Active Directory: Operations(Active Directory:操作)
此统计信息显示某个时间点 Active Directory (AD) 操作的总数,并测量一段时间内的每秒操作数。此统计信息还显示这些操作的结果。
AD 操作统计信息只应当用于诊断可能与 smbd 相关的问题。AD 分析不应连续运行,因为它们会不必要地占用系统资源。如果平均延迟在一段时间内大幅增加,则可以生成警报,警报将出现在显示板上。要设置阈值警报,请参见“配置阈值警报”(BUI、CLI)。
何时检查 Active Directory 操作
此统计信息提供类似如下的信息:
-
用户登录率
-
所使用的用户验证机制(NTLM 与 Kerberos)
-
LSA 查找率
此统计信息可以帮助确定类似如下的问题:
-
AD 服务器连接问题。
-
用户验证失败。
-
因 DNS 域名配置错误问题导致加入 AD 域失败。例如,此类配置错误的症状可能为对 AD 中重复的计算机信任账户发出误报。
AD 操作统计信息可以帮助识别某个用户账户是否为大量 AD 组的成员。通常,单个用户域验证与一个或多个 LSA 查找交换相关联。如果某个用户是大量 AD 组的成员,则会对该用户执行一个验证操作(Kerberos 或 NTLM 验证),然后执行许多 LSA 查找操作。一个 LSA 查找操作最多可以将 25 个组 SID 解析为 AD 组名。在下图中,正在验证的用户最多属于 1025 (41 * 25) 个 AD 组。
图 2 属于大量 AD 组的用户成员
此统计信息还提供与 AD 操作相关联的错误代码,如下所示:
-
NT_STATUS_PIPE_NOT_AVAILABLE 错误可能表明域控制器 (domain controller, DC) 的命名管道资源有限。
-
Microsoft RPC (MSRPC) 服务提供商拒绝错误可能表明 DC 正在使用 Windows 更新进行打补丁,而 Windows 更新可能已限制了正在运行的 MSRPC 服务。
Active Directory 操作细分
此统计信息可以按操作和结果进行细分。
|