这个页面似乎意味着Wireshark只能在启动后才能开始捕获,但是看起来其他人已经遇到了这个问题,并且没有到任何地方。
它不一定是Wireshark,我只需要弄清楚为什么我的networking上的一些ADlogin是如此缓慢,这样做,我相信我必须看看networking上实际发生了什么。
捕获login信息可能会非常棘手。 获取这些信息有两种方法,但其中的一部分取决于问题的可复制性。 如果它是广泛传播的,旋转虚拟机器并在主机上嗅探将会得到你所需要的。 如果仅限于某些区域或某些机器,则可能必须在networking交换机上设置跨接端口,并从同一台交换机上的另一台机器上进行嗅探。 我已经做到了这一点。
另一种方法是可能的,那就是使用相关机器的IP地址的捕获filter在所有域控制器上运行嗅探器。 它不像使用span-port那样是最优的,但它至less可以剖析机器/ DC通信。
Microsoft Netmon是捕获Microsoftlogin问题的一个非常强大的工具,但在我看来,Wireshark的解码套件总体上装备较好。
集中在捕获的客户端可能会承受最多的果实,因为在域控制器端捕获将意味着在networking中的所有DC上捕获运行。 (如果你只有一个DC,那么如果客户端是间歇性的,你可能会更好地在DC端捕获。)
在客户端启动期间运行Wireshark会让我觉得这是错误的工具。 在客户端运行软件可能会扰乱客户端计算机的configuration,并可能影响结果。 我会尝试捕捉客户端计算机行为上的任何影响的stream量。
如果您具有对客户端连接的交换机的pipe理访问权限,可以configuration“监视”会话(“端口镜像”,“SPAN”端口等),并从专用监视器端口的另一台计算机捕获。
如果您没有对交换机的pipe理访问权限,请考虑连接客户端计算机和LAN之间的专用捕获计算机。 您的专用捕获计算机将需要两个物理接口,您将桥接。 然后,您可以捕获网桥虚拟接口或专用捕获机器上的其中一个物理网卡。
在基于Windows或Linux的计算机上执行此捕获非常简单。 在Windows机器上,只需要将两个网卡放入捕获机器中,在Windows GUI中将它们桥接,然后在网桥接口上进行捕获。 在Linux上的情况是类似的,虽然没有很多发行版中的漂亮的GUI。
我倾向于认为你会发现一些嗅探,但你需要了解启动和login过程中发生了什么(DNS用于查找DC,AD站点成员资格如何影响DNS和LDAP查询,组策略应用程序的外观像,等),以解释结果。 如果“工作”和“不工作”之间的差异不会使结果偏离太远(即,在不同的AD地点,不同的OU /地点),比较“工作”机器和“不同的GPO应用等)。
不要打折使用Microsoft / SysInternals工具“进程监视器”在问题客户端计算机上执行非networking跟踪的可能性。 它可以设置为在启动时运行,并可以提供非常详细的日志。 如果由于组策略客户端扩展延迟而导致问题,ProcMon跟踪可能会比networking捕获提供更好的信息。
通过观看stream量,您很可能找不到任何答案。 虽然login有很多原因可能会很慢,但我发现大部分时间都是由于login时不可用的各种networking映射造成的。 最常见的是不再存在的networking共享。 虽然你可能能够通过嗅探器观察到这一点,但是很难辨认。 无论如何,祝你好运解决这个太常见的问题。
http://blogs.technet.com/b/askds/archive/2009/09/23/so-you-have-a-slow-logon-part-1.aspx
还有一个第二部分,如果你search那个博客,你会发现它。 不能在这里发布两个链接。
如果客户端是Windows XP,那么我build议启用用户环境debugging日志logging。 如果客户端是Windows Vista或Windows 7,那么我build议查看组策略事件日志。