Ağır WAN ve etki alanı denetleyicisinin Sistem durumu yedeklemelerini gerçekleştirirken CPU kullanımı

ÖNEMLİ: Bu makale, Microsoft Makine Çevirisi Düzenleme yazılımı tarafından tercüme edilmiş olup, yüksek olasılıkla profesyonel bir çevirmen yerine CTF teknolojisi kullanılarak, Microsoft Topluluğu tarafından düzenlenmiştir. Microsoft, Bilgi Bankamız içindeki tüm makaleleri kendi dilinizde okuyabilmeniz için size hem profesyonel çevirmenler tarafından tercüme edilen hem de makine tarafından tercüme edildikten sonra Topluluk tarafından kontrol edilen makaleler sunar. Bununla birlikte, makine tarafından tercüme edilen, hatta Topluluk tarafından kontrol edilen bir makale bile her zaman mükemmel dil kalitesinde olmayabilir. Makalede dilinizi konuşan yabancı birisinin yapabileceği türden sözcük, söz dizimi veya dilbilgisi hataları bulunabilir. Microsoft, içeriğin hatalı tercümesinin veya müşterilerimiz tarafından kullanımının doğurabileceği olası yanlış anlamalar, hatalar veya zararlardan sorumlu değildir. Öte yandan Microsoft, Makine Çevirisi Düzenleme işlemini geliştirmek amacıyla Makine Çevirisi Düzenleme yazılımını ve araçlarını sık sık güncelleştirmektedir.

Makalenin İngilizcesi aşağıdaki gibidir: 2789917

Bu makalede, Active Directory etki alanı denetleyicileri tarafından sistem durumu yedeklemeleri geçişli toplama şema yüklemek Active Directory Hizmet Arabirimleri (ADSI) istemcilerin neden başvuru özniteliklerini güncelleştirme nasıl açıklanır. Bu karşıdan yükleme işlemi büyük olasılıkla etki alanı denetleyicisi rolü bilgisayarları ve arka plandaki ağ üzerindeki yükü artırır.
Belirtiler
Bir Active Directory ormanındaki tüm etki alanı denetleyicilerinde şema bölümünün sistem durumu yedeklemesi gerçekleştirdiğinizde aşağıdaki sorunlar oluşabilir:
  • Windows tabanlı bilgisayarlarda sorgu başvurusu Active Directory öznitelikleri, etki alanı denetleyicisi rolü bilgisayarları üzerinde daha yüksek CPU kullanımı şu amaçlarla kullanılır:
    • Toplama şema güncelleştirmelerini algılamak için
    • Bir değişiklik, etki alanı denetleyicilerinden toplama şema kopyalamak için algılandı
  • ADSI istemcileri etki alanı denetleyicilerinden toplama şema içeriği kopyaladığınızda, Basit Dizin Erişim Protokolü (LDAP) ağdaki trafiği artar.
Neden
DSA-imza özniteliği şema adlandırma kapsamında (şema NC) üzerinde güncelleştirildiğinden, bu sorun oluşur Windows Server 2003 Service Pack 1 (SP1) veya sonraki bir sürümünü çalıştıran bir etki alanı denetleyicisinin Sistem durumu yedeklemesi gerçekleştirdiğinizde.

DSA imza özniteliği bir sistem durumu yedeği güncelleştirildiği tarih damgaları iki başvuru öznitelikleri güncelleştirilir. Bu özniteliklerden biri NC başı şema üzerinde bulunur ve diğer bulunur CN toplama, CN = Schema = nesne.

ADSI uygulamaları ve komut dosyalarını çalıştırın Windows istemcileri toplama şema güncelleştirmelerini algılamak için bu başvuru öznitelikleri sorgulama. Bunlar böyle güncelleştirmelerini algılamak, ADSI istemcileri bir LDAP bağlantısı okuma üzerinden bir etki alanı denetleyicisinden toplama şema güncelleştirilmiş bir kopyasını yükleyin.

Not
LDAP sorgularını ve ağ g/ç ilgili toplama şema algılama hakkında daha fazla bilgi için "Daha fazla bilgi" bölümüne bakın.
Geçici Çözümler
Sunucu tarafında geçici bir çözüm ve istemci tarafında geçici bir çözüm kısmi azaltır ancak ADSI istemcileri toplama şema karşıdan yükleme sayısı ortadan yok kattın. İstemci tarafı ve sunucu tarafı geçici çözümler birbirinden bağımsız olarak uygulanabilir. Başka bir deyişle, aynı anda yalnızca istemci tarafında geçici çözüm, sunucu tarafı değişikliği veya her iki geçici çözümler uygulayabilir.

Sunucu tarafı geçici çözüm



DSA-imza düzenleme

Sistem durumu yedeklemelerini şema bölümününDSA imza özniteliği güncelleştirilmesini önleme sunucu tarafı geçici oluşur. Bu öznitelik bir sistem durumu yedeklemesi güncelleştirilmiş olup olmadığını belirlemek için DRA_INHIBIT_BACKUP_AUTO_STAMP bayrağını DSA imza özniteliği içerir. DSA-imza özniteliği büyük ikili biçimde depolandığından, ancak kolayca LDP gibi bir araç kullanarak değiştirilemez. EXE ya da ADSIEDİT. MSC.

