我只注意到我的dc(W2k3 R2 Enterprise SP2)正在将ldap查询发送到分配给NAS设备(snapserver)的IP地址。 snapserver位于另一个AD站点中,并将Active Directory集成列为一项function。 我不知道它是如何configuration的,因为我没有访问它。
TCP SRC:172.20.20.50:389 dest:172.22.50.100:34252 TIME_WAIT 0 TCP SRC:172.20.20.50:389 dest:172.22.50.100:35846 ESTABLISHED 392 TCP SRC:172.20.20.50:389 dest:172.22.50.100:35847 ESTABLISHED 392
PID 392:lsass.exe
示例1858 47.661264 Src = 172.20.20.50 Dest = 172.22.50.100 LDAP searchResEntry(69)“CN = Harry Potter,OU = LaLaLand,OU = Space ,, DC = company,DC = com”
所有查询在几个小时内运行高达2 GB的传出stream量。 我怎样才能进一步解决这个问题?
如果IP地址172.20.20.50是DC,那么它不是LDAP通信的来源,它是LDAP通信的目的地。 我的猜测是,NASconfiguration为AD集成/身份validation,并试图与DC进行通信。
另外,看起来你错误地解释了数据包捕获。 如果从DC运行数据包捕获(这看起来像什么),捕获将始终将DC显示为源,将远程主机显示为目标,因为数据包捕获从主机的angular度看到stream量运行。 这并不意味着DC是发起连接的主机。 如果您正在运行netstat,则DC将显示为本地地址,NAS将显示为外部地址。