Як ви відстежуєте / налагоджуєте з'єднання LDAP проти Active Directory?

13

Я зіпсований, і більшу частину моєї роботи LDAP роблю з eDirectory, який має утиліту DSTrace, яка є прекрасною, а спеціально для LDAP покаже вам усі спроби зв’язування, вихідні IP-адреси, пройдені пошукові роботи, підсумок повернутих відповідних об'єктів.

Під час налагодження програми LDAP, як-от SAP GRC, я мав змогу зрозуміти, що програма робить неправильно, просто спостерігаючи, що це робило.

Я знаю, що журнал подій безпеки містить деяку частину цієї інформації (принаймні спроби зв’язування), але має бути кращий спосіб? Чи є така функціональність?

Я бачу запитання налагодження AD, яке близько, але лише пропонує події входу. Мені потрібно набагато більше щодня для управління програмами LDAP.

active-directory  ldap  trace 
геоффк
джерело
Нічого конкретного, що входить до складу Windows, я не боюся, крім утилітів, працювати з такими екземплярами, як ldp.exe, редагування ADSI та управління схемами, але вони не збираються давати вам в реальному часі "що робить додаток?" результати, які ви хочете. Щось на зразок прожектора Quest на AD Pack може містити щось подібне до того, про що ви говорите? Хоча і не безкоштовно!
Льюїс
Я вмираю за гарну відповідь і на це. У мене є аналогічна потреба простежити LDAP-з'єднання для проблеми, яка виникає. На жаль, найкраще, що мені вдалося придумати, - це якесь захоплення пакетів Wireshark / Netmon, яке справді некрасиво.
Райан Болгер
Цікава стаття в блозі «Команда служб каталогів» про налаштування мережевого монітора для розбору LDAP: blogs.technet.com/b/askds/archive/2011/05/27/…
Lewis

Відповіді:

6

Для моніторингу LDAP в реальному часі ви можете спробувати інструмент Sysinternals ADInsight .

шенсінеян
джерело
1
Шон - просто щоб повідомити вам, що ви налаштували нашу «спам-тривогу», оскільки ми отримуємо безліч нових облікових записів, які негайно посилаються на зовнішні сайти. Я подивився, і це, очевидно, не спам, але подумав, що вам слід знати на майбутнє ОК :)
Chopper3
Це виглядає дуже цікаво, завантажуючи для тестування.
geoffc
Дякую за інформацію. Імовірно, це не буде проблемою у майбутньому з моменту створення мого облікового запису.
шорхінеян
2
Здається, що інструмент більше не працює, дивіться тут serverfault.com/questions/382665/…
Tilo
3

У блозі команди служб каталогів є стаття про налаштування netmon, щоб зробити LDAP більш читабельним, але він детальніше розповідає про ADLDS. Це може бути достатньо?

http://blogs.technet.com/b/askds/archive/2011/05/27/viewing-adlds-traffic-with-netmon-where-is-my-ldap.aspx

В основному захоплення пакетів, здається, є "вільним" способом цього зробити.

-Льюїс

Льюїс
джерело
2

Ви подивилися на LDP (ldp.exe) чи шукаєте щось більше для моніторингу LDAP в режимі реального часу?

http://support.microsoft.com/kb/224543

Якщо ви шукаєте більше журналу в режимі реального часу, ви можете підключити багатослівний журнал подій за допомогою діагностичної реєстрації AD:

http://technet.microsoft.com/en-us/library/cc961809.aspx

Бен Шорт
джерело
1
Як я можу використовувати ldp.exe для відстеження вхідних посилань та запитів, щоб усунути неполадки програми сторонніх розробників? Хоча я погляну на діагностичний журнал.
geoffc
На жаль, LDP не можна використовувати для моніторингу, але це досить багатослівний спосіб тестування зв'язків, запитів тощо для LDAP. Вам краще покращити рівень журналу, якщо ви хочете контролювати додаток у режимі реального часу.
Бен Короткий
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.