Hallo,
seitdem letzte Woche ein neues Firewallsystem Einzug gehalten hat (Watchguard X750e) stelle ich mit den mitgebrachten Monitoring-Möglichkeiten (Host-Watch) erschreckend fest, dass einer unserer Windows Server fleißig nach draußen telefoniert und zwar über Port 137 UDP. Teilweise sind mehrere 100 Verbindungen gleichzeitig offen, was zu erheblicher Last führt. Um die Auswirkungen einzudämmen wurde die Telefonie über Port 137 UDP von dieser Maschine vorerst per FW-Policy unterbunden.
Die Broadcasts gehen teilweise an komplette Adressbereiche ins öffentliche Netz, aber auch (dem angehängten Screenshot zu entnehmen) ins 169.254.x.x Netz, welches ja eigentlich von Windows für die automatische Adresszuteilung verwendet wird, wenn kein DHCP Server im Netz steht.
Der Server hat 2 NICs an Bord, von denen eine deaktiviert ist. Probehalber wurde die 2. NIC in Betrieb genommen (Adressierung im selben Subnetz wie die erste NIC). Im Traffic Monitor der Firewall war dann auch sehr schön zu sehen, dass die Broadcasts über beide NICs gehen.
Habe zuerst vermutet, dass sich ein Trojaner o.ä. eingenistet hat, ein FullScan mit Kaspersky (aktuelle Definitionen) ergab aber keine Treffer - ebensowenig wie der Einsatz von Ad-Aware und Spybot. Der MS Baseline Security Analyzer stellt auch keine kritischen Konfigurationsfehler fest.
Steckbrief:
DELL PowerEdge 850
Windows Server 2003 R2 Standard SP2
2. DC im Netz
Neben DNS und IIS laufen WSUS 2.0 der Kaspersky Administration Server sowie der Watchguard Log Server auf der Maschine. Probehalber wurden die Dienste (WSUS, Kaspersky, Log Server) schon gestoppt um Veränderungen am Broadcast Verhalten festzustellen - ohne Erfolg.
Adressierung im Netz erfolgt nicht per DHCP, alle Maschinen werden fest adressiert.
Google wurd schon redlich bemüht, allerdings ohne erfolgsversprechende Ergebnisse.
Vielleicht hat ja noch jemand eine Idee (außer Neuinstallation).
Danke & Gruß
Sebastian