Jump to content

WINS Server Abfragen auswerten


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Moin zusammen!

 

In unserem AD Umfeld (Windows Server 2003/2008) gibt es eine Anwendung von der ich vermute, sie benötigt NetBios Namensauflösung.

 

Also habe ich einen WINS Server installiert und einige Server mit der entsprechenden Konfig versehen.

 

Und tatsächlich tauchen in den WINS Server Statistiken Abfragen auf, viele die nicht erfolgreich sind.

 

Nun suche ich nach einer Möglichkeit, diese Abfragen auswerten zu können.

Mich interessiert nun natürlich, von welchem "Client" die Abfragen kamen und vor allem, "wo nach" gefragt wurde!

 

Leider habe ich noch nichts gefunden.

Einzige Idee wäre ein Netzwerkmonitor, da bin ich aber sehr ungeübt.

 

Kann mir jemand einen Tipp geben?

Link zu diesem Kommentar

 

Nun suche ich nach einer Möglichkeit, diese Abfragen auswerten zu können.

Mich interessiert nun natürlich, von welchem "Client" die Abfragen kamen und vor allem, "wo nach" gefragt wurde!

 

 

Wireshark Wireshark · Go deep. ist wirklich nicht allzu schwierig zu bedienen:

Nach der Installation am Winsserver öffnest du Wireshark, startest den Trace im Menü Capture - Interfaces. Unter Filter trägst du entweder "netbios" oder "tcp.port==42" ein (=Displayfilter)

Dann siehst du schon, ob was reinkommt und wer Source ist. Wenn du die Pakete öffnest, erkennst du auch Details

 

Wenn der Trace länger laufen soll, nutzt du besser einen CaptureFilter, statt eines Displayfilter. Schau dazu in die Hilfe, da gibts genügend Beispiele.

 

 

blub

Link zu diesem Kommentar

Moin und frohes Neues!

 

Danke erst ein mal für die Antworten.

Aber so ganz zufrieden bin ich noch nicht, soll das wirklich heissen, es gibt keine Protokollierung oder ähnliches für den WINS? Beim DNS bin ich da sehr viel mehr gewohnt...

 

Ich finde den Weg über einen Netzwerkmonitor doch reichlich unbequem...

 

GlobalNames ist mir bekannt, nur muss ich erstmal ermitteln, was überhaupt abgefragt wird...

Link zu diesem Kommentar

Moin lefg,

 

naja mit Protokollierung meine ich einfach, dass die Aktivitäten, Fehler, Warnungen und so weiter aufgezeichnet werden.

 

Beim DNS gibt es Event und Debug Logging.

 

Wie schon zu Anfang geschrieben, will ich nicht sehen wer sich im WINS registriert und ähnliches, sondern ich möchte wissen wer, welche Abfragen macht. Und ich möchte nicht raten, sondern einfach analysieren und dann wissen.

 

WINS habe ich nur testweise auf einigen Servern aktiviert, wie in meinem ersten Beitrag schon beschrieben...

Link zu diesem Kommentar

 

Wie schon zu Anfang geschrieben, will ich nicht sehen wer sich im WINS registriert und ähnliches, sondern ich möchte wissen wer, welche Abfragen macht. Und ich möchte nicht raten, sondern einfach analysieren und dann wissen.

 

 

Dafür brauchst du einen Netzwerkmonitor. Wenn dir das zu unbequem ist, wirst du diese Aufgabe nicht lösen können.

 

blub

Link zu diesem Kommentar

Moin!

 

@ iDiddi: bringt mir leider nicht viel, hatte ich schon aktiviert. Es werden keine Abfragen protokolliert.

 

@ Blub: leider muss ich dir nun zustimmen, schade.

 

Aber ist mit dem MS Network Monitor recht einfach.

Falls es mal jemanden interessieren sollte, um nur die fehlgeschlagenen Abfragen zu sehen, habe ich als Capture Filter "NbtNs.Flag.RCode == 0x3" verwendet.

Da ich keine Einträge in meinem WINS habe kann ich somit alles aufdecken, was angefragt wird.

Nun muss ich nur noch herausfinden, warum die Server/Anwendungen diese Namen anfragen. Es sind erstaunlicherweise Namen, die auch im DNS hinterlegt sind!

 

Vielen Dank an alle.

Link zu diesem Kommentar
  • 2 Wochen später...

so, nun komme ich nicht recht weiter.

Kennt ihr einen Weg lokal auf einem Anwendungsserver, der NetBIOS Abfragen schickt, festzustellen aus welcher Anwendung diese Anfragen kommen?

 

Ich möchte auf unseren produktiven Servern ungern einen Sniffer installieren, der sich in den TCP Stack einbindet...

 

Ich muss halt heraus finden warum diese Abfragen überhaupt bei meinem WINS ankommen, obwohl die Namen im DNS stehen.

Es gibt aber auch Namen, die überhaupt keinen Sinn machen. (völlig unbekannte Servernamen)

Link zu diesem Kommentar

Hi,

 

Wenn du nichts installieren willst, kannst du das installationsfreie Sysinternaltool "processmonitor" auf den Servern starten mit dem Filter "TCP Send" und ganz wichtig mit "Drop Filtered Events" (quasi der Capture Filter des Procmon), sonst geht der Server in die Knie. Bau dir am besten einen parametrisierten Aufruf über Commandline

Gleichzeitig auf einem Spiegelport den Netzwerkverkehr mitsniffern. Beide Ergebnisse kannst du dann über die Zeitstempel konsolidieren.

 

Wäre zumindes eine Methode, ohne auf den Servern etwas zu installieren.

 

Persönlich würde ich den Wins einfach deaktivieren. Dann wird schon jemand schreien, wenn er es braucht :-)

 

blub

Link zu diesem Kommentar

Moin!

 

Tja, dann werde ich das wohl versuchen müssen, oder mir n Snapshot ziehen und doch einen Netzwerk Monitor installieren...

 

Derzeit gibt es nur zu Testzwecken einen WINS Server, und dort habe ich dann ja sehen können, was es für Abfragen gibt.

 

Wir haben anscheinend Anwendungsproblem, weil die Server auf der "Suche" nach diversen Namen NetBIOS Broadcasts machen. Deshalb überhaupt die WINS Sache...

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...