Veľkých WAN a domény radič využitie Procesora pri vykonávaní zálohy stavu systému

DÔLEŽITÉ: Tento článok je preložený pomocou softvéru na strojový preklad od spoločnosti Microsoft a možno ho opraviť prostredníctvom technológie Community Translation Framework (CTF). Microsoft ponúka strojovo preložené články, články upravené komunitou aj články preložené prekladateľmi, aby zabezpečil prístup ku všetkým článkom databázy Knowledge Base vo viacerých jazykoch. Strojovo preložené články aj upravené články môžu obsahovať chyby týkajúce sa slovnej zásoby, syntaxe alebo gramatiky. Microsoft nenesie zodpovednosť za akékoľvek nepresnosti, chyby alebo škody spôsobené neprávnym prekladom obsahu alebo jeho použitím zo strany našich zákazníkov. Ďalšie informácie o technológii CTF nájdete na lokalite http://support.microsoft.com/gp/machine-translation-corrections/sk.

Pokiaľ chcete vidieť anglickú verziu článku, kliknite sem: 2789917

Tento článok popisuje, ako zálohy stavu systému pomocou radičov domén služby Active Directory prechodnú aktualizovať odkaz atribúty, ktoré spôsobujú Active Directory Service Interfaces (ADSI) klientov na prevzatie celkovej schémy. Tento proces preberania potenciálne zvyšuje zaťaženie domény radič úlohu počítača a siete.
Príznaky
Pri vykonávaní zálohu stavu systému schéma oblasti na akýkoľvek radič domény v doménovej štruktúre služby Active Directory, môže sa vyskytnúť nasledujúce problémy:
  • Zvýšené využitie Procesora počítačov domény radič úlohu pri odkaz dotazu počítače so systémom Windows Active Directory atribúty, ktoré sa používajú na tieto účely:
    • Na zisťovanie aktualizácií celkovej schémy
    • Kopírovať celkovej schémy z radiče domény, ak zmeny v priestoroch
  • Zvyšuje Lightweight Directory Access Protocol (LDAP) prenosu v sieti, keď ADSI klientov skopírovať obsah celkovej schémy radičov domény.
Príčina
Tento problém sa vyskytuje, pretože atribút DSA podpis aktualizovaný kontext pomenovania schém (schéma NC) po vykonaní zálohu stavu systému radiča domény so systémom Windows Server 2003 Service Pack 1 (SP1) alebo novšiu verziu.

Atribút DSA podpise je aktualizovaná zálohu stavu systému, dátum pečiatky sa aktualizuje dva odkaz atribúty. Jeden z týchto atribútov v schéme NC hlava a druhý sa nachádza na CN = súčet, CN = Schema objektu.

Klientov so systémom Windows, spustite nástroj ADSI aplikácií a skriptov dotaz atribútov odkaz na zisťovanie aktualizácií celkovej schémy. Keď zistí, že tieto aktualizácie, ADSI klientov prevziať aktualizovanú verziu súhrnnej schémy z radiča domény prostredníctvom protokolu LDAP čítať.

Poznámka:
ďalšie informácie o zisťovaní celkovej schémy, súvisiace s LDAP dotazy a sieťové vstupno-výstupné, nájdete v časti "Ďalšie informácie".
Riešenia
Serverových riešení problému a alternatívna metóda klienta poskytnúť čiastočný opatrenie znižuje, ale nie eliminovať počet ADSI klientov na stiahnutie celkovej schémy. Na strane klienta a serverových riešení môže vykonávať nezávisle od seba. To znamená, že môžete vykonať len na strane klienta riešenie, zmeny na strane servera alebo obe riešenia súčasne.

Riešenia na strane servera



Úprava DSA podpis

Serverových riešení obsahuje bráni aktualizovať atribútDSA podpis zálohy stavu systému schéma oblasti. Atribút DSA podpis obsahuje príznakom DRA_INHIBIT_BACKUP_AUTO_STAMP zistiť, či zálohu stavu systému aktualizovať tento atribút. Však vymazaniu atribút DSA podpis veľký príklad to nie je možné zmeniť ľahko pomocou nástroja ako LDP. EXE alebo ADSIEDIT. MGR.

Tento problém obísť, spustiť prostredie Windows PowerShell skript alebo spustiteľný súbor, ktorý zabraňuje aktualizáciu DSA podpis atribút schémy oblasť zálohy stavu systému a zasa whenChanged atribút schémy NC head a whenModified atribút na CN = súčet objektov.

Pozrite si Upraviť dSASignature atribút PowerShell skript na lokalite Microsoft Script Center.

