Назад | Перейти на главную страницу

Дорогие запросы LDAP с рабочих станций

При устранении неполадок процесса высокого LSASS на контроллере домена были обнаружены дорогостоящие запросы, исходящие от нескольких рабочих станций.

Каждый запрос выглядит следующим образом:

Visited Entries: 1Million+
Returned Entries: <50 (most of the times 0)

Сравнил приложения, установленные на этих рабочих станциях; ничего, что кричит о высоких запросах ldap.

Мои вопросы:

  1. Как остановить эти запросы на рабочей станции?
  2. Как найти приложение, которое является виновником на этих рабочих станциях (доступно ли полевое проектирование в Windows 7?)
  3. Все это происходит на одном контроллере домена, это может быть жестко запрограммировано; как можно заблокировать эти запросы только на этом DC? Пожалуйста, дайте мне знать, если возникнут какие-либо предложения или вопросы.
  1. путем определения источника
  2. если ты бежишь tcpview / tcpvcon на рабочей станции это может помочь, так как показывает, какие процессы подключились к удаленным хостам
  3. вы можете заблокировать IP-соединение этой рабочей станции с tcp-портом DC LDAP с помощью правил брандмауэра, но, скорее всего, вы скроете симптомы и не решите проблему с источником. особенно, блокируя запросы ldap, ваши рабочие станции не смогут обрабатывать какие-либо законные запросы случая (пользователи не смогут выполнять поиск в Active Directory, любые службы / программы, которым необходимо искать объекты в Active Directory, потерпят неудачу и т. д.)

если вы не подозреваете, что на рабочей станции установлено какое-либо конкретное программное обеспечение, вам следует запустить автономное антивирусное сканирование на этой рабочей станции.