oelk 2 Geschrieben 17. Februar 2022 Melden Teilen Geschrieben 17. Februar 2022 Hallo Gemeinde, gibt es eine Möglichkeit festzustellen / mitzuschneiden welche IP wann angemeldet war? Am besten mit Windows Board Mitteln. Jetzt bin ich nicht der Powershell Freak, habe da aber ein 'NetEventPacketCapture' gefunden. Dem Namen nach würde ich vermuten es wäre dafür geeignet. Sicher gibt es den Microsoft netmon oder von Nirsoft smartsniff, aber Boardmittel wären mir eigentlich lieber. Gesucht wird also IP mit Datum und Uhrzeit. MfG Zitieren Link zu diesem Kommentar
daabm 1.354 Geschrieben 18. Februar 2022 Melden Teilen Geschrieben 18. Februar 2022 IPs melden sich nicht an, User und Computer tun das. Bzw. eigentlich auch nicht, sie authentifizieren sich nur. Der Begriff "anmelden" ist in einem AD-Umfeld grundsätzlich ungeeignet Du solltest Dich mal mit Auditing beschäftigen (-> advanced audit policies), tracen muß man da nichts. Und wenn man doch mal tracen muss: "netsh trace start capture=yes tracefile=xyz.etl" 1 Zitieren Link zu diesem Kommentar
NorbertFe 2.034 Geschrieben 18. Februar 2022 Melden Teilen Geschrieben 18. Februar 2022 vor 6 Minuten schrieb daabm: Und wenn man doch mal tracen muss: "netsh trace start capture=yes tracefile=xyz.etl" Genau und etwas ausführlicher hier: https://www.faq-o-matic.net/2018/11/27/netzwerktrace-ohne-zusatztools-erzeugen/ Zitieren Link zu diesem Kommentar
oelk 2 Geschrieben 18. Februar 2022 Autor Melden Teilen Geschrieben 18. Februar 2022 OK, mal zur Auflösung/Korrektur. Auf dem Server läuft eine Datenbank, der Hersteller/Software-Lieferant verlangt zZt den Windows-Server 2016, kein AD, Clients/Benutzer kommen icht aus lokalen Netz, also kein AD. Die Benutzer kommen aus dem Internet über ein VPN auf den Server bzw auf die Datenbank und haben teilweise ihre eigenen Strukturen oder sogar Standalone, und wir wollen wissen, wer angemeldet ist und es in den letzten Tagen war. Die netsh-Lösung sieht auf den ersten Blick gut aus, müsste aber nach den Windows-Updates und einem Rechnerneustart, jedesmal von Hand neu gestartetn werden. Wäre die etl-Datei begrenzt? Ich vermute nicht., Dann wäre irgendwann die Rechnerplatte voll. Zudem müsste man jedesmal über die Ereignisanzeige die etl-Datei öffnen. Etwas umständlich. Ich schau mal, was es mit den 'advanced audit policies' auf sich hat, werde aber auch noch mal das 'NetEventPacketCapture' genauer in Augenschein nehmen. Ich hab da einige vielversprechende Links gefunden. MfG Zitieren Link zu diesem Kommentar
cj_berlin 1.313 Geschrieben 18. Februar 2022 Melden Teilen Geschrieben 18. Februar 2022 (bearbeitet) Authentifizieren tun sich die User aber trotzdem. Insofern hat der Einwurf von @daabm auch ohne AD Bestand. Oder verbinden sie sich direkt zur Datenbank auf einem Datenbark-Port und mit der dort vorhandenen internen Authentifzierung? bearbeitet 18. Februar 2022 von cj_berlin Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben 18. Februar 2022 Melden Teilen Geschrieben 18. Februar 2022 Moin, Und die passenden Lizenzen für den Zugriff auf den Server habt ihr? Gruß, Nils 1 Zitieren Link zu diesem Kommentar
oelk 2 Geschrieben 18. Februar 2022 Autor Melden Teilen Geschrieben 18. Februar 2022 vor 3 Minuten schrieb cj_berlin: Authentifizieren tun sich die User aber trotzdem. Insofern hat der Einwurf von @daabm auch ohne AD Bestand. Oder verbinden sie sich direkt zur Datenbank auf einem Datenbark-Port und mit der dort vorhandenen internen Authentifzierung? Genau das: direkt über eine Port auf die Datenbank. Zitieren Link zu diesem Kommentar
daabm 1.354 Geschrieben 18. Februar 2022 Melden Teilen Geschrieben 18. Februar 2022 Und die DB kann keine Logins protokollieren? (Bei DBs bin ich etwas - hm - "ahnungslos"? ) Zitieren Link zu diesem Kommentar
