Назад |
Перейти на главную страницу
Дорогие запросы LDAP с рабочих станций
При устранении неполадок процесса высокого LSASS на контроллере домена были обнаружены дорогостоящие запросы, исходящие от нескольких рабочих станций.
Каждый запрос выглядит следующим образом:
Visited Entries: 1Million+
Returned Entries: <50 (most of the times 0)
Сравнил приложения, установленные на этих рабочих станциях; ничего, что кричит о высоких запросах ldap.
Мои вопросы:
- Как остановить эти запросы на рабочей станции?
- Как найти приложение, которое является виновником на этих рабочих станциях (доступно ли полевое проектирование в Windows 7?)
- Все это происходит на одном контроллере домена, это может быть жестко запрограммировано; как можно заблокировать эти запросы только на этом DC? Пожалуйста, дайте мне знать, если возникнут какие-либо предложения или вопросы.
- путем определения источника
- если ты бежишь tcpview / tcpvcon на рабочей станции это может помочь, так как показывает, какие процессы подключились к удаленным хостам
- вы можете заблокировать IP-соединение этой рабочей станции с tcp-портом DC LDAP с помощью правил брандмауэра, но, скорее всего, вы скроете симптомы и не решите проблему с источником. особенно, блокируя запросы ldap, ваши рабочие станции не смогут обрабатывать какие-либо законные запросы случая (пользователи не смогут выполнять поиск в Active Directory, любые службы / программы, которым необходимо искать объекты в Active Directory, потерпят неудачу и т. д.)
если вы не подозреваете, что на рабочей станции установлено какое-либо конкретное программное обеспечение, вам следует запустить автономное антивирусное сканирование на этой рабочей станции.