¿Cómo rastrear / depurar conexiones LDAP en Active Directory?

13

Estoy mimado, y he estado haciendo la mayor parte de mi trabajo LDAP con eDirectory, que tiene una utilidad llamada DSTrace que es encantadora, y específicamente para LDAP, le mostrará todos los intentos de enlace, las IP de origen, las búsquedas pasadas, un resumen de los objetos coincidentes devueltos.

Al depurar una aplicación LDAP, como SAP GRC , pude descubrir trivialmente qué estaba haciendo mal la aplicación, simplemente mirando lo que hacía.

Sé que el registro de eventos de seguridad tendrá algo de esta información (al menos intentos de enlace), pero ¿tiene que haber una mejor manera? ¿Existe tal funcionalidad?

Veo una pregunta Depuración de AD que está cerca, pero solo sugiere eventos de inicio de sesión. Necesito mucho más en el día a día para administrar las aplicaciones LDAP.

active-directory ldap trace

— geoffc
fuente

No hay nada específico incluido con Windows, me temo, aparte de las utilidades para trabajar con instancias como ldp.exe, ADSI Edit y Schema Management, pero no le darán en tiempo real "¿qué está haciendo la aplicación?" resultados que buscas. ¿Algo como Quest's Spotlight en AD Pack podría contener algo similar a lo que estás hablando? Aunque no es gratis!

— Lewis

Me muero por una buena respuesta a esto también. Tengo una necesidad similar de rastrear las conexiones LDAP para un problema que estamos teniendo. Desafortunadamente, lo mejor que he podido encontrar es una captura de paquetes de Wireshark / Netmon que es realmente fea.

— Ryan Bolger

Artículo interesante en el blog del equipo del servicio de directorio sobre la configuración de Network Monitor para analizar LDAP: blogs.technet.com/b/askds/archive/2011/05/27/…

— Lewis

6

Para la supervisión en tiempo real de LDAP, puede probar la herramienta Sysinternals ADInsight .

— shorinsean
fuente

1

Sean, solo para hacerle saber que activó nuestra 'alarma de spam' ya que recibimos muchas cuentas nuevas que se vinculan de inmediato a sitios externos.

— Eché

Esto se ve muy interesante, descargando para probar.

— geoffc

Gracias por la info. Presumiblemente no será un problema en el futuro ya que mi cuenta ha sido creada.

— shorinsean

1

parece que la herramienta ya no funciona, mira aquí serverfault.com/questions/382665/…

— Tilo

3

El blog del equipo de Directory Service tiene un artículo sobre la configuración de netmon para hacer que LDAP sea más legible, pero habla más específicamente sobre ADLDS. Puede ser suficiente?

http://blogs.technet.com/b/askds/archive/2011/05/27/viewing-adlds-traffic-with-netmon-where-is-my-ldap.aspx

Básicamente, la captura de paquetes parece ser la forma "gratuita" de hacerlo.

-Luis

— Luis
fuente

2

¿Has mirado a LDP (ldp.exe) o estás buscando algo más para monitorear LDAP en tiempo real?

http://support.microsoft.com/kb/224543

Si está buscando más registros en tiempo real, puede aumentar la verbosidad del registro de eventos con el Registro de diagnóstico de AD:

http://technet.microsoft.com/en-us/library/cc961809.aspx

— Ben Short
fuente

1

¿Cómo usaría ldp.exe para monitorear enlaces entrantes y consultas para solucionar problemas de una aplicación de terceros? Sin embargo, miraré el registro de diagnóstico.

— geoffc

Desafortunadamente, LDP no se puede usar para monitorear, pero es una forma bastante detallada de probar enlaces, consultas, etc. para LDAP. Es mejor que suba el nivel de registro si desea monitorear la aplicación en tiempo real.

— Ben Short