Existe-t-il des alternatives à Sysinternals ADInsight?

J'utilisais ADInsight de Sysinternals pour tracer les appels Active Directory à partir de mon poste de travail, mais l'application a échoué.

Auparavant, les événements Active Directory étaient suivis et enregistrés, la fenêtre reste vide, que l'application soit en mode capture ou non. J'ai couru en tant qu'administrateur, redémarré, téléchargé une nouvelle version; aucune de ces actions n'a remis le programme dans un état fonctionnel.

Les forums Sysinternals n'offrent pas beaucoup d'espoir, car cet outil est connu pour échouer souvent.

Existe-t-il un outil ayant des fonctionnalités similaires?

Des questions

L'outil échoue-t-il lorsqu'il est exécuté à partir d'un autre poste de travail avec votre compte? Oui

Est-ce qu'il échoue depuis votre (et / ou) un autre poste de travail utilisant le compte de quelqu'un d'autre? Oui

Y a-t-il quelque chose dans le journal des événements de votre poste de travail? Non

Il existe des problèmes connus avec ADInsight et il n'est plus pris en charge ou développé. Il a des problèmes de chargement de sa DLL dans certains environnements, en particulier sur les machines virtuelles (voir http://forum.sysinternals.com/adinsight-doesnt-work-hangs_topic18891.html et http://forum.sysinternals.com/adinsight-operation_topic18963.html )

La meilleure solution que j'ai trouvée consiste à activer la journalisation des diagnostics Active Directory comme décrit sur http://www.activedir.org/Articles/tabid/54/articleType/ArticleView/articleId/41/Default.aspx . Fondamentalement, vous souhaitez définir les valeurs de registre suivantes:

Path: HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Diagnostics\15 Field Engineering
Type: DWORD
Value: 5

Path: HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\Expensive Search Results Threshold
Type: DWORD
Value: 1

Ces modifications ne nécessitent pas de redémarrage mais sont définies par serveur, donc l'implémentation pour une forêt / un domaine entier se ferait mieux via les préférences de stratégie de groupe. Une fois définis, vous trouverez les journaux résultants dans le journal des événements du service d'annuaire sur le contrôleur de domaine. Ils ne sont pas exactement compatibles avec l'analyse, mais peuvent être confrontés à des expressions rationnelles. La meilleure partie est qu'il ne nécessite aucun utilitaire / code externe.

Je m'en voudrais de ne pas mentionner que ce niveau de journalisation peut entraîner une baisse des performances sur un DC de production. Dans mon environnement de test, avec seulement deux contrôleurs de domaine faisant presque rien, je vois ~ 10-20 événements / minute à partir de ce paramètre.

Je sais que c'est une vieille question, mais je viens de découvrir qu'à partir de Windows Vista / 2008, le client Windows LDAP prend en charge ETW .

La référence pour les indicateurs de suivi est ici .

ADInsight a été mis à jour cette année pour résoudre ces problèmes.

Source: http://blogs.technet.com/b/sysinternals/archive/2015/10/27/update-autoruns-v13-5-sigcheck-v2-3-rammap-v1-4-bginfo-v4-21- sysmon-v3-11-adinsight-v1-2.aspx