我刚刚注意到我的 dc (W2k3 R2 Enterprise SP2) 正在向分配给 NAS 设备 (snapserver) 的 IP 地址发送 ldap 查询。snapserver 位于另一个 AD 站点中,并将 Active Directory 集成列为一项功能。我不知道它是如何配置的,因为我无法访问它。
TCP SRC:172.20.20.50:389 目标:172.22.50.100:34252 TIME_WAIT 0 TCP SRC:172.20.20.50:389 目标:172.22.50.100:35846 已建立 392 TCP SRC:172.20.20.50:389 目标:172.22.50.100:35847 已建立 392
PID 392: lsass.exe
一个例子 1858 47.661264 Src=172.20.20.50 Dest=172.22.50.100 LDAP searchResEntry(69) "CN=Harry Potter,OU=LaLaLand,OU=Space,,DC=company,DC=com"
所有查询在几个小时内产生高达 2 GB 的传出流量。我该如何进一步排除故障?
答案1
如果 IP 地址 172.20.20.50 是 DC,那么它就不是 LDAP 流量的来源,而是 LDAP 流量的目的地。我猜 NAS 已配置为 AD 集成/身份验证,并且它正在尝试与 DC 通信。
此外,您似乎误解了数据包捕获。如果您从 DC 运行数据包捕获(它看起来是这样的),捕获将始终显示 DC 作为源,远程主机作为目标,因为数据包捕获从运行它的主机的角度查看流量。这并不意味着 DC 是发起连接的主机。如果您正在运行 netstat,DC 将显示为本地地址,NAS 将显示为外部地址。