我正在计划重建 DC,在降级旧 DC 之前,我会尽量做到尽可能彻底。有没有办法通过源 IP 或主机名查看到 DC 的所有 LDAP 连接?
答案1
如果您想尽可能全面,请记住 LDAP 不是域控制器提供的唯一服务。例如,您可以拥有 100 台 Linux 服务器,这些服务器配置为使用该域控制器作为 DNS 解析器。(或 NTP 时间等)
但为了更直接地回答您的问题,您可以采用几种技术,并以不同程度的成功来查找针对该域控制器执行 LDAP 绑定的客户端。
- 性能
NTDS\LDAP Client Sessions
计数器。(它的局限性在于它不能帮助您识别WHO正在使用 LDAP,仅此而已某人是。还请记住,此计数器仍将显示一些连接,因为 DC 将维护多个 LDAP 连接,即使是到其自身的连接。) - Active Directory 诊断数据收集器集。(它也位于 perfmon 中,非常棒。)
- 网络监视器/Wireshark。
- 如果您使用 Windows 防火墙,并且您对其进行了配置,它就可以记录所有连接。
- 将注册表项的值更改
HKLM\SYSTEM\CurrentControlSet\services\NTDS\Diagnostics -> 15 Field Engineering
为 5,然后设置HKLM\SYSTEM\CurrentControlSet\services\NTDS\Parameters -> Expensive Search Results Threshold
为 1。这会“欺骗” AD 认为每个 LDAP 查询都是“昂贵”的,因为值 1 表示“即使在此查询期间触及 1 个对象,也认为它很昂贵”。这些事件将记录到目录服务日志中,其中包括客户端 IP 地址。
与我的第一段一样,还要记住,仅仅因为没有人绑定到您的 LDAP 服务器,并不意味着没有人使用 LDAP!LDAP 还有一个 UDP 组件,通常称为 cLDAP...无连接 LDAP,它在 UDP 389 上运行。这不算作绑定,但是,Windows 客户端在域控制器定位器过程中仍使用它。