Важкий глобальної мережі та ім'я домену контролера ЦП під Вільний час виконання резервні копії стану системи

ВАЖЛИВО! Ця стаття перекладена засобами машинного перекладу Microsoft. Статтю можна редагувати в середовищі Community Translation Framework (CTF). Щоб якомога швидше перекласти всі статті у своїй базі знань різними мовами, компанія Microsoft не лише звертається до професійних перекладачів, але й вдається до машинного перекладу, який потім редагується спільнотою. Такі статті можуть містити лексичні, синтаксичні та граматичні помилки. Microsoft не несе відповідальності за будь-які неточності, помилки або збитки, до яких може призвести неправильний переклад статей або їх використання. Докладніше про CTF див. на веб-сторінці http://support.microsoft.com/gp/machine-translation-corrections/uk-ua.

Клацніть тут, щоб переглянути цю статтю англійською мовою: 2789917

У цій статті описано, як резервні копії стану системи за контролерами домену служба Active Directory імпортованих оновити посилання атрибути призвести до того, завантажити сукупний схеми служба Active Directory Service Interfaces (ADSI). Процес завантаження, потенційно підвищує навантаження на комп'ютерах під роль контролера домену і використовуваної мережі.
Ознаки
Під Вільний час резервного копіювання стану системи схеми розділу на будь-який контролер домену в лісі служба Active Directory, можуть виникнути такі проблеми:
  • Підвищення завантаження процесора на домен комп'ютерів роль контролера під Вільний час атрибутів Довідка Windows на комп'ютерах з служба Active Directory, які використовуються з метою:
    • Щоб виявити оновлення, сукупні схеми
    • Скопіюйте сукупна схеми з контролерами домену, якщо зміни буде виявлено
  • Збільшення полегшений протокол доступу до каталогів (LDAP) трафік в мережі, ADSI клієнти копіювання вмісту сукупна схеми, з контролерів домену.
причина
Ця проблема виникає в тому, що атрибут DSA підпису , що оновлюється на схеми простору імен (схема NC) під Вільний час виконання резервного копіювання стану системи контролера домену під керуванням Windows Server 2003 з пакетом оновлень 1 (SP1) або пізнішої версії.

Під Вільний час оновлення Підпису DSA атрибут, архівувати стану системи, дата Мітки оновлюються на два посилання, атрибути. Один із цих атрибутів розташований у схемі NC-заголовок та інші розташовані на до CN = сукупність, CN = Schema об'єкт.

Клієнти Windows, які запускаються ADSI застосунки та сценарії атрибутів посилання для виявлення оновлення, сукупні схеми для запит на змінення. Якщо виявляють ці оновлення, ADSI клієнти завантажте оновлену копію сукупна схеми з контролера домену, до яких Здійснюється прочитати.

Примітка
щоб отримати додаткові відомості про виявлення сукупна схеми, які стосуються LDAP запити та мережі вводу-виводу, див. розділ "Додаткові відомості".
Способи Вирішення проблем
На стороні сервера тимчасово усунути неполадки та спосіб усунення проблеми на клієнтський надати часткову допомоги в зниженні, але не з усунення кількість разів, що ADSI клієнтів, завантажити сукупний схеми. Способи Вирішення проблем на клієнтський й сервера може здійснюватися незалежно від одного. Це означає, що ви можете скористатися перевагою лише усунення проблеми на клієнтський, зміни на стороні сервера або обох способів одночасно.

На стороні сервера, виправлення помилок



Редагування DSA підпису

На стороні сервера методика полягає в тому, запобігання резервні копії стану системи схеми розділу з оновленням атрибутDSA підпису . Атрибут DSA підпису , містить DRA_INHIBIT_BACKUP_AUTO_STAMP позначку, щоб визначити, чи резервного копіювання стану системи, оновити цей атрибут. Однак через те, що DSA підпису атрибут, зберігається у двійковому форматі з великими, його не можна змінити легко за допомогою засобу, наприклад, LDP. EXE або ADSIEDIT. MSC.

Щоб тимчасово усунути цю проблему, виконання сценарію Windows PowerShell або виконуваного файлу, який запобігає оновлення в розділі схеми, атрибут DSA підпису резервні копії стану системи та, у свою чергу, атрибут whenChanged атрибут у схемі NC-заголовок і, whenModified на до CN = сукупність об'єкти.

Див. у Редагування dSASignature атрибут. Сценарію PowerShell, на сайті центру сценарію в корпорації Майкрософт.

