Điều khiển WAN và vùng lớn sử dụng CPU khi bạn thực hiện sao lưu trạm đậu hệ thống

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch thuật của Microsoft và có thể được Cộng đồng Microsoft chỉnh sửa lại thông qua công nghệ CTF thay vì một biên dịch viên chuyên nghiệp. Microsoft cung cấp các bài viết được cả biên dịch viên và phần mềm dịch thuật thực hiện và cộng đồng chỉnh sửa lại để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng nhiều ngôn ngữ Tuy nhiên, bài viết do máy dịch hoặc thậm chí cộng đồng chỉnh sửa sau không phải lúc nào cũng hoàn hảo. Các bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này: 2789917

Bài viết này mô tả cách sao lưu trạm đậu hệ thống bằng bộ điều khiển miền Thư mục Họat động nhân Cập Nhật thuộc tính tham khảo khiến khách hàng tải về sơ đồ sàn tổng hợp Thư mục Họat động bản ghi dịch vụ giao diện (ADSI). Quá trình tải xuống này có thể tăng tải trên máy tính vai trò kiểm soát miền và mạng cơ bản.
Triệu chứng
Các vấn đề có thể xảy ra khi bạn thực hiện sao lưu trạm đậu hệ thống của sơ đồ sàn phân vùng trên bất kỳ kiểm soát miền trong một nhóm Active Directory:
  • Tăng sử dụng CPU trên máy tính vai trò kiểm soát miền khi máy tính chạy Windows truy vấn tham chiếu Thư mục Họat động thuộc tính đã được sử dụng cho các mục đích sau:
    • Để Cập Nhật sơ đồ sàn tổng hợp
    • Sao chép sơ đồ sàn tổng hợp từ bộ kiểm soát miền nếu thay đổi được phát hiện
  • Tăng lưu lượng truy cập Giao thức truy nhập danh mục hạng nhẹ (LDAP) trên mạng khi khách hàng ADSI sao chép nội dung của sơ đồ sàn tổng hợp từ bộ điều khiển miền.
Nguyên nhân
Sự cố này xảy ra vì tính DSA chữ ký được Cập Nhật sơ đồ sàn đặt tên context (sơ đồ NC) khi bạn thực hiện sao lưu trạm đậu hệ thống bộ kiểm soát miền đang chạy Windows Server 2003 Gói bản ghi dịch vụ 1 (SP1) hoặc phiên bản mới hơn.

Chữ ký DSA thuộc tính được cập nhật bằng cách sao lưu trạm đậu hệ thống, ngày tem được Cập Nhật trên hai tham chiếu thuộc tính. Một trong các thuộc tính được đặt trên sơ đồ sàn NC đầu và các nằm trên các CN = tổng hợp, CN = sơ đồ sàn đối tượng.

máy tính khách Windows chạy ứng dụng ADSI và kịch bản truy vấn các thuộc tính tham khảo để Cập Nhật sơ đồ sàn tổng hợp. Khi họ phát hiện các bản Cập Nhật, ADSI khách hàng tải xuống một bản Cập Nhật sơ đồ sàn tổng hợp từ một bộ điều khiển miền thông qua một LDAP đọc.

Chú ý
để biết thêm chi tiết về sơ đồ sàn tổng hợp liên quan đến mạng I/O LDAP truy vấn và phát hiện, hãy xem phần "Thông tin".
Giải pháp
Giải pháp phía máy chủ và giải pháp phía khách hàng cung cấp phần giảm giảm nhưng không loại trừ số lần ADSI khách hàng tải về sơ đồ sàn tổng hợp. Các giải pháp phía khách hàng và phía máy chủ có thể được thực hiện độc lập với nhau. Điều này có nghĩa là bạn có thể thực hiện các giải pháp phía máy tính khách chỉ, thay đổi phía máy chủ hoặc giải pháp cả hai cùng một lúc.

Giải pháp phía máy chủ



Chỉnh sửa chữ ký DSA

Giải pháp phía máy chủ bao gồm ngăn sao lưu trạm đậu hệ thống của sơ đồ sàn phân Cập Nhật thuộc tínhChữ ký DSA . Thuộc tính Chữ ký DSA có cờ DRA_INHIBIT_BACKUP_AUTO_STAMP để xác định xem đồng gửi lưu trạm đậu hệ thống Cập Nhật thuộc tính này. Tuy nhiên, vì tính DSA chữ ký được lưu ở định dạng nhị phân lớn, nó không thể thay đổi một cách dễ dàng bằng cách sử dụng một công cụ như LDP. EXE hoặc ADSIEDIT. MSC.

Để khắc phục sự cố này, chạy lệnh Windows PowerShell hoặc một tệp thực thi ngăn chặn sao lưu trạm đậu hệ thống Cập Nhật thuộc tính Chữ ký DSA trên sơ đồ sàn phân vùng và, thuộc tính whenChanged trên sơ đồ sàn NC đầu và whenModified thuộc tính trên các CN = tổng đối tượng.

Xem các Chỉnh sửa thuộc tính dSASignature Lệnh PowerShell trên web site Microsoft Script Center.

