Capturando o tráfego LDAPS com o tcpdump

Eu tenho um servidor de aplicativos que é autenticado no Active Directory usando LDAPS. Estou me conectando ao servidor AD pela porta 636.

Estou tentando solucionar / depurar alguns problemas de desempenho e estou começando a suspeitar que o atraso seja proveniente do próprio AD ou da conexão entre o servidor de aplicativos e o AD. Eu gostaria de executar um tcpdump (meu primeiro!) Para capturar o tráfego durante um período de desempenho ruim de autenticação (os usuários estão fazendo login e apenas aguardam em frente a um navegador em movimento). Até agora, de este tutorial meu comando está parecendo:

tcpdump port <???> -v -i eth0 -w ~/capture.log

No entanto, como esse é meu primeiro tcpdump , sou informado sobre algumas coisas em torno dos portos. Eu sei que o meu servidor de aplicativos se conecta ao AD na porta # 636 do AD, mas não tenho idéia de qual porta (na VM do servidor de aplicativos) estamos iniciando essa conexão. Também não sei que tipo de portas de entrada / saída o LDAPS usa para seu protocolo, e o Google não ofereceu muita ajuda nesse departamento. Por exemplo, eu sei que o FTP sempre usa 2 conexões TCP (comando + dados); Eu estou querendo saber se o LDAPS faz algo semelhante?

Eu acho que tudo isso para perguntar: se eu estou fazendo o tcpdump na VM do servidor de aplicativos, em qual porta eu deveria estar capturando o tráfego? E, se LDAPS usa várias portas para seu protocolo, posso executar tcpdump em várias portas ao mesmo tempo ( em caso afirmativo, )?

E, se ajudar, o servidor de aplicativos usa a biblioteca Java ldaptive para iniciar o aplicativo LDAPS. autenticação baseada no AD.