Я использовал ADInsight из Sysinternals для отслеживания вызовов Active Directory с моей рабочей станции, но приложение не удалось.
Если раньше события Active Directory отслеживались и регистрировались, теперь окно остается пустым независимо от того, находится ли приложение в режиме захвата или нет. Я запустил как Администратор, перезагрузился, скачал новую версию; ни одно из этих действий не вернуло программу в рабочее состояние.
Форумы Sysinternals не вселяют особых надежд, поскольку этот инструмент, как известно, часто дает сбой.
Есть ли инструмент с аналогичной функциональностью?
Вопросы
Не работает ли инструмент при запуске с другой рабочей станции под вашей учетной записью? да
Сбой с вашей (и / или) другой рабочей станции, использующей чужую учетную запись? да
Есть ли что-нибудь в журнале событий вашей рабочей станции? Нет
Есть известные проблемы с ADInsight, и он больше не поддерживается и не разрабатывается. У него возникают проблемы с загрузкой своей DLL в определенных средах, особенно на виртуальных машинах (см. http://forum.sysinternals.com/adinsight-doesnt-work-hangs_topic18891.html и http://forum.sysinternals.com/adinsight-operation_topic18963.html) (архивные ссылки)
Лучшее решение, которое я нашел, - это включить ведение журнала диагностики Active Directory, как описано на http://www.activedir.org/Articles/tabid/54/articleType/ArticleView/articleId/41/Default.aspx (ссылка на архив). По сути, вы хотите установить следующие значения реестра:
Path: HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics\15 Field Engineering
Type: DWORD
Value: 5
Path: HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Expensive Search Results Threshold
Type: DWORD
Value: 1
Эти изменения не требуют перезагрузки, но устанавливаются для каждого сервера, поэтому внедрение для всего леса / домена лучше всего выполнять с помощью настроек групповой политики. После настройки вы найдете результирующие журналы в журнале событий службы каталогов на контроллере домена. Они не совсем удобны для синтаксического анализа, но могут быть обработаны с помощью некоторого регулярного выражения. Самое приятное, что он не требует внешних утилит / кода.
Было бы упущением, если бы я не упомянул, что такой уровень ведения журнала может привести к снижению производительности на рабочем контроллере домена. В моей тестовой среде, когда только два контроллера домена почти ничего не делают, я вижу ~ 10-20 событий в минуту только при этой настройке.
Я знаю, что это старый вопрос, но я только что узнал, что начиная с Windows Vista / 2008 клиент Windows LDAP поддерживает ETW.
Ссылка на флаги трассировки: Вот.
В этом году ADInsight был обновлен для решения этих проблем.