Principales respuestas
LDAP Client Sessions

Pregunta
-
Respuestas
-
Hola Alberto,
No siempre este valor arriba de 100 es un problema; habria que ver si es un valor sostenido en el día o en determinado rango.
Respecto a tus preguntas:
1) Para tener visión de que sucede a nivel LDAP, utilizaría Insight for Active Directory, de Sysinternals http://technet.microsoft.com/en-us/sysinternals/bb897539. Los ID de sesiones son desencriptados y los puede mostrar como "Friendly Sessions ID". Personalizaría el GUI para que muestre la columna "sessions" y luego ordenaría por esa misma columna. También existe la vista de eventos de sesión. Eso te proporcionaría información de sobra, incluido el origen.
2) Tené en cuenta que las sesiones pueden ser de logon de usuarios, conexiones de otros DC's, Admins con MMC's conectados a AD realizando determinada tarea, etc. Podrías eliminar esas sesiones (conexiones) a nivel TCP, utilizando TCPView, también de Sysinternals http://technet.microsoft.com/en-us/sysinternals/bb897437. Notar que mediante esta opcion eliminarias todas las sesiones de determinado origen (no tendrías granularidad para elegir que sesión en particular querés eliminar de determinada IP origen). No termina de ser un método prolijo porque además actúa en una capa distinta, mas baja.
Apropósito, para evitar esto, hay algunos valores que podrías setear para establecer límites en el LDAP en función de lo que observes anteriormente. Para aplicar con mucho criterio: http://support.microsoft.com/kb/315071
Espero haber sido de ayuda.
Saludos!
Cristian Zanni
- Editado Cristian Zanni jueves, 13 de diciembre de 2012 15:29
- Marcado como respuesta Marco André (MSFT)Moderator lunes, 17 de diciembre de 2012 13:37
Todas las respuestas
-
Hola Alberto,
No siempre este valor arriba de 100 es un problema; habria que ver si es un valor sostenido en el día o en determinado rango.
Respecto a tus preguntas:
1) Para tener visión de que sucede a nivel LDAP, utilizaría Insight for Active Directory, de Sysinternals http://technet.microsoft.com/en-us/sysinternals/bb897539. Los ID de sesiones son desencriptados y los puede mostrar como "Friendly Sessions ID". Personalizaría el GUI para que muestre la columna "sessions" y luego ordenaría por esa misma columna. También existe la vista de eventos de sesión. Eso te proporcionaría información de sobra, incluido el origen.
2) Tené en cuenta que las sesiones pueden ser de logon de usuarios, conexiones de otros DC's, Admins con MMC's conectados a AD realizando determinada tarea, etc. Podrías eliminar esas sesiones (conexiones) a nivel TCP, utilizando TCPView, también de Sysinternals http://technet.microsoft.com/en-us/sysinternals/bb897437. Notar que mediante esta opcion eliminarias todas las sesiones de determinado origen (no tendrías granularidad para elegir que sesión en particular querés eliminar de determinada IP origen). No termina de ser un método prolijo porque además actúa en una capa distinta, mas baja.
Apropósito, para evitar esto, hay algunos valores que podrías setear para establecer límites en el LDAP en función de lo que observes anteriormente. Para aplicar con mucho criterio: http://support.microsoft.com/kb/315071
Espero haber sido de ayuda.
Saludos!
Cristian Zanni
- Editado Cristian Zanni jueves, 13 de diciembre de 2012 15:29
- Marcado como respuesta Marco André (MSFT)Moderator lunes, 17 de diciembre de 2012 13:37
-
Muchas gracias Cristian.
No consigo hacer funcionar AdInsight. La he bajado en un par de ocasiones, incluso he utilizado una versión antigua que tenía ya. No recoge datos (está habilitada la captura de eventos ;-) ). He probado en varias máquinas, en mi pc. También en varios DCs más de distintos directorios activos. Nada. ¿Se me ha pasado algo que tú conozcas?.
En cuanto a TcpView, tampoco me salen las cuentas con el resultado de la captura. Verás, si filtro las conexiones ldap, me salen unas 50-55, pero me faltan otras 50. Incluso con la opción "show unconnected endpoints".
Un saludo,
Alberto
-
-
Gracias Cristian.
No sé si habrás podido ver el foro en inglés. En cualquier caso, hemos visto que las conexiones provienen de la infraestructura Exchange en su mayoría, lo cual tiene lógica. Intentaré ver si se puede hacer "tunning" en Exchange o este comportamiento es el normal
Un saludo,
Alberto