Bạn cũng có thể biên dịch bật lên và chạy mã mẫu sau để đặt hoặc xoá cờ DRA_INHIBIT_BACKUP_AUTO_STAMP thuộc tính DSA chữ ký vào sơ đồ sàn NC.

Bất kể cho dù PowerShell hoặc sửa chữa chương trình được sử dụng, có tác dụng phụ tiêu cực về kích hoạt cờ DRA_INHIBIT_BACKUP_AUTO_STAMP . Hiệu ứng phụ được ghi lại trong phần "Thông tin".

Lưu ý: Mã mẫu này phải được chạy trong một ngữ cảnh bảo mật sơ đồ sàn quản trị trên bộ điều khiển miền.

Đảm bảo rằng định nghĩa Cập Nhật

Cuối cùng, hãy chắc chắn thatIPv4 và mạng con IPv6, web site và định nghĩa site mạng con có Cập Nhật của nhóm Thư mục Họat động và bao gồm tất cả các mạng con của doanh nghiệp của bạn trong tất cả khu rừng. Thực hiện điều này làm cho surethat máy tính đang chạy ứng dụng ADSI truy vấn và sao chép Cập Nhật phiên bản làm sơ đồ sàn tổng hợp này từ bộ kiểm soát miền tối ưu web site. Để biết thêm thông tin về cách cấu hình thiết lập web site, hãy truy cập website sau của Microsoft TechNet:

