Como posso usar o Wireshark para analisar logins lentos do Active Directory?

Capturar as informações de login pode ser complicado. Há algumas maneiras de obter essas informações, mas parte depende de quão replicável é o problema. Se for muito difundido, girar uma máquina virtual e fazer o sniffing na máquina host fará com que você tenha o que precisa. Se estiver limitado a determinadas áreas ou a determinadas máquinas, você provavelmente terá que configurar uma porta span no seu switch de rede e farejar de outra máquina no mesmo switch. Eu fiz isso das duas maneiras.

Outro método é possível, e é para executar o sniffer em todos dos controladores de domínio com um filtro de captura do endereço IP da máquina em questão. Não é tão ideal quanto usar um span-port, mas pelo menos faria o perfil da comunicação de máquina / CC.

O Microsoft Netmon é uma ferramenta bastante poderosa para capturar problemas de login da Microsoft, embora na minha opinião a suíte de decodificação do Wireshark esteja melhor equipada no geral.

Concentrar-se no final do cliente da captura provavelmente produzirá a maior quantidade de frutos, já que a captura no final do controlador de domínio significará a execução de capturas em todos os DCs da rede. (Se você tiver apenas um único DC, talvez seja melhor capturar o DC final se o problema com os clientes for intermitente.)

Executar o Wireshark durante a inicialização no cliente me parece a ferramenta errada para o trabalho. Executar o software no cliente pode prejudicar a configuração do computador cliente e influenciar os resultados. Eu tentaria capturar o tráfego sem criar qualquer influência no comportamento do computador cliente.

Se você tiver acesso administrativo ao switch, o cliente está conectado para configurar uma sessão de "monitor" ("espelho de porta", porta "SPAN", etc) e capturar de outro computador na porta de monitoração dedicada.

Se você não tiver acesso administrativo ao comutador, considere conectar um computador de captura dedicado entre o computador cliente e a LAN. Seu computador de captura dedicado precisará de duas interfaces físicas, que você faria a ponte. Em seguida, você capturaria a interface virtual de ponte ou uma das NICs físicas na máquina de captura dedicada.

Fazer isso capturando em uma máquina baseada em Windows ou em Linux é bem fácil. Em uma máquina Windows, envolve apenas colocar duas NICs na máquina de captura, conectando-as com a funcionalidade de ponte integrada na GUI do Windows e capturando na interface da ponte. A situação é semelhante no Linux, embora sem a linda GUI em muitas distribuições.

Eu acho que você vai encontrar algo farejando, mas você precisa entender o que acontece durante a inicialização e o logon (o DNS está sendo usado para localizar um DC, como a associação ao site AD afeta as consultas DNS e LDAP) O aplicativo de políticas se parece com, etc) para interpretar os resultados. Comparar uma máquina "em funcionamento" com uma máquina "não funcional" é uma estratégia válida se a diferença entre "trabalhar" e "não trabalhar" não inclinar os resultados muito longe (ou seja, em diferentes locais do AD, diferentes UOs com diferentes GPOs aplicáveis, etc.).

Não descarte a possibilidade de executar rastreamentos que não sejam de rede em computadores clientes com problemas usando a ferramenta "Process Monitor" da Microsoft / SysInternals. Ele pode ser configurado para ser executado na inicialização e pode fornecer um log extremamente detalhado. Se você está tendo um problema como resultado de um atraso em uma Extensão do Cliente de Diretiva de Grupo, por exemplo, um rastreamento ProcMon provavelmente fornecerá informações melhores do que uma captura de rede.

É bem possível que você não encontre nenhuma resposta assistindo ao tráfego. Embora haja vários motivos pelos quais os logons podem ser lentos, descobri que, na maioria das vezes, isso ocorre devido a vários tipos de mapeamentos de rede indisponíveis no logon. O mais comum é um compartilhamento de rede que não existe mais. Embora você possa observar isso através de um farejador, será muito difícil reconhecê-lo. Independentemente disso, desejo-lhe sorte para resolver este problema muito comum.

link

Há uma parte dois também, se você procurar por esse blog, você o encontrará. Não é possível postar dois links aqui.

Se os clientes forem o Windows XP, recomendamos a ativação do registro de depuração do ambiente do usuário. Se os clientes forem o Windows Vista ou o Windows 7, sugiro procurar no log de eventos da Diretiva de Grupo.