Також можна скласти і запустіть наведений нижче зразок коду, щоб встановити або видалити DRA_INHIBIT_BACKUP_AUTO_STAMP прапор в атрибуті DSA підпису на NC-схеми.

Незалежно від того, чи використовується PowerShell, або програмний виправлення немає негативного впливу стороні Увімкнення прапор DRA_INHIBIT_BACKUP_AUTO_STAMP . Це побічних ефектів, описано в розділі "Додаткові відомості".

Примітка. Зразок коду, має бути запущено в розділі схеми адміністратора контекст безпеки контролера домену.

Переконавшись, що оновлення антивірусної бази

Нарешті, переконайтеся, що thatIPv4, і підмережі IPv6, сайту та підмережі для сайту визначення оновлено в лісі служба Active Directory і охоплюють усі підмережі вашого підприємства в усіх лісу. Це робить, surethat комп'ютерів, які працюють ADSI застосунки, які запити та копіювання оновлені версії сукупна схеми робити, це з контролерів домену на сайті оптимальний. Щоб отримати додаткові відомості про настроювання параметрів сайту, перейдіть на веб-сайті Microsoft TechNet.

зразок коду

//+-------------------------------------------------------------------------////// File: dsasignaturemod.c//// This is a sample program for setting or clearing the// DRA_INHIBIT_BACKUP_AUTO_STAMP flag in the dSASignature// attribute on the schema NC.////--------------------------------------------------------------------------#include <windows.h>#include <winldap.h>#include <winber.h>#include <strsafe.h>#include <stdio.h>#include <conio.h>#define CHECKLDAP(result, op) if (result) { printf("%s failed with LDAP error=0x%x(%d)\n", op, result, result); goto Exit; }#define CHECKLDAPLE(result, op) if (!result) { printf("%s failed with LDAP error=0x%x(%d)\n", op, LdapGetLastError(), LdapGetLastError()); goto Exit; }//// Type definitions for the dsaSignature attribute//#define DRA_INHIBIT_BACKUP_AUTO_STAMP (0x1)typedef struct _BACKUP_NC_HEAD_DSA_SIGNATURE_STATE_V1 {DWORD dwFlags;LONGLONG BackupErrorLatencySecs;UUID dsaGuid;} BACKUP_NC_HEAD_DSA_SIGNATURE_STATE_V1;typedef struct _BACKUP_NC_HEAD_DSA_SIGNATURE_STATE {DWORD dwVersion;DWORD cbSize;union{BACKUP_NC_HEAD_DSA_SIGNATURE_STATE_V1 V1;};} BACKUP_NC_HEAD_DSA_SIGNATURE_STATE;// Whether we are setting or clearing the bitBOOL gfSet = FALSE;// Whether we are querying the bitBOOL gfGet = FALSE;// Whether we are automating and want to skip PromptForOK()BOOL skipPrompt = FALSE;// Copy of the schema NC DNLPWSTR pszSchemaNCCopy = NULL;BOOL PromptForOK(){int prompt;BOOL ret = skipPrompt;printf("\n");printf("This program is about to %s the DRA_INHIBIT_BACKUP_AUTO_STAMP flag in\n", gfSet ? "set" : "clear");printf("the dSASignature attribute on the following directory NC:\n");printf("\n");printf(" %S\n", pszSchemaNCCopy);printf("\n");if (!skipPrompt) {printf("Do you wish to continue? (Y\\N)");prompt = _getch();printf("\n");ret = (prompt == 'Y' || prompt == 'y') ? TRUE : FALSE;}return ret;}void Usage(){CHAR szExeName[MAX_PATH];ZeroMemory(szExeName, sizeof(szExeName));GetModuleFileNameA(NULL, szExeName, ARRAYSIZE(szExeName));printf("Usage:\n");printf("\n");printf("%s [/get | /set | /clear] [/auto]\n", szExeName);printf("\n");printf(" /get - queries current state of the DRA_INHIBIT_BACKUP_AUTO_STAMP flag\n");printf(" /set - sets the DRA_INHIBIT_BACKUP_AUTO_STAMP flag\n");printf(" /clear - clears the DRA_INHIBIT_BACKUP_AUTO_STAMP flag\n");printf(" /auto - skips the prompt for proceeding (for automation purposes)\n");printf("\n");}BOOL ParseArgs(int argc, __in char ** argv){BOOL ret = FALSE;if (argc >= 2){if (!_stricmp("/get", argv[1])) {gfGet = TRUE;ret = TRUE;}else if (!_stricmp("/set", argv[1])) {gfSet = TRUE;ret = TRUE;}else if (!_stricmp("/clear", argv[1])) {gfSet = FALSE;ret = TRUE;}if (argc >= 3){if (!