Windows Vista/2008年中的 LDAP 的事件跟踪

文章翻译 文章翻译
文章编号: 2221529 - 查看本文应用于的产品
展开全部 | 关闭全部

症状

Windows Vista 和 LDAP 客户端的更新支持 ETW 跟踪。这允许 LDAP 应用程序通信量分析加密网络通信量的应用程序时使用 SSL,TLS orSASL 加密基于 NTLM 和 Kerberos 会话密钥。

ADInsight 不起作用 (哪些钩子 wldap32.dll 捕获客户端 LDAP 调用) 时,这是非常有用的。此工具仅适用于 x86 平台并不不再保留。

解决方案

若要启用 LDAP 客户端跟踪,请执行以下步骤:

1.创建以下注册表项:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ldap\Tracing\<ProcessName>
"ProcessName"是要跟踪,包括其扩展名,例如"ldp.exe"过程的完整名称。在此项中,可以将可选值的类型均为 DWORD,名为"PID"。如果此可选的值设置为一个进程 ID,将跟踪仅带有此进程 ID 的应用程序的实例。

2.要启动跟踪会话,请执行以下命令:
logman 创建跟踪"ds_ds"-ow-o c:\ds_ds.etl-p"Microsoft Windows 的 LDAP-端"0x1a59afa3 0xff 的 nb 16 16 学士-1024-模式循环 f bincirc-最多可有 4096 ets

请参阅下面的"traceFlags"引用。

3.现在重现您要调查的行为。

4.要停止跟踪会话,请执行以下命令:
logman 停止"ds_ds"ets

若要查看跟踪,您有几个选项:

1.在网络监视器 3.4 或更高版本,请打开 ETL 文件。在"框架"中的有效载荷数据会显示日志行。使用简单的文本搜索专家您可以搜索以查找 LDAP 交易记录引用的键的对象的对象名称。

2.您还可以使用 theXPREF 查看器"XPERFVIEW"以显示这些日志条目。ETL 加载时,选择的时间间隔以涵盖所示的平方和的所有事件。用鼠标右键单击所选内容,然后选择"摘要表"。在新窗口中,展开任务名称"0"。LDAP 客户端活动将已经类似日志行。查看器不允许搜索或筛选的事件。

您可以选择日志行并将它们复制到剪贴板,并从到文本编辑器来搜索和筛选的日志行。

3.另一种方法来创建基于文本的日志是解码为 TXT 的 ETL 文件:
netsh 跟踪转换输出 input=c:\ds_ds.etl = LDAP_CLIENT formatted.txt

对于多个输出选项,请参阅 'NETSH 跟踪转换帮助。

"Traceflags"可以是以下值之一或组合的位
Windows Vista/Server 2008:
DEBUG_TRACE1 0X00000001
DEBUG_TRACE2 0X00000002

Windows 7/Server 2008 R2,很可能较新的操作系统:
DEBUG_SEARCH0x00000001 详细跟踪的请求读取样式
DEBUG_WRITE 0x00000002 详细跟踪的请求写样式

其他标志都是相同的两个操作系统版本:
DEBUG_REFCNT 0X00000004
DEBUG_HEAP 0X00000008
DEBUG_CACHE 0X00000010
DEBUG_SSL 0X00000020
DEBUG_SPEWSEARCH 0X00000040
DEBUG_SERVERDOWN 0X00000080
DEBUG_CONNECT 0X00000100
DEBUG_RECONNECT 0X00000200
DEBUG_RECEIVEDATA 0X00000400
DEBUG_BYTES_SENT 0X00000800
DEBUG_EOM 0X00001000
DEBUG_BER 0X00002000
DEBUG_OUTMEMORY 0X00004000
DEBUG_CONTROLS 0X00008000
DEBUG_BYTES_RECEIVED 0X00010000
DEBUG_CLDAP 0X00020000
DEBUG_FILTER 0X00040000
DEBUG_BIND 0X00080000
DEBUG_NETWORK_ERRORS 0X00100000
DEBUG_SCRATCH 0X00200000
DEBUG_PARSE 0X00400000
DEBUG_REFERRALS 0X00800000
DEBUG_REQUEST 0X01000000
DEBUG_CONNECTION 0X02000000
DEBUG_INIT_TERM 0X04000000
DEBUG_API_ERRORS 0X08000000
DEBUG_ERRORS 0X10000000

在找不到 descriptionof 标志含义: </ProcessName>http://msdn.microsoft.com/en-us/library/windows/desktop/aa366152 (v=vs.85).aspx

标志组合的建议:

  • 应获得所需时间: 0x1A59AFA3 的大多数信息的日志设置。
  • 获取连接的信息建立问题: 0x18180380
  • 会话详细信息: 0x1bddbf73。


更多信息

下载 Windows 平台 SDK,其中包括 Windows 性能 Toolkit (XPERF) 的位置:
http://msdn.microsoft.com/en-us/windowsserver/bb980924.aspx
7.1 版本的 SDK,您可以安装来自该工具包: c:\Program Files\Microsoft SDKs\Windows\v7.1\Redist\Windows 性能 Toolkit\wpt_<platform>.msi</platform>

网络监视器 3.4 下载位置是: http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=4865

下载广告见解 (x 86 工具) 的位置: http://technet.microsoft.com/en-us/sysinternals/bb897539

属性

文章编号: 2221529 - 最后修改: 2013年10月17日 - 修订: 4.0
这篇文章中的信息适用于:
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Ultimate
  • Windows 7 Professional
  • Windows 7 Enterprise
  • Windows 7 Ultimate
  • Windows Server 2008 Standard
  • Windows Server 2008 Enterprise
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
关键字:?
kbmt KB2221529 KbMtzh
机器翻译
重要说明:本文是由 Microsoft 机器翻译软件进行的翻译并可能由 Microsoft 社区通过社区翻译机构(CTF)技术进行后期编辑,或可能是由人工进行的翻译。Microsoft 同时向您提供机器翻译、人工翻译及社区后期编辑的文章,以便对我们知识库中的所有文章以多种语言提供访问。翻译的文章可能存在词汇、句法和/或语法方面的错误。Microsoft 对由于内容的误译或客户对内容的使用所导致的任何不准确、错误或损失不承担责任。
点击这里察看该文章的英文版: 2221529
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com