Môžete tiež zostaviť a spustiť nasledovný vzorový kód alebo vymazať príznak DRA_INHIBIT_BACKUP_AUTO_STAMP v Podpise DSA atribút schémy NC.

Bez ohľadu na to, či sa používa PowerShell alebo programový oprava existuje negatívny vplyv na povolenie DRA_INHIBIT_BACKUP_AUTO_STAMP príznak. Tento vedľajší účinok je popísané v časti "Ďalšie informácie".

Poznámka: Tento kód je nutné spustiť v kontext zabezpečenia spravovania schémy na radiči domény.

Uistite sa, že definície sú aktuálne

Nakoniec sa thatIPv4 a podsiete IPv6, stránky a definície podsiete do lokality sú aktuálne v doménovej štruktúre služby Active Directory a pokrývať všetky podsiete podniku vo všetkých lesoch. To je surethat počítačov, ktoré sú spustené aplikácie ADSI dotaz a kopírovanie aktualizované verzie celkovej schémy sa to zo stránky optimálne radiče. Ďalšie informácie o konfigurácii nastavenia lokality, nájdete na nasledujúcej webovej lokalite Microsoft TechNet:

Vzorový kód

//+-------------------------------------------------------------------------////// File: dsasignaturemod.c//// This is a sample program for setting or clearing the// DRA_INHIBIT_BACKUP_AUTO_STAMP flag in the dSASignature// attribute on the schema NC.////--------------------------------------------------------------------------#include <windows.h>#include <winldap.h>#include <winber.h>#include <strsafe.h>#include <stdio.h>#include <conio.h>#define CHECKLDAP(result, op) if (result) { printf("%s failed with LDAP error=0x%x(%d)\n", op, result, result); goto Exit; }#define CHECKLDAPLE(result, op) if (!result) { printf("%s failed with LDAP error=0x%x(%d)\n", op, LdapGetLastError(), LdapGetLastError()); goto Exit; }//// Type definitions for the dsaSignature attribute//#define DRA_INHIBIT_BACKUP_AUTO_STAMP (0x1)typedef struct _BACKUP_NC_HEAD_DSA_SIGNATURE_STATE_V1 {DWORD dwFlags;LONGLONG BackupErrorLatencySecs;UUID dsaGuid;} BACKUP_NC_HEAD_DSA_SIGNATURE_STATE_V1;typedef struct _BACKUP_NC_HEAD_DSA_SIGNATURE_STATE {DWORD dwVersion;DWORD cbSize;union{BACKUP_NC_HEAD_DSA_SIGNATURE_STATE_V1 V1;};} BACKUP_NC_HEAD_DSA_SIGNATURE_STATE;// Whether we are setting or clearing the bitBOOL gfSet = FALSE;// Whether we are querying the bitBOOL gfGet = FALSE;// Whether we are automating and want to skip PromptForOK()BOOL skipPrompt = FALSE;// Copy of the schema NC DNLPWSTR pszSchemaNCCopy = NULL;BOOL PromptForOK(){int prompt;BOOL ret = skipPrompt;printf("\n");printf("This program is about to %s the DRA_INHIBIT_BACKUP_AUTO_STAMP flag in\n", gfSet ? "set" : "clear");printf("the dSASignature attribute on the following directory NC:\n");printf("\n");printf(" %S\n", pszSchemaNCCopy);printf("\n");if (!skipPrompt) {printf("Do you wish to continue? (Y\\N)");prompt = _getch();printf("\n");ret = (prompt == 'Y' || prompt == 'y') ? TRUE : FALSE;}return ret;}void Usage(){CHAR szExeName[MAX_PATH];ZeroMemory(szExeName, sizeof(szExeName));GetModuleFileNameA(NULL, szExeName, ARRAYSIZE(szExeName));printf("Usage:\n");printf("\n");printf("%s [/get | /set | /clear] [/auto]\n", szExeName);printf("\n");printf(" /get - queries current state of the DRA_INHIBIT_BACKUP_AUTO_STAMP flag\n");printf(" /set - sets the DRA_INHIBIT_BACKUP_AUTO_STAMP flag\n");printf(" /clear - clears the DRA_INHIBIT_BACKUP_AUTO_STAMP flag\n");printf(" /auto - skips the prompt for proceeding (for automation purposes)\n");printf("\n");}BOOL ParseArgs(int argc, __in char ** argv){BOOL ret = FALSE;if (argc >= 2){if (!_stricmp("/get", argv[1])) {gfGet = TRUE;ret = TRUE;}else if (!_stricmp("/set", argv[1])) {gfSet = TRUE;ret = TRUE;}else if (!_stricmp("/clear", argv[1])) {gfSet = FALSE;ret = TRUE;}if (argc >= 3){if (!