_stricmp("/auto", argv[2])) {skipPrompt = TRUE;}}}return ret;} void __cdecl main(int argc, __in char ** argv){BOOL fFoundDSASignature = FALSE;BOOL fFlagSet = FALSE;LDAP* ldap = NULL;ULONG cb = 0;ULONG cch = 0;ULONG result = 0;LPWSTR pszAttrs[2] = { 0 };LPWSTR* ppszSchemaNC = NULL;LDAPMod mod;LDAPMod* mods[2];LDAPMessage* pldapMsg = NULL;LDAPMessage* pldapResults = NULL;struct berval valMod;struct berval* vals[2];struct berval** val = NULL;BACKUP_NC_HEAD_DSA_SIGNATURE_STATE dsaSignature;ZeroMemory(&dsaSignature, sizeof(dsaSignature));if (!ParseArgs(argc, argv)) {Usage();return;}printf("\n");//// Init connection handle//ldap = ldap_init(NULL, LDAP_PORT);CHECKLDAPLE(ldap, "ldap_init");//// Connect to DC//result = ldap_connect(ldap, NULL);CHECKLDAP(result, "ldap_connect");//// Retrieve schema NC name//pszAttrs[0] = L"schemaNamingContext";pszAttrs[1] = NULL;result = ldap_search_sW(ldap,NULL,LDAP_SCOPE_BASE,L"(objectclass=*)",pszAttrs,0,&pldapResults);CHECKLDAP(result, "ldap_search_s for schemaNamingContext");pldapMsg = ldap_first_entry(ldap, pldapResults);CHECKLDAPLE(pldapMsg, "ldap_first_entry");//// Make a copy of the schema NC name//ppszSchemaNC = (LPWSTR*)ldap_get_valuesW(ldap, pldapMsg, L"schemaNamingContext");cch = wcslen(ppszSchemaNC[0]) + 1;pszSchemaNCCopy = (LPWSTR)malloc(cch * sizeof(WCHAR));StringCchCopy(pszSchemaNCCopy, cch, ppszSchemaNC[0]);ldap_value_free(ppszSchemaNC);ppszSchemaNC = NULL;ldap_msgfree(pldapResults);pldapResults = NULL;//// Bind to the DC//result = ldap_bind_s(ldap, pszSchemaNCCopy, NULL, LDAP_AUTH_NEGOTIATE);CHECKLDAP(result, "ldap_bind_s");//// Retrieve current value of the dSASignature attribute//pszAttrs[0] = L"dSASignature";pszAttrs[1] = NULL;result = ldap_search_sW(ldap,pszSchemaNCCopy,LDAP_SCOPE_BASE,L"(objectclass=*)",pszAttrs,0,&pldapResults);CHECKLDAP(result, "ldap_search_s for dSASignature");pldapMsg = ldap_first_entry(ldap, pldapResults);CHECKLDAPLE(pldapMsg, "ldap_first_entry");//// Make a copy of the dSASignature attribute.//val = (struct berval**)ldap_get_values_len(ldap, pldapMsg, L"dSASignature");// Make sure that the value was there and seems to be the correct size.if (val && val[0]) {if (val[0]->bv_len == sizeof(BACKUP_NC_HEAD_DSA_SIGNATURE_STATE)) {memcpy(&dsaSignature, val[0]->bv_val, val[0]->bv_len);fFoundDSASignature = TRUE;}}ldap_value_free_len(val);val = NULL;ldap_msgfree(pldapResults);pldapResults = NULL;//// Sanity check//if (!fFoundDSASignature ||dsaSignature.dwVersion != 1) {printf("The dSASignature attribute was either not\n");printf("found or was in an unexpected format.\n");goto Exit;}//// Cache whether the flag is set already or not//fFlagSet = (DRA_INHIBIT_BACKUP_AUTO_STAMP & dsaSignature.V1.dwFlags) ? TRUE : FALSE;//// If query-only mode, display current setting and leave//if (gfGet) {printf("The target directory %s have the DRA_INHIBIT_BACKUP_AUTO_STAMP set.\n",fFlagSet ? "DOES" : "DOES NOT");goto Exit;}//// If doing a modification, see whether there is anything to do.//if (gfSet && fFlagSet) {printf("The /set operation was specified but the target directory already\n");printf(" has the flag set. Exiting with no changes.\n");goto Exit;}else if (!gfSet && !fFlagSet) {printf("The /clear operation was specified but the target directory already\n");printf(" has the flag cleared. Exiting with no changes.\n");goto Exit;}//// Yes there is work to do; prompt the admin// for approval before you continue.//if (!PromptForOK()) {goto Exit;}//// Set or clear the bit in our local copy//if (gfSet) {dsaSignature.V1.dwFlags |= DRA_INHIBIT_BACKUP_AUTO_STAMP;}else {dsaSignature.V1.dwFlags &= (~DRA_INHIBIT_BACKUP_AUTO_STAMP);}//// Prepare for the modify//ZeroMemory(&valMod, sizeof(valMod));valMod.bv_len = sizeof(dsaSignature);valMod.bv_val = (PCHAR)&dsaSignature;vals[0] = &valMod;vals[1] = NULL;ZeroMemory(&mod, sizeof(mod));mod.mod_op = LDAP_MOD_REPLACE | LDAP_MOD_BVALUES;mod.mod_type = L"dSASignature";mod.mod_vals.modv_bvals = vals;mods[0] = &mod;mods[1] = NULL;//// And do it://result = ldap_modify_s(ldap,pszSchemaNCCopy,mods);CHECKLDAP(result, "ldap_modify_s for dSASignature");printf("\n");printf("Modification succeeded!\n");Exit:if (pszSchemaNCCopy) {free(pszSchemaNCCopy);}if (ldap) {ldap_unbind(ldap);}printf("\n");return;}

