背景: 在工作中遇到一个问题,我经常被锁定在计算机之外。我们处于一个有域控制器的环境中,我们使用 Active Directory 进行身份验证。
通过与桌面支持人员通话时执行我的常规工作流程,我们能够跟踪导致应用程序锁定的错误密码尝试:“Eclipse”。这是我用于进行软件开发的应用程序。我立即想到这是我们 SVN 服务器的缓存密码,这是罪魁祸首,但是桌面支持人员无法告诉我密码尝试针对的是哪个资源(例如哪个 URL)。
问题: 有没有什么方法可以监视我的桌面上的应用程序发出的错误身份验证请求,并找出它们试图攻击的资源?
答案1
为了解决这个问题,正如其他人所建议的那样,我会查看 Eclipse - 也许有一个错误日志可以准确显示它正在尝试执行的操作。
但要回答有关跟踪 Active Directory 调用的问题:
这是一篇很有前途的文章,展示了如何使用PerfMon来监控 ActiveDirectory。
它将产生如下统计数据:
DsDirSearch, Start, 0x000003F4, 126982224636242128, 61350, 440530, "DS", 3, 3,
1141178432, 2694848000, "192.168.5.26", "deep", "OU=Sales,DC=rallencorp,DC=com", "0,
0
DsDirSearch, End, 0x000003F4, 126982224636342271, 61350, 440540, "DS", 3, 5,
1157955648, 2694848000, "0", "
(&(objectCategory=CN=Person,CN=Schema,CN=Configuration,DC=rallencorp,DC=com)
(objectClass=user)) 0, 0
例如,这意味着 IP 地址为 192.168.5.26 的主机上的用户对OUuser中的对象执行了 LDAP 查询Sales。