Bu soruna geçici bir çözüm için Windows PowerShell komut dosyasını veya sistem durumu yedeklemeleri şema bölümündeki DSA imza özniteliği güncelleştirmesini engelleyen bir yürütülebilir dosya çalıştırın ve, sırasıyla şema NC başı whenChanged özniteliği ve whenModified özniteliği CN = toplam nesneler.

Bkz. DSASignature öznitelik Düzenle PowerShell komut dosyası Microsoft Script Center sitesinde.

Derlemek ve DSA imza özniteliği şema NC DRA_INHIBIT_BACKUP_AUTO_STAMP bayrağını temizleyin veya ayarlamak için aşağıdaki örnek kodu çalıştırın.

PowerShell veya programlı düzeltme kullanılıp kullanılmadığını ne olursa olsun, DRA_INHIBIT_BACKUP_AUTO_STAMP bayrağı etkin bir olumsuz yan etkisi yoktur. Bu yan etkisi "Ek bilgi" bölümünde belgelenmiştir.

Not: Bu örnek kod bir şema yöneticisi güvenlik bağlamı altında bir etki alanı denetleyicisinde çalıştırılması gerekir.

Tanımları güncel olduğundan emin olma

Son olarak thatIPv4 emin olun ve IPv6 alt ağ, site ve alt site tanımları, Active Directory ormanında güncel ve tüm orman kuruluşunuzdaki tüm alt ağların kapsar. Sorguladığınız ADSI uygulamaları çalıştıran bilgisayarlar olduğundan emin olduğunuzda bunu yapar ve en iyi site etki alanı denetleyicilerinden bunu toplama şema güncelleştirilmiş sürümlerini kopyalama. Site ayarlarını yapılandırma hakkında daha fazla bilgi için aşağıdaki Microsoft TechNet Web sitesine gidin:

Örnek kod

//+-------------------------------------------------------------------------////// File: dsasignaturemod.c//// This is a sample program for setting or clearing the// DRA_INHIBIT_BACKUP_AUTO_STAMP flag in the dSASignature// attribute on the schema NC.////--------------------------------------------------------------------------#include <windows.h>#include <winldap.h>#include <winber.h>#include <strsafe.h>#include <stdio.h>#include <conio.h>#define CHECKLDAP(result, op) if (result) { printf("%s failed with LDAP error=0x%x(%d)\n", op, result, result); goto Exit; }#define CHECKLDAPLE(result, op) if (!result) { printf("%s failed with LDAP error=0x%x(%d)\n", op, LdapGetLastError(), LdapGetLastError()); goto Exit; }//// Type definitions for the dsaSignature attribute//#define DRA_INHIBIT_BACKUP_AUTO_STAMP (0x1)typedef struct _BACKUP_NC_HEAD_DSA_SIGNATURE_STATE_V1 {DWORD dwFlags;LONGLONG BackupErrorLatencySecs;UUID dsaGuid;} BACKUP_NC_HEAD_DSA_SIGNATURE_STATE_V1;typedef struct _BACKUP_NC_HEAD_DSA_SIGNATURE_STATE {DWORD dwVersion;DWORD cbSize;union{BACKUP_NC_HEAD_DSA_SIGNATURE_STATE_V1 V1;};} BACKUP_NC_HEAD_DSA_SIGNATURE_STATE;// Whether we are setting or clearing the bitBOOL gfSet = FALSE;// Whether we are querying the bitBOOL gfGet = FALSE;// Whether we are automating and want to skip PromptForOK()BOOL skipPrompt = FALSE;// Copy of the schema NC DNLPWSTR pszSchemaNCCopy = NULL;BOOL PromptForOK(){int prompt;BOOL ret = skipPrompt;printf("\n");printf("This program is about to %s the DRA_INHIBIT_BACKUP_AUTO_STAMP flag in\n", gfSet ? "set" : "clear");printf("the dSASignature attribute on the following directory NC:\n");printf("\n");printf(" %S\n", pszSchemaNCCopy);printf("\n");if (!skipPrompt) {printf("Do you wish to continue? (Y\\N)");prompt = _getch();printf("\n");ret = (prompt == 'Y' || prompt == 'y') ? TRUE : FALSE;}return ret;}void Usage(){CHAR szExeName[MAX_PATH];ZeroMemory(szExeName, sizeof(szExeName));GetModuleFileNameA(NULL, szExeName, ARRAYSIZE(szExeName));printf("Usage:\n");printf("\n");printf("%s [/get | /set | /clear] [/auto]\n", szExeName);printf("\n");printf(" /get - queries current state of the DRA_INHIBIT_BACKUP_AUTO_STAMP flag\n");printf(" /set - sets the DRA_INHIBIT_BACKUP_AUTO_STAMP flag\n");printf(" /clear - clears the DRA_INHIBIT_BACKUP_AUTO_STAMP flag\n");printf(" /auto - skips the prompt for proceeding (for automation purposes)\n");printf("\n");}BOOL ParseArgs(int argc, __in char ** argv){BOOL ret = FALSE;if (argc >= 2){if (!_stricmp("/get", argv[1])) {gfGet = TRUE;ret = TRUE;}else if (!_stricmp("/set", argv[1])) {gfSet = TRUE;ret = TRUE;}else if (!_stricmp("/clear", argv[1])) {gfSet = FALSE;ret = TRUE;}if (argc >= 3){if (!_stricmp("/auto", argv[2])) {skipPrompt = TRUE;}}}return ret;} void __cdecl main(int argc, __in char ** argv){BOOL fFoundDSASignature = FALSE;BOOL fFlagSet = FALSE;LDAP* ldap = NULL;ULONG cb = 0;ULONG cch = 0;ULONG result = 0;LPWSTR pszAttrs[2] = { 0 };LPWSTR* ppszSchemaNC = NULL;LDAPMod mod;LDAPMod* mods[2];LDAPMessage* pldapMsg = NULL;LDAPMessage* pldapResults = NULL;struct berval valMod;struct berval* vals[2];struct berval** val = NULL;BACKUP_NC_HEAD_DSA_SIGNATURE_STATE dsaSignature;ZeroMemory(&dsaSignature, sizeof(dsaSignature));if (!ParseArgs(argc, argv)) {Usage();return;}printf("\n");//// Init connection handle//ldap = ldap_init(NULL, LDAP_PORT);CHECKLDAPLE(ldap, "ldap_init");//// Connect to DC//result = ldap_connect(ldap, NULL);CHECKLDAP(result, "ldap_connect");//// Retrieve schema NC name//pszAttrs[0] = L"schemaNamingContext";pszAttrs[1] = NULL;result = ldap_search_sW(ldap,NULL,LDAP_SCOPE_BASE,L"(objectclass=*)",pszAttrs,0,&pldapResults);CHECKLDAP(result, "ldap_search_s for schemaNamingContext");pldapMsg = ldap_first_entry(ldap, pldapResults);CHECKLDAPLE(pldapMsg, "ldap_first_entry");//// Make a copy of the schema NC name//ppszSchemaNC = (LPWSTR*)ldap_get_valuesW(ldap, pldapMsg, L"schemaNamingContext");cch = wcslen(ppszSchemaNC[0]) + 1;pszSchemaNCCopy = (LPWSTR)malloc(cch * sizeof(WCHAR));StringCchCopy(pszSchemaNCCopy, cch, ppszSchemaNC[0]);ldap_value_free(ppszSchemaNC);ppszSchemaNC = NULL;ldap_msgfree(pldapResults);pldapResults = NULL;//// Bind to the DC//result = ldap_bind_s(ldap, pszSchemaNCCopy, NULL, LDAP_AUTH_NEGOTIATE);CHECKLDAP(result, "ldap_bind_s");//// Retrieve current value of the dSASignature attribute//pszAttrs[0] = L"dSASignature";pszAttrs[1] = NULL;result = ldap_search_sW(ldap,pszSchemaNCCopy,LDAP_SCOPE_BASE,L"(objectclass=*)",pszAttrs,0,&pldapResults);CHECKLDAP(result, "ldap_search_s for dSASignature");pldapMsg = ldap_first_entry(ldap, pldapResults);CHECKLDAPLE(pldapMsg, "ldap_first_entry");//// Make a copy of the dSASignature attribute.//val = (struct berval**)ldap_get_values_len(ldap, pldapMsg, L"dSASignature");// Make sure that the value was there and seems to be the correct size.if (val && val[0]) {if (val[0]->bv_len == sizeof(BACKUP_NC_HEAD_DSA_SIGNATURE_STATE)) {memcpy(&dsaSignature, val[0]->bv_val, val[0]->bv_len);fFoundDSASignature = TRUE;}}ldap_value_free_len(val);val = NULL;ldap_msgfree(pldapResults);pldapResults = NULL;//// Sanity check//if (!fFoundDSASignature ||dsaSignature.dwVersion != 1) {printf("The dSASignature attribute was either not\n");printf("found or was in an unexpected format.\n");goto Exit;}//// Cache whether the flag is set already or not//fFlagSet = (DRA_INHIBIT_BACKUP_AUTO_STAMP & dsaSignature.V1.dwFlags) ? TRUE : FALSE;//// If query-only mode, display current setting and leave//if (gfGet) {printf("The target directory %s have the DRA_INHIBIT_BACKUP_AUTO_STAMP set.\n",fFlagSet ? "DOES" : "DOES NOT");goto Exit;}//// If doing a modification, see whether there is anything to do.//if (gfSet && fFlagSet) {printf("The /set operation was specified but the target directory already\n");printf(" has the flag set. Exiting with no changes.\n");goto Exit;}else if (!gfSet && !fFlagSet) {printf("The /clear operation was specified but the target directory already\n");printf(" has the flag cleared. Exiting with no changes.\n");goto Exit;}//// Yes there is work to do; prompt the admin// for approval before you continue.//if (!PromptForOK()) {goto Exit;}//// Set or clear the bit in our local copy//if (gfSet) {dsaSignature.V1.dwFlags |= DRA_INHIBIT_BACKUP_AUTO_STAMP;}else {dsaSignature.V1.dwFlags &= (~DRA_INHIBIT_BACKUP_AUTO_STAMP);}//// Prepare for the modify//ZeroMemory(&valMod, sizeof(valMod));valMod.bv_len = sizeof(dsaSignature);valMod.bv_val = (PCHAR)&dsaSignature;vals[0] = &valMod;vals[1] = NULL;ZeroMemory(&mod, sizeof(mod));mod.mod_op = LDAP_MOD_REPLACE | LDAP_MOD_BVALUES;mod.mod_type = L"dSASignature";mod.mod_vals.modv_bvals = vals;mods[0] = &mod;mods[1] = NULL;//// And do it://result = ldap_modify_s(ldap,pszSchemaNCCopy,mods);CHECKLDAP(result, "ldap_modify_s for dSASignature");printf("\n");printf("Modification succeeded!\n");Exit:if (pszSchemaNCCopy) {free(pszSchemaNCCopy);}if (ldap) {ldap_unbind(ldap);}printf("\n");return;}