Приклад-програми

Нижче наведено приклад програми результати.
C:\>dsasignaturemod.exe /get The target directory DOES NOT have the DRA_INHIBIT_BACKUP_AUTO_STAMP set.
C:\>dsasignaturemod.exe /set  This program is about to set the DRA_INHIBIT_BACKUP_AUTO_STAMP flag inthe dSASignature attribute on the following directory NC:     CN=Schema,CN=Configuration,DC=rootdomain,DC=com Do you wish to continue? (Y\N) Modification succeeded!
C:\>dsasignaturemod.exe /set /auto  This program is about to set the DRA_INHIBIT_BACKUP_AUTO_STAMP flag inthe dSASignature attribute on the following directory NC:     CN=Schema,CN=Configuration,DC=rootdomain,DC=com  Modification succeeded!
C:\>dsasignaturemod.exe /get The target directory DOES have the DRA_INHIBIT_BACKUP_AUTO_STAMP set.
C:\>dsasignaturemod.exe /clear  This program is about to clear the DRA_INHIBIT_BACKUP_AUTO_STAMP flag inthe dSASignature attribute on the following directory NC:     CN=Schema,CN=Configuration,DC=rootdomain,DC=com Do you wish to continue? (Y\N) Modification succeeded!
C:\>dsasignaturemod.exe /clear /auto  This program is about to clear the DRA_INHIBIT_BACKUP_AUTO_STAMP flag inthe dSASignature attribute on the following directory NC:     CN=Schema,CN=Configuration,DC=rootdomain,DC=com  Modification succeeded!

Методика на клієнтський

Оптимізація виділення з контролера домену

Деякі програми, явно підключення певному контролеру домену а потім завантажити оновлені схемою кеш-пам'яті, з цей контролер домену. Проте програм зазвичай залишити його на Locator контролера домену, знайти найкращі контролера домену в певних LDAP дерево простору імен. Клієнти можуть виникати на інтенсивне затримка оновлення кешу схеми, тому що вони цільової контролери домену через повільне мережне підключення. Це трапляється через лісу. Ваша мета завжди повинно бути завантаження кешу схеми з найближчим контролера домену в умовах у мережі.

виправлення помилок

На клієнтський методика полягає в тому, настроювання на комп'ютерах під керуванням Windows Vista, Windows Server 2008 або пізніших версій, сценарій виконання на комп'ютері-на основі магазин для сукупного схеми.

На комп'ютерах під керуванням Windows XP сукупні схеми кеш-пам'яті, використовується пул носіїв на комп'ютері. Це означає, що завантажити сукупний схеми було спільно використовуватися в усі користувачі, які були входу на локальному комп'ютері, оскільки будь-якому користувачі мають з правами адміністратора, надані, або місцеві магазини файлової системи та реєстру, є права на запис А до автентифіковані користувачі. В іншому випадку схеми кеш було завантажено до пам'яті під Вільний час кожного ADSI та скасовано після закінчення сеансу ADSI.

