Consultas LDAP caras de estações de trabalho

3

A solução de problemas do alto processo do LSASS em um DC encontrou consultas caras originadas de algumas estações de trabalho.

Cada consulta é a seguinte:

Visited Entries: 1Million+
Returned Entries: <50 (most of the times 0)

Aplicativos comparados instalados nessas estações de trabalho; nada que grita consultas altas de ldap.

Minhas perguntas:

  1. Como parar essas consultas na estação de trabalho?
  2. Como encontrar o aplicativo que é o culpado nessas estações de trabalho (a engenharia de campo está disponível no Windows 7?)
  3. Tudo isso está ocorrendo em um único DC, pode ser codificado; como essas consultas podem ser bloqueadas apenas nesse DC? Por favor, deixe-me saber se alguma sugestão ou dúvida.
por Darktux 02.07.2014 / 15:18

1 resposta

0
  1. identificando a fonte
  2. se você executar tcpview / tcpvcon na estação de trabalho, ele poderá ajudar, já que mostra quais processos estão conectados para hosts remotos
  3. você pode bloquear a conexão IP da estação de trabalho com a porta TCP LDAP usando as regras de firewall, mas provavelmente cobrirá os sintomas e não resolverá o problema de origem. especialmente bloqueando as consultas do ldap, suas estações de trabalho não poderão resolver nenhuma solicitação de caso legítima (os usuários não poderão pesquisar no diretório ativo, quaisquer serviços / programas que precisem pesquisar objetos no diretório ativo falharão, etc)

se você não suspeitar de nenhum software específico instalado na estação de trabalho, execute uma varredura antivírus offline nessa estação de trabalho

    
por 08.09.2014 / 23:02