Mã mẫu

//+-------------------------------------------------------------------------////// File: dsasignaturemod.c//// This is a sample program for setting or clearing the// DRA_INHIBIT_BACKUP_AUTO_STAMP flag in the dSASignature// attribute on the schema NC.////--------------------------------------------------------------------------#include <windows.h>#include <winldap.h>#include <winber.h>#include <strsafe.h>#include <stdio.h>#include <conio.h>#define CHECKLDAP(result, op) if (result) { printf("%s failed with LDAP error=0x%x(%d)\n", op, result, result); goto Exit; }#define CHECKLDAPLE(result, op) if (!result) { printf("%s failed with LDAP error=0x%x(%d)\n", op, LdapGetLastError(), LdapGetLastError()); goto Exit; }//// Type definitions for the dsaSignature attribute//#define DRA_INHIBIT_BACKUP_AUTO_STAMP (0x1)typedef struct _BACKUP_NC_HEAD_DSA_SIGNATURE_STATE_V1 {DWORD dwFlags;LONGLONG BackupErrorLatencySecs;UUID dsaGuid;} BACKUP_NC_HEAD_DSA_SIGNATURE_STATE_V1;typedef struct _BACKUP_NC_HEAD_DSA_SIGNATURE_STATE {DWORD dwVersion;DWORD cbSize;union{BACKUP_NC_HEAD_DSA_SIGNATURE_STATE_V1 V1;};} BACKUP_NC_HEAD_DSA_SIGNATURE_STATE;// Whether we are setting or clearing the bitBOOL gfSet = FALSE;// Whether we are querying the bitBOOL gfGet = FALSE;// Whether we are automating and want to skip PromptForOK()BOOL skipPrompt = FALSE;// Copy of the schema NC DNLPWSTR pszSchemaNCCopy = NULL;BOOL PromptForOK(){int prompt;BOOL ret = skipPrompt;printf("\n");printf("This program is about to %s the DRA_INHIBIT_BACKUP_AUTO_STAMP flag in\n", gfSet ? "set" : "clear");printf("the dSASignature attribute on the following directory NC:\n");printf("\n");printf(" %S\n", pszSchemaNCCopy);printf("\n");if (!skipPrompt) {printf("Do you wish to continue? (Y\\N)");prompt = _getch();printf("\n");ret = (prompt == 'Y' || prompt == 'y') ? TRUE : FALSE;}return ret;}void Usage(){CHAR szExeName[MAX_PATH];ZeroMemory(szExeName, sizeof(szExeName));GetModuleFileNameA(NULL, szExeName, ARRAYSIZE(szExeName));printf("Usage:\n");printf("\n");printf("%s [/get | /set | /clear] [/auto]\n", szExeName);printf("\n");printf(" /get - queries current state of the DRA_INHIBIT_BACKUP_AUTO_STAMP flag\n");printf(" /set - sets the DRA_INHIBIT_BACKUP_AUTO_STAMP flag\n");printf(" /clear - clears the DRA_INHIBIT_BACKUP_AUTO_STAMP flag\n");printf(" /auto - skips the prompt for proceeding (for automation purposes)\n");printf("\n");}BOOL ParseArgs(int argc, __in char ** argv){BOOL ret = FALSE;if (argc >= 2){if (!_stricmp("/get", argv[1])) {gfGet = TRUE;ret = TRUE;}else if (!_stricmp("/set", argv[1])) {gfSet = TRUE;ret = TRUE;}else if (!_stricmp("/clear", argv[1])) {gfSet = FALSE;ret = TRUE;}if (argc >= 3){if (!_stricmp("/auto", argv[2])) {skipPrompt = TRUE;}}}return ret;} void __cdecl main(int argc, __in char ** argv){BOOL fFoundDSASignature = FALSE;BOOL fFlagSet = FALSE;LDAP* ldap = NULL;ULONG cb = 0;ULONG cch = 0;ULONG result = 0;LPWSTR pszAttrs[2] = { 0 };LPWSTR* ppszSchemaNC = NULL;LDAPMod mod;LDAPMod* mods[2];LDAPMessage* pldapMsg = NULL;LDAPMessage* pldapResults = NULL;struct berval valMod;struct berval* vals[2];struct berval** val = NULL;BACKUP_NC_HEAD_DSA_SIGNATURE_STATE dsaSignature;ZeroMemory(&dsaSignature, sizeof(dsaSignature));if (!ParseArgs(argc, argv)) {Usage();return;}printf("\n");//// Init connection handle//ldap = ldap_init(NULL, LDAP_PORT);CHECKLDAPLE(ldap, "ldap_init");//// Connect to DC//result = ldap_connect(ldap, NULL);CHECKLDAP(result, "ldap_connect");//// Retrieve schema NC name//pszAttrs[0] = L"schemaNamingContext";pszAttrs[1] = NULL;result = ldap_search_sW(ldap,NULL,LDAP_SCOPE_BASE,L"(objectclass=*)",pszAttrs,0,&pldapResults);CHECKLDAP(result, "ldap_search_s for schemaNamingContext");pldapMsg = ldap_first_entry(ldap, pldapResults);CHECKLDAPLE(pldapMsg, "ldap_first_entry");//// Make a copy of the schema NC name//ppszSchemaNC = (LPWSTR*)ldap_get_valuesW(ldap, pldapMsg, L"schemaNamingContext");cch = wcslen(ppszSchemaNC[0]) + 1;pszSchemaNCCopy = (LPWSTR)malloc(cch * sizeof(WCHAR));StringCchCopy(pszSchemaNCCopy, cch, ppszSchemaNC[0]);ldap_value_free(ppszSchemaNC);ppszSchemaNC = NULL;ldap_msgfree(pldapResults);pldapResults = NULL;//// Bind to the DC//result = ldap_bind_s(ldap, pszSchemaNCCopy, NULL, LDAP_AUTH_NEGOTIATE);CHECKLDAP(result, "ldap_bind_s");//// Retrieve current value of the dSASignature attribute//pszAttrs[0] = L"dSASignature";pszAttrs[1] = NULL;result = ldap_search_sW(ldap,pszSchemaNCCopy,LDAP_SCOPE_BASE,L"(objectclass=*)",pszAttrs,0,&pldapResults);CHECKLDAP(result, "ldap_search_s for dSASignature");pldapMsg = ldap_first_entry(ldap, pldapResults);CHECKLDAPLE(pldapMsg, "ldap_first_entry");//// Make a copy of the dSASignature attribute.//val = (struct berval**)ldap_get_values_len(ldap, pldapMsg, L"dSASignature");// Make sure that the value was there and seems to be the correct size.if (val && val[0]) {if (val[0]->bv_len == sizeof(BACKUP_NC_HEAD_DSA_SIGNATURE_STATE)) {memcpy(&dsaSignature, val[0]->bv_val, val[0]->bv_len);fFoundDSASignature = TRUE;}}ldap_value_free_len(val);val = NULL;ldap_msgfree(pldapResults);pldapResults = NULL;//// Sanity check//if (!fFoundDSASignature ||dsaSignature.dwVersion != 1) {printf("The dSASignature attribute was either not\n");printf("found or was in an unexpected format.\n");goto Exit;}//// Cache whether the flag is set already or not//fFlagSet = (DRA_INHIBIT_BACKUP_AUTO_STAMP & dsaSignature.V1.dwFlags) ? TRUE : FALSE;//// If query-only mode, display current setting and leave//if (gfGet) {printf("The target directory %s have the DRA_INHIBIT_BACKUP_AUTO_STAMP set.\n",fFlagSet ? "DOES" : "DOES NOT");goto Exit;}//// If doing a modification, see whether there is anything to do.//if (gfSet && fFlagSet) {printf("The /set operation was specified but the target directory already\n");printf(" has the flag set. Exiting with no changes.\n");goto Exit;}else if (!gfSet && !fFlagSet) {printf("The /clear operation was specified but the target directory already\n");printf(" has the flag cleared. Exiting with no changes.\n");goto Exit;}//// Yes there is work to do; prompt the admin// for approval before you continue.//if (!PromptForOK()) {goto Exit;}//// Set or clear the bit in our local copy//if (gfSet) {dsaSignature.V1.dwFlags |= DRA_INHIBIT_BACKUP_AUTO_STAMP;}else {dsaSignature.V1.dwFlags &= (~DRA_INHIBIT_BACKUP_AUTO_STAMP);}//// Prepare for the modify//ZeroMemory(&valMod, sizeof(valMod));valMod.bv_len = sizeof(dsaSignature);valMod.bv_val = (PCHAR)&dsaSignature;vals[0] = &valMod;vals[1] = NULL;ZeroMemory(&mod, sizeof(mod));mod.mod_op = LDAP_MOD_REPLACE | LDAP_MOD_BVALUES;mod.mod_type = L"dSASignature";mod.mod_vals.modv_bvals = vals;mods[0] = &mod;mods[1] = NULL;//// And do it://result = ldap_modify_s(ldap,pszSchemaNCCopy,mods);CHECKLDAP(result, "ldap_modify_s for dSASignature");printf("\n");printf("Modification succeeded!\n");Exit:if (pszSchemaNCCopy) {free(pszSchemaNCCopy);}if (ldap) {ldap_unbind(ldap);}printf("\n");return;}