У Windows Vista та пізніших версій ADSI схеми кеш-пам'яті реалізовано у магазині для кожного користувача. Незважаючи на те, з кеша користувача покращення безпеки, унікальні кожного користувача, який входу до віддаленого робочого стола протоколу RDP або сервера терміналів, AQ, автоматичний або іншими кількох користувачів системи може призвести до системи, яка містить завантаження кешу схеми ADSI.

Запасна можна встановити на комп'ютері пул носіїв конфігурації, на комп'ютерах під керуванням Windows Vista та пізніших версій, установивши REG-DWORD-PerMachine HKLM\SYSTEM\CurrentControlSet\Services\ADSI\Cache реєстру шлях до значення 1. Крім того, необхідно надати доступ для записування на %systemroot%\SchCache і HKLM\Software\Microsoft\ADs\Providers\LDAP автентифіковані користувачі. Щоб отримати додаткові відомості див. ADSI та cлужба захисту користувачів.

Примітка Магазин "на комп'ютері" використовується, особливо у випадках, коли на переміщуваний профіль користувача видаляються після того, як користувач виходить із. Такі користувачі повинні створити новий переміщуваний профіль і може знадобитися завантаження сукупна схеми. Певних сценаріїв, які викликають видалення переміщуваний профіль включають:
  • Користувачі, які настроєно для входу за допомогою обов'язкові профілі користувачів.
  • Користувачів, які можуть бути політику "видалити з профілів користувачів, старішій за визначену кількість днів на завантаження операційної системи".
  • Користувачів, які можуть бути політика ", видалити кешовані копії переміщувані профілі".
  • Користувач, який було видалено чийого профілю, кешування, за допомогою сценаріїв або інструмент, як DELPROF. EXE або еквівалентно.
Додаткові відомості

Відомості про ADSI

На ADSI клієнт, тобто програмної реалізації, що матиме доступ до служби служба Active Directory, щоб відповідно до моделі об'єкта компонентів (COM).

Windows на комп'ютерах під керуванням ADSI застосунки та сценарії, зберегти копію сукупна схеми служба Active Directory. На початку кожного ADSI із сеансу, для зміни перевіряється схеми атрибут "посилання". Через те, що не явного атрибут, в служба Active Directory ідентифікує можливих змін схеми служба Active Directory, проксі-сервер атрибути використовуються визначити, коли у Windows на комп'ютерах, потрібно скопіювати оновлену копію сукупна схеми через мережу з контролера домену, клієнта з відповідним домену. Приклади ADSI програми включають:
  • служба Active Directory адміністративний центр Microsoft керування консолі MMC оснащення
  • служба Active Directory домени та консоль MMC, довіри оснащення
  • Active Directory-сайты та служби MMC оснащення
  • служба Active Directory - користувачі й комп'ютери MMC оснащення
  • MMC для редагування ADSI
  • MMC для DHCP
  • MMC для диспетчера DNS
  • консоль керування MMC Exchange
  • Групові політики керування оснащення MMC
  • Squery.exe

Атрибути, які використовуються для виявлення зміни, внесені до сукупного схеми

У нижченаведеній таблиці показано, огляд атрибути, які використовуються для виявлення сукупна схеми зміни для кожної версії Windows:

ADSI версії операційної системи.Умови, що кеш-завантажити ADSI схеми
Windows XP
Windows Server 2003
Windows Server 2003 R2
Windows Vista або Windows Server 2008
ОС Windows 7 або Windows Server 2008 R2
Оновлення modifyTimeStamp атрибут об'єкт сукупна схеми
ОС Windows 8 або Windows Server 2012
Windows 8.1 / Windows Server 2012 R2
Оновлення whenChanged схеми атрибут
Якщо виявлено зміну на одній із цих атрибутів на проксі-сервер, клієнт ADSI, завантаження нову копію сукупна схеми.

Для комп'ютерів під керуванням операційних системний інтегратор, раніших за Windows 8 або Windows Server 2012 запит на змінення атрибут modifyTimeStamp на сукупність схеми. - ModifyTimeStamp оновленій засобом перезавантаження служби служба Active Directory, таким чином, щоб перезапустити контролера домену або перезапуску служби служба Active Directory, виникають деякі клієнти ADSI, завантажити кеш сукупна схеми з контролера домену під Вільний час без змін, законного схеми мали місце. Це було, менший, проблема на початку, тому що служба Active Directory, стали Повторний запуск служби Windows Server 2008.

