stemar 10 Geschrieben 31. Januar 2018 Melden Teilen Geschrieben 31. Januar 2018 Hey zusammen, ich hab da ein Problem in unserem Netz: zwischendurch ist der Traffic auf unserer Internetleitung (100MBit) bei 100%, so das kein weiteres Arbeiten möglich ist. Diese Lastspitzen treten überwiegend morgens zwischen 09:15 und 09:30 Uhr und nachmittags zwischen 18:00 und 18:30 Uhr auf. Ab und an auch zu anderen Zeiten. Unser Netz besteht aus einem AD mit zwei Windows-2012 R2 Servern, 60 Windows-10 Clients, ein paar Druckern und einer extern gewarteten Firewall, die unser Gateway ist. Die Server sind als DHCP Failover eingerichtet und auf beiden läuft der DNS Server. Unsere Switche sind recht alt und können nicht direkt angesprochen werden. Die Firewall (Netscreen SSG5) kann die IP Adressen nicht filtern, die den hohen Traffic erzeugen (zumindest laut ISP, der auch die Firewall wartet). Wir sehen lediglich über einen vom ISP bereitgestellten PRTG-Monitor, wie hoch die Auslastung am Gateway im LAN und im WAN ist. Was muss ich anstellen, um den Traffic inkl IP-Adressen angezeigt zu bekommen, der von intern nach extern und umgekehrt läuft ? Gruß Markus Zitieren Link zu diesem Kommentar
Piranha 18 Geschrieben 31. Januar 2018 Melden Teilen Geschrieben 31. Januar 2018 Wireshark?! Zitieren Link zu diesem Kommentar
stemar 10 Geschrieben 31. Januar 2018 Autor Melden Teilen Geschrieben 31. Januar 2018 Mit Wireshark muss ich mich mal auseinander setzen. Hatte NetWorx probiert, bin damit aber nicht zurecht gekommen... Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 31. Januar 2018 Melden Teilen Geschrieben 31. Januar 2018 Habt ihr einen WSUS im Einsatz? Wie ist Windows Update auf den Clients konfiguriert? Zitieren Link zu diesem Kommentar
stemar 10 Geschrieben 31. Januar 2018 Autor Melden Teilen Geschrieben 31. Januar 2018 vor 17 Minuten schrieb Sunny61: Habt ihr einen WSUS im Einsatz? Wie ist Windows Update auf den Clients konfiguriert? WSUS haben wir (noch) nicht, Updates kommen bisher automatisch. Das Problem besteht komischerweise erst seit September letzten Jahres, da hab ich den zweiten Server aufgesetzt und als DHCP-Failover eingerichtet. Hatte zuvor einen alten Desktop Rechner als Failover-Server, da gab es keine Probleme. Hatten Zeitgleich Probleme mit unserer Internetleitung (Syncverluste am Modem), die aber behoben wurden. Nur die "Ruckler" sind halt geblieben. Laut ISP hängt das jetzt mit den Lastspitzen zusammen. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 31. Januar 2018 Melden Teilen Geschrieben 31. Januar 2018 Moin PRTG ist schon ein schönes Tool. Schön wären auch einigermaßen moderne Switche, da kann man denn über SNMP gut schauen. Ich habe aber auch schon mit einem Hub als Mess und einem Laptop mit PRTG drauf Engstellen gefunden, den Hub in die zu überwachende Verbindung eingeschleift mit dem Laptop dran zum Monitoren. Zitieren Link zu diesem Kommentar
stemar 10 Geschrieben 31. Januar 2018 Autor Melden Teilen Geschrieben 31. Januar 2018 vor 15 Minuten schrieb lefg: Moin PRTG ist schon ein schönes Tool. Schön wären auch einigermaßen moderne Switche, da kann man denn über SNMP gut schauen. Ich habe aber auch schon mit einem Hub als Mess und einem Laptop mit PRTG drauf Engstellen gefunden, den Hub in die zu überwachende Verbindung eingeschleift mit dem Laptop dran zum Monitoren. Switche sind, wie schon geschrieben, "doof" (genau wie ich bei der Einrichtung von PRTG)... Hab mich damit bisher nicht auseinander setzen müssen, bin daher ziemlich ahnungslos. Gruß Markus Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 31. Januar 2018 Melden Teilen Geschrieben 31. Januar 2018 (bearbeitet) Oh Mist, nun ist mir ein Beitrag verlorengegangen. Ich hatte mal von PRTG keine Ahnung, irgendwann blieb mir nichts anderes übrig. Das Erlebnis war dann grundlegend. bearbeitet 31. Januar 2018 von lefg Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 31. Januar 2018 Melden Teilen Geschrieben 31. Januar 2018 Prüfe. ob Du auf der Firewall ein Packet Capture im PCAP-Format machen kannst. Diese Datei kannst Du dann mit Wireshark analysieren. Zitieren Link zu diesem Kommentar
