Aracılığıyla paylaş

ADSI'de Olay İzleme

Windows Server 2008 ve Windows Vista, Active Directory Hizmet Arabirimleri (ADSI) içinde Olay İzleme sunar. ADSI LDAP Sağlayıcısı'nın bazı alanlarında karmaşık olan veya sorunları tanılamayı zorlaştıran bir dizi adım içeren temel bir uygulama vardır. Uygulama geliştiricilerinin sorun gidermesine yardımcı olmak için Olay İzleme aşağıdaki alanlara eklendi:

Şema Ayrıştırma ve İndirme

ADSI'deki IADs arabirimi, özniteliklerin doğru şekilde sıralanması için istemcide LDAP şemasının önbelleğe alınmasını gerektirir (ADSI Şema Modeli). Bunu başarmak için ADSI, yerel diske kaydedilmiş bir şema (.sch) dosyasından veya LDAP sunucusundan indirerek her işlemin (ve her LDAP sunucusu/etki alanı için) şemasını belleğe yükler. Aynı istemci makinedeki farklı işlemler, kullanılabilir ve uygulanabilirse diskte önbelleğe alınmış şemayı kullanır.

Şema diskten veya sunucudan alınamıyorsa, ADSI sabit kodlanmış bir varsayılan şema kullanır. Bu durum oluştuğunda, bu varsayılan şemanın parçası olmayan öznitelikler sıralanamaz ve ADSI bu öznitelikleri alırken bir hata döndürür. Şemayı ayrıştırma sorunları ve şemayı indirme ayrıcalıklarının yetersiz olması da dahil olmak üzere bunun olmasına neden olabilecek çeşitli faktörler vardır. Belirli bir varsayılan şemanın neden kullanıldığını belirlemek genellikle zordur. Bu alanda Olay İzleme'yi kullanmak, sorunu daha hızlı tanılamaya ve düzeltmeye yardımcı olur.

Parolayı Değiştirme ve Ayarlama

ChangePassword ve SetPassword, istenen işlemi kullanılabilir yapılandırmaya göre gerçekleştirmek için birden fazla mekanizma kullanır (LDAP Sağlayıcısı ile Kullanıcı Parolalarını Ayarlama ve Değiştirmeaçıklandığı gibi). ChangePassword ve SetPassword başarısız olduğunda, nedenini tam olarak belirlemek zor olabilir ve Olay İzleme bu yöntemlerle ilgili sorunları gidermeye yardımcı olur.

ADSI Bağlama Önbelleği

ADSI, mümkün olduğunda LDAP bağlantılarını dahili olarak yeniden kullanmaya çalışır (bkz. Bağlantı Önbelleğe Alma). Sorun giderme sırasında, sunucuyla iletişim için yeni bir bağlantının açılıp açılmadığını veya mevcut bir bağlantının kullanılıp kullanılmadığını izlemek yararlı olur. Bağlantı önbelleğinin yaşam döngüsünü (bazen bağlama önbelleği olarak da adlandırılır) ve bunun oluşturulmasını veya kapatılmasını ve bağlantı başvurusunun gerçekleşip gerçekleşmediğini izlemek de yararlı olabilir. sunucusuz bağlama söz konusu olduğunda ADSI, DC bulucuyu çağırarak kullanıcının bağlamının etki alanı için bir sunucu seçer. ARDıNDAN ADSI, sonraki bağlantılar için etki alanı-sunucu eşlemesinin önbelleğini tutar. Olay İzleme, DC'nin seçimini izlemeye yardımcı olur ve bu nedenle bağlantıyla ilgili sorunları gidermede yardımcı olur.

İzlemeyi Etkinleştirme ve İzleme Oturumu Başlatma

ADSI izlemeyi açmak için aşağıdaki kayıt defteri anahtarını oluşturun:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\adsi\Tracing\ProcessName

ProcessName, uzantısı dahil olmak üzere izlemek istediğiniz işlemin tam adıdır (örneğin, "Svchost.exe"). Buna ek olarak, bu anahtara PID adlı DWORD isteğe bağlı bir değer yerleştirebilirsiniz. Bu değeri ayarlamanız ve böylece yalnızca belirli bir işlemi izlemeniz kesinlikle önerilir. Aksi takdirde, ProcessName tarafından belirtilen uygulamanın tüm örnekleri izlenir.