Для комп'ютерів під керуванням ОС Windows 8, Windows Server 2012 або пізнішої версії запит на змінення атрибут whenChanged у схемі NC-заголовок. Атрибут whenChanged , має побічних ефектів оновлюється під Вільний час резервного копіювання стану системи, оновлення в контексті схема присвоєння імен, атрибут DSA підпису . У свою чергу, це оновлення позначка часу атрибут whenChanged схеми NC-заголовок.

Події, які оновлення атрибутів сукупна схеми проксі-сервер, на контролері домену

У нижченаведеній таблиці показано, огляд посилання атрибути, які оновлюються відповідно до версії операційної системи та операції, які спричиняють атрибут оновлення.

Домен-контролер версії операційної системиУмова для оновлення, сукупні схеми атрибут modifyTimeStampУмова для оновлення, атрибут whenChanged схеми
Windows Server 2003
Windows Server 2003 R2
ОС Windows Server 2008
Windows Server 2008 R2
контролер домену або NT служби каталогів (NTDS) запуску. Розширення схеми /, системи, стан резервного копіювання
Windows Server 2008 R2 з бази Знань 2671874
ОС Windows Server 2012
Windows Server 2012 R2
Розширення схеми /, системи, стан резервного копіюванняРозширення схеми /, системи, стан резервного копіювання
Якщо виявлено зміну, кеш ADSI схеми має для завантаження. архівувати стану системи, записує дані в атрибуті простору імен схеми, що оновлений whenChanged часу схеми DSA підпису .

Виявлення оновлення кеша сукупна схеми ADSI клієнтів

Для виявлення ЦП та сценарій виконання мережі, використовуйте з мережний монітор 3.4 Засіб захоплення мережі а потім виконайте такі інтерактивні елементи, щоб проаналізувати:
  1. Скористайтесь одним із наступних фільтрів відображення у засобі залежно від операційної системи Windows.

    Примітка. У цих фільтрів, будь ласка, замініть додаток "CN = Schema, CN = Configuration, DC = Contoso, DC = com" служба схема Active Directory контексту іменування питання, шлях Відмітне ім'я (DN).
    ОС Windows 7 і попередніх клієнтів.
    За допомогою фільтра відображення запит на змінення значення атрибута modifyTimeStamp , сукупні схеми об'єкт у отримані мережний трафік:
    (LDAPMessage.SearchRequest.BaseObject.OctetStream == "CN=Aggregate,CN=Schema,CN=Configuration,DC=Contoso,DC=com" AND LDAPMessage.SearchRequest.Attributes.Attribute.OctetStream == "modifyTimeStamp") OR(LDAPMessage.SearchResultEntry.ObjectName.OctetStream == "CN=Aggregate,CN=Schema,CN=Configuration,DC=Contoso,DC=com" AND LDAPMessage.SearchResultEntry.Attributes.PartialAttribute.Type.OctetStream == "modifyTimeStamp")
    ОС Windows 8 і потім клієнтів

    За допомогою фільтра відображення запит на змінення whenChanged значення атрибута на NC-заголовок у отримані мережний трафік веб-схеми:
    (LDAPMessage.SearchRequest.BaseObject.OctetStream == "CN=Schema,CN=Configuration,DC=Contoso,DC=com" AND LDAPMessage.SearchRequest.Attributes.Attribute.OctetStream == "whenChanged") OR (LDAPMessage.SearchResultEntry.ObjectName.OctetStream == "CN=Schema,CN=Configuration,DC=Contoso,DC=com" AND LDAPMessage.SearchResultEntry.Attributes.PartialAttribute.Type.OctetStream == "whenChanged")
    За промовчанням цей параметр у порівнянні з значення часу , клієнта в такому розділі реєстру:

    HKEY_CURRENT_USER\Software\Microsoft\ADs\Providers\LDAP\CN=Aggregate,CN=Schema,CN=Configuration,DC=<root domain>,DC=com

    Клієнт завантаження на оновлені схемою кеш, якщо Вільний час в атрибуті modifyTimeStamp або whenChanged пізніше значення, які зберігаються в реєстрі. (Цей атрибут, залежить від операційної системи клієнта.)