stemar 10 Geschrieben 31. Januar 2018 Autor Melden Teilen Geschrieben 31. Januar 2018 Gerade eben schrieb zahni: Prüfe. ob Du auf der Firewall ein Packet Capture im PCAP-Format machen kannst. Diese Datei kannst Du dann mit Wireshark analysieren. Ich weiß lediglich die IP Adresse von der Firewall. Ansonsten hab ich da keinen Zugriff. Wie bekomme ich da ein Packet Capture hin? Zitieren Link zu diesem Kommentar
mwiederkehr 382 Geschrieben 31. Januar 2018 Melden Teilen Geschrieben 31. Januar 2018 Dann musst Du es machen wie von "lefg" beschrieben: guten alten Hub aus dem Archiv kramen, Firewall, LAN und Notebook daran anschliessen. Danach siehst Du den Traffic am Notebook. Aufzeichnung entweder per Wireshark (für eine kurze Diagnose) oder über einen längeren Zeitraum mit PRTG. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 31. Januar 2018 Melden Teilen Geschrieben 31. Januar 2018 Opa erzählt vom Krieg: Vor Jahren eines Abends, eine Kollegin von nebenan verabschiedete sich in den Urlaub, in dem Moment brach der Traffik der Sektion zusammen, der 3Com-Switch flippte aus, alles blinkte. Die Kollegin schaltete sonst nie den Rechner aus. Der Rechner ausgeschaltet erzeugte das Netzwerkinterface einen Storm auf Layer 2. Ich nutzte die Gelegenheit zum Kauf neuer Switche. In einem anderen Fall war der erstmals wieder eingeschaltete Rechner einer aus dem Urlaub zurückgekehrten Kollegin die Ursache, der versuchte Updates, das schaffte aber der Scanner auf dem Proxy zum Higher Headqarter nicht. Mit dem Abgang zum HH als Mirrorport und einem PRTG am Monitorport war dann die Dicke des Traffik der Teilnehmer sehr gut zu beobachten und auch aufzuzeichen. Ich mache das zur Dauereinrichtung. Sollte man messtechnisch und detektivisch erfolglos sein, dann bleibt wohl nichts anderes übrig als mit Versuch und Irrtum vorzugenen, Sektionen abklemmen, dann Teilnehmer. Auch auf die LEDs der Switche könnte man schauen. Zitieren Link zu diesem Kommentar
lindi200000 12 Geschrieben 1. Februar 2018 Melden Teilen Geschrieben 1. Februar 2018 Ich Überwache mit PRTG auch unseren kompletten Tarffic und habe damit gleich eine MAP erstellt. Wenn Irgendwo irgendwer meldet das etwas Richtung Internet sehr langsam ist, dann kann ich innerhalb von paar Sekunden sagen, welches Endgerät dafür verantwortlich ist. Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 1. Februar 2018 Melden Teilen Geschrieben 1. Februar 2018 vor 16 Stunden schrieb stemar: WSUS haben wir (noch) nicht, Updates kommen bisher automatisch. Das Problem besteht komischerweise erst seit September letzten Jahres, da hab ich den zweiten Server aufgesetzt und als DHCP-Failover eingerichtet. Hatte zuvor einen alten Desktop Rechner als Failover-Server, da gab es keine Probleme. Hatten Zeitgleich Probleme mit unserer Internetleitung (Syncverluste am Modem), die aber behoben wurden. Nur die "Ruckler" sind halt geblieben. Laut ISP hängt das jetzt mit den Lastspitzen zusammen. Dann wird es Zeit einen WSUS einzusetzen und die Clients via GPO korrekt zu konfigurieren. Sind die Spitzen dann weg, hast Du die Ursache gefunden. Wenn die Spitzen nicht weg sind, hast Du eine Möglichkeit ausgeschlossen und gleichzeitig etwas sinnvolles für die Zukunft aufgesetzt. Zitieren Link zu diesem Kommentar
stemar 10 Geschrieben 1. Februar 2018 Autor Melden Teilen Geschrieben 1. Februar 2018 Ich sehe schon, ich muss mich erstmal entscheiden, ob Wireshark oder PRGT, und danach dann den WSUS einrichten... Gibt's Empfehlungen, welches Monitoring Tool für einen Anfänger besser geeignet ist? Und das nicht nur aus Sympathie zum Programm :) Gruß Markus Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.