Picard1701 10 Geschrieben 20. Oktober 2005 Melden Teilen Geschrieben 20. Oktober 2005 Hallo Zusammen, folgendes Problem. Einer unserer Admins hatte mal sein Profil als Default eingerichtet. Und zwar so schlampig, dass durch dieses Profil bei allen die dieses Default Profil mal als Grundlage für ihre Eigenen hatten, ständig ein Server über Port 139 abgefragt wird. Das habe ich durch "netstat" rausgefunden. Dieser Server soll nun bald abgeschaltet werden. Das war er auch schon mal, aber da klagten die User über laaange Zeiten beim Öffnen von Dateien. Wie nun bekomme ich den Eintrag über diesen Server aus sämtlichen Profilen raus? In den ntuser.dat habe ich schon geschaut. Dort steht die IP nicht drinnen. Jedenfalls nicht im Klartext. Lmhost usw. werden nicht abgefragt. Sämtliche Netzwerkeinstellungen kommen von einem DHCP. Dort ist aber alles sauber. Jemand eine Idee? Zitieren Link zu diesem Kommentar
edv-olaf 10 Geschrieben 20. Oktober 2005 Melden Teilen Geschrieben 20. Oktober 2005 Hallo, beschreibe mal bitte, was die Abfrage auf Port 139 bewirken soll? Wenn du schon netstat genutzt hast, kannst du sicher auch sagen, welches Programm dies tut? Deine Angaben sind für einen konkreten Tip etwas arg dürftig. Grüße Olaf Zitieren Link zu diesem Kommentar
overlord 10 Geschrieben 21. Oktober 2005 Melden Teilen Geschrieben 21. Oktober 2005 139...Klingeling SMB,NETBIOS! ->mapping? ->welches proggi? Zitieren Link zu diesem Kommentar
Picard1701 10 Geschrieben 21. Oktober 2005 Autor Melden Teilen Geschrieben 21. Oktober 2005 Hmm, der Server dessen IP ich aus den Profilen kriegen will war mal ein NT-DC und Fileserver. Nach unserem Move ins AD brauchen wir diesen Server nicht mehr, müssen ihn aber eingeschaltet lassen, wegen diesem Problem. Ich weiß, dass der Kollege damals seine Laufwerke nicht vorher trennte, als er sein Profil zum Default machte. Ich weiß auch, dass es nur mit diesen PCs diese Schwierigkeiten gibt. Wo sind die Einträge über gemappte Laufwerke in den Profilen enthalten? Sicherlich muss man dazu etwas in den "Eingeweiden" der Profile nachgucken. Aber wo? Ich werde mir einen dieser PCs noch mal vornehmen. Vielleicht bekomme ich durch netstat ein paar mehr Info`s. Zitieren Link zu diesem Kommentar
Gulp 269 Geschrieben 21. Oktober 2005 Melden Teilen Geschrieben 21. Oktober 2005 Im Userprofil (auch dem des Admins) werden keine IP Adressen hinterlegt, das steht in der Registry der Maschine. Daher kannst Du IP Adressen auch nicht im Profil des Admins finden. (Profil wird aus HKEY_USERS für die lokalen bzw HKEY_CURRENT_USER für den aktuell angemeldeten User gelesen, in HKEY_LOCAL_MACHINE findet sich die IP Adresse.) Auch mit Hardware Profilen können nur gleich konfigurierte Netzwerkadapter verwendet werden, die aber durchaus mehrere IP's verwalten können. Sollte jedoch ein installiertes Programm diese Portabfrage durchführen (was ich mal vermute) kann dies einfach mit TCPView von sysinternals oder dem ProcessExplorer, auch von sysinternals, ermittelt werden. Dies sollte dann deinstalliert/entfernt werden, sofern es nicht benötigt wird. Grüsse Gulp Zitieren Link zu diesem Kommentar
Picard1701 10 Geschrieben 21. Oktober 2005 Autor Melden Teilen Geschrieben 21. Oktober 2005 Im Userprofil (auch dem des Admins) werden keine IP Adressen hinterlegt, das steht in der Registry der Maschine. Daher kannst Du IP Adressen auch nicht im Profil des Admins finden. (Profil wird aus HKEY_USERS für die lokalen bzw HKEY_CURRENT_USER für den aktuell angemeldeten User gelesen, in HKEY_LOCAL_MACHINE findet sich die IP Adresse.) Auch mit Hardware Profilen können nur gleich konfigurierte Netzwerkadapter verwendet werden, die aber durchaus mehrere IP's verwalten können. Sollte jedoch ein installiertes Programm diese Portabfrage durchführen (was ich mal vermute) kann dies einfach mit TCPView von sysinternals oder dem ProcessExplorer, auch von sysinternals, ermittelt werden. Dies sollte dann deinstalliert/entfernt werden, sofern es nicht benötigt wird. Grüsse Gulp Vielen Dank für die Aufklärung! In der gesamten Registrierung finde ich keinen Eintrag mit der gesuchten IP...:-( Ich werde die Tools von Sysinternals gleich mal probieren. Zitieren Link zu diesem Kommentar
zahni 566 Geschrieben 21. Oktober 2005 Melden Teilen Geschrieben 21. Oktober 2005 Könnte vielleicht diese Sache sein: http://www.mcseboard.de/showthread.php?t=74213 (siehe meinen letzten Beitrag) -Zahni Zitieren Link zu diesem Kommentar
