Wie können Sie LDAP-Verbindungen mit Active Directory nachverfolgen / debuggen?

13

Ich bin verwöhnt und habe den größten Teil meiner LDAP-Arbeit mit eDirectory erledigt, das ein Hilfsprogramm namens DSTrace enthält. Insbesondere für LDAP werden Ihnen alle Bindeversuche, die Quell-IPs, die übergebenen Suchen und eine Zusammenfassung angezeigt der zurückgegebenen übereinstimmenden Objekte.

Beim Debuggen einer LDAP-Anwendung wie SAP GRC konnte ich trivial herausfinden, was die Anwendung falsch gemacht hat, indem ich nur beobachtete, was sie tat.

Ich weiß, dass das Sicherheitsereignisprotokoll einige dieser Informationen enthält (mindestens Bindeversuche), aber muss es einen besseren Weg geben? Gibt es eine solche Funktionalität?

Ich sehe eine Frage zum Debuggen von AD , die in der Nähe ist, aber nur Anmeldeereignisse vorschlägt. Ich brauche jeden Tag viel mehr, um LDAP-Anwendungen zu verwalten.

active-directory ldap trace

— geoffc
quelle

In Windows ist nichts Besonderes enthalten. Abgesehen von Dienstprogrammen, die mit Instanzen wie "ldp.exe", "ADSI Edit" und "Schema Management" arbeiten, können Sie jedoch nicht in Echtzeit feststellen, was die App tut. Ergebnisse, die Sie suchen. So etwas wie Quest Spotlight on AD Pack könnte etwas enthalten, das mit dem, wovon Sie sprechen, vergleichbar ist? Wenn auch nicht kostenlos!

— Lewis

Auch darauf wünsche ich mir eine gute Antwort. Ich habe eine ähnliche Notwendigkeit, LDAP-Verbindungen für ein Problem zu verfolgen, das wir haben. Leider ist das Beste, was ich mir einfallen lassen konnte, eine Art Wireshark / Netmon-Paketerfassung, die wirklich hässlich ist.

— Ryan Bolger

Interessanter Artikel im Directory Service Team-Blog zum Konfigurieren von Network Monitor für das Parsen von LDAP: blogs.technet.com/b/askds/archive/2011/05/27/…

— Lewis,

6

Zur Echtzeitüberwachung von LDAP können Sie das Sysinternals ADInsight-Tool verwenden .

— shorinsean
quelle

1

Sean - nur um Ihnen mitzuteilen, dass Sie unseren Spam-Alarm ausgelöst haben, da wir viele neue Konten erhalten, die sofort auf externe Websites verlinken. Ich habe einen Blick darauf

— geworfen

Das sieht sehr interessant aus und wird zum Testen heruntergeladen.

— Geoffc

Danke für die Information. Vermutlich wird es in Zukunft kein Problem mehr geben, da mein Konto erstellt wurde.

— Shorinsean

1

scheint, dass das Tool nicht mehr funktioniert, siehe hier serverfault.com/questions/382665/…

— Tilo

3

Der Blog des Directory Service-Teams enthält einen Artikel zum Konfigurieren von Netmon, um LDAP besser lesbar zu machen. Er befasst sich jedoch genauer mit ADLDS. Es kann ausreichen?

http://blogs.technet.com/b/askds/archive/2011/05/27/viewing-adlds-traffic-with-netmon-where-is-my-ldap.aspx

Grundsätzlich scheint die Paketerfassung die "freie" Art zu sein, dies zu tun.

-Lewis

— Lewis
quelle

2

Haben Sie sich LDP (ldp.exe) angesehen, oder suchen Sie mehr, um LDAP in Echtzeit zu überwachen?

http://support.microsoft.com/kb/224543

Wenn Sie mehr Echtzeitprotokollierung wünschen, können Sie die Ausführlichkeit des Ereignisprotokolls mit der AD-Diagnoseprotokollierung steigern:

http://technet.microsoft.com/en-us/library/cc961809.aspx

— Ben Short
quelle

1

Wie würde ich ldp.exe verwenden, um eingehende Bindungen und Abfragen zu überwachen und Probleme mit einer Drittanbieter-App zu beheben? Ich werde mir die Diagnoseprotokollierung ansehen.

— Geoffc

LDP kann leider nicht für die Überwachung verwendet werden, ist jedoch eine ziemlich ausführliche Methode zum Testen von Binds, Abfragen usw. für LDAP. Sie sollten die Protokollstufe besser erhöhen, wenn Sie die App in Echtzeit überwachen möchten.

— Ben Short