Mẫu chương trình xuất

Sau đây là kết quả chương trình mẫu:
C:\>dsasignaturemod.exe /get The target directory DOES NOT have the DRA_INHIBIT_BACKUP_AUTO_STAMP set.
C:\>dsasignaturemod.exe /set  This program is about to set the DRA_INHIBIT_BACKUP_AUTO_STAMP flag inthe dSASignature attribute on the following directory NC:     CN=Schema,CN=Configuration,DC=rootdomain,DC=com Do you wish to continue? (Y\N) Modification succeeded!
C:\>dsasignaturemod.exe /set /auto  This program is about to set the DRA_INHIBIT_BACKUP_AUTO_STAMP flag inthe dSASignature attribute on the following directory NC:     CN=Schema,CN=Configuration,DC=rootdomain,DC=com  Modification succeeded!
C:\>dsasignaturemod.exe /get The target directory DOES have the DRA_INHIBIT_BACKUP_AUTO_STAMP set.
C:\>dsasignaturemod.exe /clear  This program is about to clear the DRA_INHIBIT_BACKUP_AUTO_STAMP flag inthe dSASignature attribute on the following directory NC:     CN=Schema,CN=Configuration,DC=rootdomain,DC=com Do you wish to continue? (Y\N) Modification succeeded!
C:\>dsasignaturemod.exe /clear /auto  This program is about to clear the DRA_INHIBIT_BACKUP_AUTO_STAMP flag inthe dSASignature attribute on the following directory NC:     CN=Schema,CN=Configuration,DC=rootdomain,DC=com  Modification succeeded!

Giải pháp phía máy tính khách

Tối ưu hóa miền điều khiển chọn

Một số ứng dụng rõ kết nối với bộ điều khiển miền cụ thể và sau đó tải về Cập Nhật sơ đồ sàn bộ nhớ cache từ bộ kiểm soát miền. Tuy nhiên, ứng dụng thông thường để nó định vị bộ điều khiển miền để tìm các bộ điều khiển miền tốt nhất cho một số LDAP đặt tên bối cảnh. Khách hàng có thể trì hoãn đáng chú ý Cập Nhật bộ đệm ẩn sơ đồ sàn vì các mục tiêu bộ kiểm soát miền qua kết nối mạng chậm. Điều này có thể xảy ra trên nhóm ranh giới. Mục tiêu của bạn luôn phải tải xuống bộ nhớ cache của sơ đồ sàn bộ điều khiển miền nhất về mạng.

Giải pháp

Giải pháp phía máy tính khách bao gồm cấu hình máy tính đang chạy Windows Vista, Windows Server 2008 hoặc phiên bản mới hơn sử dụng lưu trữ một máy tính dựa trên-sơ đồ tổng hợp.

Trên máy tính chạy Windows XP, sơ đồ sàn tổng bộ nhớ cache sử dụng lưu trữ một máy tính. Điều này có nghĩa là tải về sơ đồ sàn tổng hợp được chia sẻ tất cả người dùng đã kí nhập vào máy tính cục bộ, như hoặc người dùng có quyền quản trị cấp hoặc lưu trữ cục bộ trong hệ thống tệp sổ kiểm nhập có quyền ghi được xác thực người dùng. Ngoài ra, bộ nhớ cache của sơ đồ sàn đã được tải vào bộ nhớ RAM trong mỗi ADSI và được loại bỏ sau khi kết thúc phiên ADSI.

Windows Vista và phiên bản mới hơn, bộ nhớ cache sơ đồ sàn ADSI được thực hiện trong kho lưu trữ cho mỗi người dùng. Mặc dù bảo mật được cải thiện với bộ nhớ cache của người dùng, mỗi người duy nhất kí nhập vào một Giao thức bàn làm việc từ xa (RDP) hoặc máy chủ đầu cuối AQ, quầy hoặc hệ thống đa người dùng khác có thể gây ra cùng một máy tính để tải xuống bộ đệm ẩn sơ đồ sàn ADSI.

Bạn có thể áp dụng một dự phòng để cấu hình một máy tính lưu trữ trên máy tính đang chạy Windows Vista và phiên bản mới hơn bằng cách đặt PerMachine REG DWORD trong đường dẫn kiểm nhập HKLM\SYSTEM\CurrentControlSet\Services\ADSI\Cache giá trị 1. Ngoài ra, bạn phải cấp quyền truy cập ghi trên %systemroot%\SchCache và HKLM\Software\Microsoft\ADs\Providers\LDAP để xác thực người dùng. Để biết thêm thông tin, hãy xem ADSI và kiểm soát tài khoản người dùng.