Örnek program çıktısı

Aşağıdaki örnek program çıktısı gösterilmektedir:
C:\>dsasignaturemod.exe /get The target directory DOES NOT have the DRA_INHIBIT_BACKUP_AUTO_STAMP set.
C:\>dsasignaturemod.exe /set  This program is about to set the DRA_INHIBIT_BACKUP_AUTO_STAMP flag inthe dSASignature attribute on the following directory NC:     CN=Schema,CN=Configuration,DC=rootdomain,DC=com Do you wish to continue? (Y\N) Modification succeeded!
C:\>dsasignaturemod.exe /set /auto  This program is about to set the DRA_INHIBIT_BACKUP_AUTO_STAMP flag inthe dSASignature attribute on the following directory NC:     CN=Schema,CN=Configuration,DC=rootdomain,DC=com  Modification succeeded!
C:\>dsasignaturemod.exe /get The target directory DOES have the DRA_INHIBIT_BACKUP_AUTO_STAMP set.
C:\>dsasignaturemod.exe /clear  This program is about to clear the DRA_INHIBIT_BACKUP_AUTO_STAMP flag inthe dSASignature attribute on the following directory NC:     CN=Schema,CN=Configuration,DC=rootdomain,DC=com Do you wish to continue? (Y\N) Modification succeeded!
C:\>dsasignaturemod.exe /clear /auto  This program is about to clear the DRA_INHIBIT_BACKUP_AUTO_STAMP flag inthe dSASignature attribute on the following directory NC:     CN=Schema,CN=Configuration,DC=rootdomain,DC=com  Modification succeeded!

İstemci tarafında geçici çözüm

Etki alanı denetleyicisi seçimi en iyi duruma getirme

Bazı uygulamalar, açıkça belirli bir etki alanı denetleyicisine bağlanmak ve sonra bu etki alanı denetleyicisinden güncelleştirilmiş şema önbelleğine karşıdan yükleyin. Ancak, uygulamalar genellikle belirli LDAP adlandırma bağlamı için en iyi etki alanı denetleyicisini bulmak için etki alanı denetleyicisi konumlandırıcı için bırakın. İstemciler, çünkü bunlar bir yavaş ağ bağlantısı üzerinden etki alanı denetleyicilerini hedefleyen şema önbelleği güncelleştirmede belirgin bir gecikme yaşayabilirsiniz. Bu orman sınırları boyunca oluşma olasılığı yüksektir. Hedef ağ açısından en yakın etki alanı denetleyicisinden şema önbelleğine yüklemek için her zaman olmalıdır.

Geçici çözüm

İstemci tarafında geçici çözüm her makine-tabanlı bir mağaza için toplama şema kullanmak için Windows Vista, Windows Server 2008 veya sonraki sürümleri çalıştıran bilgisayarları yapılandırmayı içerir.

Windows XP tabanlı bilgisayarlarda, toplama şema önbelleği Makine deposu kullanılır. Bu, yerel bilgisayara oturum tüm kullanıcılar arasında toplama şema yükleme ya da kullanıcılara verilen yönetici haklarına sahip olduğu sürece paylaşıldı veya dosya sistemi ve kayıt defteri yerel mağazalar, kimliği doğrulanmış kullanıcılar'a verilen yazma izinlerine sahip olmanız anlamına gelir. Aksi takdirde, şema önbelleği RAM her ADSI oturumu sırasında karşıdan yüklenmesi gerekiyordu ve ADSI oturum sona erdi sonra atıldı.

