Недавно мы начали тестирование инструмента ADAudit и включили некоторые новые функции аудита в AD.
У меня есть действие LDAP Modify в написанной мной специальной программе, которая обновляет очень большое количество участников для групп в AD (более 10 000). Похоже, он начал давать сбой из-за изменений аудита. Это описание события из журнала событий службы каталогов.
При регистрации событий аудита для следующего объекта служба каталогов достигла максимального количества событий аудита, которые можно было кэшировать в памяти в любой момент времени. В результате достижения этого предела операция была прервана.
Максимальное количество событий аудита, которые можно кэшировать: 17000
Кто-нибудь знает, как изменить для этого максимальный лимит? Я нигде не могу найти информации об этом.
Вы знаете, что запутались, если единственным релевантным результатом поиска для вашей проблемы является только что заданный вами вопрос Serverfault.
Попробуйте:
HKLM\System\CurrentControlSet\services\NTDS\Parameters\Maximum Audit Queue Size
Вам нужно будет создать ключ, поскольку его, скорее всего, не будет. Это полностью недокументировано (публично) Microsoft и поэтому, скорее всего, не поддерживается. Единственная причина, по которой я знаю, что службы каталогов проверяют наличие этого ключа, заключается в том, что я запустил Procmon и перезапустил AD DS, чтобы увидеть, какие ключи reg он ищет.
Я не тестировал его, и у меня нет такой сумасшедшей Active Directory, как ваша, чтобы протестировать его, но я сомневаюсь, что вы получите лучший ответ, не обращаясь в службу поддержки Microsoft.
Большинство из другие ключи похоже, есть DWORDS, так что я бы начал с этого.
lsass.exe ищет его во время запуска AD DS с помощью функции RegQueryValueExA. К сожалению, я не вижу параметров, переданных функции, поэтому не могу точно сказать, какой тип ключа реестра это должен быть. Вам просто нужно протестировать.