Lưu ý Sử dụng cửa hàng "cho mỗi máy" là đặc biệt hữu ích trong các tình huống trong đó hồ sơ di động của người dùng bị xoá khi người dùng đăng. Những người dùng có thể tạo một hồ sơ di động mới và có thể tải xuống sơ đồ sàn tổng hợp. Tình huống cụ thể gây ra việc xoá hồ sơ di động bao gồm:
  • Người dùng được cấu hình để kí nhập bằng cách sử dụng thông tin người dùng bắt buộc.
  • Người dùng phải tuân theo chính sách "Xoá thông tin người dùng cũ hơn được chỉ định số ngày khởi động hệ thống".
  • Người dùng phải tuân theo chính sách "Xóa lưu trữ đồng gửi của hồ sơ di động".
  • Người dùng có hồ sơ lưu trữ được xoá tập lệnh hoặc công cụ như DELPROF. EXE hoặc tương đương.
Thông tin thêm

Thông tin về ADSI

Một khách hàng ADSI là thực hiện một chương trình truy cập Thư mục Họat động để phù hợp với mô hình đối tượng thành phần (COM).

Windows trên máy tính đang chạy ứng dụng ADSI và kịch bản duy trì một đồng gửi của lược đồ Thư mục Họat động tổng hợp. Đầu mỗi phiên khách ADSI, thuộc tính sơ đồ sàn tham chiếu được chọn để thay đổi. Vì không có thuộc tính rõ ràng trong Thư mục Họat động nhận dạng duy nhất tất cả các thay đổi lược đồ Thư mục Họat động, proxy thuộc tính được sử dụng để xác định khi máy tính chạy Windows nên sao chép một bản Cập Nhật sơ đồ sàn tổng hợp trên mạng từ bộ kiểm soát miền trong miền tương ứng của khách hàng. Ví dụ về ADSI ứng dụng bao gồm:
  • Thư mục Họat động quản trị Trung tâm Microsoft Management Console (MMC) đính vào
  • Miền Thư mục Họat động và độ tin cậy MMC đính vào
  • Thư mục Họat động site và bản ghi dịch vụ MMC đính vào
  • mục tin thư thoại người dùng và máy tính MMC đính vào
  • Đính vào sửa ADSI MMC
  • Đính vào DHCP MMC
  • Đính vào trình quản lý DNS MMC
  • Bảng điều khiển Exchange Management
  • Nhóm chính sách quản lý phần đính vào MMC
  • Squery.exe

Thuộc tính được sử dụng để thay đổi lược đồ tổng hợp

Bảng sau đây cung cấp tổng quan về các thuộc tính được sử dụng để thay đổi số sơ đồ sàn cho mỗi phiên bản của Windows:

Phiên bản hệ điều hành khách ADSIĐiều kiện để ADSI sơ đồ sàn bộ nhớ cache tải xuống
Windows XP
Windows Server 2003
Windows Server 2003 R2
Windows Vista / Windows Server 2008
Windows 7 / Windows Server 2008 R2
Cập Nhật modifyTimeStamp thuộc tính đối tượng tổng sơ đồ sàn
Windows 8 / Windows Server 2012
Windows 8.1 / Windows Server 2012 R2
Cập Nhật whenChanged sơ đồ sàn thuộc tính
Nếu thay đổi được phát hiện trên một trong các thuộc tính proxy, máy tính khách ADSI tải đồng gửi mới của sơ đồ sàn tổng hợp.

Máy tính đang chạy hệ điều hành trước Windows 8 hoặc Windows Server 2012 truy vấn thuộc tính modifyTimeStamp trên sơ đồ sàn tổng hợp. ModifyTimeStamp đã được cập nhật bằng cách khởi động lại bản ghi dịch vụ Thư mục Họat động để khởi động lại bộ điều khiển miền hoặc khởi động lại bản ghi dịch vụ Thư mục Họat động gây ra một số khách hàng ADSI tải xuống sơ đồ sàn tổng bộ nhớ cache từ bộ điều khiển miền khi không có thay đổi lược đồ hợp pháp đã xảy ra. Điều này là ít hơn của một vấn đề đầu vào, vì Thư mục Họat động đã trở thành một bản ghi dịch vụ restartable trong Windows Server 2008.

Máy tính đang chạy Windows 8, Windows Server 2012, hoặc phiên bản mới hơn truy vấn thuộc tính whenChanged trên sơ đồ sàn NC đầu. Thuộc tính whenChanged có tác dụng phụ được cập nhật khi sao lưu trạm đậu hệ thống Cập nhật các thuộc tính Chữ ký DSA trên bối cảnh giản đồ đặt tên. Điều này lần lượt Cập Nhật dấu kiểm thời gian trên máy tính whenChanged của sơ đồ sàn NC đầu.

Sự kiện Cập Nhật sơ đồ sàn tổng hợp proxy thuộc tính trên bộ điều khiển miền

Bảng sau đây cung cấp tổng quan về các thuộc tính tham khảo được Cập Nhật theo phiên bản hệ điều hành và các thao tác kích hoạt Cập Nhật thuộc tính.