Windows Vista ve sonraki sürümler, ADSI şema önbelleği kullanıcı başına deposunda uygulanır. Güvenlik kullanıcı başına önbellek ile geliştirilmiş olsa da, Uzak Masaüstü Protokolü (RDP) veya Terminal Server AQ, kiosk veya diğer çok kullanıcılı sistem oturum açan her benzersiz bir kullanıcı aynı bilgisayarı ADSI şema önbelleğine yüklemek neden olabilir.

Bir geri dönüş, 1 değeri HKLM\SYSTEM\CurrentControlSet\Services\ADSI\Cache kayıt defteri yolunu REG DWORD PerMachine ayarlayarak Windows Vista ve sonraki sürümleri çalıştıran bilgisayarlarda Makine deposu yapılandırma için zorlayabilirsiniz. Ayrıca, kimliği doğrulanmış kullanıcılar için %systemroot%\SchCache ve HKLM\Software\Microsoft\ADs\Providers\LDAP üzerinde yazma erişimi vermeniz gerekir. Daha fazla bilgi için bkz. ADSI ve kullanıcı hesabı denetimi.

Not: "Makine" başına deposunu kullanan senaryolarda, kullanıcı oturum kapattığında, kullanıcının gezici profilinin silinir özellikle yararlıdır. Bu tür kullanıcılar yeni bir gezici profili oluşturmak zorunda ve toplama şema karşıdan yüklemeniz gerekebilir. Bir gezici profil silinmesini neden belirli senaryolar aşağıdakileri içerir:
  • Zorunlu kullanıcı profilleri kullanarak oturum açmak için yapılandırılmış olan kullanıcılar.
  • "Belirtilen sistem başlatma gün sayısından daha eski olan kullanıcı profillerini Sil" ilkesi tabi olan kullanıcılar.
  • "Gezici profillerin önbelleğe alınmış kopyalarını sil" ilkesi tabi olan kullanıcılar.
  • Bir kullanıcı tarafından bir komut dosyası veya DELPROF gibi araç, önbelleğe alınmış bir profil silindi. EXE veya bir eşdeğeri.
Daha fazla bilgi

ADSI hakkında daha fazla bilgi

ADSI istemci Bileşen Nesne Modeli (COM) uymak için Active Directory erişen programlı bir uygulamasıdır.

ADSI uygulamaları ve komut dosyalarını çalıştıran Windows tabanlı bilgisayarlar toplama Active Directory şema yerel bir kopyasını tutar. Her ADSI istemci oturumunun başlangıcında başvuru şema özniteliği değişiklikleri için denetlenir. Proxy öznitelikleri açık hiçbir özniteliği Active Directory'de benzersiz olarak tanımlayan Active Directory Şeması için tüm olası değişiklikleri nedeniyle, Windows tabanlı bilgisayarlar, istemcinin kendi etki alanındaki bir etki alanı denetleyicisinden, ağ üzerinden toplama şema güncelleştirilmiş bir kopyasını kopyalamalısınız belirlemek için kullanılır. ADSI uygulamaları örnekleri şunlardır:
  • Active Directory Yönetim Merkezi Microsoft Yönetim Konsolu (MMC) ek bileşeni
  • Active Directory etki alanları ve Güvenleri MMC ek bileşeni
  • Active Directory Siteleri ve Hizmetleri MMC ek bileşeni
  • Active Directory Kullanıcıları ve Bilgisayarları MMC ek bileşeni
  • ADSI Düzenleyicisi MMC ek bileşeni
  • DHCP MMC ek bileşeni
  • DNS Yöneticisi'ni MMC ek bileşeni
  • Exchange Yönetim Konsolu
  • Grup İlkesi Yönetimi MMC ek bileşeni
  • Squery.exe

Toplama şema değişiklikleri algılamak için kullanılan öznitelikler

Aşağıdaki tabloda, her Windows sürümü için toplama şema değişiklikleri algılamak için kullanılan öznitelikler genel bakış sağlar:

ADSI istemci işletim sistemi sürümüKoşul ADSI şema önbelleğine yüklemek için
Windows XP
Windows Server 2003
Windows Server 2003 R2
Windows Vista / Windows Server 2008
Windows 7 / Windows Server 2008 R2
Güncelleştirme toplama şema nesnesinde modifyTimeStamp özniteliği
Windows 8 / Windows Server 2012
Windows 8.1 / Windows Server 2012 R2
WhenChanged şema özniteliğini güncelleştirme
ADSI istemci proxy özniteliklerden biri bir değişiklik saptanırsa, toplama şema yeni bir kopyasını yükler.

Windows 8 Windows Server 2012'den önceki işletim sistemlerini çalıştıran bilgisayarlar üzerinde toplama şema modifyTimeStamp özniteliği sorgu. Böylece bir etki alanı denetleyicisi yeniden modifyTimeStamp Active Directory hizmetini yeniden başlatma tarafından güncelleştirildi veya hiçbir yasal şema değişikliği oluştuğunda etki alanı denetleyicisinden toplama şema önbelleğine yüklemek bazı ADSI istemcileri Active Directory hizmetinin yeniden başlatılması nedeniyle. Active Directory, Windows Server 2008'de yeniden başlatılabilir bir hizmet haline geldi çünkü bu küçük bir sorun erken on oldu.

