Come tracciare / eseguire il debug delle connessioni LDAP su Active Directory?

13

Sono viziata e ho svolto gran parte del mio lavoro LDAP con eDirectory, che ha un'utilità chiamata DSTrace che è adorabile e, in particolare per LDAP, ti mostrerà tutti i tentativi di associazione, gli IP di origine, le ricerche passate, un riepilogo degli oggetti corrispondenti restituiti.

Durante il debug di un'applicazione LDAP, come SAP GRC, sono stato banalmente in grado di capire cosa l'applicazione stesse facendo male, semplicemente osservando cosa faceva.

So che il registro degli eventi di sicurezza conterrà alcune di queste informazioni (almeno tentativi di associazione) ma ci deve essere un modo migliore? Esiste una tale funzionalità?

Vedo una domanda Debugging di AD che è vicina, ma suggerisce solo eventi di accesso. Ho bisogno di molto di più su base giornaliera per gestire le applicazioni LDAP.

active-directory ldap trace

— geoffc
fonte

Niente di specifico incluso in Windows, a parte le utility, temo di lavorare con istanze come ldp.exe, ADSI Edit e Schema Management ma non ti daranno in tempo reale "cosa sta facendo l'app?" risultati che stai cercando. Qualcosa come Spotlight di Quest su AD Pack potrebbe contenere qualcosa di simile a quello di cui stai parlando? Anche se non gratis!

— Lewis,

Sto morendo per una buona risposta anche a questo. Ho un'analoga necessità di tracciare le connessioni LDAP per un problema che stiamo riscontrando. Sfortunatamente, la cosa migliore che sono stato in grado di inventare è una sorta di acquisizione di pacchetti Wireshark / Netmon che è davvero brutta.

— Ryan Bolger,

Interessante articolo sul blog del team del servizio di directory sulla configurazione di Network Monitor per l'analisi di LDAP: blogs.technet.com/b/askds/archive/2011/05/27/…

— Lewis,

6

Per il monitoraggio in tempo reale di LDAP, è possibile provare lo strumento Sysinternals ADInsight .

— shorinsean
fonte

1

Sean - solo per farti sapere che hai attivato il nostro "allarme antispam" poiché abbiamo molti nuovi account che si collegano immediatamente a siti esterni. Ho dato un'occhiata e ovviamente non è spam ma ho pensato che dovresti sapere per il futuro ok :)

— Chopper3

Sembra molto interessante, scaricare per testare.

— geoffc,

Grazie per le informazioni. Presumibilmente non sarà un problema in futuro da quando il mio account è stato creato.

— shorinsean,

1

sembra che lo strumento non funzioni più vedi qui serverfault.com/questions/382665/…

— Tilo

3

Il blog del team del servizio directory contiene un articolo sulla configurazione di netmon per rendere LDAP più leggibile, ma parla in modo più specifico di ADLDS. Potrebbe bastare?

http://blogs.technet.com/b/askds/archive/2011/05/27/viewing-adlds-traffic-with-netmon-where-is-my-ldap.aspx

Fondamentalmente l'acquisizione di pacchetti sembra essere il modo "libero" di farlo.

-Lewis

— Lewis
fonte

2

Hai guardato LDP (ldp.exe) o stai cercando qualcosa in più per monitorare LDAP in tempo reale?

http://support.microsoft.com/kb/224543

Se stai cercando una registrazione più in tempo reale, puoi aumentare la verbosità del registro eventi con Registrazione diagnostica AD:

http://technet.microsoft.com/en-us/library/cc961809.aspx

— Ben corto
fonte

1

Come utilizzerei ldp.exe per monitorare i binding in arrivo e le query per risolvere un'app di terze parti? Guarderò la registrazione diagnostica però.

— geoffc,

Purtroppo LDP non può essere utilizzato per il monitoraggio, ma è un modo piuttosto dettagliato di testare associazioni, query ecc. Per LDAP. È meglio alzare il livello di registro se si desidera monitorare l'app in tempo reale.

— Ben Short,