Pipeline 12 Geschrieben 30. Dezember 2011 Melden Teilen Geschrieben 30. Dezember 2011 Moin zusammen! In unserem AD Umfeld (Windows Server 2003/2008) gibt es eine Anwendung von der ich vermute, sie benötigt NetBios Namensauflösung. Also habe ich einen WINS Server installiert und einige Server mit der entsprechenden Konfig versehen. Und tatsächlich tauchen in den WINS Server Statistiken Abfragen auf, viele die nicht erfolgreich sind. Nun suche ich nach einer Möglichkeit, diese Abfragen auswerten zu können. Mich interessiert nun natürlich, von welchem "Client" die Abfragen kamen und vor allem, "wo nach" gefragt wurde! Leider habe ich noch nichts gefunden. Einzige Idee wäre ein Netzwerkmonitor, da bin ich aber sehr ungeübt. Kann mir jemand einen Tipp geben? Zitieren Link zu diesem Kommentar
MarcelWie 10 Geschrieben 30. Dezember 2011 Melden Teilen Geschrieben 30. Dezember 2011 Ich würde mit Wireshark die Verbindungen zum Server auswerten. Vielleicht gibt es aber auch eine direkte Möglichkeit im WINS, ich bin den Dienst zum Glück los geworden ;). Achja wenn dein Ziel auch die Ablösung von WINS seien sollte, so schau dir mal Global Names an. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 30. Dezember 2011 Melden Teilen Geschrieben 30. Dezember 2011 Könnten das Netzwerkdrucker sein mit festen IPs, aber keine Möglichkeit zum Konfigurieren eines DNS-Eintrages, WINS aber einstellbar? Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 30. Dezember 2011 Melden Teilen Geschrieben 30. Dezember 2011 Nun suche ich nach einer Möglichkeit, diese Abfragen auswerten zu können. Mich interessiert nun natürlich, von welchem "Client" die Abfragen kamen und vor allem, "wo nach" gefragt wurde! Wireshark Wireshark · Go deep. ist wirklich nicht allzu schwierig zu bedienen: Nach der Installation am Winsserver öffnest du Wireshark, startest den Trace im Menü Capture - Interfaces. Unter Filter trägst du entweder "netbios" oder "tcp.port==42" ein (=Displayfilter) Dann siehst du schon, ob was reinkommt und wer Source ist. Wenn du die Pakete öffnest, erkennst du auch Details Wenn der Trace länger laufen soll, nutzt du besser einen CaptureFilter, statt eines Displayfilter. Schau dazu in die Hilfe, da gibts genügend Beispiele. blub Zitieren Link zu diesem Kommentar
Pipeline 12 Geschrieben 2. Januar 2012 Autor Melden Teilen Geschrieben 2. Januar 2012 Moin und frohes Neues! Danke erst ein mal für die Antworten. Aber so ganz zufrieden bin ich noch nicht, soll das wirklich heissen, es gibt keine Protokollierung oder ähnliches für den WINS? Beim DNS bin ich da sehr viel mehr gewohnt... Ich finde den Weg über einen Netzwerkmonitor doch reichlich unbequem... GlobalNames ist mir bekannt, nur muss ich erstmal ermitteln, was überhaupt abgefragt wird... Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 2. Januar 2012 Melden Teilen Geschrieben 2. Januar 2012 Hallo und ein frohes neues Jahr auch dir. Was verstehst Du unter Protokollierung beim WINS? Was bist Du beim DNS anders gewohnt? Siehst Du beim WINS nicht die Einträge der Teilnehmer? Ist bei den Teilnehmern den WINS konfiguriert? Zitieren Link zu diesem Kommentar
Pipeline 12 Geschrieben 2. Januar 2012 Autor Melden Teilen Geschrieben 2. Januar 2012 Moin lefg, naja mit Protokollierung meine ich einfach, dass die Aktivitäten, Fehler, Warnungen und so weiter aufgezeichnet werden. Beim DNS gibt es Event und Debug Logging. Wie schon zu Anfang geschrieben, will ich nicht sehen wer sich im WINS registriert und ähnliches, sondern ich möchte wissen wer, welche Abfragen macht. Und ich möchte nicht raten, sondern einfach analysieren und dann wissen. WINS habe ich nur testweise auf einigen Servern aktiviert, wie in meinem ersten Beitrag schon beschrieben... Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 2. Januar 2012 Melden Teilen Geschrieben 2. Januar 2012 Hm, ich merke, bin eingerostet und ratlos. Sorry Warten wir mal ab, ob und was andere dazu sagen. Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 2. Januar 2012 Melden Teilen Geschrieben 2. Januar 2012 Wie schon zu Anfang geschrieben, will ich nicht sehen wer sich im WINS registriert und ähnliches, sondern ich möchte wissen wer, welche Abfragen macht. Und ich möchte nicht raten, sondern einfach analysieren und dann wissen. Dafür brauchst du einen Netzwerkmonitor. Wenn dir das zu unbequem ist, wirst du diese Aufgabe nicht lösen können. blub Zitieren Link zu diesem Kommentar
