Jak śledzić / debugować połączenia LDAP z Active Directory?

13

Jestem zepsuty i wykonuję większość pracy LDAP z eDirectory, który ma narzędzie o nazwie DSTrace, które jest piękne, a dla LDAP pokaże Ci wszystkie próby wiązania, źródłowy adres IP, przeszukania przekazane, podsumowanie zwróconych dopasowanych obiektów.

Podczas debugowania aplikacji LDAP, takiej jak SAP GRC, mogłem w trywialny sposób dowiedzieć się, co aplikacja robi źle, po prostu obserwując, co zrobiła.

Wiem, że dziennik zdarzeń bezpieczeństwa będzie zawierał niektóre z tych informacji (przynajmniej próby powiązania), ale musi być lepszy sposób? Czy jest taka funkcjonalność?

Widzę pytanie, które jest blisko debugowania AD , ale sugeruje tylko zdarzenia logowania. Potrzebuję dużo więcej na co dzień do zarządzania aplikacjami LDAP.

active-directory ldap trace geoffc
źródło
Obawiam się, że nic konkretnego nie jest zawarte w systemie Windows, oprócz narzędzi do pracy z instancjami takimi jak ldp.exe, Edycja ADSI i zarządzanie schematem, ale nie będą one dawać Ci w czasie rzeczywistym informacji o tym, co robi aplikacja? wyniki, których szukasz. Coś takiego, jak Spotlight Quest w AD Pack może zawierać coś podobnego do tego, o czym mówisz? Ale nie za darmo!
Lewis
Umieram też za dobrą odpowiedź na to pytanie. Mam podobną potrzebę śledzenia połączeń LDAP pod kątem występującego problemu. Niestety najlepszą rzeczą, jaką udało mi się wymyślić, jest przechwytywanie pakietów Wireshark / Netmon, które jest naprawdę brzydkie.
Ryan Bolger,
Ciekawy artykuł na blogu zespołu usługi katalogowej na temat konfigurowania Monitora sieci do analizowania LDAP: blogs.technet.com/b/askds/archive/2011/05/27/...
Lewis

Odpowiedzi:

6

Do monitorowania LDAP w czasie rzeczywistym możesz wypróbować narzędzie Sysinternals ADInsight .

shorinsean
źródło
1
Sean - tylko po to, aby poinformować cię, że uruchomiłeś nasz „alarm antyspamowy”, ponieważ otrzymujemy wiele nowych kont natychmiast łączących się z witrynami zewnętrznymi. Spojrzałem i oczywiście nie jest to spam, ale pomyślałem, że powinieneś wiedzieć na przyszłość, ok :)
Chopper3
Wygląda to bardzo interesująco, pobieranie do przetestowania.
geoffc
Dzięki za informację. Prawdopodobnie nie będzie problemu w przyszłości, odkąd moje konto zostało utworzone.
shorinsean
1
wygląda na to, że narzędzie już nie działa zobacz tutaj serverfault.com/questions/382665/…
Tilo
2

Przeglądałeś LDP (ldp.exe), czy szukasz czegoś więcej do monitorowania LDAP w czasie rzeczywistym?

http://support.microsoft.com/kb/224543

Jeśli szukasz więcej rejestrowania w czasie rzeczywistym, możesz zwiększyć szczegółowość dziennika zdarzeń za pomocą rejestrowania diagnostycznego AD:

http://technet.microsoft.com/en-us/library/cc961809.aspx

Ben Short
źródło
1
Jak użyć ldp.exe do monitorowania przychodzących powiązań i zapytań w celu rozwiązania problemów z aplikacją innej firmy? Zajmę się jednak rejestrowaniem diagnostycznym.
geoffc
Niestety nie można użyć LDP do monitorowania, ale jest to dość szczegółowy sposób testowania powiązań, zapytań itp. Dla LDAP. Lepiej jest zwiększyć poziom dziennika, jeśli chcesz monitorować aplikację w czasie rzeczywistym.
Ben Krótki