_stricmp("/auto", argv[2])) {skipPrompt = TRUE;}}}return ret;} void __cdecl main(int argc, __in char ** argv){BOOL fFoundDSASignature = FALSE;BOOL fFlagSet = FALSE;LDAP* ldap = NULL;ULONG cb = 0;ULONG cch = 0;ULONG result = 0;LPWSTR pszAttrs[2] = { 0 };LPWSTR* ppszSchemaNC = NULL;LDAPMod mod;LDAPMod* mods[2];LDAPMessage* pldapMsg = NULL;LDAPMessage* pldapResults = NULL;struct berval valMod;struct berval* vals[2];struct berval** val = NULL;BACKUP_NC_HEAD_DSA_SIGNATURE_STATE dsaSignature;ZeroMemory(&dsaSignature, sizeof(dsaSignature));if (!ParseArgs(argc, argv)) {Usage();return;}printf("\n");//// Init connection handle//ldap = ldap_init(NULL, LDAP_PORT);CHECKLDAPLE(ldap, "ldap_init");//// Connect to DC//result = ldap_connect(ldap, NULL);CHECKLDAP(result, "ldap_connect");//// Retrieve schema NC name//pszAttrs[0] = L"schemaNamingContext";pszAttrs[1] = NULL;result = ldap_search_sW(ldap,NULL,LDAP_SCOPE_BASE,L"(objectclass=*)",pszAttrs,0,&pldapResults);CHECKLDAP(result, "ldap_search_s for schemaNamingContext");pldapMsg = ldap_first_entry(ldap, pldapResults);CHECKLDAPLE(pldapMsg, "ldap_first_entry");//// Make a copy of the schema NC name//ppszSchemaNC = (LPWSTR*)ldap_get_valuesW(ldap, pldapMsg, L"schemaNamingContext");cch = wcslen(ppszSchemaNC[0]) + 1;pszSchemaNCCopy = (LPWSTR)malloc(cch * sizeof(WCHAR));StringCchCopy(pszSchemaNCCopy, cch, ppszSchemaNC[0]);ldap_value_free(ppszSchemaNC);ppszSchemaNC = NULL;ldap_msgfree(pldapResults);pldapResults = NULL;//// Bind to the DC//result = ldap_bind_s(ldap, pszSchemaNCCopy, NULL, LDAP_AUTH_NEGOTIATE);CHECKLDAP(result, "ldap_bind_s");//// Retrieve current value of the dSASignature attribute//pszAttrs[0] = L"dSASignature";pszAttrs[1] = NULL;result = ldap_search_sW(ldap,pszSchemaNCCopy,LDAP_SCOPE_BASE,L"(objectclass=*)",pszAttrs,0,&pldapResults);CHECKLDAP(result, "ldap_search_s for dSASignature");pldapMsg = ldap_first_entry(ldap, pldapResults);CHECKLDAPLE(pldapMsg, "ldap_first_entry");//// Make a copy of the dSASignature attribute.//val = (struct berval**)ldap_get_values_len(ldap, pldapMsg, L"dSASignature");// Make sure that the value was there and seems to be the correct size.if (val && val[0]) {if (val[0]->bv_len == sizeof(BACKUP_NC_HEAD_DSA_SIGNATURE_STATE)) {memcpy(&dsaSignature, val[0]->bv_val, val[0]->bv_len);fFoundDSASignature = TRUE;}}ldap_value_free_len(val);val = NULL;ldap_msgfree(pldapResults);pldapResults = NULL;//// Sanity check//if (!fFoundDSASignature ||dsaSignature.dwVersion != 1) {printf("The dSASignature attribute was either not\n");printf("found or was in an unexpected format.\n");goto Exit;}//// Cache whether the flag is set already or not//fFlagSet = (DRA_INHIBIT_BACKUP_AUTO_STAMP & dsaSignature.V1.dwFlags) ? TRUE : FALSE;//// If query-only mode, display current setting and leave//if (gfGet) {printf("The target directory %s have the DRA_INHIBIT_BACKUP_AUTO_STAMP set.\n",fFlagSet ? "DOES" : "DOES NOT");goto Exit;}//// If doing a modification, see whether there is anything to do.//if (gfSet && fFlagSet) {printf("The /set operation was specified but the target directory already\n");printf(" has the flag set. Exiting with no changes.\n");goto Exit;}else if (!gfSet && !fFlagSet) {printf("The /clear operation was specified but the target directory already\n");printf(" has the flag cleared. Exiting with no changes.\n");goto Exit;}//// Yes there is work to do; prompt the admin// for approval before you continue.//if (!PromptForOK()) {goto Exit;}//// Set or clear the bit in our local copy//if (gfSet) {dsaSignature.V1.dwFlags |= DRA_INHIBIT_BACKUP_AUTO_STAMP;}else {dsaSignature.V1.dwFlags &= (~DRA_INHIBIT_BACKUP_AUTO_STAMP);}//// Prepare for the modify//ZeroMemory(&valMod, sizeof(valMod));valMod.bv_len = sizeof(dsaSignature);valMod.bv_val = (PCHAR)&dsaSignature;vals[0] = &valMod;vals[1] = NULL;ZeroMemory(&mod, sizeof(mod));mod.mod_op = LDAP_MOD_REPLACE | LDAP_MOD_BVALUES;mod.mod_type = L"dSASignature";mod.mod_vals.modv_bvals = vals;mods[0] = &mod;mods[1] = NULL;//// And do it://result = ldap_modify_s(ldap,pszSchemaNCCopy,mods);CHECKLDAP(result, "ldap_modify_s for dSASignature");printf("\n");printf("Modification succeeded!\n");Exit:if (pszSchemaNCCopy) {free(pszSchemaNCCopy);}if (ldap) {ldap_unbind(ldap);}printf("\n");return;}

