nach Anmeldung kurze Pause bis Taskleiste erscheint

[Verräter 10]

Hallo alle zusammen.

Ich habe in meinem Netzwerk einen NT PDC mit Windows XP Clients. Funktioniert soweit alles prima, trotzdem stört mich etwas und ich möchte das gerne abstellen.

Nach der Anmeldung eines Client - Profil ist geladen und der Startsound wurde abgespielt - dauert es ca. 30sek bis die Taskleiste und der Desktop angezeigt werden. Ich habe darauf hin den Netzwerkverkehr am Server mitgeloggt und analysiert, mit folgendem Ergebnis: die Clients versuchen drei mal beim Server auf Port 80(HTTP) zuzugreifen und jedes mal mit einem Timeout. Also habe ich die Firewall bei Port 80 geöffnet und siehe da, die XP-Clients haben nach der Anmeldung keine Verzögerung mehr. Allerdings läuft auf dem Server kein Dienst, der Port 80 belegt. Ich möchte aber den Port 80 geschlossen halten.

 

Was versuchen die XP-Clients da und wie kann ich denen das abgewöhnen?

 

Gruß

[cloney 10]

hmmmm... gute Frage ;)

 

Soweit ich mich mit XP und Domains auskenne, fällt mir nix ein, was bei

der Anmeldung auf Port 80 am PDC zugreifen will. Sämtliche Anmeldeinformationen

werden über alles andere als Port 80 ausgehandelt. Bleiben ja eigentlich nur noch

die Anmeldescripte für die Users übrig, worin sowas konfiguriert sein könnte.

Das wird allerdings auch nicht sein...

Hast du servergespeicherte Profile? Dann wird es wohl hier irgendwo liegen,

was dann oft auch mit falsch konfigurierten DNS-Servern zu tun hat... sehr oft.

 

cloney

[Gadget 37]

Hi Verräter,

 

auswendig weis ich das auch nicht die Workstations sollten das eigentlich nicht tun würd dir empfehlen mal den Port Reporter Dienst von MS zu installieren und dann im Log mal nachschauen wer denn da aufmuckt :D (welcher Prozess) => http://support.microsoft.com/?id=837243

 

Gruß Kohn

[lupo45 10]

Ansonsten kannst du auch mal auf http://www.sysinternals.com das Tool AutoRuns runterladen und auf dem System ausführen, da sieht man dann ob sich irgendwelche Hijacker-Tools oder so'n Dreck in die Autostarts/Run-Keys/etc. eingetragen haben. Oder alternativ halt mal AdAware oder Spybot Seek&Destroy ausprobieren...??

[Verräter 10]

Danke für die Tipps.

Ich habe noch ein wenig nachgeforscht. Ich wollte wissen, was denn genau mit der Verbindung angefordert wird, um daraus Rückschlüsse auf den Verursacher zu schließen. Also hab ich den Apache eingerichtet und die Firewall geöffnet. Die Zugriffe auf Port 80 hab ich mitgeloggt mit folgendem Ergebnis:

Client->Server:http [sYN]
Server->Client [sYN,ACK]
Client->Server:http [ACK]
Client->Server:http OPTIONS/HTTP/1.1
Server->Client [ACK]
Server->Client [HTTP/1.1 200 OK
//Soweit ein ganz normaler Verbindungsaufbau
//und jetzt kommt's
Client->Server:http PROPFIND /profiles HTTP/1.1
Server->Client HTTP/1.1 405 Method Not Allowed
Client->Server:http [RST,ACK]

 

Was ich zu PROPFIND auf die Schnelle rausgefunden habe ist "WebDAV". Muss mich dazu aber noch informieren.

[Gadget 37]

Hi Verräter,

 

Webdav hört sich ja ganz verdächtig nach OWA (Outlook Web Access) über Http an.

 

Hast du vielleicht Exchange auf deinem Server laufen....

 

Wäre dan über folgende Adresse erreichbar:

 

http://deinservername/exchange

 

Gruß Kohn

[Verräter 10]

Ich habe die Lösung gefunden.

 

Svchost.exe war der Übeltäter. Dieser Dienst(WebClient) ist für die WebDAV-Geschichte auf dem Client zuständig und versuchte, webbasierte Freigaben zu mounten. In meinem Fall die /profiles Freigabe, die aber über SMB eingebunden wird. Ich habe den Dienst deaktiviert und die Firewall wieder geschlossen und siehe da, alles in Butter.

 

Vielen Dank nochmal für eure Beteiligung,

in diesem Sinne bis demnächst!