來自工作站的昂貴 LDAP 查詢

對 DC 上的高 LSASS 程序進行故障排除發現來自幾個工作站的昂貴查詢。

每個查詢如下：

Visited Entries: 1Million+
Returned Entries: <50 (most of the times 0)

比較安裝在這些工作站上的應用程序；沒有什麼會尖叫高 ldap 查詢。

我的問題：

1. 如何在工作站上停止這些查詢？
2. 如何找到這些工作站上的罪魁禍首應用程序（Windows 7 上是否提供現場工程？）
3. 所有這些都發生在單個 DC 上，它可能是硬編碼的；如何僅在該 DC 上阻止這些查詢？如果有任何建議或問題，請告訴我。

1. 通過辨識來源
2. 如果您在工作站上執行tcpview/tcpvcon，它可能會有所幫助，因為它會顯示哪些程序已連接到遠端主機
3. 您可以使用防火牆規則阻止該工作站的 IP 連接到 DC LDAP tcp 埠，但很可能您會覆蓋症狀並且無法解決源問題。特別是通過阻止 ldap 查詢，您的工作站將無法解決任何合法的案例請求（使用者將無法在活動目錄中搜尋，任何需要在活動目錄中查找對象的服務/程序都將失敗，等等）

如果您不懷疑工作站上安裝了任何特定軟體，那麼您應該在該工作站上執行離線防病毒掃描

引用自：https://serverfault.com/questions/609552