Vzorový výstup programu

Vzorový program výstupy sú:
C:\>dsasignaturemod.exe /get The target directory DOES NOT have the DRA_INHIBIT_BACKUP_AUTO_STAMP set.
C:\>dsasignaturemod.exe /set  This program is about to set the DRA_INHIBIT_BACKUP_AUTO_STAMP flag inthe dSASignature attribute on the following directory NC:     CN=Schema,CN=Configuration,DC=rootdomain,DC=com Do you wish to continue? (Y\N) Modification succeeded!
C:\>dsasignaturemod.exe /set /auto  This program is about to set the DRA_INHIBIT_BACKUP_AUTO_STAMP flag inthe dSASignature attribute on the following directory NC:     CN=Schema,CN=Configuration,DC=rootdomain,DC=com  Modification succeeded!
C:\>dsasignaturemod.exe /get The target directory DOES have the DRA_INHIBIT_BACKUP_AUTO_STAMP set.
C:\>dsasignaturemod.exe /clear  This program is about to clear the DRA_INHIBIT_BACKUP_AUTO_STAMP flag inthe dSASignature attribute on the following directory NC:     CN=Schema,CN=Configuration,DC=rootdomain,DC=com Do you wish to continue? (Y\N) Modification succeeded!
C:\>dsasignaturemod.exe /clear /auto  This program is about to clear the DRA_INHIBIT_BACKUP_AUTO_STAMP flag inthe dSASignature attribute on the following directory NC:     CN=Schema,CN=Configuration,DC=rootdomain,DC=com  Modification succeeded!

Riešenia na strane klienta

Optimalizácia výber radiča domény

Niektoré aplikácie explicitne pripojiť na radiči domény a potom Stiahnuť aktualizovanú schému cache radič domény. Avšak aplikácie zvyčajne nechať na lokátor radičov domén nájdete najlepšie radič domény pre určité LDAP kontext pomenovania. Klienti sa môžu vyskytovať viditeľné oneskorenie aktualizovať vyrovnávaciu pamäť schémy, pretože sa zameriavajú radiče domény prostredníctvom pomalého sieťového pripojenia. Toto je pravdepodobnosť výskytu hranice lesa. Brány mali stiahnuť vyrovnávaciu pamäť schémy najbližšie radiča domény siete.

Alternatívne riešenie

Klientske riešenie pozostáva z Konfigurácia počítače so systémom Windows Vista, Windows Server 2008 alebo novšie verzie použite za stroj-ukladacím priestorom celkovej schémy.

V počítačoch so systémom Windows XP, celková schéma cache používa ukladacieho priestoru počítača. To znamená, že prevzatie celkovej schémy sa zdieľajú všetci používatelia, ktorí boli prihlásení na lokálnom počítači, ako ani súhlas správcu práv alebo predajniach systému súborov a databázy registry poskytuje overeným používateľom povolenie na zápis. Inak vyrovnávaciu pamäť schémy sa na prevzatie do pamäte počas každého ADSI a bola odstránená po ADSI relácie.

