Windows Server2012 R2 Verbindungsversuch zu vortex-win.data.microsoft.com

[brause76 0]

Hallo zusammen!

Ich habe hier zwei WindowsServer2012R2 Systeme als Virtuelle Maschinen auf einer vSphere5.5 laufen. Auf einem System ist die WSUS-Rolle installiert, das zweite System läuft im Erstinstallationszustand, keine weiteren Programme sind installiert, aktiviert sind beide.

Nun zu folgendem Problem:

Auf meiner Firewall sehe ich, dass beide System alle 2 Minuten einen Verbindungsaufbau zur Adresse 191.232.139.4 oder 191.232.139.5 auf Port 443 unternehmen. Nach langem Suchen mit netstat und Wireshark habe ich ermitteln können, dass die IP-Adressen zu folgender Adresse führen: vortex.data.microsoft.com bzw. groups.data.microsoft.com

Leider konnte ich mehr aus der Verbindung nicht lesen, da sie ja verschlüsselt ist.

Nun meine Frage: Habt ihr eine Idee, welcher Dienst hier gerne nach Hause telefonieren möchte und wie man ihn zum Schweigen bringt?

Vielen Dank

Frank

[Sunny61 833]

Du darfst gerne auf das Crossposting in http://www.administrator.de/frage/windows-server2012-r2-verbindungsversuch-vortex-win-data-microsoft-com-270491.html hinweisen. Hast Du übrigens in den Regeln auch abgenickt. http://www.mcseboard.de/topic/191452-regeln

[brause76 0]

Ok, sorry. Zum einen natürlich nur überflogen und zum anderen die Hoffnung, eine weitere Zielgruppe mit dieser Frage anzusprechen...

[Sunny61 833]

Ok, sorry. Zum einen natürlich nur überflogen und zum anderen die Hoffnung, eine weitere Zielgruppe mit dieser Frage anzusprechen...

Das warum ist allen klar, aber Du hast natürlich nicht die Ergebnisse vom anderen Forum hier gepostet. Das ist grundsätzlich schlecht.

 

Hast Du denn auf dem WSUS den WSUS-Dienst schon mal beendet und dann nochmal kontrolliert? Du kannst die Anfragen ja auch auf 127.0.0.1 umleiten, das ist das 'Problem' gelöst.

[brause76 0]

Hallo Sunny61,

 

ich habe den WSUS-Dienst gestoppt, leider kein Erfolg.

Ich konnte mittels netmon den Verbindungsversuch auch Protokollieren, kann allerdings aus den Protokolleinträgen nicht den auslösenden Prozess ermitteln.

[testperson 1.859]

Hi,

 

"netstat -ano" sollte dir die PID des Prozess nennen können.

 

Gruß

Jan

[Sunny61 833]

Ich konnte mittels netmon den Verbindungsversuch auch Protokollieren, kann allerdings aus den Protokolleinträgen nicht den auslösenden Prozess ermitteln.

Mit Wireshark direkt auf den beiden Maschinen solltest Du weiter kommen.

[brause76 0]

So... Thema gelöst!

 

Nachdem ich dank dem Hinweis von Testperson die PID ermittelt habe (svchost.exe) und dann über den Befehl

 

tasklist /svc /FI "IMAGENAME eq svchost.exe"

 

den entsprechenden Dienst (DiagTrack) ermitten konnte kam Klarheit in die Sache.

 

Mit dem Update KB3022345 hat Microsoft ein "Diagnose & Trackingtool" ausgerollt.

 

Hier gibts unter Post #19 noch weitere Informationen.

 

 

Vielen Dank an alle!

Brause

[Sunny61 833]

In http://www.administrator.de/frage/windows-server2012-r2-verbindungsversuch-vortex-win-data-microsoft-com-270491.html darfst Du noch erläutern, wie *genau* der Lösungsvorschlag von Testperson lautete. Auch einen Link zu diesem Thread hier posten kann sicherlicht nicht schaden.

 

Danke trotzdem für die Rückmeldung. ;)