Windows Vista/2008에서는 LDAP에 대 한 이벤트 추적

증상

Windows Vista와 LDAP 클라이언트에 대 한 새로운 지원 ETW 추적 합니다. 그러면 LDAP 응용 프로그램 트래픽 분석에 대 한 NTLM 및 Kerberos 세션 키에 따라 암호화를 SSL, TLS 또는 SASL를 사용 하 여 응용 프로그램에서 네트워크 트래픽을 암호화 하는 경우.

ADInsight (클라이언트 쪽 LDAP 호출을 캡처하는 후크 wldap32.dll) 되지 않을 때 특히 유용 합니다. 이 도구는 x86 에서만 플랫폼은 더 이상 유지 관리 됩니다.

해결 방법

추적 LDAP 클라이언트를 설정 하려면 다음과이 같이 하십시오.

1. 다음 레지스트리 키를 만듭니다.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ldap\Tracing\<ProcessName>
예를 들어 "ldp.exe" 확장명을 포함 하 여 추적 하려는 프로세스의 전체 이름인 "ProcessName". 이 키 안에 "PID" 라는 DWORD 형식의 선택적 값을 넣을 수 있습니다. 이 옵션 값을 프로세스 ID를 설정 하는 경우이 프로세스 ID 사용 하 여 응용 프로그램의 인스턴스에만 추적할.

2. 추적 세션을 시작 하려면 다음 명령을 실행 합니다.
logman 추적 "ds_ds" 만들기-ow-o c:\ds_ds.etl-p "Microsoft Windows-LDAP-클라이언트" 0x1a59afa3 0xff-nb 16 16-bs-1024 모드 순환-f bincirc-최대 4096 ets

아래 "traceFlags" 참조를 참조 하십시오.

3. 이제 조사 하려는 문제를 재현 합니다.

4. 추적 세션을 중지 하려면 다음 명령을 실행 합니다.
logman stop "ds_ds" ets

추적을 보려면 몇 가지 옵션이 있습니다.

1. 네트워크 모니터 3.4 또는 최신 ETL 파일을 엽니다. "프레임" 페이로드 데이터 로그 줄 표시 됩니다. 간단한 텍스트 검색 전문가 사용 하 여 LDAP 트랜잭션 키 개체 참조를 찾을 개체 이름을 검색할 수 있습니다.

또한이 로그 항목을 표시 하려면 "XPERFVIEW" XPREF 뷰어를 사용할 수 2. ETL 로드 되 면 사각형으로 표시 된 모든 이벤트를 처리 하는 시간 간격을 선택 합니다. 선택 영역을 마우스 오른쪽 단추로 클릭 하 고 "요약 테이블"을 선택 합니다. 새 창에서 "0" 작업 이름을 확장 합니다. LDAP 클라이언트 활동 모습 행 정도가 이미. 뷰어를 검색 하거나 이벤트를 필터링 하려면 허용 하지 않습니다.

행 정도가 선택한 검색 하 고 로그 줄 필터 텍스트 편집기를 거기서에서 하 고 클립보드에 복사 합니다.

3. 다른 텍스트 기반 로그를 만드는 방법은 TXT로 ETL 파일 디코딩:
netsh 추적 변환 출력 input=c:\ds_ds.etl = LDAP_CLIENT formatted.txt

더 많은 출력 옵션 'NETSH 추적 변환' 도움말을 참조 하십시오.

다음 값 중 하나 또는 비트의 조합 "traceflags" 될 수 있습니다.
Windows Vista/Server 2008.
DEBUG_TRACE1 0x00000001 
DEBUG_TRACE2 0x00000002

Windows 7/서버 2008 r 2와 주로 새 운영 체제:
DEBUG_SEARCH 0x00000001-자세히 읽기 스타일 요청 추적
DEBUG_WRITE 0x00000002-자세히 쓰기 스타일 요청 추적

다른 플래그 OS 버전 모두에 대해 동일합니다.
DEBUG_REFCNT 0x00000004
DEBUG_HEAP 0x00000008
DEBUG_CACHE 0x00000010
DEBUG_SSL 0x00000020
DEBUG_SPEWSEARCH 0x00000040
DEBUG_SERVERDOWN 0x00000080
DEBUG_CONNECT 0x00000100
DEBUG_RECONNECT 0x00000200
DEBUG_RECEIVEDATA 0x00000400
DEBUG_BYTES_SENT 0x00000800
DEBUG_EOM 0x00001000
DEBUG_BER 0x00002000
DEBUG_OUTMEMORY 0x00004000
DEBUG_CONTROLS 0x00008000
DEBUG_BYTES_RECEIVED 0x00010000
DEBUG_CLDAP 0x00020000
DEBUG_FILTER 0x00040000
DEBUG_BIND 0x00080000
DEBUG_NETWORK_ERRORS 0x00100000
DEBUG_SCRATCH 0x00200000
DEBUG_PARSE 0x00400000
DEBUG_REFERRALS 0x00800000
DEBUG_REQUEST 0x01000000
DEBUG_CONNECTION 0x02000000
DEBUG_INIT_TERM 0x04000000
DEBUG_API_ERRORS 0x08000000
DEBUG_ERRORS 0x10000000

플래그 의미에 대 한 설명은에 있습니다: http://msdn.microsoft.com/en-us/library/windows/desktop/aa366152(v=vs.85).aspx

플래그 조합에 대 한 제안:

  • 설정에 필요한 대부분의 정보를 받아야 하는 기록: 0x1A59AFA3.
  • 가져오기 연결에 대 한 정보 설정 문제: 0x18180380
  • 자세한 세션 정보: 0x1bddbf73.


추가 정보

다운로드 Windows 성능 Toolkit (XPERF)를 포함 하는 Windows 플랫폼 SDK에 대 한 위치:
http://msdn.microsoft.com/en-us/windowsserver/bb980924.aspx
버전 7.1 SDK에서는 도구 키트를 설치할 수 있습니다: c:\Program SDKs\Windows\v7.1\Redist\Windows 성능 Toolkit\wpt_ < 플랫폼 > 서식.msi

네트워크 모니터 3.4 다운로드 위치: http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=4865

다운로드 (x 86 도구) AD 파악을 위한 위치: http://technet.microsoft.com/en-us/sysinternals/bb897539

속성

문서 ID: 2221529 - 마지막 검토: 2017. 2. 15. - 수정: 1

Windows Vista Business, Windows Vista Enterprise, Windows Vista Ultimate, Windows 7 Professional, Windows 7 Enterprise, Windows 7 Ultimate, Windows Server 2008 Standard, Windows Server 2008 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise

피드백