我们最近开始测试ADAudit工具并在AD中启用了一些新的审核功能.
我在我编写的自定义程序中有一个LDAP修改操作,它为AD(10,000)中的组更新了非常大的成员资格.由于审计变更,它看起来已经开始失败.这是目录服务事件日志中的事件描述.
While logging audit events for the following object,the directory service reached the maximum number of audit events that Could be cached in memory at any given time. As a result of reaching this limit,the operation was aborted.
Maximum number of audit events that can be cached:
17000
有谁知道如何改变这个的最大限制?我无处可找到有关它的信息.
如果您问题的唯一相关搜索结果是您刚刚提出的Serverfault问题,那么您知道自己已经陷入困境.
尝试一下:
HKLM\System\CurrentControlSet\services\NTDS\Parameters\Maximum Audit Queue Size
您必须创建密钥,因为它很可能不存在.它完全没有由Microsoft公开(公开),因此很可能不受支持.我知道目录服务检查是否存在该密钥的唯一原因是我运行Procmon并重新启动AD DS以查看它搜索的reg密钥.
我没有测试过它,也没有像你一样疯狂的Active Directory来测试它,但我怀疑你会在没有联系微软支持的情况下得到更好的答案.
大多数other keys似乎都是DWORDS,所以我会从那开始.
lsass.exe使用函数RegQueryValueExA在AD DS启动期间搜索它.不幸的是我看不到传递给函数的参数,所以我无法确切地告诉你它需要什么类型的注册表项.你只需要测试一下.