Phiên bản hệ điều hành điều khiển miềnĐiều kiện để cập nhật các thuộc tính tổng sơ đồ sàn modifyTimeStampĐiều kiện để Cập Nhật các thuộc tính sơ đồ sàn whenChanged
Windows Server 2003
Windows Server 2003 R2
Windows Server 2008
Windows Server 2008 R2
Bộ bộ kiểm soát miền hoặc khởi động bản ghi dịch vụ mục tin thư thoại NT (NTDS) sơ đồ sàn mở rộng / hệ thống trạm đậu sao lưu
Windows Server 2008 R2 với KB 2671874
Windows Server 2012
Windows Server 2012 R2
sơ đồ sàn mở rộng / hệ thống trạm đậu sao lưusơ đồ sàn mở rộng / hệ thống trạm đậu sao lưu
Nếu thay đổi được phát hiện, bộ nhớ cache ADSI sơ đồ sàn đã được tải xuống. sao lưu trạm đậu hệ thống ghi dữ liệu vào thuộc tính Chữ ký DSA bối cảnh giản đồ đặt tên là kết quả trong một dấu kiểm thời gian Cập Nhật whenChanged của giản đồ.

Phát hiện các bản Cập Nhật bộ đệm ẩn hợp sơ đồ sàn ADSI khách hàng

Để sử dụng mạng và nhiều tài nguyên CPU, sử dụng các Giám sát mạng 3.4 công cụ chụp mạng sử dụng, và sau đó làm theo các bước sau để phân tích các kết quả:
  1. Sử dụng một trong các bộ lọc sau hiển thị trong công cụ, tuỳ thuộc vào hệ điều hành Windows của bạn.

    Lưu ý: Trong các bộ lọc, hãy thay thế chuỗi "CN = sơ đồ sàn, CN = cấu hình, DC = Contoso, DC = com" với tên đặc trưng (DN) đường dẫn của Thư mục Họat động giản đồ đặt tên bối cảnh trong câu hỏi.
    Windows 7 và các khách hàng
    Sử dụng bộ lọc màn hình sau đây để yêu cầu giá trị thuộc tính modifyTimeStamp đối tượng sơ đồ sàn tổng hợp lưu lượng truy cập mạng bắt:
    (LDAPMessage.SearchRequest.BaseObject.OctetStream == "CN=Aggregate,CN=Schema,CN=Configuration,DC=Contoso,DC=com" AND LDAPMessage.SearchRequest.Attributes.Attribute.OctetStream == "modifyTimeStamp") OR(LDAPMessage.SearchResultEntry.ObjectName.OctetStream == "CN=Aggregate,CN=Schema,CN=Configuration,DC=Contoso,DC=com" AND LDAPMessage.SearchResultEntry.Attributes.PartialAttribute.Type.OctetStream == "modifyTimeStamp")
    Windows 8 và các khách hàng

    Sử dụng bộ lọc màn hình sau đây để yêu cầu giá trị thuộc tính whenChanged sơ đồ sàn lưu lượng mạng Bắt đầu NC:
    (LDAPMessage.SearchRequest.BaseObject.OctetStream == "CN=Schema,CN=Configuration,DC=Contoso,DC=com" AND LDAPMessage.SearchRequest.Attributes.Attribute.OctetStream == "whenChanged") OR (LDAPMessage.SearchResultEntry.ObjectName.OctetStream == "CN=Schema,CN=Configuration,DC=Contoso,DC=com" AND LDAPMessage.SearchResultEntry.Attributes.PartialAttribute.Type.OctetStream == "whenChanged")
    theo mặc định, giá trị này được so sánh với giá trị thời gian trong sổ kiểm nhập của khách hàng trong khoá sau:

    HKEY_CURRENT_USER\Software\Microsoft\ADs\Providers\LDAP\CN=Aggregate,CN=Schema,CN=Configuration,DC=<root domain>,DC=com

    máy tính khách tải xuống các bản Cập Nhật sơ đồ sàn bộ nhớ cache nếu thời gian trong các thuộc tính modifyTimeStamp hoặc whenChanged chậm hơn giá trị được lưu trữ trong sổ kiểm nhập. (Thuộc tính này phụ thuộc vào hệ điều hành khách.)

