Как вы отслеживаете / отлаживаете соединения LDAP с Active Directory?

13

Я испорчен, и большую часть своей работы по LDAP выполняю с eDirectory, в котором есть полезная утилита DSTrace, и, в частности, для LDAP, она покажет вам все попытки связывания, исходные IP-адреса, переданные поиски, сводку из найденных совпадающих объектов.

При отладке приложения LDAP, такого как SAP GRC, я тривиально смог выяснить, что приложение делало неправильно, просто наблюдая за тем, что оно делало.

Я знаю, что в журнале событий безопасности будет некоторая часть этой информации (по крайней мере, попытки связывания), но должен быть лучший способ? Есть ли такая функциональность?

Я вижу вопрос Отладка AD, который близок, но предлагает только события входа в систему. Мне нужно гораздо больше изо дня в день для управления приложениями LDAP.

active-directory ldap trace

— geoffc
источник

Я боюсь, что в Windows нет ничего конкретного, кроме утилит для работы с экземплярами, такими как ldp.exe, редактирование ADSI и управление схемами, но они не собираются сообщать вам в реальном времени «что делает приложение?» результаты, которые вы после. Что-то вроде Quest's Spotlight на AD Pack может содержать что-то похожее на то, о чем вы говорите? Хотя и не бесплатно!

— Льюис

Я тоже хочу получить хороший ответ на этот вопрос. У меня есть аналогичная необходимость отслеживать соединения LDAP для проблемы, которую мы имеем. К сожалению, лучшее, что я смог придумать, это какой-то захват пакетов Wireshark / Netmon, который действительно ужасен.

— Райан Болджер

Интересная статья в блоге команды службы каталогов о настройке сетевого монитора для анализа LDAP: blogs.technet.com/b/askds/archive/2011/05/27/…

— Льюис,

6

Для мониторинга в реальном времени LDAP, вы можете попробовать инструмент Sysinternals ADInsight .

— shorinsean
источник

1

Шон - просто чтобы вы знали, что вы включили нашу «тревогу о спаме», поскольку мы получаем множество новых учетных записей, которые сразу же ссылаются на внешние сайты. Я посмотрел, и это, очевидно, не спам, но подумал, что вы должны знать в будущем хорошо :)

— Chopper3

Это выглядит очень интересно, загрузка для тестирования.

— Geoffc

Спасибо за информацию. Предположительно, это не будет проблемой в будущем, так как мой аккаунт был создан.

— шоринский

1

кажется, что инструмент больше не работает, смотрите здесь serverfault.com/questions/382665/…

— Tilo

3

В блоге команды службы каталогов есть статья о настройке netmon, чтобы сделать LDAP более читабельной, но в нем более конкретно говорится о ADLDS. Может хватить?

http://blogs.technet.com/b/askds/archive/2011/05/27/viewing-adlds-traffic-with-netmon-where-is-my-ldap.aspx

По сути, захват пакетов кажется «бесплатным» способом сделать это.

-Льюис

— Льюис
источник

2

Вы смотрели на LDP (ldp.exe) или ищете что-то еще для мониторинга LDAP в реальном времени?

http://support.microsoft.com/kb/224543

Если вам нужна дополнительная регистрация в реальном времени, вы можете развернуть подробности журнала событий с помощью AD Diagnostic Logging:

http://technet.microsoft.com/en-us/library/cc961809.aspx

— Бен Шорт
источник

1

Как бы я использовал ldp.exe для мониторинга входящих привязок и запросов, для устранения неполадок стороннего приложения? Я посмотрю на диагностические журналы, хотя.

— Geoffc

К сожалению, LDP нельзя использовать для мониторинга, но это довольно подробный способ тестирования привязок, запросов и т. Д. Для LDAP. Вам лучше поднять уровень журнала, если вы хотите контролировать приложение в режиме реального времени.

— Бен Шорт