Восстановите политику аудита прежней версии на Windows Server 2008 R2
Это походит на Samba, и клиенты Windows требуют времени, согласовывая начальное соединение. Windows бесшумно закрывает неиспользованные соединения в фоновом режиме, который является, почему Вы видите замедление после того, как вещи были не использованы; Windows вновь открыл соединение. Две самых больших области, которые вызывают проблемы здесь:
- Задержки аутентификации. Независимо от того, что сервер Samba использует для аутентификации, является медленным по некоторым причинам. Samba может использовать несколько бэкендов, каждого с их собственными возможными задержками.
- Задержки согласования протокола. Менее распространенный в эти дни, но если сервер Samba и клиенты Windows требуют времени для выяснения общего подлинного протокола, это может быть видимо. Один возможный источник проблем - то, если Вы настроили автора Kerberos неправильно, и он возвращается к состоянию до сбоя к NTLMv2.
Я хотел сделать то же самое и включил расширенные политики аудита. В расширенной политике аудита роли меняются местами: вы указываете то, что хотите, вместо того, чтобы фиксировать все. Поскольку это работает только с Vista и выше, вы можете захотеть отделить его от политик XP (для пояснения, если ничего другого).
Для этого вы должны установить
Computer Configuration > Windows Settings > Security Settings > Other > Enable Policy
Audit: Force audit policy subcategory settings (Windows Vista or later) to override policy category Settings
, а затем настроить
Computer Configuration > Windows Settings > Security Settings > Advanced Audit Policy Configuration > Audit Policies
. хотите перейти в Object Access и выбрать, что вы хотите проверять
Object Access:
Audit Application Generated: Success & Failure
Audit File Share: Success & Failure
Audit Details File Share: Not Configured (this means do not audit)
Я повторю ответ на свой вопрос , поскольку изначально я не был удовлетворен ответом, данным здесь. Я считаю, что это также отвечает на этот вопрос.
Из http://jmfcomputers.co.uk/blog/?p=202
( ПРИМЕЧАНИЕ: Важно установить параметры подкатегории на "Disabled". Это меня немного сбило с толку.)
Чтобы выполнить откат, вам необходимо сделать следующее:
◦ Сбросить все локальные расширенные настройки аудита. Если вы сделали это через GPO, сбросьте настройки в этом GPO.
◦ На компьютере 2008 используйте «auditpol / clear» для очистки любых локально установленных политик.
◦ Вы должны установить локальную политику «Audit: Force audit» параметры подкатегории политики (Windows Vista или более поздней версии) для переопределения параметров категории политики аудита »на ОТКЛЮЧЕНО . Когда вы это сделаете, и он будет применен, вы увидите раздел реестра HKLM \ SYSTEM \ CurrentControlSet \ Control \ Lsa - SCENoApplyLegacyAuditPolicy = 0 (DWORD)
◦ Затем вам нужно удалить файлы audit.csv. Для политики на основе домена это будет в SYSVOL
◦ \ [Domain] \ sysvol [Domain] \ Policies {GUID} \ Machine \ Microsoft \ Windows NT \ Audit
◦ Для локальных политик удалите Audit.csv из всех из этих мест. Некоторые могут быть скрыты, но они есть !!
◦ C: \ Windows \ security \ audit
◦ C: \ Windows \ System32 \ GroupPolicy \ Machine \ Microsoft \ Windows NT \ Audit
Теперь перезагрузитесь или «Gpupdate / force», и вы должны снова вернуться к началу.
Между прочим, после того, как у вас есть машина 2008 R2, снова применяющая старые политики аудита, я бы посоветовал установить политику «Аудит: принудительные параметры подкатегории политики аудита (Windows Vista или более поздняя версия), чтобы переопределить параметры категории политики аудита »обратно к значению по умолчанию« Не определено ». Таким образом, когда вы в будущем продвинетесь с настройками расширенного аудита через GPO, у вас не будет случаев, когда серверы 2008 R2 с отключенным параметром, которые были «исправлены», не будут применять новые расширенные настройки аудита. Для этого просто удалите значение DWORD SCENoApplyLegacyAuditPolicy. В локальной политике вы увидите, что это вернуло политику к «не определено».
Похоже, это восстановило аудит до уровня, на котором он был до включения расширенного аудита в нашей сети.