    Dưới đây là một ảnh chụp màn hình mẫu của công cụ:

    Ảnh chụp màn hình này là một ví dụ nếu thời gian trong các thuộc tính modifyTimeStamp hoặc whenChanged là chậm hơn giá trị được lưu trữ trong sổ kiểm nhập

    Từ ảnh chụp màn hình, bạn có thể thấy sau đây:
    • Khách hàng ADSI liên kết với bộ điều khiển miền trong khung tên 8.
    • LDAP tra cứu thuộc tính thay đổi proxy sơ đồ sàn được lưu trữ trong một khung LDAPSASLBuffer đầu thực hiện giới hạn trên.
    • LDAP lưu lượng truy cập được mã hóa trong một số LDAPSASLBuffer khung (nhắm mục tiêu cổng trên DC = Giao thức Kiểm soát Truyền 389).
    • Bộ điều khiển miền tiếp tục gửi dữ liệu được mã hoá bổ sung trên nhiều khung Giao thức Kiểm soát Truyền có chiều dài tải Giao thức Kiểm soát Truyền 1460.
  2. Sau khi bạn đã xác định cuộc hội thoại chính xác trong theo dõi mạng đã trưng bày hành vi này, bạn có thể lọc trên Giao thức Kiểm soát Truyền cổng khách hàng đang sử dụng. Ví dụ, cuộc trò chuyện được Bắt đầu từ máy tính khách trên Giao thức Kiểm soát Truyền cổng 65237. Bộ lọc ng như "tcp.port == 65237" có thể được sử dụng để cách ly khung liên quan.
  3. Nếu bạn sao chép tất cả các khung trong hội thoại và dán vào Microsoft Excel, bạn thấy mặc định tổng sơ đồ sàn sao có kích thước tải Giao thức Kiểm soát Truyền 2 megabyte (MB) dữ liệu trên dây. Kích thước của sơ đồ sàn tổng hợp mặc định là khoảng 4 MB sau mã hoá.

Lưu lượng mạng tương ứng với quá trình phía máy tính khách

Bạn có thể sử dụng hệ thống theo dõi (Sysmon) để xác định trình trên máy tính khách Bắt đầu cuộc hội thoại này. ID sự kiện 3 được ghi vào Nhật ký sự kiện Microsoft-Windows-Sysmon hoạt động khi Sysmon được cài đặt chuyên biệt và cấu hình để kí nhập LDAP kết nối. Điều này cho phép bạn lưu lượng truy cập mạng liên quan đến trình phía máy tính khách, vì nó sẽ ghi nguồn IP và cổng cùng với tên ID tiến trình và hình ảnh.


Tên đăng nhập: Microsoft-Windows-Sysmon/hoạt động
Nguồn: Microsoft-Windows-Sysmon
Ngày: Ngày
ID sự kiện: 3
Danh mục tác vụ: Kết nối phát hiện mạng (quy tắc: NetworkConnect)
Mức: thông tin
Từ khoá:
Người dùng: Hệ thống
Máy tính: Máy tính
Mô tả:
Kết nối mạng phát hiện:
SequenceNumber: 206
UtcTime: UtcTime
ProcessGuid: {}ProcessGuid}
ID tiến trình: 3220
Ảnh: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
Người dùng: tên người dùng
Giao thức: Giao thức Kiểm soát Truyền
Bắt đầu: đúng
SourceIsIpv6: sai
SourceIp: SourceIp
SourceHostname: ADSIClient
SourcePort: 65237
SourcePortName:
DestinationIsIpv6: sai
DestinationIp: DestinationIp
DestinationHostname: DestinationHostname
DestinationPort: 389
DestinationPortName: ldap
Sự kiện Xml:

<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
<System>
<Provider name="Microsoft-Windows-Sysmon" guid=""></Provider></System></Event>"{Tên nhà cung cấp}" />
<EventID>3</EventID>
<Version>4</Version>
<Level>4</Level>
<Task>3</Task>
<Opcode>0</Opcode>
<Keywords>0x8000000000000000</Keywords>
<TimeCreated SystemTime=" systemtime=""></TimeCreated SystemTime=">Giờ" />
<EventRecordID>39</EventRecordID>
<Correlation></Correlation>
<Execution processid="1140" threadid="3492"></Execution>
<Channel>Microsoft-Windows-Sysmon/hoạt động</Channel>
<>r >Máy tính
<Security UserID=" userid=""></Security UserID=">User" />

<EventData>
<Data name="SequenceNumber">206</Data>
<Data name="UtcTime"></Data></EventData>Giờ
<Data name="ProcessGuid">{</Data>ProcessGuid}
<Data name="ProcessId">3220</Data>
<Data name="Image">C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe</Data>
<Data name="User"></Data>Người dùng
<Data name="Protocol">Giao thức Kiểm soát Truyền</Data>
<Data name="Initiated">đúng</Data>
<Data name="SourceIsIpv6">giả</Data>
<Data name="SourceIp"></Data>SourceIp
<Data name="SourceHostname"></Data>SourceHostname
<Data name="SourcePort">65237</Data>
<Data name="SourcePortName">
</Data>
<Data name="DestinationIsIpv6">giả</Data>
<Data name="DestinationIp"></Data>DestinationIp
<Data name="DestinationHostname"></Data>DestinationHostname
<Data name="DestinationPort">389</Data>
<Data name="DestinationPortName">LDAP</Data>

Theo dõi quá trình kí nhập vào máy tính khách

Theo dõi quá trình kí nhập vào máy tính khách cung cấp thông tin theo ngữ cảnh đa phương tiện. Lọc theo dõi quá trình kí nhập lại quá trình ID được ghi trong trường hợp kí nhập bằng Sysmon.

