none
LDAP Client Sessions RRS feed

  • Pregunta

  • Hola,

    tengo varios DCs con este valor por encima de 100 y me gustaría saber:

    1) Cómo puedo saber desde donde se establecen estas sesiones

    2) Cómo puedo resetear o cortar estas conexiones.

    Muchas gracias,

    Alberto

    miércoles, 12 de diciembre de 2012 14:06

Respuestas

  • Hola Alberto,

    No siempre este valor arriba de 100 es un problema; habria que ver si es un valor sostenido en el día o en determinado rango.

    Respecto a tus preguntas:

    1) Para tener visión de que sucede a nivel LDAP, utilizaría Insight for Active Directory, de Sysinternals http://technet.microsoft.com/en-us/sysinternals/bb897539. Los ID de sesiones son desencriptados y los puede mostrar como "Friendly Sessions ID". Personalizaría el GUI para que muestre la columna "sessions" y luego ordenaría por esa misma columna. También existe la vista de eventos de sesión. Eso te proporcionaría información de sobra, incluido el origen.

    2) Tené en cuenta que las sesiones pueden ser de logon de usuarios, conexiones de otros DC's, Admins con MMC's conectados a AD realizando determinada tarea, etc.  Podrías eliminar esas sesiones (conexiones) a nivel TCP, utilizando TCPView, también de Sysinternals http://technet.microsoft.com/en-us/sysinternals/bb897437. Notar que mediante esta opcion eliminarias todas las sesiones de determinado origen (no tendrías granularidad para elegir que sesión en particular querés eliminar de determinada IP origen). No termina de ser un método prolijo porque además actúa en una capa distinta, mas baja.

    Apropósito, para evitar esto, hay algunos valores que podrías setear para establecer límites en el LDAP en función de lo que observes anteriormente. Para aplicar con mucho criterio: http://support.microsoft.com/kb/315071

    Espero haber sido de ayuda.

    Saludos!

    Cristian Zanni


    jueves, 13 de diciembre de 2012 15:28

Todas las respuestas

  • Hola Alberto,

    No siempre este valor arriba de 100 es un problema; habria que ver si es un valor sostenido en el día o en determinado rango.

    Respecto a tus preguntas:

    1) Para tener visión de que sucede a nivel LDAP, utilizaría Insight for Active Directory, de Sysinternals http://technet.microsoft.com/en-us/sysinternals/bb897539. Los ID de sesiones son desencriptados y los puede mostrar como "Friendly Sessions ID". Personalizaría el GUI para que muestre la columna "sessions" y luego ordenaría por esa misma columna. También existe la vista de eventos de sesión. Eso te proporcionaría información de sobra, incluido el origen.

    2) Tené en cuenta que las sesiones pueden ser de logon de usuarios, conexiones de otros DC's, Admins con MMC's conectados a AD realizando determinada tarea, etc.  Podrías eliminar esas sesiones (conexiones) a nivel TCP, utilizando TCPView, también de Sysinternals http://technet.microsoft.com/en-us/sysinternals/bb897437. Notar que mediante esta opcion eliminarias todas las sesiones de determinado origen (no tendrías granularidad para elegir que sesión en particular querés eliminar de determinada IP origen). No termina de ser un método prolijo porque además actúa en una capa distinta, mas baja.

    Apropósito, para evitar esto, hay algunos valores que podrías setear para establecer límites en el LDAP en función de lo que observes anteriormente. Para aplicar con mucho criterio: http://support.microsoft.com/kb/315071

    Espero haber sido de ayuda.

    Saludos!

    Cristian Zanni


    jueves, 13 de diciembre de 2012 15:28
  • Muchas gracias Cristian.

    No consigo hacer funcionar AdInsight. La he bajado en un par de ocasiones, incluso he utilizado una versión antigua que tenía ya. No recoge datos (está  habilitada la captura de eventos ;-) ). He probado en varias máquinas, en mi pc. También en varios DCs más de distintos directorios activos. Nada. ¿Se me ha pasado algo que tú conozcas?.

    En cuanto a TcpView, tampoco me salen las cuentas con el resultado de la captura. Verás, si filtro las conexiones ldap, me salen unas 50-55, pero me faltan otras 50. Incluso con la opción "show unconnected endpoints".

    Un saludo,

    Alberto

    viernes, 14 de diciembre de 2012 9:08
  • Alberto,

    Tengo entendido que ADInisight no funciona con Windows 2008 R2...

    viernes, 14 de diciembre de 2012 12:36
  • Gracias Cristian.

    No sé si habrás podido ver el foro en inglés. En cualquier caso, hemos visto que las conexiones provienen de la infraestructura Exchange en su mayoría, lo cual tiene lógica. Intentaré ver si se puede hacer "tunning" en Exchange o este comportamiento es el normal

    Un saludo,

    Alberto

    lunes, 17 de diciembre de 2012 13:15