对 DC 上的高 LSASS 进程进行故障排除时发现来自少数工作站的昂贵查询。
每个查询如下:
Visited Entries: 1Million+
Returned Entries: <50 (most of the times 0)
比较安装在这些工作站上的应用程序;没有什么能引起高 ldap 查询。
我的问题:
- 如何在工作站上停止这些查询?
- 如何找到这些工作站上的罪魁祸首应用程序(Windows 7 上可以使用现场工程吗?)
- 所有这些都发生在单个 DC 上,可能是硬编码的;如何才能仅在该 DC 上阻止这些查询?如果您有任何建议或问题,请告诉我。
答案1
- 通过识别来源
- 如果你跑tcpview/tcpvcon在工作站上它可以提供帮助,因为它显示哪些进程已连接到远程主机
- 您可以使用防火墙规则阻止该工作站与 DC LDAP tcp 端口的 IP 连接,但很可能只会掩盖症状而无法解决源问题。尤其是通过阻止 ldap 查询,您的工作站将无法解析任何合法的案例请求(用户将无法在活动目录中进行搜索,任何需要在活动目录中查找对象的服务/程序都将失败,等等)
如果你不怀疑工作站上安装了任何特定软件,那么你应该在该工作站上运行离线防病毒扫描