Hola Alberto,
No siempre este valor arriba de 100 es un problema; habria que ver si es un valor sostenido en el día o en determinado rango.
Respecto a tus preguntas:
1) Para tener visión de que sucede a nivel LDAP, utilizaría Insight for Active Directory, de Sysinternals
http://technet.microsoft.com/en-us/sysinternals/bb897539. Los ID de sesiones son desencriptados y los puede mostrar como "Friendly Sessions ID". Personalizaría el GUI para que muestre la
columna "sessions" y luego ordenaría por esa misma columna. También existe la vista de eventos de sesión. Eso te proporcionaría información de sobra, incluido el origen.
2) Tené en cuenta que las sesiones pueden ser de logon de usuarios, conexiones de otros DC's, Admins con MMC's conectados a AD realizando determinada tarea, etc. Podrías eliminar esas sesiones (conexiones) a nivel TCP, utilizando TCPView, también de
Sysinternals
http://technet.microsoft.com/en-us/sysinternals/bb897437. Notar que mediante esta opcion eliminarias todas las sesiones de determinado origen (no tendrías granularidad para elegir que sesión en particular querés eliminar de determinada IP origen). No termina
de ser un método prolijo porque además actúa en una capa distinta, mas baja.
Apropósito, para evitar esto, hay algunos valores que podrías setear para establecer límites en el LDAP en función de lo que observes anteriormente. Para aplicar con mucho criterio:
http://support.microsoft.com/kb/315071
Espero haber sido de ayuda.
Saludos!
Cristian Zanni
