveniment: 2089
Data: data
Ora: ora
Utilizator: nume de sign-in de utilizator
Computer: nume de computer
Descriere:

Această partiție de Director are nu au face o copiere de rezervă de la cel mai puțin următorul număr de zile.

Partiție de Director:

CN = schemă, DC = pădure rădăcină dns aplicație partiție

Notă ID eveniment 2089 nu se înregistrează pentru celelalte partiții cheie cum ar fi CN = Configuration sau directorul domeniu partition, deoarece nu există nicio metodă pentru a efectua partiție specifice copiile de rezervă. Pentru mai multe informații, consultați următorul articol din baza de cunoștințe Microsoft:
914034 Reproducere NTDS eveniment 2089 se înregistrează în cazul în care Windows Server 2003 SP1 și mai târziu controlerele de domeniu nu se creează rezervă într-o anumită perioadă de marcă de timp

Avertisment: acest articol a fost tradus automat

Proprietăți

ID articol: 2789917 - Ultima examinare: 07/29/2015 21:15:00 - Revizie: 3.0

Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Essentials, Windows Server 2012 Datacenter, Windows Server 2012 Standard, Windows Server 2012 Essentials, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard

  • kbexpertiseadvanced kbsurveynew kbbug kbprb kbtshoot kbmt KB2789917 KbMtro
Feedback