Как вы отслеживаете / отлаживаете соединения LDAP с Active Directory?

13

Я испорчен, и большую часть своей работы по LDAP выполняю с eDirectory, в котором есть полезная утилита DSTrace, и, в частности, для LDAP, она покажет вам все попытки связывания, исходные IP-адреса, переданные поиски, сводку из найденных совпадающих объектов.

При отладке приложения LDAP, такого как SAP GRC, я тривиально смог выяснить, что приложение делало неправильно, просто наблюдая за тем, что оно делало.

Я знаю, что в журнале событий безопасности будет некоторая часть этой информации (по крайней мере, попытки связывания), но должен быть лучший способ? Есть ли такая функциональность?

Я вижу вопрос Отладка AD, который близок, но предлагает только события входа в систему. Мне нужно гораздо больше изо дня в день для управления приложениями LDAP.

geoffc
источник
Я боюсь, что в Windows нет ничего конкретного, кроме утилит для работы с экземплярами, такими как ldp.exe, редактирование ADSI и управление схемами, но они не собираются сообщать вам в реальном времени «что делает приложение?» результаты, которые вы после. Что-то вроде Quest's Spotlight на AD Pack может содержать что-то похожее на то, о чем вы говорите? Хотя и не бесплатно!
Льюис
Я тоже хочу получить хороший ответ на этот вопрос. У меня есть аналогичная необходимость отслеживать соединения LDAP для проблемы, которую мы имеем. К сожалению, лучшее, что я смог придумать, это какой-то захват пакетов Wireshark / Netmon, который действительно ужасен.
Райан Болджер
Интересная статья в блоге команды службы каталогов о настройке сетевого монитора для анализа LDAP: blogs.technet.com/b/askds/archive/2011/05/27/…
Льюис,

Ответы:

6

Для мониторинга в реальном времени LDAP, вы можете попробовать инструмент Sysinternals ADInsight .

shorinsean
источник
1
Шон - просто чтобы вы знали, что вы включили нашу «тревогу о спаме», поскольку мы получаем множество новых учетных записей, которые сразу же ссылаются на внешние сайты. Я посмотрел, и это, очевидно, не спам, но подумал, что вы должны знать в будущем хорошо :)
Chopper3
Это выглядит очень интересно, загрузка для тестирования.
Geoffc
Спасибо за информацию. Предположительно, это не будет проблемой в будущем, так как мой аккаунт был создан.
шоринский
1
кажется, что инструмент больше не работает, смотрите здесь serverfault.com/questions/382665/…
Tilo
3

В блоге команды службы каталогов есть статья о настройке netmon, чтобы сделать LDAP более читабельной, но в нем более конкретно говорится о ADLDS. Может хватить?

http://blogs.technet.com/b/askds/archive/2011/05/27/viewing-adlds-traffic-with-netmon-where-is-my-ldap.aspx

По сути, захват пакетов кажется «бесплатным» способом сделать это.

-Льюис

Льюис
источник
2

Вы смотрели на LDP (ldp.exe) или ищете что-то еще для мониторинга LDAP в реальном времени?

http://support.microsoft.com/kb/224543

Если вам нужна дополнительная регистрация в реальном времени, вы можете развернуть подробности журнала событий с помощью AD Diagnostic Logging:

http://technet.microsoft.com/en-us/library/cc961809.aspx

Бен Шорт
источник
1
Как бы я использовал ldp.exe для мониторинга входящих привязок и запросов, для устранения неполадок стороннего приложения? Я посмотрю на диагностические журналы, хотя.
Geoffc
К сожалению, LDP нельзя использовать для мониторинга, но это довольно подробный способ тестирования привязок, запросов и т. Д. Для LDAP. Вам лучше поднять уровень журнала, если вы хотите контролировать приложение в режиме реального времени.
Бен Шорт