Event Tracing for Windows Vista/2008 LDAP

Problembeschreibung

Windows Vista und neueren Unterstützung ETW für LDAP-Client. Dadurch Analyse des LDAP-Datenverkehrs bei der Netzwerkverkehr durch die Anwendung mit SSL oder TLS SASL Verschlüsselung basierend auf NTLM und Kerberos-Sitzungsschlüssel verschlüsselt ist.

Dies ist besonders nützlich, wenn ADInsight (Client Side LDAP-Aufrufe erfassen die Hooks wldap32.dll) funktioniert nicht. Dieses Tool funktioniert nur bei den X86 Plattform und wird nicht mehr unterstützt.

Problemlösung

Gehen Sie folgendermaßen vor, um LDAP-Client-Verfolgung zu aktivieren:

1. erstellen Sie 1. den folgenden Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ldap\Tracing\<ProcessName>
"ProcessName" ist der vollständige Name der Prozess zu verfolgen, einschließlich seiner Erweiterung, z. B. "ldp.exe". In diesem Schlüssel können Sie einen optionalen Wert vom Typ DWORD mit dem Namen "PID" setzen. Wenn dieser optionale Wert einer Prozess-ID festgelegt ist, wird die Instanz der Anwendung mit diesem Prozess-ID verfolgt werden.

2. um eine Tracingsitzung starten, führen Sie den folgenden Befehl ein:
Logman erstellen Trace "Ds_ds"-IE -o c:\ds_ds.etl -p "Microsoft-Windows-LDAP-Client" 0x1a59afa3 0xff -nb 16 16 -bs 1024 - Modus kreisförmigen -f Bincirc-max 4096 - Ets

Finden Sie im "TraceFlags" unten.

Reproduzieren Sie 3. Verhalten zu untersuchen.

4. um eine Protokollierung beenden führen Sie den folgenden Befehl aus:
Logman Stop "Ds_ds" - ets

Zum Anzeigen des Trace haben Sie mehrere Optionen:

1. Öffnen Sie 1. die ETL-Datei in Network Monitor 3.4 oder neuer. Die Protokollzeilen wird als Nutzlastdaten "Frames" angezeigt. Mit der einfachen Text suchen Experte können Sie Objektnamen LDAP-Transaktion verweisen auf wichtige Objekte zu suchen.

2. auch können XPREF Viewer "XPERFVIEW" diese Einträge anzeigen. Wenn ETL geladen wird, wählen Sie das Zeitintervall auf alle Ereignisse als Quadrate angezeigt. Maustaste die Auswahl und wählen Sie "Zusammenfassung Table". Erweitern Sie im Fenster neue Vorgangsname "0". Die LDAP-Clientaktivität wird Journalzeilen bereits aussehen. Der Viewer erlaubt nicht suchen oder Filtern der Ereignisse.

Protokoll Zeilen markieren und kopieren Sie sie in die Zwischenablage und in einen Texteditor, suchen und Filtern die Protokollzeilen.

3. optional textbasierte Protokolle erstellen ist decodieren die ETL-Datei als TXT:
Netsh Trace konvertieren input=c:\ds_ds.etl Ausgabe = LDAP_CLIENT formatted.txt

Anzeigen Sie "NETSH Trace konvertieren" Hilfe für Optionen Ausgabedatei

"Traceflags" möglicherweise einer der folgenden Werte oder eine Kombination von bits
Windows Vista-Server 2008:
DEBUG_TRACE1 0x00000001 
DEBUG_TRACE2 0x00000002

Windows 7/Server 2008 R2 und wahrscheinlich neuere Betriebssysteme:
DEBUG_SEARCH 0 x 00000001 - detaillierte lesen Stil Anfragen verfolgen
DEBUG_WRITE 0 x 00000002 – detaillierte Stil schreiben Anfragen verfolgen

Die Flags sind für beide Betriebssystemversionen:
DEBUG_REFCNT 0x00000004
DEBUG_HEAP 0x00000008
DEBUG_CACHE 0x00000010
DEBUG_SSL 0x00000020
DEBUG_SPEWSEARCH 0x00000040
DEBUG_SERVERDOWN 0x00000080
DEBUG_CONNECT 0x00000100
DEBUG_RECONNECT 0x00000200
DEBUG_RECEIVEDATA 0x00000400
DEBUG_BYTES_SENT 0x00000800
DEBUG_EOM 0x00001000
DEBUG_BER 0x00002000
DEBUG_OUTMEMORY 0x00004000
DEBUG_CONTROLS 0x00008000
DEBUG_BYTES_RECEIVED 0x00010000
DEBUG_CLDAP 0x00020000
DEBUG_FILTER 0x00040000
DEBUG_BIND 0x00080000
DEBUG_NETWORK_ERRORS 0x00100000
DEBUG_SCRATCH 0x00200000
DEBUG_PARSE 0x00400000
DEBUG_REFERRALS 0x00800000
DEBUG_REQUEST 0x01000000
DEBUG_CONNECTION 0x02000000
DEBUG_INIT_TERM 0x04000000
DEBUG_API_ERRORS 0x08000000
DEBUG_ERRORS 0x10000000

Eine Beschreibung der Bedeutung der Flags finden Sie in: http://msdn.microsoft.com/en-us/library/windows/desktop/aa366152(v=vs.85).aspx

Vorschläge für Flag-Kombinationen:

  • Anmeldung Einstellungen, die Informationen in den meisten Fällen erhalten soll: 0x1A59AFA3.
  • Erhalten Sie Informationen über Betrieb Probleme: 0x18180380
  • Ausführliche Informationen: 0x1bddbf73.


Weitere Informationen

Herunterladen Sie Speicherort für Windows Performance Toolkit (XPERF) umfasst Windows Platform SDK:
http://msdn.microsoft.com/en-us/windowsserver/bb980924.aspx
Version 7.1 des SDK können Sie das Toolkit: c:\Program Files\Microsoft SDKs\Windows\v7.1\Redist\Windows Leistung Toolkit\wpt_ < Plattform > .msi

Network Monitor 3.4 Download ist: http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=4865

Downloadspeicherort für AD Insight (x 86-Tool): http://technet.microsoft.com/en-us/sysinternals/bb897539

Eigenschaften

Artikelnummer: 2221529 – Letzte Überarbeitung: 15.02.2017 – Revision: 1

Windows Vista Business, Windows Vista Enterprise, Windows Vista Ultimate, Windows 7 Professional, Windows 7 Enterprise, Windows 7 Ultimate, Windows Server 2008 Standard, Windows Server 2008 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise

Feedback