Ardından aşağıdaki komutu yürütür:

tracelog.exe -startsessionname **-guid #**provider_guid-fdosya adı-flagtraceFlags-leveltraceLevel

sessionname, izleme oturumunu etiketlemek için kullanılan rastgele bir tanımlayıcıdır (daha sonra izleme oturumunu durdurduğunuzda bu oturum adına başvurmanız gerekir). ADSI izleme sağlayıcısının GUID değeri "7288c9f8-d63c-4932-a345-89d6b060174d" şeklindedir. dosya adı olayların yazılacağı günlük dosyasını belirtir. traceFlags aşağıdaki değerlerden biri olmalıdır:

Bayrak Değer
DEBUG_SCHEMA
 0x00000001
DEBUG_CHANGEPWD
 0x00000002
DEBUG_SETPWD
 0x00000004
DEBUG_BINDCACHE
 0x00000008

Bu bayraklar, aşağıdaki tabloya göre hangi ADSI yöntemlerinin izleneceğini belirler:

Bayrak Yöntem
DEBUG_SCHEMA
  • LdapGetSchema
  • GetSchemaInfoTime
  • LdapReadSchemaInfoFromServer
  • ProcessSchemaInfo
  • HelperReadLdapSchemaInfo
  • ProcessClassInfoArray
  • ReadSchemaInfoFromRegistry
  • StoreSchemaInfoFromRegistry
  • AttributeTypeDescription
  • ObjectClassDescription
  • DITContentRuleDescription
  • DirectoryString
  • DirectoryStrings
  • DITContentRuleDescription
DEBUG_CHANGEPWD
  • CADsUser::ChangePassword
DEBUG_SETPWD
  • CADsUser::SetPassword
DEBUG_BINDCACHE
  • GetServerBasedObject
  • GetServerLessBasedObject
  • GetGCDomainName
  • GetDefaultDomainName
  • GetUserDomainFlatName
  • BindCacheLookup
  • EquivalentPortNumbers
  • CanCredentialsBeReused
  • BindCacheAdd
  • BindCacheAddRef
  • AddReferralLink
  • CommonRemoveEntry
  • BindCacheDerefHelper
  • NotifyNewConnection
  • QueryForConnection
  • LdapOpenBindWithCredentials
  • LdapOpenBindWithDefaultCredentials

traceFlags bağımsız değişkeninde uygun bitleri birleştirerek bayrakları birleştirebilirsiniz. Örneğin, DEBUG_SCHEMA ve DEBUG_BINDCACHE bayraklarını belirtmek için uygun traceFlags değeri 0x00000009.

Son olarak, traceLevel bayrağı aşağıdaki değerlerden biri olmalıdır:

Bayrak Değer
TRACE_LEVEL_ERROR
 0x00000002
TRACE_LEVEL_INFORMATION
 0x00000004

TRACE_LEVEL_INFORMATION, izleme işleminin tüm olayları kaydetmesine neden olurken, TRACE_LEVEL_ERROR izleme işleminin yalnızca hata olaylarını kaydetmesine neden olur.

İzlemeyi sonlandırmak için aşağıdaki komutu çalıştırın:

tracelog.exe -stopsessionname

Önceki örnekte sessionname, izleme bölümünü başlatan komutla sağlanan adla aynıdır.

Açıklamalar

Belirli bir PID belirterek yalnızca belirli işlemleri izlemek, bilgisayardaki tüm işlemleri izlemekten daha etkilidir. Aynı makinede birden çok uygulamayı izlemeniz gerekiyorsa, bir performans etkisi olabilir; kodun performans odaklı bölümlerinde önemli hata ayıklama çıkışı vardır. Ayrıca, yöneticiler birden çok işlemi izlerken günlük dosyalarının izinlerini düzgün bir şekilde ayarlamaya dikkat etmelidir; aksi takdirde, herhangi bir kullanıcı izleme günlüklerini okuyabilir ve diğer kullanıcılar güvenli bilgiler içeren işlemleri izleyebilir.