V systéme Windows Vista a novšie verzie ADSI schémy cache vykonáva v používateľskom priestore. Hoci s vyrovnávacej pamäte používateľa je lepšie zabezpečenie, jednotlivých jedinečných používateľov, ktorí sa prihlásili Remote Desktop Protocol (RDP) alebo terminálového servera AQ, prezentácia alebo iné viacerých používateľov systému môže spôsobiť počítači Stiahnuť ADSI schémy vyrovnávacej pamäte.

Núdzové môžete vynútiť konfiguráciu počítača obchod na počítačoch so systémom Windows Vista a novšie verzie nastavením REG DWORD PerMachine cesta HKLM\SYSTEM\CurrentControlSet\Services\ADSI\Cache databázy registry na hodnotu 1. Okrem toho musí prideliť prístup na zápis %systemroot%\SchCache a HKLM\Software\Microsoft\ADs\Providers\LDAP overeným používateľom. Ďalšie informácie nájdete v téme ADSI a kontrola používateľských kont.

Poznámka: Používanie priestoru "na počítači" je užitočné najmä v prípadoch, v ktorých zdieľaný profil používateľa sa odstráni pri prihlásení používateľa. Takéto používateľov je potrebné vytvoriť nový zdieľaný profil a môže byť potrebné prevziať celkovej schémy. Scenárov, ktoré spôsobiť odstránenie zdieľaný profil patria:
  • Používatelia, ktorí sú nakonfigurované na prihlásenie pomocou povinných používateľských profilov.
  • Používatelia, ktorí podliehajú "odstrániť používateľské profily, ktoré sú staršie ako určitý počet dní pri spustení systému".
  • Používatelia, ktorí sú "delete cache kópie profily roamingu" politiky.
  • Používateľ, ktorého vo vyrovnávacej pamäti profil odstránil skript alebo nástroj ako DELPROF. EXE alebo ekvivalent.
Ďalšie informácie

Informácie o ADSI

ADSI klienta je programový implementácie, ktoré pristupuje služby Active Directory na spĺňať na Model COM (Component Object).

Počítače so systémom Windows, spustené aplikácie ADSI a skripty zachovať kópiu celková schéma služby Active Directory. Na začiatku každej relácie klienta ADSI referenčné schémy atribútu sa kontroluje zmeny. Keďže explicitné atribút v službe Active Directory jednoznačne identifikuje všetky prípadné zmeny schémy služby Active Directory, atribúty servera proxy sa používa na určenie po skopírovaní aktualizovanú verziu súhrnnej schémy prostredníctvom siete z radiča domény v oblasti klienta počítače so systémom Windows. Príklady ADSI aplikácie patria:
  • Active Directory administratívne centrum Microsoft Management Console (MMC) modulu
  • Domény služby Active Directory a dôveryhodné entity MMC modulu
  • Modulu Active Directory Sites a Services MMC
  • Modulu Active Directory Users a počítače konzoly MMC
  • ADSI Edit modulu
  • DHCP modulu
  • DNS Manager modulu
  • Exchange Management Console
  • Skupinové politiky riadenia modulu
  • Squery.exe

Atribúty, ktoré sa používajú na zistenie zmeny celkovej schémy

Nasledujúca tabuľka obsahuje prehľad atribúty, ktoré sa používajú na zistenie zmeny celkovej schémy pre všetky verzie systému Windows:

ADSI klientsky operačný systémPredpokladom ADSI schémy vyrovnávacej pamäte na stiahnutie
Windows XP
Windows Server 2003
Windows Server 2003 R2
Systém Windows Vista alebo Windows Server 2008
Windows 7 alebo Windows Server 2008 R2
Aktualizácia modifyTimeStamp atribútu celkovej schémy objektu
Windows 8 alebo Windows Server 2012
Windows 8.1 alebo Windows Server 2012 R2
Aktualizácie schém atribútu whenChanged
Ak sa zistí zmena v jednom z týchto atribútov proxy, klient ADSI prevezme novú kópiu celkovej schémy.

Počítače so systémom operačné systémy staršie ako systém Windows 8 alebo Windows Server 2012 dotaz modifyTimeStamp atribút celkovej schémy. ModifyTimeStamp bol aktualizovaný reštartovaní služby Active Directory tak, že reštartovať radič domény alebo reštartovanie služby Active Directory spôsobené klienti ADSI prevziať celková schéma cache z radiča domény pri nemení legitímne schémy došlo. To bol menší problém na začiatku, pretože služba Active Directory sa reštartovateľnom služby Windows Server 2008.

