Seguimiento de eventos para LDAP en Windows Vista/2008

Síntomas

Windows Vista y el seguimiento de ETW de soporte más reciente para el cliente de LDAP. Esto permite análisis de tráfico de aplicaciones LDAP cuando se cifra el tráfico de red por la aplicación mediante el cifrado SSL, TLS o SASL basándose en las claves de sesión NTLM y Kerberos.

Esto es especialmente útil cuando ADInsight no funciona (qué wldap32.dll ganchos para capturar llamadas LDAP del lado cliente). Esta herramienta sólo funciona en el x86 plataforma y no se mantiene ya.

Solución

Para activar el seguimiento del cliente LDAP, siga estos pasos:

1. Cree la siguiente clave del registro:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ldap\Tracing\<ProcessName>
"ProcessName" es el nombre completo del proceso que desea darle seguimiento, incluyendo su extensión, por ejemplo "ldp.exe". Dentro de esta clave, puede colocar un valor opcional de tipo DWORD que se denomina "PID". Si este valor opcional se establece en un identificador de proceso, se trazará sólo la instancia de la aplicación con el identificador de este proceso.

2. para iniciar una sesión de seguimiento, ejecute el siguiente comando:
¡Logman create trace "ds_ds"-ow 0xff -o c:\ds_ds.etl -p "Microsoft-Windows-LDAP-Client" 0x1a59afa3 -nb 16 16 -bs 1024 - modo Circular -f bincirc-max 4096 - ets

Vea la referencia de "traceFlags" a continuación.

3. ahora reproducir el comportamiento que desea investigar.

4. para detener una sesión de seguimiento, ejecute el siguiente comando:
logman stop "ds_ds" - ets

Para ver la traza, tiene varias opciones:

1. Abra el archivo ETL en 3.4 del Monitor de red o más reciente. Las líneas de registro se muestran como datos de la carga en los "marcos". Con el experto de búsqueda de texto Simple puede buscar nombres de objeto para localizar la transacción LDAP hacer referencia a objetos clave.

2. puede utilizar también el Visor de XPREF "XPERFVIEW" para mostrar estas entradas del registro. Cuando se carga el ETL, seleccione el intervalo de tiempo para cubrir todos los eventos que se muestran como cuadrados. Haga clic derecho en la selección y seleccione "Tabla resumen". En la nueva ventana, expanda el nombre de tarea "0". La actividad del cliente LDAP tendrá un aspecto similar a las líneas de registro ya. El Visor permite buscar o filtrar los eventos.

Puede seleccionar las líneas de registro y copiarlos en el Portapapeles y desde allí en un editor de texto para buscar y filtrar las líneas de registro.

3. otra opción para crear registros basados en texto es descodificar el archivo ETL como TXT:
seguimiento de Netsh convertir salida input=c:\ds_ds.etl = LDAP_CLIENT-formatted.txt

Consulte la Ayuda de 'Convertir de seguimiento NETSH' para más opciones de salida.

El "traceflags" podría ser uno de los valores siguientes o una combinación de los bits
Windows Vista o Server 2008:
DEBUG_TRACE1 0x00000001 
DEBUG_TRACE2 0x00000002

Windows 7/Server 2008 R2 y probablemente OS más reciente:
DEBUG_SEARCH 0 x 00000001 - detallada de seguimiento de solicitudes de lectura de estilo
DEBUG_WRITE 0 x 00000002 - detallada de seguimiento de solicitudes de estilo de escritura

Los otros indicadores son los mismos para ambas versiones del sistema operativo:
DEBUG_REFCNT 0x00000004
DEBUG_HEAP 0x00000008
DEBUG_CACHE 0x00000010
DEBUG_SSL 0x00000020
DEBUG_SPEWSEARCH 0x00000040
DEBUG_SERVERDOWN 0x00000080
DEBUG_CONNECT 0x00000100
DEBUG_RECONNECT 0x00000200
DEBUG_RECEIVEDATA 0x00000400
DEBUG_BYTES_SENT 0x00000800
DEBUG_EOM 0x00001000
DEBUG_BER 0x00002000
DEBUG_OUTMEMORY 0x00004000
DEBUG_CONTROLS 0x00008000
DEBUG_BYTES_RECEIVED 0x00010000
DEBUG_CLDAP 0x00020000
DEBUG_FILTER 0x00040000
DEBUG_BIND 0x00080000
DEBUG_NETWORK_ERRORS 0x00100000
DEBUG_SCRATCH 0x00200000
DEBUG_PARSE 0x00400000
DEBUG_REFERRALS 0x00800000
DEBUG_REQUEST 0x01000000
DEBUG_CONNECTION 0x02000000
DEBUG_INIT_TERM 0x04000000
DEBUG_API_ERRORS 0x08000000
DEBUG_ERRORS 0x10000000

Una descripción del significado de indicador puede encontrarse en: http://msdn.microsoft.com/en-us/library/windows/desktop/aa366152(v=vs.85).aspx

Sugerencias para combinaciones de indicadores:

  • Configuración que debe obtener la información que necesita la mayoría del tiempo de registro: 0x1A59AFA3.
  • Obtener información sobre la conexión problemas de establecimiento: 0x18180380
  • Información de sesión detallado: 0x1bddbf73.


Más información

Ubicación de descarga para Windows Platform SDK que incluye el Kit de herramientas de rendimiento de Windows (XPERF):
http://msdn.microsoft.com/en-us/windowsserver/bb980924.aspx
Para la versión 7.1 de SDK, puede instalar el Kit de herramientas de: c:\Program Files\Microsoft SDKs\Windows\v7.1\Redist\Windows rendimiento Toolkit\wpt_ < plataforma > .msi

Ubicación de descarga de 3.4 de Monitor de red es: http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=4865

Ubicación de descarga para AD Insight (x 86 herramienta): http://technet.microsoft.com/en-us/sysinternals/bb897539

Propiedades

Id. de artículo: 2221529 - Última revisión: 15 feb. 2017 - Revisión: 1

Windows Vista Business, Windows Vista Enterprise, Windows Vista Ultimate, Windows 7 Professional, Windows 7 Enterprise, Windows 7 Ultimate, Windows Server 2008 Standard, Windows Server 2008 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise

Comentarios