Active-Directory

來自工作站的昂貴 LDAP 查詢

  • September 8, 2014

對 DC 上的高 LSASS 程序進行故障排除發現來自幾個工作站的昂貴查詢。

每個查詢如下:

Visited Entries: 1Million+
Returned Entries: <50 (most of the times 0)

比較安裝在這些工作站上的應用程序;沒有什麼會尖叫高 ldap 查詢。

我的問題:

  1. 如何在工作站上停止這些查詢?
  2. 如何找到這些工作站上的罪魁禍首應用程序(Windows 7 上是否提供現場工程?)
  3. 所有這些都發生在單個 DC 上,它可能是硬編碼的;如何僅在該 DC 上阻止這些查詢?如果有任何建議或問題,請告訴我。
  1. 通過辨識來源
  2. 如果您在工作站上執行tcpview/tcpvcon,它可能會有所幫助,因為它會顯示哪些程序已連接到遠端主機
  3. 您可以使用防火牆規則阻止該工作站的 IP 連接到 DC LDAP tcp 埠,但很可能您會覆蓋症狀並且無法解決源問題。特別是通過阻止 ldap 查詢,您的工作站將無法解決任何合法的案例請求(使用者將無法在活動目錄中搜尋,任何需要在活動目錄中查找對象的服務/程序都將失敗,等等)

如果您不懷疑工作站上安裝了任何特定軟體,那麼您應該在該工作站上執行離線防病毒掃描

引用自:https://serverfault.com/questions/609552