Jump to content
Sign in to follow this  
Pipeline

WINS Server Abfragen auswerten

Recommended Posts

Moin zusammen!

 

In unserem AD Umfeld (Windows Server 2003/2008) gibt es eine Anwendung von der ich vermute, sie benötigt NetBios Namensauflösung.

 

Also habe ich einen WINS Server installiert und einige Server mit der entsprechenden Konfig versehen.

 

Und tatsächlich tauchen in den WINS Server Statistiken Abfragen auf, viele die nicht erfolgreich sind.

 

Nun suche ich nach einer Möglichkeit, diese Abfragen auswerten zu können.

Mich interessiert nun natürlich, von welchem "Client" die Abfragen kamen und vor allem, "wo nach" gefragt wurde!

 

Leider habe ich noch nichts gefunden.

Einzige Idee wäre ein Netzwerkmonitor, da bin ich aber sehr ungeübt.

 

Kann mir jemand einen Tipp geben?

Share this post


Link to post
Share on other sites

Ich würde mit Wireshark die Verbindungen zum Server auswerten. Vielleicht gibt es aber auch eine direkte Möglichkeit im WINS, ich bin den Dienst zum Glück los geworden ;).

 

Achja wenn dein Ziel auch die Ablösung von WINS seien sollte, so schau dir mal Global Names an.

Share this post


Link to post
Share on other sites

Könnten das Netzwerkdrucker sein mit festen IPs, aber keine Möglichkeit zum Konfigurieren eines DNS-Eintrages, WINS aber einstellbar?

Share this post


Link to post
Share on other sites

 

Nun suche ich nach einer Möglichkeit, diese Abfragen auswerten zu können.

Mich interessiert nun natürlich, von welchem "Client" die Abfragen kamen und vor allem, "wo nach" gefragt wurde!

 

 

Wireshark Wireshark · Go deep. ist wirklich nicht allzu schwierig zu bedienen:

Nach der Installation am Winsserver öffnest du Wireshark, startest den Trace im Menü Capture - Interfaces. Unter Filter trägst du entweder "netbios" oder "tcp.port==42" ein (=Displayfilter)

Dann siehst du schon, ob was reinkommt und wer Source ist. Wenn du die Pakete öffnest, erkennst du auch Details

 

Wenn der Trace länger laufen soll, nutzt du besser einen CaptureFilter, statt eines Displayfilter. Schau dazu in die Hilfe, da gibts genügend Beispiele.

 

 

blub

Share this post


Link to post
Share on other sites

Moin und frohes Neues!

 

Danke erst ein mal für die Antworten.

Aber so ganz zufrieden bin ich noch nicht, soll das wirklich heissen, es gibt keine Protokollierung oder ähnliches für den WINS? Beim DNS bin ich da sehr viel mehr gewohnt...

 

Ich finde den Weg über einen Netzwerkmonitor doch reichlich unbequem...

 

GlobalNames ist mir bekannt, nur muss ich erstmal ermitteln, was überhaupt abgefragt wird...

Share this post


Link to post
Share on other sites

Hallo und ein frohes neues Jahr auch dir.

 

Was verstehst Du unter Protokollierung beim WINS? Was bist Du beim DNS anders gewohnt? Siehst Du beim WINS nicht die Einträge der Teilnehmer? Ist bei den Teilnehmern den WINS konfiguriert?

Share this post


Link to post
Share on other sites

Moin lefg,

 

naja mit Protokollierung meine ich einfach, dass die Aktivitäten, Fehler, Warnungen und so weiter aufgezeichnet werden.

 

Beim DNS gibt es Event und Debug Logging.

 

Wie schon zu Anfang geschrieben, will ich nicht sehen wer sich im WINS registriert und ähnliches, sondern ich möchte wissen wer, welche Abfragen macht. Und ich möchte nicht raten, sondern einfach analysieren und dann wissen.

 

WINS habe ich nur testweise auf einigen Servern aktiviert, wie in meinem ersten Beitrag schon beschrieben...

Share this post


Link to post
Share on other sites

 

Wie schon zu Anfang geschrieben, will ich nicht sehen wer sich im WINS registriert und ähnliches, sondern ich möchte wissen wer, welche Abfragen macht. Und ich möchte nicht raten, sondern einfach analysieren und dann wissen.

 

 

Dafür brauchst du einen Netzwerkmonitor. Wenn dir das zu unbequem ist, wirst du diese Aufgabe nicht lösen können.

 

blub

Share this post


Link to post
Share on other sites

Moin!

 

@ iDiddi: bringt mir leider nicht viel, hatte ich schon aktiviert. Es werden keine Abfragen protokolliert.

 

@ Blub: leider muss ich dir nun zustimmen, schade.

 

Aber ist mit dem MS Network Monitor recht einfach.

Falls es mal jemanden interessieren sollte, um nur die fehlgeschlagenen Abfragen zu sehen, habe ich als Capture Filter "NbtNs.Flag.RCode == 0x3" verwendet.

Da ich keine Einträge in meinem WINS habe kann ich somit alles aufdecken, was angefragt wird.

Nun muss ich nur noch herausfinden, warum die Server/Anwendungen diese Namen anfragen. Es sind erstaunlicherweise Namen, die auch im DNS hinterlegt sind!

 

Vielen Dank an alle.

Share this post


Link to post
Share on other sites

so, nun komme ich nicht recht weiter.

Kennt ihr einen Weg lokal auf einem Anwendungsserver, der NetBIOS Abfragen schickt, festzustellen aus welcher Anwendung diese Anfragen kommen?

 

Ich möchte auf unseren produktiven Servern ungern einen Sniffer installieren, der sich in den TCP Stack einbindet...

 

Ich muss halt heraus finden warum diese Abfragen überhaupt bei meinem WINS ankommen, obwohl die Namen im DNS stehen.

Es gibt aber auch Namen, die überhaupt keinen Sinn machen. (völlig unbekannte Servernamen)

Share this post


Link to post
Share on other sites

Hi,

 

Wenn du nichts installieren willst, kannst du das installationsfreie Sysinternaltool "processmonitor" auf den Servern starten mit dem Filter "TCP Send" und ganz wichtig mit "Drop Filtered Events" (quasi der Capture Filter des Procmon), sonst geht der Server in die Knie. Bau dir am besten einen parametrisierten Aufruf über Commandline

Gleichzeitig auf einem Spiegelport den Netzwerkverkehr mitsniffern. Beide Ergebnisse kannst du dann über die Zeitstempel konsolidieren.

 

Wäre zumindes eine Methode, ohne auf den Servern etwas zu installieren.

 

Persönlich würde ich den Wins einfach deaktivieren. Dann wird schon jemand schreien, wenn er es braucht :-)

 

blub

Share this post


Link to post
Share on other sites

Moin!

 

Tja, dann werde ich das wohl versuchen müssen, oder mir n Snapshot ziehen und doch einen Netzwerk Monitor installieren...

 

Derzeit gibt es nur zu Testzwecken einen WINS Server, und dort habe ich dann ja sehen können, was es für Abfragen gibt.

 

Wir haben anscheinend Anwendungsproblem, weil die Server auf der "Suche" nach diversen Namen NetBIOS Broadcasts machen. Deshalb überhaupt die WINS Sache...

Share this post


Link to post
Share on other sites
... anscheinend Anwendungsproblem, weil die Server auf der "Suche" nach diversen Namen NetBIOS Broadcasts machen. .......

 

Ich kann die anscheinenden Probleme und die Begründung dafür nicht nachvollziehen.

 

Welche Probleme treten konkret auf, was funktioniert nicht oder nur schlecht?

 

:)

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...