Počítače so systémom Windows 8, Windows Server 2012 alebo novšia verzia dotaz whenChanged atribút schémy NC hlava. Atribút whenChanged je vedľajším účinkom aktualizuje pri zálohu stavu systému aktualizuje atribút DSA podpisu v kontexte pomenovania schém. To zasa aktualizuje Časová známka whenChanged atribút schémy NC hlava.

Udalosti, ktoré aktualizovať celková schéma atribúty servera proxy na radiči domény

Nasledujúca tabuľka poskytuje prehľad odkaz atribúty sú aktualizované verzie operačného systému a operácie, ktoré spúšťajú atribút aktualizácie.

Verzia operačného systému radiča doményStav aktualizácie modifyTimeStamp celkovej schémy atribútuStav aktualizácie schémy atribútu whenChanged
Windows Server 2003
Windows Server 2003 R2
Windows Server 2008
Windows Server 2008 R2
Spustí radič domény alebo NT Directory Service (NTDS) Rozšírenie schémy / systému štátu zálohy
Windows Server 2008 R2 s KB 2671874
Windows Server 2012
Windows Server 2012 R2
Rozšírenie schémy / systému štátu zálohyRozšírenie schémy / systému štátu zálohy
Ak sa zistí zmena, vyrovnávaciu pamäť schémy ADSI sa prevezme. V atribúte DSA podpis kontext pomenovania schém, ktoré vedie aktualizovaný whenChanged časovou pečiatkou schémy sa zapisuje zálohu stavu systému.

Zisťovanie aktualizácií celková schéma vyrovnávacej pamäte ADSI klientov

Zistenie Procesora a používaní siete, použite Sledovanie siete 3.4 nástroj na využitie siete a potom postupujte podľa nasledujúcich krokov na analýzu výsledkov:
  1. Použite jeden z nasledujúcich zobrazenie filtre nástroja v závislosti od operačného systému Windows.

    Poznámka: Tieto filtre, vymeňte reťazec "CN = Schema, CN = Configuration, DC = Contoso, DC = com" s rozlišujúci názov (DN) cestu služby Active Directory kontext pomenovania schém v.
    Windows 7 a starších klientov
    Použite nasledujúci filter zobrazenia dotaz na hodnotu modifyTimeStamp celkovej schémy objektu zaznamenanom komunikáciu:
    (LDAPMessage.SearchRequest.BaseObject.OctetStream == "CN=Aggregate,CN=Schema,CN=Configuration,DC=Contoso,DC=com" AND LDAPMessage.SearchRequest.Attributes.Attribute.OctetStream == "modifyTimeStamp") OR(LDAPMessage.SearchResultEntry.ObjectName.OctetStream == "CN=Aggregate,CN=Schema,CN=Configuration,DC=Contoso,DC=com" AND LDAPMessage.SearchResultEntry.Attributes.PartialAttribute.Type.OctetStream == "modifyTimeStamp")
    Windows 8 a novšie klientov

    Použite nasledujúci filter zobrazenia dotaz na hodnotu atribútu whenChanged v schéme NC vedúci zaznamenanom sieťový prenos:
    (LDAPMessage.SearchRequest.BaseObject.OctetStream == "CN=Schema,CN=Configuration,DC=Contoso,DC=com" AND LDAPMessage.SearchRequest.Attributes.Attribute.OctetStream == "whenChanged") OR (LDAPMessage.SearchResultEntry.ObjectName.OctetStream == "CN=Schema,CN=Configuration,DC=Contoso,DC=com" AND LDAPMessage.SearchResultEntry.Attributes.PartialAttribute.Type.OctetStream == "whenChanged")
    Predvolene je táto hodnota v porovnaní s Časová hodnota v databáze registry klienta v nasledujúcom kľúči:

    HKEY_CURRENT_USER\Software\Microsoft\ADs\Providers\LDAP\CN=Aggregate,CN=Schema,CN=Configuration,DC=<root domain>,DC=com

    Klient prevezme aktualizovaná schéma vyrovnávacej pamäte, ak v atribút modifyTimeStamp alebo whenChanged hodnotu, ktorá je uložená v databáze registry. (Tento atribút závisí od klienta operačného systému.)