Gulp 269 Geschrieben 21. Oktober 2005 Melden Teilen Geschrieben 21. Oktober 2005 Also die IP findest Du ganz sicher in der Registry: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interface\{Zahlencode des Interfaces} dort findest Du die Einträge "IPAdress" für eine manuell konfigurierte und "DHCPIPAdress" für eine dynamisch Adresse. Natürlich auch alle anderen relevanten Daten zur IP Adressierung (Subnet, DNS-Server, etc). Analog gilt das auch für weitere eingetragene ControlSets (ControlSet001, ControlSet002, etc). Ich will nur noch zu bedenken geben, dass SMB/NETBIOS völlig normale Dienste sind (Port 139 ist grundsätzlich nix Schlimmes), NETBIOS kann man deaktivieren, SMB ist für Netzwerkfreigaben essentiell. Welcher Server wird denn da abgefragt? Vielleicht einer, auf den eine Laufwerksverknüpfung existiert? Dann ist diese Abfrage auf Port 139 nämlich nicht unnormal. Grüsse Gulp Zitieren Link zu diesem Kommentar
edv-olaf 10 Geschrieben 21. Oktober 2005 Melden Teilen Geschrieben 21. Oktober 2005 Also die IP findest Du ganz sicher in der Registry: Welcher Server wird denn da abgefragt? Vielleicht einer, auf den eine Laufwerksverknüpfung existiert? Dann ist diese Abfrage auf Port 139 nämlich nicht unnormal. Na Gulp, nicht den Text gelesen? :D Es geht nicht um die eigene IP-Adresse (bitte zurückblättern) und der Server wurde auch schon genannt. :wink2: Zitieren Link zu diesem Kommentar
Gulp 269 Geschrieben 21. Oktober 2005 Melden Teilen Geschrieben 21. Oktober 2005 Hi edv-olaf ... ... die Nachricht habe ich tatsächlich nicht gelesen. Aber nun gut, nobody's perfect! ;) Gemappte Laufwerke sind hier: Beim aktuell angemeldeten User: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 Format: ##Servername#Freigabe HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Map Network Drive MRU (Diese Werte erheben leider nicht den Anspruch auf Vollständigkeit.) Analog dazu die Schlüssel zu allen lokalen Usern: HKEY_USERS\#WERT DES USERS zB .DEFAULT#\Software\Microsoft\Windows\CurrentVersion\Explorer\ Ich finde bei meinem Default Profil lediglich den Schlüssel MountPoints2. Sorry ..... Grüsse Gulp #####EDIT##### Allerdings würde ich mir das Rumsuchen ersparen und einfach ein Default Profil von einem möglichst baugleichen Rechner auf die Kiste kopieren, bzw dessen Registry partiell exportieren und in die der angesprochenen Kiste importieren. Spart Fummelei! Grüsse Gulp Zitieren Link zu diesem Kommentar
Picard1701 10 Geschrieben 26. Oktober 2005 Autor Melden Teilen Geschrieben 26. Oktober 2005 Danke Allen für die Antworten! @Gulp: Die Regschlüssel werde ich mir gleich mal angucken, bei den betroffenen PCs. Habe mir die Sache mit TCPView angeschaut. Dort stellt "System4" die Anfrage an den betreffenden Server. Danach wird diese Anfrage in die Warteposition gestellt. Nach einer Weile werden diese Prozesse dann beendet. Finde ich in der Registrierung der betroffenden Pcs keine verwaisten Laufwerke, weiß ich allerdings nicht weiter... Zitieren Link zu diesem Kommentar
zahni 566 Geschrieben 26. Oktober 2005 Melden Teilen Geschrieben 26. Oktober 2005 Du hast http://www.mcseboard.de/showpost.php?p=444286&postcount=7 probiert ? Ansonsten mal Ethereal nehmen und gucken, was der PC von der "IP" will. -zahni Zitieren Link zu diesem Kommentar
Picard1701 10 Geschrieben 26. Oktober 2005 Autor Melden Teilen Geschrieben 26. Oktober 2005 Du hast http://www.mcseboard.de/showpost.php?p=444286&postcount=7 probiert ?Ansonsten mal Ethereal nehmen und gucken, was der PC von der "IP" will. -zahni Hi, diese GPO will ich noch nicht streuen, da es die Ursache ja nicht bekämpft. Ich will saubere Profile, aber ziehe die Anwendung dieser GPO in Betracht. Danke, Picard1701 Zitieren Link zu diesem Kommentar
zahni 566 Geschrieben 26. Oktober 2005 Melden Teilen Geschrieben 26. Oktober 2005 Doch, die bekämpt die Ursache. Ursache sind die LNK-Files, die Verknüpfungen auf andere PC's oder Server enthalten. -zahni Zitieren Link zu diesem Kommentar
Gulp 269 Geschrieben 26. Oktober 2005 Melden Teilen Geschrieben 26. Oktober 2005 Danke Allen für die Antworten!@Gulp: Die Regschlüssel werde ich mir gleich mal angucken, bei den betroffenen PCs. Habe mir die Sache mit TCPView angeschaut. Dort stellt "System4" die Anfrage an den betreffenden Server. Danach wird diese Anfrage in die Warteposition gestellt. Nach einer Weile werden diese Prozesse dann beendet. Finde ich in der Registrierung der betroffenden Pcs keine verwaisten Laufwerke, weiß ich allerdings nicht weiter... System4 ist ja schon mal nicht schlecht, vor allem aber nicht ungewöhnlich. Dies ist normalerweise Systemprozess des OS. Dass dieser Prozess auf Port 139 sessions bereithält ist auch nicht ungewöhnlich, denn zum Beispiel ein eingeschaltetes NetBIOS öffnet genau diesen Port. Da lohnt es sich mal in die Eigenschaften der TCP/IP Verbindung zu gucken und gegebenenfalls NetBIOS zu deaktivieren. Grüsse Gulp Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.