Active Directory 工具学习笔记(10.6):AdInsight——快速定位关键信息(SPN/证书/引用/慢查询)

YJlio2025-12-10 10:43

Active Directory 工具学习笔记(10.6):AdInsight------快速定位关键信息(SPN/证书/引用/慢查询)

Active Directory 工具学习笔记(10.6):AdInsight------快速定位关键信息(SPN/证书/引用/慢查询)

延续上一篇"捕获与显示选项",这篇把"如何快速找到你真正关心的那几条事件"讲清楚:去哪看、看什么、看到啥算异常、下一步怎么证实。

一、先定"问题叙事",再找证据

把你的问题压缩成一句话,再拆成时间主体行为结果四块,然后让 AdInsight 的列去对应它:

叙事要素 AdInsight 列建议 例子
时间 Time / Duration "08:55 登录慢 7 秒"
主体 Process / PID / User winlogon.exe、域账户
行为 Operation / Auth / Scope / Filter ldap_bindSubTree(samAccountName=jdoe)
结果 Result / Status / Entries / Referral LDAP=49、NTSTATUS、返回条目数、是否跳转

模板视角Duration、Operation、Server、Auth、Result 是最常用的"五件套"。

二、关键词与"模式签名":看到这些就要警觉

把常见故障抽成"签名",通过列值/关键字/关系组合去命中。

1) 认证与 SPN

  • Kerberos → NTLM 降级
    • 现象:Auth=NEGOTIATENTLM(而非 Kerberos),或 Result=KDC_ERR_S_PRINCIPAL_UNKNOWN
    • 关注列:AuthSPNServerResult
    • 含义:SPN 缺失/错绑、约束委派/信任问题、时间偏差。
  • LDAPS 证书问题
    • 现象:Port 636/3269 + Result=81/Local Error 或 TLS 握手失败字样,Duration 急剧增大后失败。
    • 关注列:Server/PortResultDuration
    • 含义:DC 证书链不全、过期、不含 ServerAuth、CN/SAN 不匹配。

2) 慢查询(Search)

  • 范围过大Scope=SubTree + Filter=(objectClass=*) 或星号泛配,Entries 成百上千、Duration 高。
  • 索引缺失 :针对 Filter 中的属性(如 mobile, extensionAttribute*)频繁搜索且慢。
  • 错误走向 :指向 GC(3268/3269) 或跨站点 DC,导致高 RTT。

3) 引用与跨域

  • Referral 旋转门Referral=True/Multiple,同一操作被转发多次甚至循环。
  • 信任问题 :跨林查询报 Result=49/50No such object (32),伴随 Referral。

4) 写操作(Modify/Add)

  • 权限不足Result=50 (Insufficient Access Rights)
  • DN 错误Result=34 (Invalid DN Syntax)
  • 对象不存在Result=32 (No Such Object)

三、三步查找法:从粗到细,三分钟见分晓

Step 1:粗筛"峰值样本"

  • 排序 :按 Duration ↓
  • 过滤Result != 0(先看所有异常),或 Duration > 300ms(性能视角)。
  • 分组 :按 ProcessOperation,把"慢/错"的主锅先端出来。

Step 2:定位"关键路径"

  • 登录慢bindSASL 协商Ticket 获取相关事件;
  • GPO 慢ldap_search,留意 Scope/SubTreeFilter、是否命中 SYSVOL vs LDAP
  • 应用慢 看业务进程的 search,核对是否命中 正确 DC/端口 、是否走了 GC

Step 3:回放时间线

  • Time ↑,按顺序复盘失败前后 5 秒的调用链,确认先后因果(如先证书失败,后退回 389 明文)。

四、可直接复用的"查找表达式"

不同环境的 UI 名称可能略有差异,思路一致。

登录/单点慢

复制代码 
Operation = ldap_bind AND (Duration > 500ms OR Result != 0)

Kerberos 降级

复制代码 
Auth CONTAINS "NEGOTIATE" AND Auth NOT CONTAINS "Kerberos"

LDAPS 故障

复制代码 
(ServerPort = 636 OR ServerPort = 3269) AND (Result = 81 OR Result = 82 OR Duration > 1000ms)

GC 访问与慢查询

复制代码 
ServerPort = 3268 OR ServerPort = 3269
Duration > 500ms AND Operation = ldap_search

索引缺失疑似

复制代码 
Operation = ldap_search AND Filter CONTAINS "(mobile=" OR "(extensionAttribute"
AND Duration > 300ms

权限/对象问题

复制代码 
Result IN (50, 32, 34, 65)   // 权限不足/对象不存在/DN 语法错误/约束违规

Referral 风暴

复制代码 
Referral = True AND CountBy(Operation) 或 Duration 累加异常

五、常见"关键信息"在哪里看?