    Toto je príklad obrazovky nástroja:

    Tento snímka je napríklad ak v modifyTimeStamp alebo whenChanged atribút sa hodnota, ktorá je uložená v databáze registry

    Z obrazovka zobrazí nasledovné:
    • Klient ADSI sa viaže na radič domény rám názov 8.
    • Vyhľadávanie LDAP atribút schémy zmeniť proxy je uložený v jednom z začiatku LDAPSASLBuffer rámov, nižšie viazať.
    • LDAP prenos je šifrovaný v niekoľkých LDAPSASLBuffer (cieľový port na DC = TCP 389).
    • Radič domény naďalej odosielať ďalšie zašifrované údaje prostredníctvom mnohých TCP snímky, ktoré majú dĺžku TCP údajová časť 1460.
  2. Po vyhľadaní mať správny rozhovor v sledovanie siete, sa prejavujú takéto správanie, môžete filtrovať klient používa port TCP. V tomto príklade iniciuje konverzácie klienta cez TCP port 65237. Sledovanie siete filter ako "tcp.port == 65237" možné identifikovať súvisiace rámov.
  3. Ak skopírujete všetky snímky v konverzácii a prilepte do programu Microsoft Excel, uvidíte, že je veľkosť TCP údajová časť 2 Megabajty (MB) údajov na kábel predvolené celková schéma kópiu. Veľkosť celkovej schémy predvolené je približne 4 MB po kódovanie.

Korelácia sieťové prenosy na strane klienta proces

Sledovanie systému (panel) môžete použiť na určenie procesu na strane klienta, ktorý iniciuje konverzácie. ID udalosti 3 sa zaznamená do denníka udalostí Microsoft-Windows-panel operácie pri panel nainštalovaný a nakonfigurovaný na denník LDAP pripojenia. Umožní vám to týkať sieťové prenosy na strane klienta proces, pretože záznamy zdroj IP a port spolu s názvom ProcessID a obrázok.


Názov denníka: Microsoft-Windows-panel/prevádzky
Zdroj: Microsoft-Windows-panel
Dátum: Dátum
Identifikácia udalosti: 3
Kategória úlohy: Pripojenie zistené (pravidlo: NetworkConnect)
Úroveň: informácie
Kľúčové slová:
Používateľ: systém
Počítač: Počítač
Popis:
Sieťové pripojenie zistí:
Poradové_číslo: 206
UtcTime: UtcTime
ProcessGuid: {ProcessGuid}
ProcessId: 3220
Obrázok: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
Používateľ: Meno používateľa
Protokol: tcp
Začať: true
SourceIsIpv6: nesprávne
SourceIp: SourceIp
SourceHostname: ADSIClient
SourcePort: 65237
SourcePortName:
DestinationIsIpv6: nesprávne
DestinationIp: DestinationIp
DestinationHostname: DestinationHostname
DestinationPort: 389
DestinationPortName: ldap
Udalosť Xml:

<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider name="Microsoft-Windows-Sysmon" guid=""></Provider></System></Event>"{Názov poskytovateľa}" />
<EventID>3</EventID>
<Version>4</Version>
<Level>4</Level>
<Task>3</Task>
<Opcode>0</Opcode>
<Keywords>0x8000000000000000</Keywords>
<TimeCreated SystemTime=" systemtime=""></TimeCreated SystemTime=">Čas" />
<EventRecordID>39</EventRecordID>
<Correlation></Correlation>
<Execution processid="1140" threadid="3492"></Execution>
<Channel>Microsoft-Windows-panel/prevádzky</Channel>
<>r >Počítač
<Security UserID=" userid=""></Security UserID=">Identifikácia používateľa" />

<EventData>
<Data name="SequenceNumber">206</Data>
<Data name="UtcTime"></Data></EventData>Čas
<Data name="ProcessGuid">{</Data>ProcessGuid}
<Data name="ProcessId">3220</Data>
<Data name="Image">C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe</Data>
<Data name="User"></Data>Používateľ
<Data name="Protocol">TCP</Data>
<Data name="Initiated">splnené</Data>
<Data name="SourceIsIpv6">nesprávne</Data>
<Data name="SourceIp"></Data>SourceIp
<Data name="SourceHostname"></Data>SourceHostname
<Data name="SourcePort">65237</Data>
<Data name="SourcePortName">
</Data>
<Data name="DestinationIsIpv6">nesprávne</Data>
<Data name="DestinationIp"></Data>DestinationIp
<Data name="DestinationHostname"></Data>DestinationHostname
<Data name="DestinationPort">389</Data>
<Data name="DestinationPortName">LDAP</Data>

Process Monitor prihlásenie klienta

Process Monitor prihlasovanie klienta poskytuje bohaté kontextové informácie. Filtrovanie Process Monitor prihlasovacia identifikácia procesu zapísané v prípade zaznamenali panel.

