Como você rastreia / depura conexões LDAP no Active Directory?

13

Sou mimado e tenho feito a maior parte do meu trabalho LDAP com o eDirectory, que possui um utilitário chamado DSTrace, que é adorável e, especificamente para o LDAP, mostrará todas as tentativas de ligação, os IPs de origem, as pesquisas transmitidas, um resumo dos objetos correspondentes retornados.

Ao depurar um aplicativo LDAP, como o SAP GRC, fui capaz de descobrir o que o aplicativo estava fazendo de errado, apenas observando o que ele fazia.

Eu sei que o log de eventos de segurança terá algumas dessas informações (pelo menos tentativas de ligação), mas tem que haver uma maneira melhor? Existe alguma funcionalidade?

Vejo uma pergunta Depurando o AD que está próximo, mas sugere apenas eventos de login. Preciso de muito mais diariamente para gerenciar aplicativos LDAP.

active-directory ldap trace

— geoffc
fonte

Nada específico incluído no Windows, receio, além de utilitários, trabalhar com instâncias como ldp.exe, ADSI Edit e Schema Management, mas eles não fornecerão em tempo real "o que o aplicativo está fazendo?" resultados que você procura. Algo como o Spotlight da Quest no AD Pack pode conter algo semelhante ao que você está falando? Embora não seja grátis!

— Lewis

Estou morrendo de vontade de ter uma boa resposta para isso também. Tenho uma necessidade semelhante de rastrear conexões LDAP para um problema que estamos tendo. Infelizmente, a melhor coisa que consegui sugerir é algum tipo de captura de pacote Wireshark / Netmon, que é realmente feia.

— precisa

Interessante artigo sobre a equipe de serviço de diretório blog sobre a configuração do Monitor de rede para analisar LDAP: blogs.technet.com/b/askds/archive/2011/05/27/...

— Lewis

6

Para o monitoramento em tempo real do LDAP, você pode tentar a ferramenta Sysinternals ADInsight .

— litoral
fonte

1

Sean - apenas para informar que você acionou nosso 'alarme de spam', pois recebemos muitas novas contas com links imediatamente para sites externos. Dei uma olhada e não é, obviamente, spam, mas pensei que você deve saber para o futuro ok :)

— Chopper3

Isso parece muito interessante, baixando para testar.

— #

Obrigado pela informação. Presumivelmente, não será um problema no futuro desde que minha conta foi criada.

— shorinsean 15/06

1

parece que a ferramenta não funciona mais, veja aqui serverfault.com/questions/382665/…

— Tilo 4/15

3

O blog da equipe do Serviço de Diretório possui um artigo sobre a configuração do netmon para tornar o LDAP mais legível, mas fala mais especificamente sobre o ADLDS. Pode ser suficiente?

http://blogs.technet.com/b/askds/archive/2011/05/27/viewing-adlds-traffic-with-netmon-where-is-my-ldap.aspx

Basicamente, a captura de pacotes parece ser a maneira "gratuita" de fazer isso.

-Lewis

— Lewis
fonte

2

Você já viu o LDP (ldp.exe) ou está procurando algo mais para monitorar o LDAP em tempo real?

http://support.microsoft.com/kb/224543

Se você estiver procurando mais logs em tempo real, poderá aumentar a verbosidade do log de eventos com o AD Diagnostic Logging:

http://technet.microsoft.com/en-us/library/cc961809.aspx

— Ben Short
fonte

1

Como eu usaria o ldp.exe para monitorar ligações e consultas de entrada para solucionar problemas de aplicativos de terceiros? Vou examinar o log de diagnóstico.

— geoffc

Infelizmente, o LDP não pode ser usado para monitorar, mas é uma maneira bastante detalhada de testar ligações, consultas etc. para LDAP. É melhor aumentar o nível de log se quiser monitorar o aplicativo em tempo real.

— Ben Curto