Windows 8, Windows Server 2012 veya sonraki bir sürümünü çalıştıran bilgisayarlar, whenChanged NC başı şema özniteliği sorgu. WhenChanged özniteliği DSA imza özniteliği şema adlandırma kapsamında bulunan bir sistem durumu yedeklemesi güncelleştirdiğinde, güncelleştirilen yan etkisi yoktur. Bu zaman damgası whenChanged öznitelik şemasının NC kafası sırayla güncelleştirir.

Bir etki alanı denetleyicisinde şema toplama proxy özniteliklerini güncelleştirme olayları

Aşağıdaki tabloda, işletim sistemi sürümüne ve öznitelik güncelleştirmeleri tetikleyen işlemler göre güncelleştirilmiş başvuru öznitelikleri genel bir bakış sağlar.

Etki alanı denetleyicisi işletim sistemi sürümüModifyTimeStamp toplama şema özniteliği güncelleştirmeleri koşuluWhenChanged şema özniteliği güncelleştirmeleri koşulu
Windows Server 2003
Windows Server 2003 R2
Windows Server 2008
Windows Server 2008 R2
Etki alanı denetleyicisi veya NT Dizin Hizmeti (NTDS) başlatır Şema genişletmesini / sistem durumu yedekleme
Windows Server 2008 R2 ile KB 2671874
Windows Server 2012
Windows Server 2012 R2
Şema genişletmesini / sistem durumu yedeklemeŞema genişletmesini / sistem durumu yedekleme
Bir değişiklik saptanırsa, yüklenmek üzere ADSI şema önbelleği vardır. Bir sistem durumu yedeklemesi DSA imza özniteliği şema adlandırma içeriğinin şema içinde bir güncelleştirilmiş whenChanged zaman damgası sonuçları veri yazar.

ADSI istemcileri tarafından toplama şema önbelleği güncelleştirmelerini algılamak

Yüksek CPU ve ağ kullanımını algılamak için kullanın. Ağ İzleyicisi'nin 3.4 aracı ağ kullanımı yakalamak ve sonra sonuçları analiz etmek için şu adımları izleyin:
  1. Aracında, Windows işletim sisteminize bağlı olarak aşağıdaki görüntü filtrelerini kullanın.

    Not: Bu filtrelerde Lütfen diziyi değiştirin "CN = Schema, CN = Configuration, DC = Contoso, DC = com =" Active Directory şema adlandırma kapsamında söz konusu ayırt edici ad (DN) yolu ile.
    Windows 7 ile birlikte eski istemcileri
    Yakalanan ağ trafiğini toplama şema nesnesinde modifyTimeStamp özniteliği değeri sorgulamak için aşağıdaki görüntü filtresi kullanın:
    (LDAPMessage.SearchRequest.BaseObject.OctetStream == "CN=Aggregate,CN=Schema,CN=Configuration,DC=Contoso,DC=com" AND LDAPMessage.SearchRequest.Attributes.Attribute.OctetStream == "modifyTimeStamp") OR(LDAPMessage.SearchResultEntry.ObjectName.OctetStream == "CN=Aggregate,CN=Schema,CN=Configuration,DC=Contoso,DC=com" AND LDAPMessage.SearchResultEntry.Attributes.PartialAttribute.Type.OctetStream == "modifyTimeStamp")
    Windows 8 ve sonraki istemcileri

    Yakalanan ağ trafiğini içinde NC başı şema üzerinde whenChanged öznitelik değeri sorgulamak için aşağıdaki görüntü filtresi kullanın:
    (LDAPMessage.SearchRequest.BaseObject.OctetStream == "CN=Schema,CN=Configuration,DC=Contoso,DC=com" AND LDAPMessage.SearchRequest.Attributes.Attribute.OctetStream == "whenChanged") OR (LDAPMessage.SearchResultEntry.ObjectName.OctetStream == "CN=Schema,CN=Configuration,DC=Contoso,DC=com" AND LDAPMessage.SearchResultEntry.Attributes.PartialAttribute.Type.OctetStream == "whenChanged")
    Varsayılan olarak, bu değer kayıt defterinde aşağıdaki anahtarı istemci saat değeriyle karşılaştırılır:

    HKEY_CURRENT_USER\Software\Microsoft\ADs\Providers\LDAP\CN=Aggregate,CN=Schema,CN=Configuration,DC=<root domain>,DC=com

    Saat modifyTimeStamp veya whenChanged özniteliği, daha sonraki kayıt defterinde saklanan değer ise istemci güncelleştirilmiş bir şema önbelleğine yükler. (Bu öznitelik istemci işletim sistemine bağlıdır.)