oelk 2 Geschrieben 18. Februar 2022 Autor Melden Teilen Geschrieben 18. Februar 2022 vor 10 Minuten schrieb daabm: Und die DB kann keine Logins protokollieren? (Bei DBs bin ich etwas - hm - "ahnungslos"? ) Nein, in diesem Falle wohl nicht, wir wollen auch nicht an der DB des Herstellers/Lieferanten rumspielen. Ok, eben gesehen: netsh bietet die Parameter permament und maxsize das könnte helfen. siehe auch hier bitte: https://support.citrix.com/article/CTX214599 oder auch hier auf dem github: https://github.com/dmauser/PS-Network-Capture/blob/master/Basic-Net-Capture.ps1 MfG Zitieren Link zu diesem Kommentar
cj_berlin 1.313 Geschrieben 18. Februar 2022 Melden Teilen Geschrieben 18. Februar 2022 (bearbeitet) Der Einwand von @NilsK ist aber nicht von der Hand zu weisen - wenn Benutzer aus "ihren eigenen Strukturen" kommen, das heißt, nicht eurer Organisation angehören und ihre Geräte auch nicht, wird die Lizenzierung des Ganzen richtig spannend. Nächste Frage, um Dich von Network Traces als Methode zur Logon-Protokollierung abzuhalten: Könnt ihr die benötigten Daten nicht aus dem VPN ziehen? Dort lassen sie sich vielleicht sogar einem User zuordnen, denn die IP, welche der VPN-Server vergibt, ist ja vermutlich nicht für jeden User fix... bearbeitet 18. Februar 2022 von cj_berlin 1 Zitieren Link zu diesem Kommentar
oelk 2 Geschrieben 18. Februar 2022 Autor Melden Teilen Geschrieben 18. Februar 2022 vor 40 Minuten schrieb cj_berlin: Der Einwand von @NilsK ist aber nicht von der Hand zu weisen - wenn Benutzer aus "ihren eigenen Strukturen" kommen, das heißt, nicht eurer Organisation angehören und ihre Geräte auch nicht, wird die Lizenzierung des Ganzen richtig spannend. Nächste Frage, um Dich von Network Traces als Methode zur Logon-Protokollierung abzuhalten: Könnt ihr die benötigten Daten nicht aus dem VPN ziehen? Dort lassen sie sich vielleicht sogar einem User zuordnen, denn die IP, welche der VPN-Server vergibt, ist ja vermutlich nicht für jeden User fix... Ja, doch, geht irgendwie, wir wollten es aber direkt auf dem Server realisieren. MIt den Lizenzen bin ich nicht betraut, da kann ich zum jetzigen Zeitpunkt nichts sagen. MfG Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben 18. Februar 2022 Melden Teilen Geschrieben 18. Februar 2022 Moin, Du bist uns zu den Lizenzen auch keine Rechenschaft schuldig. Da in solchen Konstrukten aber sehr oft die richtigen Lizenzen vergessen werden, solltest du dich in eigenem Interesse um das Thema kümmern. Gruß, Nils Zitieren Link zu diesem Kommentar
oelk 2 Geschrieben 19. Februar 2022 Autor Melden Teilen Geschrieben 19. Februar 2022 vor 22 Stunden schrieb NilsK: Moin, Du bist uns zu den Lizenzen auch keine Rechenschaft schuldig. Da in solchen Konstrukten aber sehr oft die richtigen Lizenzen vergessen werden, solltest du dich in eigenem Interesse um das Thema kümmern. Gruß, Nils Danke für den Hinweis, ich werde es beherzigen und weiterreichen. Was ich nicht ganz verstehe: ein VPN reicht IP-Verbindungen an eine DB eines anderen Herstellers als Microsoft auf einem Windows-Server weiter. Welche Rolle spielen da Windows-Lizenzen? MfG Zitieren Link zu diesem Kommentar
Nobbyaushb 1.471 Geschrieben 19. Februar 2022 Melden Teilen Geschrieben 19. Februar 2022 vor 5 Minuten schrieb oelk: Danke für den Hinweis, ich werde es beherzigen und weiterreichen. Was ich nicht ganz verstehe: ein VPN reicht IP-Verbindungen an eine DB eines anderen Herstellers als Microsoft auf einem Windows-Server weiter. Welche Rolle spielen da Windows-Lizenzen? Ganz einfach, du brauchst dafür eine CAL entweder pro Gerät oder per User, da das Produkt auf einem Windows-Server läuft. Zitieren Link zu diesem Kommentar
NilsK 2.934 Geschrieben 19. Februar 2022 Melden Teilen Geschrieben 19. Februar 2022 Moin, Wenn die Funktion, die ein Anwender nutzt, von einem Windows-Server bereitgestellt wird, ist dieser Zugriff lizenzpflichtig. In deinem Fall ist die Sache aber noch komplizierter, weil die Anwender anscheinend nicht zur selben Firma gehören. Lass dich beraten. Gruß, Nils 1 1 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.