这一页似乎意味着 Wireshark 只能在启动后开始捕获,但看起来其他人之前遇到过这个问题却一无所获。
不一定非要使用 Wireshark,我只需要弄清楚为什么我的网络上的一些 AD 登录速度如此之慢,为此我相信我必须查看网络上实际发生的情况。
答案1
捕获登录信息可能很棘手。有几种方法可以获取此信息,但部分方法取决于问题的可复制性。如果问题很普遍,启动虚拟机并在主机上进行嗅探将获得所需的信息。如果问题仅限于某些区域或某些机器,您可能必须在网络交换机上设置一个 span-port,并从同一交换机上的另一台机器进行嗅探。我两种方法都试过了。
另一种方法是可能的,那就是运行嗅探器全部使用捕获过滤器捕获相关机器的 IP 地址。它不如使用 span-port 那样理想,但它至少可以分析机器/DC 通信。
Microsoft Netmon 是一款功能强大的工具,可用于捕获 Microsoft 登录问题,但在我看来,Wireshark 的解码套件总体上功能更强大。
答案2
专注于捕获的客户端可能会产生最大的效果,因为在域控制器端进行捕获意味着在网络中的所有 DC 上运行捕获。(如果您只有一个 DC,那么如果客户端的问题是间歇性的,那么在 DC 端进行捕获可能更好。)
在客户端启动时运行 Wireshark 在我看来并不是一个合适的工具。在客户端上运行软件可能会破坏客户端计算机的配置,并可能影响结果。我会尝试在不对客户端计算机行为造成任何影响的情况下捕获流量。
如果您具有交换机的管理访问权限,则客户端将连接以配置“监视”会话(“端口镜像”、“SPAN”端口等)并从专用监视端口上的另一台计算机捕获。
如果您没有交换机的管理权限,请考虑在客户端计算机和 LAN 之间连接一台专用的捕获计算机。您的专用捕获计算机将需要两个物理接口,您需要将它们桥接起来。然后,您可以在桥接虚拟接口或专用捕获计算机上的物理 NIC 之一上进行捕获。
在基于 Windows 或 Linux 的机器上执行此捕获非常简单。在 Windows 机器上,只需在捕获机器上放置两个 NIC,使用 Windows GUI 中的内置桥接功能将它们桥接起来,然后在桥接接口上进行捕获。Linux 上的情况类似,尽管许多发行版都没有漂亮的 GUI。
我倾向于认为您会找到一些嗅探,但您需要了解启动和登录期间发生的情况(DNS 用于定位 DC、AD 站点成员身份如何影响 DNS 和 LDAP 查询、组策略应用程序是什么样子等),以便解释结果。如果“工作”和“不工作”之间的差异不会使结果偏差太大(即在不同的 AD 站点、应用不同 GPO 的不同 OU 等),则将“工作”机器与“不工作”机器进行比较是一种有效的策略。
不要低估使用 Microsoft/SysInternals 工具“进程监视器”对有问题的客户端计算机执行非网络跟踪的可能性。它可以设置为在启动时运行,并且可以提供非常详细的日志。例如,如果您由于组策略客户端扩展延迟而遇到问题,那么 ProcMon 跟踪可能会比网络捕获提供更好的信息。
答案3
通过观察流量,您很可能找不到任何答案。虽然登录速度慢的原因有很多,但我发现大多数情况下,这是由于登录时各种网络映射不可用造成的。最常见的是不再存在的网络共享。虽然您可能能够通过嗅探器观察到这一点,但很难识别。无论如何,我祝您好运解决这个非常常见的问题。
答案4
如果客户端是 Windows XP,那么我建议启用用户环境调试日志。如果客户端是 Windows Vista 或 Windows 7,那么我建议查看组策略事件日志。