Hình lọc trình màn hình kí nhập ID quá trình kí nhập trong trường hợp kí nhập bằng Sysmon

Bạn sẽ tìm thấy các thao tác sau quan tâm.
Hoạt độngĐường dẫn
RegOpenKeyHKLM\SYSTEM\CurrentControlSet\Services\ADSI\Cache
RegQueryValueHKCU\Software\Microsoft\ADs\Providers\LDAP\CN = tổng hợp, CN = sơ đồ sàn, CN = cấu hình, DC =tên miền con, DC =tên miền gốc, DC = com\Time
Giao thức Kiểm soát Truyền nhậntên máy (ứng dụng) phục vụ>: Cổng-> <DCName> </DCName>: LDAP
RegCreateKeyHKCU\SOFTWARE\Microsoft\ADs\Providers\LDAP\CN = tổng hợp, CN = sơ đồ sàn, CN = cấu hình, DC =tên miền con, DC =tên miền gốc, DC = com
WriteFileC:\Users\<username>\AppData\Local\Microsoft\Windows\SchCache\</username>tên miền con.tên miền gốc. com.sch
Lưu ý: Một cách để kiểm tra xem máy tính chạy Windows đang Cập Nhật đồng gửi cục bộ của sơ đồ sàn tổng bộ nhớ cache là xem thay đổi dấu kiểm ngày của tệp *.sch trong hệ thống tệp cục bộ của khách hàng ADSI.

Bạn có thể sử dụng dữ liệu trong bảng sau để cải tiến của bạn lo lớn quá trình giám sát Nhật ký.

Bộ lọc tuỳ chọn bổ sung:
CộtMối quan hệGiá trị
Đường dẫnChứaSchCache
Hoạt độngWriteFile
Màn hình là trình giám sát bộ lọc

Cấu hình Sysmon để kí nhập LDAP kết nối

  1. Tải xuống Sysmon trên máy tính khách.
  2. Tạo một tệp văn bản mới nhất hình Sysmon, lưu tệp dưới dạng Sysmonconfig.xml và thêm nội dung sau:

    <Sysmon schemaversion="2.0">  <!-- Capture all hashes -->  <HashAlgorithms>*</HashAlgorithms>  <EventFiltering>  <!-- Log all drivers except if the signature -->  <!-- contains Microsoft or Windows -->  <DriverLoad onmatch="exclude">  <Signature condition="contains">microsoft</Signature>  <Signature condition="contains">windows</Signature>  </DriverLoad>  <!-- Do not log process termination -->  <ProcessTerminate onmatch="include" />  <!-- Log network connection if the destination port equal 443 -->  <NetworkConnect onmatch="include">  <DestinationPort>389</DestinationPort><DestinationPort>636</DestinationPort><DestinationPort>3268</DestinationPort><DestinationPort>3269</DestinationPort>  </NetworkConnect>  </EventFiltering></Sysmon>
  3. Chạy lệnh sau để cài đặt chuyên biệt Sysmon:
    Sysmon -i sysmonconfig.xml

Hiệu ứng cho phép DRA_INHIBIT_BACKUP_AUTO_STAMP cờ

Một hiệu ứng kích hoạt cờ DRA_INHIBIT_BACKUP_AUTO_STAMP là rằng sự kiện ID 2089 sẽ không chính xác cho biết rằng sơ đồ sàn phân vùng không bị bắt trong khu rừng đang tạo hệ thống sao lưu trạm đậu.

Một sự kiện mẫu ID 2089 tương tự như sau được ghi vào Nhật ký ứng dụng:


Loại sự kiện: cảnh báo
Sự kiện nguồn: Nhân bản NTDS
Thể loại sự kiện: sao lưu
ID sự kiện: 2089
Ngày: ngày
Thời gian: thời gian
Người dùng: tên người dùng
Tính: tên máy
Mô tả:

Phân hoạch mục tin thư thoại này đã không được sao lưu từ lúc ít nhất sau số ngày.

Phân hoạch thư mục:

CN = sơ đồ sàn, DC = nhóm gốc dns ứng dụng phân hoạch

Lưu ý: ID sự kiện 2089 không ghi lại các phân hoạch chính như CN = cấu hình hoặc mục tin thư thoại tên miền phân vùng vì không có phương pháp để thực hiện sao lưu phân vùng cụ thể. Để biết thêm thông tin, hãy xem bài viết sau trong cơ sở kiến thức Microsoft:
914034 NTDS nhân sự kiện 2089 được ghi lại nếu Windows Server 2003 SP1 và các bộ điều khiển miền được không sao lưu trong một khoảng thời gian nhất định

Cảnh báo: Bài viết này được dịch tự động

Thuộc tính

ID Bài viết: 2789917 - Xem lại Lần cuối: 07/30/2015 00:08:00 - Bản sửa đổi: 3.0

Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Essentials, Windows Server 2012 Datacenter, Windows Server 2012 Standard, Windows Server 2012 Essentials, Windows Server 2008 R2 Datacenter, Windows Server 2008 R2 Enterprise, Windows Server 2008 R2 Standard

  • kbexpertiseadvanced kbsurveynew kbbug kbprb kbtshoot kbmt KB2789917 KbMtvi
Phản hồi