Как я могу использовать Wireshark для анализа медленных логинов Active Directory?

Концентрация на клиентском конце получения, вероятно, собирается принести большинство плодов начиная с получения на конце контроллера домена, собирается означать выполнять получения на всем DCS в сети. (Если у Вас только есть единственный DC затем, Вы могли бы быть более обеспеченным получением на конце DC, если проблема w/клиенты неустойчива.)

Выполнение Wireshark во время начальной загрузки на клиенте кажется мне неправильным инструментом для задания. Под управлением программное обеспечение на клиенте потенциально нарушает клиентскую конфигурацию компьютера и могло бы влиять на результаты. Я попытался бы получить трафик w/o создающий любое влияние на клиентское поведение компьютера.

Если у Вас есть административный доступ к переключателю, клиент соединен для конфигурирования сессии "монитора" ("зеркало порта", порт "SPAN", и т.д.) и получение от другого компьютера на специализированном порте монитора.

Если у Вас нет административного доступа к переключателю, рассмотрите подключение выделенного компьютера получения между клиентским компьютером и LAN. Вашему выделенному компьютеру получения будут нужны два физических интерфейса, которые Вы соединили бы мостом. Затем Вы получили бы или на мосту виртуальный интерфейс или на одном из него физический NICs на выделенной машине получения.

Выполнение этого получения или на или на основанной на Linux машине на базе Windows довольно легко. На машине Windows это просто вовлекает помещение двух NICs в машину получения, образование моста их w/встроенная функциональность образования моста в Windows GUI и получение в интерфейсе моста. Ситуация является аналогичной на Linux, хотя w/o симпатичный GUI в большом количестве дистрибутивов.

Я склонен думать, что Вы найдете что-то сниффингом, но у Вас должно быть понимание того, что происходит во время начальной загрузки и входа в систему (DNS, используемый для определения местоположения DC, как AD членство в сайте влияет на DNS и запросы LDAP, на что приложение Групповой политики похоже, и т.д.) для интерпретации результатов. Сравнение "рабочей" машины с "нерабочей" машиной является действительной стратегией, если различие между "работой" и "нерабочий" не скашивает результаты слишком далеко (т.е. в различных AD сайтах, другой OUs w/другое применение GPOS, и т.д.).

Не обесценивайте возможность выполнения несетевых трассировок на проблемных клиентских компьютерах с помощью Монитора Процесса "инструмента Microsoft/SysInternals". Это может быть установкой для выполнения при начальной загрузке и может обеспечить чрезвычайно подробный журнал. Если у Вас есть проблема в результате задержки Клиентского Расширения Групповой политики, например, трассировка ProcMon, вероятно, собирается дать Вам лучшую информацию, чем сбор сетевых данных.

Довольно возможно, что Вы не найдете ответов путем наблюдения трафика. В то время как существует много причин, входы в систему могут быть медленными, я нашел, что большую часть времени это происходит из-за различных видов сетевых отображений, которые недоступны при входе в систему. Наиболее распространенное существо сетевой ресурс, который больше не существует. В то время как Вы смогли наблюдать это через сниффера, будет очень трудным распознать. Независимо, я желаю Вам удачи, решая эту слишком типичную проблему.

http://blogs.technet.com/b/askds/archive/2009/09/23/so-you-have-a-slow-logon-part-1.aspx

Существует часть вторая также при поиске того блога, Вы найдете его. Не может отправить две ссылки здесь.

Если бы клиентами является Windows XP затем, я рекомендовал бы включить вход отладки пользовательской среды. Если бы клиентами является Windows Vista или Windows 7 затем, я предложил бы смотреть в журнале событий Групповой политики.