ワークステーションからの高価なLDAPクエリ
DCで高LSASSプロセスのトラブルシューティングを行うと、いくつかのワークステーションから発信された高価なクエリが見つかりました。
各クエリは次のとおりです。
Visited Entries: 1Million+
Returned Entries: <50 (most of the times 0)
これらのワークステーションにインストールされているアプリケーションの比較。高いLDAPクエリを叫ぶものは何もありません。
私の質問:
- ワークステーションでこれらのクエリを停止するにはどうすればよいですか?
- それらのワークステーションの原因であるアプリケーションを見つける方法(フィールドエンジニアリングはWindows 7で利用できますか?)
- これらはすべて単一のDCで発生しており、ハードコーディングされている可能性があります。そのDCだけでこれらのクエリをどのようにブロックできますか?何か提案や質問があれば教えてください。
- ソースを特定することによって
- ワークステーションで tcpview/tcpvcon を実行すると、どのプロセスがリモートホストに接続しているかが表示されるので役立ちます。
- ファイアウォールルールを使用して、そのワークステーションのDC LDAP tcpポートへのIP接続をブロックできますが、症状をカバーし、ソースの問題を解決しない可能性があります。特にLDAPクエリをブロックすることにより、ワークステーションは正当なケースリクエストを解決できません(ユーザーはActive Directory内を検索できなくなり、Active Directoryでオブジェクトを検索する必要のあるサービス/プログラムは失敗します)
ワークステーションに特定のソフトウェアがインストールされている疑いがない場合は、そのワークステーションでオフラインのウイルス対策スキャンを実行する必要があります