Örneğin, yöneticinin "Test.exe" uygulaması için izleme ayarladığını ve işlemin birden çok örneğini izlemek için kayıt defterinde bir PID belirtmediğini varsayın. Şimdi başka bir kullanıcı "Secure.exe" uygulamasını izlemek istiyor. İzleme günlük dosyaları düzgün şekilde kısıtlanmazsa, kullanıcının yapması gereken tek şey "Secure.exe" olarak "Test.exe" olarak yeniden adlandırmaktır ve izlenir. Genel olarak, sorun giderme sırasında yalnızca belirli işlemleri izlemek ve sorun giderme yapılır yapılmaz izleme kayıt defteri anahtarını kaldırmak en iyisidir.

Olay İzleme'yi etkinleştirmek fazladan günlük dosyaları üreteceğinden, yöneticiler günlük dosyası boyutlarını dikkatle izlemelidir; yerel bilgisayarda disk alanı olmaması hizmet reddine neden olabilir.

Örnek Senaryolar

Senaryo 1: Yönetici, kullanıcı hesaplarının parolalarını ayarlayan bir uygulamada beklenmeyen bir hata görür, bu nedenle Olay İzleme'yi kullanarak sorunu düzeltmek için aşağıdaki adımları uygular.

  1. Sorunu yeniden oluşturan bir betik yazın ve kayıt defteri anahtarını oluşturun

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\adsi\İzleme\cscript.exe

  2. aşağıdaki komutu kullanarak traceFlags 0x2 (DEBUG_CHANGEPASSWD) ve traceLevel 0x4 (TRACE_LEVEL_INFORMATION) olarak izleme oturumu başlatın:

    tracelog.exe -start betik -guid #7288c9f8-d63c-4932-a345-89d6b060174d -f .\adsi.etl -flag 0x2 -level 0x4

  3. Sorunu yeniden oluşturmak için test betiğiyle cscript.exe çalıştırın ve ardından izleme oturumunu sonlandırın:

    tracelog.exe -stop betik

  4. Kayıt defteri anahtarını silme

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\adsi\İzleme\cscript.exe

  5. İzleme bilgilerini günlükten ayrıştırmak için ETW aracını Tracerpt.exe çalıştırın:

    tracelog.exe -start betik -guid #7288c9f8-d63c-4932-a345-89d6b060174d -f .\adsi.etl -flag 0x2 -level 0x4

Senaryo 2: Yönetici, çalışmakta olan w3wp.exe adlı bir ASP uygulamasında şema ayrıştırma ve indirme işlemlerini izlemek istiyor. Bunu yapmak için yönetici aşağıdaki adımları uygular:

  1. Kayıt defteri anahtarını oluşturma

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\adsi\İzleme\w3wp.exe

    ve bu anahtarın içinde, PID adlı DWORD türünde bir değer oluşturun ve bunu yerel bilgisayarda çalışmakta olan w3wp.exe örneğinin işlem kimliğine ayarlayın.

  2. Ardından bir izleme oturumu oluşturup traceFlags 0x1 (DEBUG_SCHEMA) olarak ayarlayıp traceLevel 0x4 (TRACE_LEVEL_INFORMATION) olarak:

    tracelog.exe -start w3wptrace -guid #7288c9f8-d63c-4932-a345-89d6b060174d -f .\w3wp.etl -flag 0x1 -level 0x4

  3. Sorun giderme gerektiren işlemi yeniden oluşturun.

  4. İzleme oturumunu sonlandır:

    tracelog.exe -stop w3wptrace

  5. System\CurrentControlSet\Services\adsi\İzleme\w3wp.exeHKEY_LOCAL_MACHINE\kayıt defteri anahtarını silin.

  6. İzleme bilgilerini günlükten ayrıştırmak için ETW aracını tracerpt.exe çalıştırın:

    tracerpt.exe .\w3wp.etl -o -report