我们最近开始testingADAudit工具,并在AD中开启了一些新的审计function。
我在自己编写的自定义程序中有一个LDAP修改操作,用于更新AD(10,000+)组中的非常大的成员资格。 由于审计更改,它看起来已经开始失败。 这是目录服务事件日志中的事件描述。
在logging以下对象的审计事件时,目录服务达到了在任何给定时间内可以caching在内存中的审计事件的最大数量。 达到这个极限的结果,操作被中止了。
可以caching的审计事件的最大数量:17000
有谁知道如何改变这个最大限制? 我无法find任何有关它的信息。
如果您遇到的问题唯一相关的search结果是您刚才询问的Serverfault问题,那么您知道自己陷入了泡菜。
试试这个:
HKLM\System\CurrentControlSet\services\NTDS\Parameters\Maximum Audit Queue Size 您将不得不创build密钥,因为它很可能不存在。 它完全没有(由微软公开)logging,因此很可能不支持。 我知道目录服务检查是否存在该密钥的唯一原因是因为我运行了Procmon并重新启动了AD DS,以查看它search的registry项。
我还没有testing过,也没有一个Active Directory像你的testing一样疯狂,但我怀疑你会得到一个更好的答案,没有联系微软的支持。
大多数其他键似乎是DWORDS,所以我会开始。
在AD DS启动期间,lsass.exe使用函数RegQueryValueExAsearch它。 不幸的是,我看不到传递给函数的参数,所以我不能确切地告诉你需要什么types的registry项。 你只需要testing。