    Aracı bir örnek ekran görüntüsü aşağıdaki gibidir:

    Bu ekran görüntüsü bir örnektir modifyTimeStamp veya whenChanged özniteliğinde saat olması durumunda daha sonraki kayıt defterinde saklanan değer

    Ekran görüntüsü, aşağıda görebilirsiniz:
    • ADSI istemci etki alanı denetleyicisi adı 8 kare bağlar.
    • LDAP arama şeması değiştirilmiş proxy özniteliği için bağlama izleyin erken LDAPSASLBuffer çerçevelerden birinde saklanır.
    • Birkaç LDAPSASLBuffer çerçevelerde şifreli LDAP trafiğini (hedef bağlantı noktasında DC = TCP 389).
    • Etki alanı denetleyicisi 1460 TCP yük uzunluğu olan birçok TCP karelerin üzerine ek şifreli verileri göndermeye devam eder.
  2. Sahip belirledikten sonra doğru konuşma Bu davranış sergiliyor ağ izlemesinde, istemcinin kullandığı TCP bağlantı noktasında filtre uygulayabilirsiniz. Örnekte, konuşma 65237 TCP bağlantı noktası üzerinden istemciden başlatılır. Ağ İzleyicisi'ni filtre gibi "tcp.port == 65237" ilgili çerçeveleri ayırmak için kullanılır.
  3. Bu konuşma ve Microsoft Excel içine yapıştırma tüm çerçeveleri kopyalarsanız, kopya varsayılan toplama şema hat üzerinde TCP yükü boyutu 2 megabayt (MB) veri olduğunu görürsünüz. Varsayılan toplama şema dosya boyutu yaklaşık 4 MB sonra kodlamadır.

İstemci-tarafı işleme ağ trafiğini birleştiriliyor

Bu görüşme başlatan istemci üzerinde işlem belirlemek için Sistem Monitörü'nü (Sysmon) kullanabilirsiniz. Sysmon yüklenmiş ve yapılandırılmış LDAP bağlantıları için günlüğe olay kimliği 3 Microsoft Windows Sysmon işlemi olay günlüğüne kaydedilir. Bu, kaynak IP ve bağlantı noktası işlemkimliği ve görüntü adıyla birlikte kaydeder çünkü ağ trafiğinin bir istemci-tarafı işleme arasında ilişki sağlar.


Günlük adı: Microsoft-Windows-Sysmon/operasyonel
Kaynak: Microsoft-Windows-Sysmon
Tarih: Tarih
Olay Kimliği: 3
Görev kategorisi: Ağ bağlantısı algılanmadı (kural: NetworkConnect)
Düzey: bilgi
Anahtar sözcükler:
Kullanıcı: Sistem
Bilgisayar: Bilgisayar
Açıklama:
Ağ bağlantısı algılandı:
Sıra numarası: 206
UtcTime: UtcTime
ProcessGuid: {ProcessGuid}
ProcessID: 3220
Resim: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
Kullanıcı: Kullanıcı adı
Protokol: tcp
Başlatan: doğru
SourceIsIpv6: yanlış
SourceIp: SourceIp
SourceHostname: ADSIClient
KaynakBağlantıNoktası: 65237
SourcePortName:
DestinationIsIpv6: yanlış
DestinationIp: DestinationIp
DestinationHostname: DestinationHostname
DestinationPort: 389
DestinationPortName: ldap
Olay XML'si:

<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider name="Microsoft-Windows-Sysmon" guid=""></Provider></System></Event>"{Sağlayıcı adı}" />
<EventID>3</EventID>
<Version>4</Version>
<Level>4</Level>
<Task>3</Task>
<Opcode>0</Opcode>
<Keywords>0x8000000000000000</Keywords>
<TimeCreated SystemTime=" systemtime=""></TimeCreated SystemTime=">Saat" />
<EventRecordID>39</EventRecordID>
<Correlation></Correlation>
<Execution processid="1140" threadid="3492"></Execution>
<Channel>Microsoft-Windows-Sysmon/operasyonel</Channel>
<>r >Bilgisayar
<Security UserID=" userid=""></Security UserID=">Kullanıcı Kimliği" />

<EventData>
<Data name="SequenceNumber">206</Data>
<Data name="UtcTime"></Data></EventData>Saat
<Data name="ProcessGuid">{</Data>ProcessGuid}
<Data name="ProcessId">3220</Data>
<Data name="Image">C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe</Data>
<Data name="User"></Data>Kullanıcı
<Data name="Protocol">TCP</Data>
<Data name="Initiated">doğru</Data>
<Data name="SourceIsIpv6">yanlış</Data>
<Data name="SourceIp"></Data>SourceIp
<Data name="SourceHostname"></Data>SourceHostname
<Data name="SourcePort">65237</Data>
<Data name="SourcePortName">
</Data>
<Data name="DestinationIsIpv6">yanlış</Data>
<Data name="DestinationIp"></Data>DestinationIp
<Data name="DestinationHostname"></Data>DestinationHostname
<Data name="DestinationPort">389</Data>
<Data name="DestinationPortName">LDAP</Data>

İstemcide oturum işlem İzleyicisi

İstemcide oturum işlem İzleyicisi zengin bağlamsal bilgiler sağlar. İşlem İzleyicisi günlüğü olay Sysmon tarafından günlüğe kaydedilen işlem kimliği üzerinde filtre.

