Im Event mit ID 2887 im Logfile Directory Service, Source Microsoft-Windows-ActiveDirectory_DomainService wird einmal täglich angemeckert wenn sich Clients ohne TLS/SSL oder ohne Signing der Daten verbinden – wenn man dann Diagnostics für LDAP Interface (HKLM/SYSTEM/CurrentControlSet/Services/NTDS/Diagnostics/LDAP Interface=0x2) enabled bekommt pro einem solchen Versuch einen Event mit ID 2889 im gleichen Logfile (Source „LDAP Interface“) wo in den Event-Properties dann Client (Adresse) und benutzter User drin steht, ist daher nett mit Powershell auswertbar:
Invoke-Command (Get-ADDomain).ReplicaDirectoryServers { Get-WinEvent -LogName "Directory Service"|? { $_.Id -eq 2889 }|% { write-output "$($_.TimeCreated): $($_.Properties[0].Value) => $($_.Properties[1].Value)" } }