iDiddi 27 Geschrieben 3. Januar 2012 Melden Teilen Geschrieben 3. Januar 2012 Für WINS gibt es auch ein erweitertes Logging. Siehe hier: Spend Less Time Looking for Logs -- Redmondmag.com Ob dort aber alle Abfragen geloggt werden, musst Du selber rausfinden. Ich denke nicht. Zitieren Link zu diesem Kommentar
Pipeline 12 Geschrieben 3. Januar 2012 Autor Melden Teilen Geschrieben 3. Januar 2012 Moin! @ iDiddi: bringt mir leider nicht viel, hatte ich schon aktiviert. Es werden keine Abfragen protokolliert. @ Blub: leider muss ich dir nun zustimmen, schade. Aber ist mit dem MS Network Monitor recht einfach. Falls es mal jemanden interessieren sollte, um nur die fehlgeschlagenen Abfragen zu sehen, habe ich als Capture Filter "NbtNs.Flag.RCode == 0x3" verwendet. Da ich keine Einträge in meinem WINS habe kann ich somit alles aufdecken, was angefragt wird. Nun muss ich nur noch herausfinden, warum die Server/Anwendungen diese Namen anfragen. Es sind erstaunlicherweise Namen, die auch im DNS hinterlegt sind! Vielen Dank an alle. Zitieren Link zu diesem Kommentar
Pipeline 12 Geschrieben 13. Januar 2012 Autor Melden Teilen Geschrieben 13. Januar 2012 so, nun komme ich nicht recht weiter. Kennt ihr einen Weg lokal auf einem Anwendungsserver, der NetBIOS Abfragen schickt, festzustellen aus welcher Anwendung diese Anfragen kommen? Ich möchte auf unseren produktiven Servern ungern einen Sniffer installieren, der sich in den TCP Stack einbindet... Ich muss halt heraus finden warum diese Abfragen überhaupt bei meinem WINS ankommen, obwohl die Namen im DNS stehen. Es gibt aber auch Namen, die überhaupt keinen Sinn machen. (völlig unbekannte Servernamen) Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 13. Januar 2012 Melden Teilen Geschrieben 13. Januar 2012 Hi, Wenn du nichts installieren willst, kannst du das installationsfreie Sysinternaltool "processmonitor" auf den Servern starten mit dem Filter "TCP Send" und ganz wichtig mit "Drop Filtered Events" (quasi der Capture Filter des Procmon), sonst geht der Server in die Knie. Bau dir am besten einen parametrisierten Aufruf über Commandline Gleichzeitig auf einem Spiegelport den Netzwerkverkehr mitsniffern. Beide Ergebnisse kannst du dann über die Zeitstempel konsolidieren. Wäre zumindes eine Methode, ohne auf den Servern etwas zu installieren. Persönlich würde ich den Wins einfach deaktivieren. Dann wird schon jemand schreien, wenn er es braucht :-) blub Zitieren Link zu diesem Kommentar
Pipeline 12 Geschrieben 13. Januar 2012 Autor Melden Teilen Geschrieben 13. Januar 2012 Moin! Tja, dann werde ich das wohl versuchen müssen, oder mir n Snapshot ziehen und doch einen Netzwerk Monitor installieren... Derzeit gibt es nur zu Testzwecken einen WINS Server, und dort habe ich dann ja sehen können, was es für Abfragen gibt. Wir haben anscheinend Anwendungsproblem, weil die Server auf der "Suche" nach diversen Namen NetBIOS Broadcasts machen. Deshalb überhaupt die WINS Sache... Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 14. Januar 2012 Melden Teilen Geschrieben 14. Januar 2012 ... anscheinend Anwendungsproblem, weil die Server auf der "Suche" nach diversen Namen NetBIOS Broadcasts machen. ....... Ich kann die anscheinenden Probleme und die Begründung dafür nicht nachvollziehen. Welche Probleme treten konkret auf, was funktioniert nicht oder nur schlecht? :) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.