Active Directory 工具学习笔记(10.6):AdInsight------快速定位关键信息(SPN/证书/引用/慢查询)
- [Active Directory 工具学习笔记(10.6):AdInsight------快速定位关键信息(SPN/证书/引用/慢查询)](#Active Directory 工具学习笔记(10.6):AdInsight——快速定位关键信息(SPN/证书/引用/慢查询))
-
- 一、先定"问题叙事",再找证据
- 二、关键词与"模式签名":看到这些就要警觉
-
- 1) 认证与 SPN 认证与 SPN)
- 2) 慢查询(Search) 慢查询(Search))
- 3) 引用与跨域 引用与跨域)
- 4) 写操作(Modify/Add) 写操作(Modify/Add))
- 三、三步查找法:从粗到细,三分钟见分晓
-
- [Step 1:粗筛"峰值样本"](#Step 1:粗筛“峰值样本”)
- [Step 2:定位"关键路径"](#Step 2:定位“关键路径”)
- [Step 3:回放时间线](#Step 3:回放时间线)
- 四、可直接复用的"查找表达式"
- 五、常见"关键信息"在哪里看?
- 六、微案例:三分钟定位三类问题
-
- [案例 A:登录随机变慢](#案例 A:登录随机变慢)
- [案例 B:GPO 刷新 30 秒](#案例 B:GPO 刷新 30 秒)
- [案例 C:应用改密失败](#案例 C:应用改密失败)
- 七、把"查找套路"存成团队资产
- [八、小抄:常见 LDAP/网络错误速表](#八、小抄:常见 LDAP/网络错误速表)
- 结语
Active Directory 工具学习笔记(10.6):AdInsight------快速定位关键信息(SPN/证书/引用/慢查询)
延续上一篇"捕获与显示选项",这篇把"如何快速找到你真正关心的那几条事件"讲清楚:去哪看、看什么、看到啥算异常、下一步怎么证实。
一、先定"问题叙事",再找证据
把你的问题压缩成一句话,再拆成时间 、主体 、行为 、结果四块,然后让 AdInsight 的列去对应它:
| 叙事要素 | AdInsight 列建议 | 例子 |
|---|---|---|
| 时间 | Time / Duration | "08:55 登录慢 7 秒" |
| 主体 | Process / PID / User | winlogon.exe、域账户 |
| 行为 | Operation / Auth / Scope / Filter | ldap_bind、SubTree、(samAccountName=jdoe) |
| 结果 | Result / Status / Entries / Referral | LDAP=49、NTSTATUS、返回条目数、是否跳转 |
模板视角 :Duration、Operation、Server、Auth、Result 是最常用的"五件套"。
二、关键词与"模式签名":看到这些就要警觉
把常见故障抽成"签名",通过列值/关键字/关系组合去命中。
1) 认证与 SPN
- Kerberos → NTLM 降级
- 现象:
Auth=NEGOTIATE→NTLM(而非Kerberos),或Result=KDC_ERR_S_PRINCIPAL_UNKNOWN。 - 关注列:
Auth、SPN、Server、Result。 - 含义:SPN 缺失/错绑、约束委派/信任问题、时间偏差。
- 现象:
- LDAPS 证书问题
- 现象:
Port 636/3269+Result=81/Local Error或 TLS 握手失败字样,Duration急剧增大后失败。 - 关注列:
Server/Port、Result、Duration。 - 含义:DC 证书链不全、过期、不含 ServerAuth、CN/SAN 不匹配。
- 现象:
2) 慢查询(Search)
- 范围过大 :
Scope=SubTree+Filter=(objectClass=*)或星号泛配,Entries成百上千、Duration高。 - 索引缺失 :针对
Filter中的属性(如mobile,extensionAttribute*)频繁搜索且慢。 - 错误走向 :指向 GC(3268/3269) 或跨站点 DC,导致高 RTT。
3) 引用与跨域
- Referral 旋转门 :
Referral=True/Multiple,同一操作被转发多次甚至循环。 - 信任问题 :跨林查询报
Result=49/50或No such object (32),伴随 Referral。
4) 写操作(Modify/Add)
- 权限不足 :
Result=50 (Insufficient Access Rights)。 - DN 错误 :
Result=34 (Invalid DN Syntax)。 - 对象不存在 :
Result=32 (No Such Object)。
三、三步查找法:从粗到细,三分钟见分晓
Step 1:粗筛"峰值样本"
- 排序 :按
Duration ↓。 - 过滤 :
Result != 0(先看所有异常),或Duration > 300ms(性能视角)。 - 分组 :按
Process或Operation,把"慢/错"的主锅先端出来。