问题 先看哪几列 如何读
登录慢 Duration、Operation、Auth、Result 先 bind,再看协商形态(Kerberos/NTLM),再看是否重试或跳 DC
GPO 慢 Operation=search、Scope/Filter、ServerPort 是否走 GC;Filter 是否精确;Entries 是否过大
SPN 问题 SPN、Auth、Result SPN 空/错时常降级 NTLM 或 49
证书/LDAPS ServerPort、Result、Duration 636/3269 + 81/本地错误/长时延
跨域/跨林 Referral、Result、Server 是否被转到意外的 DC/林;是否权限/信任失败
写失败 Result=50/32/34、DN、Attributes DN 正确?目标 OU 权限是否到位?

六、微案例:三分钟定位三类问题

案例 A:登录随机变慢

  • 命中ldap_bind 多次,Auth=NEGOTIATE → NTLMServer=远站点 DCDuration 1--2s
  • 结论:就近 DC SPN 缺失或不可达,客户端跨站点降级。
  • 动作:补齐 SPN/站点子网;DNS 与站点映射核对;NTP 同步。

案例 B:GPO 刷新 30 秒

  • 命中search3268(GC),Scope=SubTree + 宽泛 FilterEntries 过千。
  • 结论:查询范围过大且访问 GC,带来跨站点延迟与载荷。
  • 动作:精确 OU/过滤器;必要时改走就近 DC(389/636)。

案例 C:应用改密失败

  • 命中modify 返回 Result=50
  • 结论:权限不足。
  • 动作:核对对象 OU 的写权限 / 委派范围;最小化权限授予。

七、把"查找套路"存成团队资产

  • 保存过滤器/分组/列布局为"视图方案"(上一篇已述)。
  • 建一套"登录慢 / GPO 慢 / LDAPS 故障 / 应用慢查询 "的模板书签,新人一键套用。
  • 复盘时导出关键 20 条事件 + 你的结论,形成可复用 SOP。

八、小抄:常见 LDAP/网络错误速表

代码 含义 常见根因
49 Invalid credentials SPN/账户/时间偏差、信任问题
50 Insufficient access ACL/委派范围不够
32 No such object DN/OU 路径错误
34 Invalid DN syntax DN 拼写/转义错误
81/82 Can't contact / Local error TLS/证书/代理/中间设备
85 Time limit exceeded 服务器端限时/索引缺失/大范围搜索

结语

AdInsight 不是让你"看全",而是让你"看到对的 1% "。把叙事拆开、把列对齐、把模板固化,你会发现:无论是登录、GPO、还是应用查人,关键证据都只在几条事件里。

下一篇,我们把筛选结果组合过滤 讲到位:如何构建"能复用、可分享、可落库"的过滤器资产

相关推荐
菜鸟‍5 小时前
【论文学习】通过编辑习得分数函数实现扩散模型中的图像隐藏
人工智能·学习·机器学习
知识分享小能手5 小时前
CentOS Stream 9入门学习教程,从入门到精通,CentOS Stream 9 配置网络功能 —语法详解与实战案例(10)
网络·学习·centos
瑶光守护者6 小时前
【学习笔记】5G RedCap:智能回落5G NR驻留的接入策略
笔记·学习·5g
你想知道什么?6 小时前
Python基础篇(上) 学习笔记
笔记·python·学习
SHOJYS6 小时前
学习离线处理 [CSP-J 2022 山东] 部署
数据结构·c++·学习·算法
weixin_409383126 小时前
简单四方向a*学习记录4 能初步实现从角色到目的地寻路
学习·a星
Jtti6 小时前
服务器防御SYN Flood攻击的方法
运维·服务器
xian_wwq6 小时前
【学习笔记】可信数据空间的工程实现
笔记·学习
浩瀚地学7 小时前
【Arcpy】入门学习笔记(五)-矢量数据
经验分享·笔记·python·arcgis·arcpy
Li.CQ7 小时前
SQL学习笔记
笔记·sql·学习
热门推荐
01GitHub 镜像站点02【超详细教程】手把手教你从微软官网免费下载Windows 10官方原版ISO镜像(2025最新版)03安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)04UV安装并设置国内源05Linux下V2Ray安装配置指南06BongoCat - 跨平台键盘猫动画工具07React CVE-2025-55182漏洞排查与修复指南08本地部署阿里最新开源的Z-Image09从入门到实战:Gemini 3 使用指南速览10在VSCode配置Java开发环境的保姆级教程(适配各类AI编程IDE)