Active-Directory
來自工作站的昂貴 LDAP 查詢
對 DC 上的高 LSASS 程序進行故障排除發現來自幾個工作站的昂貴查詢。
每個查詢如下:
Visited Entries: 1Million+ Returned Entries: <50 (most of the times 0)
比較安裝在這些工作站上的應用程序;沒有什麼會尖叫高 ldap 查詢。
我的問題:
- 如何在工作站上停止這些查詢?
- 如何找到這些工作站上的罪魁禍首應用程序(Windows 7 上是否提供現場工程?)
- 所有這些都發生在單個 DC 上,它可能是硬編碼的;如何僅在該 DC 上阻止這些查詢?如果有任何建議或問題,請告訴我。
- 通過辨識來源
- 如果您在工作站上執行tcpview/tcpvcon,它可能會有所幫助,因為它會顯示哪些程序已連接到遠端主機
- 您可以使用防火牆規則阻止該工作站的 IP 連接到 DC LDAP tcp 埠,但很可能您會覆蓋症狀並且無法解決源問題。特別是通過阻止 ldap 查詢,您的工作站將無法解決任何合法的案例請求(使用者將無法在活動目錄中搜尋,任何需要在活動目錄中查找對象的服務/程序都將失敗,等等)
如果您不懷疑工作站上安裝了任何特定軟體,那麼您應該在該工作站上執行離線防病毒掃描