mcdaniels 33 Geschrieben 23. Juni 2014 Melden Teilen Geschrieben 23. Juni 2014 (bearbeitet) Hallo liebe Mcseboard-Community! Ich bin gerade dabei Firewall-Logs auszuwerten und da ist mir aufgefallen, dass annähernd alle Clients (Win 7 Pro x64) in meiner Server 2012 Domäne unendlich viele Broadcasts (192.168.1.255) innerhalb des LAN erzeugen. Nun ist ja Netbios over TCP/IP für dieses Verhalten bekannt, sofern ich mich richtig erinnere. Ist das also normal? Die Hardware-Firewall droppt jedenfalls diese Sessions. In der Domäne ist AD + DNS entsprechend konfiguriert. Alles läuft an sich problemlos. Woher jedoch kommen diese doch massiven Broadcasts? Sollte man noch einen WINS Server konfigurieren bzw. kann man Netbios über TCP/IP ohne Auswirkungen mittlerweile deaktivieren? LG Daniel bearbeitet 23. Juni 2014 von mcdaniels Zitieren Link zu diesem Kommentar
zahni 559 Geschrieben 23. Juni 2014 Melden Teilen Geschrieben 23. Juni 2014 Wirf doch mal den Netmon an und schaue Dir die Pakete genauer an. Zitieren Link zu diesem Kommentar
NilsK 2.971 Geschrieben 23. Juni 2014 Melden Teilen Geschrieben 23. Juni 2014 Moin, sofern ihr Applikationen habt, die mit kurzen Servernamen arbeiten, gleichzeitig aber kein WINS und keine GlobalNames-Zone vorhanden sind, bleibt Windows nichts anderes übrig, als die Namen per Broadcast aufzulösen. Das wäre wirklich nicht das erste Netzwerk, in dem die Absicht bestand, WINS und NetBIOS loszuwerden, und in dem dann Broadcast-Stürme entstanden. Oder um es anders zu sagen: Es ist durchaus wahrscheinlich, dass ein WINS-Server (richtig implementiert) dieses Problem beheben könnte. Gruß, Nils Zitieren Link zu diesem Kommentar
mcdaniels 33 Geschrieben 24. Juni 2014 Autor Melden Teilen Geschrieben 24. Juni 2014 (bearbeitet) Hallo und guten Morgen! @zahni: ich werd versuchen da heute etwas "mitzuschneiden". @Nils: Also ist abdrehen keine gute Idee. Applikationen die mit kurzen Servernamen arbeiten: Wie muss man sich das vorstellen? Z.b.: ganz einfach ein Share dass eben nicht mittels zb \\server.hier.local\d angesprochen wird sondern eben mit dem "kurzen" Netbios Namen: \\server\d? Edit: Ich hab jetzt mal gesnifft. Wie es scheint, werden hier von ca 10% der clients noch alte "Netzwerknamen" von Servern gesucht, die seit der Umstellung auf 2k12 nicht mehr vorhanden sind. Die Umstellung ist so erfolgt, dass eine komplett neue Domäne hochgezogen worden ist. Die Clients wurden dann aus der alten Domäne entfernt, in die neue rein gehängt. Danach wurde mittels Easytransfer das alte lokale Profil retour "kopiert". Ich vermute es gibt u.U. noch alte "Verknüpfungen" auf den Clients. Muss mir noch überlegen, wie ich das am besten rausfinde... (vielleicht mit procmon). Oder gibt es hier eine bessere Variante? Allerdings erklärt das nicht alle UDP Angelegenheiten. LG Daniel bearbeitet 24. Juni 2014 von mcdaniels Zitieren Link zu diesem Kommentar
Sunny61 811 Geschrieben 24. Juni 2014 Melden Teilen Geschrieben 24. Juni 2014 Alte Servernamen per STRG + F in der Registry suchen lassen, vermutlich sind es alte Laufwerksbuchstaben, die sich noch in der Registry befinden. Zitieren Link zu diesem Kommentar
mcdaniels 33 Geschrieben 24. Juni 2014 Autor Melden Teilen Geschrieben 24. Juni 2014 Ich finde hier nur Einträge unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print\Providers\Client Side Rendering Print Provider\Servers\server\Printers\{053300FE-B1A7-46C4-9BD5-1B75BC5FB79C}\DsSpooler Hier gibt es dann den entsprechenden alten Servereintrag mehrfach. Die Netzwerkdrucker laufen jedoch alle über den neuen Server. Es gibt auf dem Userprofil keine gemappten Drucker die noch auf den alten Server zeigen. Zitieren Link zu diesem Kommentar
NilsK 2.971 Geschrieben 24. Juni 2014 Melden Teilen Geschrieben 24. Juni 2014 Moin, Servernamen verbergen sich auch gern in Dokumenten, Vorlagen, Links ... zu 100 Prozent wirst du die wahrscheinlich nicht los. Nicht zuletzt aus diesem Grund rate ich auch heute noch zu WINS. Dadurch tauchen die Server natürlich auch nicht wieder auf, aber es hilft in solchen Umgebungen i.d.R., die Broadcast-Last deutlich zu reduzieren. Gruß, Nils Zitieren Link zu diesem Kommentar