Ekran görüntüsü Sysmon tarafından günlüğe olay oturum işlem kimliği üzerinde işlem İzleyicisi günlüğü filtreleri

Aşağıdaki işlemleri ilgi bulacaksınız.
İşlemYol
RegOpenKeyHKLM\SYSTEM\CurrentControlSet\Services\ADSI\Cache
RegQueryValueHKCU\Software\Microsoft\ADs\Providers\LDAP\CN toplama, CN = Schema, CN = Configuration, DC = =alt etki alanı, DC =kök etki alanı, DC = com\Time
TCP almaAna bilgisayar adı>: bağlantı noktası-> <DCName> </DCName>: LDAP
RegCreateKeyHKCU\SOFTWARE\Microsoft\ADs\Providers\LDAP\CN toplama, CN = Schema, CN = Configuration, DC = =alt etki alanı, DC =kök etki alanı, DC = com
WriteFileC:\Users\<username>\AppData\Local\Microsoft\Windows\SchCache\</username>alt etki alanı.kök etki alanı. com.sch
Not: Windows tabanlı bilgisayarlarda yerel kopyasını toplama şema önbelleği güncelleştirmekte olduğunuz denetlemek için bir tarih damgası *.sch dosyasının ADSI istemci yerel dosya sistemindeki değişiklikler için izlemek için yoludur.

Çok büyük işlem izleme günlükleri için filtre iyileştirmek için aşağıdaki tabloda verileri kullanabilirsiniz.

İsteğe bağlı ek filtreler:
SütunİlişkisiDeğer
YolİçerirSchCache
İşlemDeğilWriteFile
Ekran görüntüsü işlem İzleyicisi filtredir

Sysmon günlük LDAP bağlantıları için yapılandırma

  1. Karşıdan yükleme Sysmon istemci üzerinde.
  2. Sysmon yapılandırması için yeni bir metin dosyası oluşturun, dosyayı Sysmonconfig.xml kaydedin ve aşağıdaki içeriği ekleyin:

    <Sysmon schemaversion="2.0">  <!-- Capture all hashes -->  <HashAlgorithms>*</HashAlgorithms>  <EventFiltering>  <!-- Log all drivers except if the signature -->  <!-- contains Microsoft or Windows -->  <DriverLoad onmatch="exclude">  <Signature condition="contains">microsoft</Signature>  <Signature condition="contains">windows</Signature>  </DriverLoad>  <!-- Do not log process termination -->  <ProcessTerminate onmatch="include" />  <!-- Log network connection if the destination port equal 443 -->  <NetworkConnect onmatch="include">  <DestinationPort>389</DestinationPort><DestinationPort>636</DestinationPort><DestinationPort>3268</DestinationPort><DestinationPort>3269</DestinationPort>  </NetworkConnect>  </EventFiltering></Sysmon>
  3. Sysmon yüklemek için aşağıdaki komutu çalıştırın:
    Sysmon -i sysmonconfig.xml

Yan etkisi, DRA_INHIBIT_BACKUP_AUTO_STAMP bayrağı etkin

Bu olay kimliği 2089 hatalı şema bölümü sistem durumu yedekleri oluşturmakta olduğunuz ormanlarda yakalanmış değil olduğunu gösterir DRA_INHIBIT_BACKUP_AUTO_STAMP bayrağı etkin bir yan etkisi olur.

Aşağıdakine benzer bir örnek olay kimliği 2089 uygulama günlüğüne kaydedilir:


Olay türü: uyarı
Olay kaynağı: NTDS çoğaltması
Olay kategorisi: yedekleme
Olay Kimliği: 2089
Tarih: tarih
Zaman: zaman
Kullanıcı: kullanıcı adı
Bilgisayar: bilgisayar adı
Açıklama:

Bu dizin bölümü bu yana en yedeklendiğinden değil en az aşağıdaki gün sayısı.

Dizin bölümü:

CN = schema, DC = orman kök dns uygulama bölümüne =

Not: Olay Kimliği 2089 günlüğe kaydedilmez anahtar diğer bölümler için aþaðýdaki gibi CN = Configuration = veya etki alanı dizini bölümü bölüm özgü yedeklemeler gerçekletirmek için hiçbir yöntem olduğundan. Daha fazla bilgi için aşağıdaki Microsoft Bilgi Bankası makalesine bakın:
914034 Windows Server 2003 SP1 ve sonraki etki alanı denetleyicilerinin belirli bir dönemdeki yedeklenmez NTDS çoğaltması olay 2089 kaydedilir

Uyarı: Bu makalenin çevirisi otomatik olarak yapılmıştır

Özellikler

Makale No: 2789917 - Son İnceleme: 07/29/2015 21:17:00 - Düzeltme: 3.0

Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Essentials, Windows Server 2012 Datacenter, Windows Server 2012 Standard, Windows Server 2012 Essentials, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard

  • kbexpertiseadvanced kbsurveynew kbbug kbprb kbtshoot kbmt KB2789917 KbMttr
Geri bildirim