Active directory 监视直接DN查询的LDAP流量

我是微软的Active Directory管理员。我有一个新项目，需要移动一些广告。其中一些OU已经存在很多年了。我担心如果移动这些OU，可能会破坏使用直接LDAP DN查询的服务

例如，如果我在OU=Test\u OU，dc=domain，dc=local处有一个OU，并且我移动它，我担心会有一些应用程序在它们的配置中显式地有OU=Test\u OU，dc=domain，dc=local。当我移动此OU从而更改LDAP DN时，服务将中断

我现在已经在我的DC上安装了Wireshark，并且正在为TCP/389应用捕获过滤器。我仔细阅读了流量，可以看出我应该寻找SearchRequest属性，它似乎包含DN。基于这些数据包，我将进行搜索，以确定我要移动的OU是否已通过当前LDAP DN显式访问，并相应地进行规划

---

我不太愿意这样做，因为我不熟悉LDAP协议本身。查找所有传入的LDAP SearchRequest数据包是到那里的最佳途径还是我需要查找其他LDAP流量？

您考虑过使用对象审核吗？有点奇怪的用例，但如果正确调整，可能会引导您走上正确的道路。

您不应该“查找已配置的现有服务”。您不应该对DIT进行任何会破坏现有应用程序的更改

---

DIT不应该试图成为组织结构的镜子，因为组织结构的改变要比DIT便宜得多。如果由于某种原因，您构建或继承了一个DIT，而该DIT确实是镜像的，那么您将无法继续使用它，但是您应该严格地将它放在一边，使用别名而不是内部重组来提供您现在需要的新结构。

不要这样做。使用别名。你能澄清一下吗？我应该如何找到已配置的现有服务？当我说“不”时，我的意思是“不”。看看我的答案。