mcdaniels 33 Geschrieben 24. Juni 2014 Autor Melden Teilen Geschrieben 24. Juni 2014 Hallo nochmal! Ja Nils, das befürchte ich auch. Ich werd mich jetzt mal dem WINS widmen! :) vielen Dank für eure Hilfe! LG Daniel Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 24. Juni 2014 Melden Teilen Geschrieben 24. Juni 2014 (bearbeitet) Die Empfehlung für WINS würde ich nicht so uneingeschränkt geben. Daneben gibt es noch andere Möglichkeiten. Seit Windows 2000 wird ja primär DNS zur Namensauflösung benutzt - daher sollte man da als erstes ansetzen. Die Global Name Zone kann dabei eine Hilfe sein, wenn man mehrere, von einander unterschiedliche DNS-Namensräume nutzt (z.B. contoso.com und adatum.com intern). Finde im Netzwerktrace mal raus, was das genau für Anfragen sind. Sind es Namensauflösungsanfragen oder ist es eventuell der Browserdienst (falls jemand den Dienst Computerbrowser aktiviert hat? Welcher Netbios-Datentyp wird dort gefragt?Eine andere Möglichkeit ist das Deaktivieren des von Netbios over TCP/IP, was effektiv den NBT Transport unterbindet. Dann nutzt man Direct SMB, was über Port 445 funktioniert und umgeht WINS und Netbios-Broadcasts.Siehe dazu die Übersicht in DNS, WINS NetBIOS & the Client Side Resolver, Browser Service, Disabling NetBIOS, Do I Need WINS? Direct Hosted SMB (DirectSMB), If One DC is Down Does a Client logon to Another DC, and DNS Forwarders Algorithm und die dort verlinkten Artikel.Hier mal die schematische Namensauflösung seit Windows 2000:Quelle: Name Resolution. Ab Windows Vista gibt es noch eine Änderung hinsichtlich des Anfügens von DNS Suffixes aus der Search List - das erfolgt nicht mehr, wenn im Namen ein Punkt vorkommt: DNS Client Name Resolution behavior in Windows Vista vs. Windows XP.Have fun!Daniel bearbeitet 24. Juni 2014 von Daniel -MSFT- Zitieren Link zu diesem Kommentar
mcdaniels 33 Geschrieben 24. Juni 2014 Autor Melden Teilen Geschrieben 24. Juni 2014 @Daniel: Im Trace bekomme ich: NbtNs:Query Request for SERVER <0x20> File Server Service (Suche nach einem alten Server mit Namen "Server") Es gibt auch Browserannouncements von den Clients (sporadisch). Eine andere Möglichkeit ist das Deaktivieren des von Netbios over TCP/IP, was effektiv den NBT Transport unterbindet. Dann nutzt man Direct SMB, was über Port 445 funktioniert und umgeht WINS und Netbios-Broadcasts. Also wäre das doch eine Option, ohne die Probleme noch größer zu machen? Btw. wir haben nur einen Namensraum. Danke werd mir die Links anschauen. LG Daniel Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 24. Juni 2014 Melden Teilen Geschrieben 24. Juni 2014 Ein Weg wäre, den alten Servernamen als CNAME im DNS zu hinterlegen und auf den neuen Servernamen zeigen zu lassen. Generell sollte man es sich sehr gut überlegen, wenn man ein Netzwerk neu macht, die Servernamen und die bisherigen UNC-Pfade zu verändern. Dafür sollten schon wichtige Gründe vorliegen: Servermigration mit Netbios-Aliases. In den meisten Fällen sind es - wie Nils schon schrieb - Verweise in Dokumenten auf den alten Servernamen: http://support.microsoft.com/kb/830561/en-us#4. Hier empfiehlt sich: How to Disable the Use of Universal Naming Convention (UNC) - für neuere Office-Versionen gilt es dabei, die jeweilige Version im Pfad richtig zu wählen: Ausschalten der UNC-Pfadangaben bei MS Office. Das wirkt aber nur für neu erstellte Dokumente - den Altbestand muss man konvertieren oder den alten Pfad wieder zugänglich machen. Zitieren Link zu diesem Kommentar
mcdaniels 33 Geschrieben 24. Juni 2014 Autor Melden Teilen Geschrieben 24. Juni 2014 (bearbeitet) Hi Daniel, das mit dem CNAME ist eine gute Idee (vielen Dank!) - an das hab ich gar nicht gedacht! Eine zusätzliche Anpassung der Ordner-Freigabe sollte dann den Status-Quo wiederherstellen. Dann sollten die NbtNs:Query Request for SERVER eigentlich nicht mehr protokolliert werden, hoffe ich... Update: Broadcasts sind nun recht stark zurück gegangen. Den WINS hab ich jetzt jedoch auf beiden DCs zusätzlich installiert. Schadet ja nicht. :-) LG Daniel bearbeitet 24. Juni 2014 von mcdaniels Zitieren Link zu diesem Kommentar
NilsK 2.971 Geschrieben 24. Juni 2014 Melden Teilen Geschrieben 24. Juni 2014 Moin, Die Global Name Zone kann dabei eine Hilfe sein das würde ich nun wieder nicht so stehen lassen. ;) Auch nach fast zehn Jahren ist die Einrichtung und Pflege von GlobalNames doch eher eine Krücke ohne jede Dynamik. Gruß, Nils Jehova, Jehova ... Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 24. Juni 2014 Melden Teilen Geschrieben 24. Juni 2014 Jehova, Jehova ... Er hat WINS gesagt! Zitieren Link zu diesem Kommentar
NilsK 2.971 Geschrieben 25. Juni 2014 Melden Teilen Geschrieben 25. Juni 2014 Moin, wobei du früher auf meiner Seite warst ... SPALTER! Schöne Grüße, Nils ... und wo ist die Judäische Volksfront? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.