Step 2:定位"关键路径"
- 登录慢 看
bind、SASL 协商、Ticket 获取相关事件; - GPO 慢 看
ldap_search,留意Scope/SubTree、Filter、是否命中 SYSVOL vs LDAP; - 应用慢 看业务进程的
search,核对是否命中 正确 DC/端口 、是否走了 GC。
Step 3:回放时间线
- 切
Time ↑,按顺序复盘失败前后 5 秒的调用链,确认先后因果(如先证书失败,后退回 389 明文)。
四、可直接复用的"查找表达式"
不同环境的 UI 名称可能略有差异,思路一致。
登录/单点慢
Operation = ldap_bind AND (Duration > 500ms OR Result != 0)Kerberos 降级
Auth CONTAINS "NEGOTIATE" AND Auth NOT CONTAINS "Kerberos"LDAPS 故障
(ServerPort = 636 OR ServerPort = 3269) AND (Result = 81 OR Result = 82 OR Duration > 1000ms)GC 访问与慢查询
ServerPort = 3268 OR ServerPort = 3269
Duration > 500ms AND Operation = ldap_search索引缺失疑似
Operation = ldap_search AND Filter CONTAINS "(mobile=" OR "(extensionAttribute"
AND Duration > 300ms权限/对象问题
Result IN (50, 32, 34, 65) // 权限不足/对象不存在/DN 语法错误/约束违规Referral 风暴
Referral = True AND CountBy(Operation) 或 Duration 累加异常五、常见"关键信息"在哪里看?
| 问题 | 先看哪几列 | 如何读 |
|---|---|---|
| 登录慢 | Duration、Operation、Auth、Result | 先 bind,再看协商形态(Kerberos/NTLM),再看是否重试或跳 DC |
| GPO 慢 | Operation=search、Scope/Filter、ServerPort | 是否走 GC;Filter 是否精确;Entries 是否过大 |
| SPN 问题 | SPN、Auth、Result | SPN 空/错时常降级 NTLM 或 49 |
| 证书/LDAPS | ServerPort、Result、Duration | 636/3269 + 81/本地错误/长时延 |
| 跨域/跨林 | Referral、Result、Server | 是否被转到意外的 DC/林;是否权限/信任失败 |
| 写失败 | Result=50/32/34、DN、Attributes | DN 正确?目标 OU 权限是否到位? |
六、微案例:三分钟定位三类问题
案例 A:登录随机变慢
- 命中 :
ldap_bind多次,Auth=NEGOTIATE → NTLM,Server=远站点 DC,Duration 1--2s。 - 结论:就近 DC SPN 缺失或不可达,客户端跨站点降级。
- 动作:补齐 SPN/站点子网;DNS 与站点映射核对;NTP 同步。
案例 B:GPO 刷新 30 秒
- 命中 :
search走3268(GC),Scope=SubTree+ 宽泛Filter,Entries过千。 - 结论:查询范围过大且访问 GC,带来跨站点延迟与载荷。
- 动作:精确 OU/过滤器;必要时改走就近 DC(389/636)。
案例 C:应用改密失败
- 命中 :
modify返回Result=50。 - 结论:权限不足。
- 动作:核对对象 OU 的写权限 / 委派范围;最小化权限授予。
七、把"查找套路"存成团队资产
- 保存过滤器/分组/列布局为"视图方案"(上一篇已述)。
- 建一套"登录慢 / GPO 慢 / LDAPS 故障 / 应用慢查询 "的模板书签,新人一键套用。
- 复盘时导出关键 20 条事件 + 你的结论,形成可复用 SOP。
八、小抄:常见 LDAP/网络错误速表
| 代码 | 含义 | 常见根因 |
|---|---|---|
| 49 | Invalid credentials | SPN/账户/时间偏差、信任问题 |
| 50 | Insufficient access | ACL/委派范围不够 |
| 32 | No such object | DN/OU 路径错误 |
| 34 | Invalid DN syntax | DN 拼写/转义错误 |
| 81/82 | Can't contact / Local error | TLS/证书/代理/中间设备 |
| 85 | Time limit exceeded | 服务器端限时/索引缺失/大范围搜索 |
结语
AdInsight 不是让你"看全",而是让你"看到对的 1% "。把叙事拆开、把列对齐、把模板固化,你会发现:无论是登录、GPO、还是应用查人,关键证据都只在几条事件里。
下一篇,我们把筛选结果 与组合过滤 讲到位:如何构建"能复用、可分享、可落库"的过滤器资产。