Obrázok filtre Process Monitor log proces ID prihlásený v prípade denníka panel

Nájdete nasledujúce operácie záujmu.
OperáciaCesta
Funkcia RegOpenKeyHKLM\SYSTEM\CurrentControlSet\Services\ADSI\Cache
RegQueryValueHKCU\Software\Microsoft\ADs\Providers\LDAP\CN = súčet, CN = Schema, CN = Configuration, DC =dcérsku doménu, DC =Koreňová doména, DC = com\Time
Zobraziť TCPHOSTNAME>: Port-> <DCName> </DCName>: LDAP
RegCreateKeyHKCU\SOFTWARE\Microsoft\ADs\Providers\LDAP\CN = súčet, CN = Schema, CN = Configuration, DC =dcérsku doménu, DC =Koreňová doména, DC = com
WriteFileC:\Users\<username>\AppData\Local\Microsoft\Windows\SchCache\</username>dcérsku doménu.Koreňová doména. com.sch
Poznámka: Jeden spôsob, ako zistiť, či počítače so systémom Windows aktualizovať lokálna kópia súhrnnej schémy vyrovnávacej pamäte je sledovať zmeny dátum pečiatka *.sch súboru v lokálnom systéme súborov ADSI klienta.

Údaje v tabuľke môžete upraviť filter pre veľké Process Monitor denníky.

Ďalšie voliteľné filtre:
StĺpecVzťahHodnota
CestaObsahujeSchCache
OperáciaJeWriteFile
Na obrázku je proces monitorovania

Konfigurácia panel denníka LDAP pripojenia

  1. Stiahnuť Panel na strane klienta.
  2. Vytvorte nový textový súbor panel konfigurácie, súbor uložte ako Sysmonconfig.xml a pridajte nasledujúci obsah:

    <Sysmon schemaversion="2.0">  <!-- Capture all hashes -->  <HashAlgorithms>*</HashAlgorithms>  <EventFiltering>  <!-- Log all drivers except if the signature -->  <!-- contains Microsoft or Windows -->  <DriverLoad onmatch="exclude">  <Signature condition="contains">microsoft</Signature>  <Signature condition="contains">windows</Signature>  </DriverLoad>  <!-- Do not log process termination -->  <ProcessTerminate onmatch="include" />  <!-- Log network connection if the destination port equal 443 -->  <NetworkConnect onmatch="include">  <DestinationPort>389</DestinationPort><DestinationPort>636</DestinationPort><DestinationPort>3268</DestinationPort><DestinationPort>3269</DestinationPort>  </NetworkConnect>  </EventFiltering></Sysmon>
  3. Spustite nasledujúci príkaz na inštaláciu panel:
    Panel -i sysmonconfig.xml

Vedľajším účinkom povolenie DRA_INHIBIT_BACKUP_AUTO_STAMP príznak

Jeden vedľajším účinkom povolenie DRA_INHIBIT_BACKUP_AUTO_STAMP príznak je udalosti ID 2089 nesprávne udáva, že schéma oblasti nie sa zachytáva v lesoch, ktoré vytvára zálohy stavu systému.

Vzorka ID 2089 nasledujúcemu sa zaznamená do denníka aplikácie:


Typ udalosti: Upozornenie
Zdroj udalosti: Replikácia NTDS
Event Category: zálohovanie
Identifikácia udalosti: 2089
Dátum: dátum
Čas: čas
Používateľa: meno používateľa
Počítača: názov
Popis:

Oblasť adresára nie bol zálohovaný od v najmenej nasledujúci počet dní.

Adresárová oblasť:

CN = schema, DC = lesa koreňový dns aplikácií

Poznámka: Identifikácia udalosti 2089 nie je prihlásený na iné kľúčové oblasti ako CN = Configuration alebo adresári domény oblastí, pretože neexistuje žiadny spôsob vykonávať zálohovanie špecifické oblasti. Ďalšie informácie nájdete v nasledujúcom článku databázy Microsoft Knowledge Base:
914034 Ak sa systém Windows Server 2003 SP1 a novšie radiče domény nie je zálohovaný v danom čase prihlásený NTDS replikácie udalosť 2089

Upozornenie: Tento článok bol preložený automaticky.

Vlastnosti

ID článku: 2789917 – Posledná kontrola: 07/29/2015 21:16:00 – Revízia: 3.0

Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Essentials, Windows Server 2012 Datacenter, Windows Server 2012 Standard, Windows Server 2012 Essentials, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard

  • kbexpertiseadvanced kbsurveynew kbbug kbprb kbtshoot kbmt KB2789917 KbMtsk
Pripomienky