    Нижче наведено приклад знімок засобу:

    Це знімок є, наприклад, якщо не пізніше ніж значення, які зберігаються в реєстрі часу, атрибут modifyTimeStamp або whenChanged

    З знімку екрана можна побачити такі:
    • Клієнт ADSI прив'язує, на контролері домену рамки ім'я 8.
    • Пошуку LDAP атрибута схеми змінені проксі, збережений у ранніх LDAPSASLBuffer кадрів, які йдуть в bind.
    • Зашифрований трафік LDAP кілька кадрів для LDAPSASLBuffer (мета-порту DC = TCP 389).
    • контролер домену як і раніше багато фреймів TCP, з довжиною TCP корисне навантаження 1460 надсилати зашифровані дані.
  2. Є визначити правильний розмови трасування мережі, виявляючи цю проблему, можна фільтрувати дані за TCP-порт, який використовує клієнт. У наведеному прикладі розмови розпочато клієнта через TCP-порт 65237. Фільтр мережний монітор, такі як "tcp.port = = 65237" можна використовувати для визначення відповідних рамок.
  3. Якщо скопіювати всі кадри в цьому розмови і вставити в Microsoft Excel, відображається, копія сукупна схеми за промовчанням має TCP корисне навантаження розмір 2 мегабайти (МБ) даних у мережі. Сукупна схеми за промовчанням, розмір файлу є приблизно розміром 4 Мб, після двопрохідне кодування.

Корелює мережний трафік клієнтський процес

Системний монітор (СМОН) можна визначити процес на клієнтському комп'ютері, ініційований розмови. Подія з Ідентифікатором 3 записується до журналу Microsoft-Windows-СМОН операцію під Вільний час СМОН інстальовано та настроєно для підключення до журналу LDAP. Це дасть змогу стосуються мережний трафік клієнтський процес через те, що буде зареєстровано, джерело IP і порт, з імені код _ процесу та зображення.


Ім'я журналу: Microsoft-Windows СМОН/оперативної
Джерело: Microsoft-Windows СМОН.
Дата: Дата
Подія з Ідентифікатором: 3
Категорія завдання:, Мережне підключення, які виявлено (правило: NetworkConnect)
Рівень: інформація
Ключові слова:
Користувач: система
Комп'ютер: комп’ютер-зразок
Опис:
Підключення до мережі знайдено:
Номер _ послідовності: 206
UtcTime: UtcTime
ProcessGuid: {ProcessGuid}
Код _ процесу: 3220
Зображення: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
Користувач: ім'я користувача
Протокол: tcp
Ініційовано: так
SourceIsIpv6: false
SourceIp: SourceIp
SourceHostname: ADSIClient
SourcePort: 65237
SourcePortName:
DestinationIsIpv6: false
DestinationIp: DestinationIp
DestinationHostname: DestinationHostname
DestinationPort: 389
DestinationPortName: ldap
Подія Xml:

<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider name="Microsoft-Windows-Sysmon" guid=""></Provider></System></Event>"{Ім'я провайдера}" />
<EventID>3</EventID>
<Version>4</Version>
<Level>4</Level>
<Task>3</Task>
<Opcode>0</Opcode>
<Keywords>0x8000000000000000</Keywords>
<TimeCreated SystemTime=" systemtime=""></TimeCreated SystemTime=">Вільний час" />
<EventRecordID>39</EventRecordID>
<Correlation></Correlation>
<Execution processid="1140" threadid="3492"></Execution>
<Channel>Microsoft-Windows СМОН/оперативної</Channel>
<>r >комп’ютер-зразок
<Security UserID=" userid=""></Security UserID=">ім'я користувача" />

<EventData>
<Data name="SequenceNumber">206</Data>
<Data name="UtcTime"></Data></EventData>Вільний час
<Data name="ProcessGuid">{</Data>ProcessGuid}
<Data name="ProcessId">3220</Data>
<Data name="Image">C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe</Data>
<Data name="User"></Data>Користувач
<Data name="Protocol">TCP</Data>
<Data name="Initiated">справжнє</Data>
<Data name="SourceIsIpv6">помилкове</Data>
<Data name="SourceIp"></Data>SourceIp
<Data name="SourceHostname"></Data>SourceHostname
<Data name="SourcePort">65237</Data>
<Data name="SourcePortName">
</Data>
<Data name="DestinationIsIpv6">помилкове</Data>
<Data name="DestinationIp"></Data>DestinationIp
<Data name="DestinationHostname"></Data>DestinationHostname
<Data name="DestinationPort">389</Data>
<Data name="DestinationPortName">LDAP</Data>

Процес монітора, вхід на клієнтському комп'ютері

Процес монітора, вхід на клієнтському комп'ютері, надає контекстні інформації. Фільтр входу процес ID, записані у випадку, зареєстровану СМОН Process Monitor.

