有什么方法可以查询域控制器上的 LDAP 绑定吗？

Question

如果您想尽可能全面，请记住 LDAP 不是域控制器提供的唯一服务。例如，您可以拥有 100 台 Linux 服务器，这些服务器配置为使用该域控制器作为 DNS 解析器。（或 NTP 时间等）

但为了更直接地回答您的问题，您可以采用几种技术，并以不同程度的成功来查找针对该域控制器执行 LDAP 绑定的客户端。

性能NTDS\LDAP Client Sessions计数器。（它的局限性在于它不能帮助您识别WHO正在使用 LDAP，仅此而已某人是。还请记住，此计数器仍将显示一些连接，因为 DC 将维护多个 LDAP 连接，即使是到其自身的连接。）
Active Directory 诊断数据收集器集。（它也位于 perfmon 中，非常棒。）
网络监视器/Wireshark。
如果您使用 Windows 防火墙，并且您对其进行了配置，它就可以记录所有连接。
将注册表项的值更改HKLM\SYSTEM\CurrentControlSet\services\NTDS\Diagnostics -> 15 Field Engineering为 5，然后设置HKLM\SYSTEM\CurrentControlSet\services\NTDS\Parameters -> Expensive Search Results Threshold为 1。这会“欺骗” AD 认为每个 LDAP 查询都是“昂贵”的，因为值 1 表示“即使在此查询期间触及 1 个对象，也认为它很昂贵”。这些事件将记录到目录服务日志中，其中包括客户端 IP 地址。

与我的第一段一样，还要记住，仅仅因为没有人绑定到您的 LDAP 服务器，并不意味着没有人使用 LDAP！LDAP 还有一个 UDP 组件，通常称为 cLDAP...无连接 LDAP，它在 UDP 389 上运行。这不算作绑定，但是，Windows 客户端在域控制器定位器过程中仍使用它。

Answer 1

如果您想尽可能全面，请记住 LDAP 不是域控制器提供的唯一服务。例如，您可以拥有 100 台 Linux 服务器，这些服务器配置为使用该域控制器作为 DNS 解析器。（或 NTP 时间等）

但为了更直接地回答您的问题，您可以采用几种技术，并以不同程度的成功来查找针对该域控制器执行 LDAP 绑定的客户端。

性能NTDS\LDAP Client Sessions计数器。（它的局限性在于它不能帮助您识别WHO正在使用 LDAP，仅此而已某人是。还请记住，此计数器仍将显示一些连接，因为 DC 将维护多个 LDAP 连接，即使是到其自身的连接。）
Active Directory 诊断数据收集器集。（它也位于 perfmon 中，非常棒。）
网络监视器/Wireshark。
如果您使用 Windows 防火墙，并且您对其进行了配置，它就可以记录所有连接。
将注册表项的值更改HKLM\SYSTEM\CurrentControlSet\services\NTDS\Diagnostics -> 15 Field Engineering为 5，然后设置HKLM\SYSTEM\CurrentControlSet\services\NTDS\Parameters -> Expensive Search Results Threshold为 1。这会“欺骗” AD 认为每个 LDAP 查询都是“昂贵”的，因为值 1 表示“即使在此查询期间触及 1 个对象，也认为它很昂贵”。这些事件将记录到目录服务日志中，其中包括客户端 IP 地址。

与我的第一段一样，还要记住，仅仅因为没有人绑定到您的 LDAP 服务器，并不意味着没有人使用 LDAP！LDAP 还有一个 UDP 组件，通常称为 cLDAP...无连接 LDAP，它在 UDP 389 上运行。这不算作绑定，但是，Windows 客户端在域控制器定位器过程中仍使用它。

相关内容