Я только что заметил, что мой dc (W2k3 R2 Enterprise SP2) отправляет ldap-запросы на IP-адрес, назначенный устройству NAS (snapserver). Snapserver находится на другом сайте AD, и интеграция с Active Directory указана как функция. Я понятия не имею, как он настроен, поскольку у меня нет к нему доступа.
TCP SRC: 172.20.20.50:389 адрес: 172.22.50.100:34252 TIME_WAIT 0 TCP SRC: 172.20.20.50:389 пункт назначения: 172.22.50.100:35846 УСТАНОВЛЕН 392 SRC TCP: 172.20.20.50:389 пункт назначения: 172.22.50.100:35847 УСТАНОВЛЕНО 392
PID 392: lsass.exe
Пример: 1858 47.661264 Src = 172.20.20.50 Dest = 172.22.50.100 LDAP searchResEntry (69) «CN = Гарри Поттер, OU = LaLaLand, OU = Space ,, DC = company, DC = com»
Все запросы обрабатывают до 2 ГБ исходящего трафика за пару часов. Как я могу решить эту проблему дальше?
Если IP-адрес 172.20.20.50 является контроллером домена, то он не является источником трафика LDAP, а является местом назначения трафика LDAP. Я предполагаю, что NAS настроен для интеграции / аутентификации AD и пытается связаться с DC.
Кроме того, похоже, что вы неправильно интерпретируете захват пакета. Если вы запускаете захват пакетов с контроллера домена (как это выглядит), при захвате всегда будет отображаться контроллер домена как источник, а удаленный хост - как место назначения, поскольку при захвате пакетов трафик рассматривается с точки зрения хоста. работает на. Это не означает, что контроллер домена является хостом, инициировавшим соединение. Если бы вы запустили netstat, DC отобразился бы как локальный адрес, а NAS - как внешний адрес.