Фільтри для екрана входу Ідентифікатор процесу, який реєструється у випадку, якщо зареєстровану СМОН Process Monitor

Ви знайдете такі операції інтересів.
ОпераціїШлях
RegOpenKeyHKLM\SYSTEM\CurrentControlSet\Services\ADSI\Cache
RegQueryValueHKCU\Software\Microsoft\ADs\Providers\LDAP\CN = сукупність, CN = Schema, CN = Configuration, DC =дочірній домен, DC =Кореневий домен, DC = com\Time
TCP відображається.ім’я хоста>: порт--> <DCName> </DCName>: LDAP
RegCreateKeyHKCU\SOFTWARE\Microsoft\ADs\Providers\LDAP\CN = сукупність, CN = Schema, CN = Configuration, DC =дочірній домен, DC =Кореневий домен, DC = com
WriteFileC:\Users\-<username>\AppData\Local\Microsoft\Windows\SchCache\</username>дочірній домен.Кореневий домен. com.sch
Примітка. Так, щоб перевірити, чи оновити локальну копію кеш сукупна схеми Windows на комп'ютерах, є спостерігати за зміни в *.sch файлу в системі локального файлу ADSI клієнта, останньою датою.

Прискорити фільтр для великого процес монітора, журнали, можна використовувати дані в наведеній нижче таблиці.

Додаткові необов'язкові фільтри:
СтовпецьЗв'язокЗначення
ШляхМіститьSchCache
ОпераціїЦеWriteFile
Екрану-це процес монітора фільтр

Настроювання СМОН журналу LDAP підключень

  1. Завантажити СМОН на клієнтському комп'ютері.
  2. Створити новий текстовий файл для СМОН конфігурації, збережіть файл як Sysmonconfig.xml та додати такого змісту:

    <Sysmon schemaversion="2.0">  <!-- Capture all hashes -->  <HashAlgorithms>*</HashAlgorithms>  <EventFiltering>  <!-- Log all drivers except if the signature -->  <!-- contains Microsoft or Windows -->  <DriverLoad onmatch="exclude">  <Signature condition="contains">microsoft</Signature>  <Signature condition="contains">windows</Signature>  </DriverLoad>  <!-- Do not log process termination -->  <ProcessTerminate onmatch="include" />  <!-- Log network connection if the destination port equal 443 -->  <NetworkConnect onmatch="include">  <DestinationPort>389</DestinationPort><DestinationPort>636</DestinationPort><DestinationPort>3268</DestinationPort><DestinationPort>3269</DestinationPort>  </NetworkConnect>  </EventFiltering></Sysmon>
  3. Запустіть таку команду, щоб інсталювати СМОН.
    СМОН -i sysmonconfig.xml

Побічних ефектів, дозволяючи DRA_INHIBIT_BACKUP_AUTO_STAMP позначки

Увімкнення прапор DRA_INHIBIT_BACKUP_AUTO_STAMP однієї побічні ефекти – це цієї події, код 2089 неправильно буде вказано, що схеми, розділ не є захоплення в лісах із створення системи виконувати архівувати стану.

У журналі застосунків, реєструється зразок подія ID 2089, приблизно такого вигляду:


Тип події: попередження
Джерело події: Реплікація NTDS
Категорія події: архівувати
Код події: 2089
Дата: Дата
Час: Вільний час
Користувач: ім'я _ користувача
Комп'ютера: ім'я
Опис:

Каталог розділ має не було створено архівувати з на найменше число днів.

Каталог розділ:

CN = schema, DC = розділ кореневому dns застосунків у лісі

Примітка. Подія з Кодом 2089 не реєструється на інші основні розділи такі як CN = Configuration або каталог домену розділ, через те, що спосіб виконання певного розділу, резервні копії. Щоб отримати додаткові відомості див. таку статтю бази знань Майкрософт:
914034 Події-2089 NTDS реплікації реєструється, якщо пізніше доступом контролерів домену Windows Server 2003 SP1 і не резервного копіювання в звітний період часу

Попередження. Цю статтю переведено автоматично

Властивості

Ідентифікатор статті: 2789917 – останній перегляд: 07/30/2015 00:07:00 – виправлення: 3.0

Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Essentials, Windows Server 2012 Datacenter, Windows Server 2012 Standard, Windows Server 2012 Essentials, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard

  • kbexpertiseadvanced kbsurveynew kbbug kbprb kbtshoot kbmt KB2789917 KbMtuk
Зворотний зв’язок