Jump to content

Empfohlene Beiträge

Hey zusammen, ich hab da ein Problem in unserem Netz: zwischendurch ist der Traffic auf unserer Internetleitung (100MBit) bei 100%, so das kein weiteres Arbeiten möglich ist.

Diese Lastspitzen treten überwiegend morgens zwischen 09:15 und 09:30 Uhr und nachmittags zwischen 18:00 und 18:30 Uhr auf. Ab und an auch zu anderen Zeiten.

Unser Netz besteht aus einem AD mit zwei Windows-2012 R2 Servern, 60 Windows-10 Clients, ein paar Druckern und einer extern gewarteten Firewall, die unser Gateway ist. Die Server sind als DHCP Failover eingerichtet und auf beiden läuft der DNS Server.

Unsere Switche sind recht alt und können nicht direkt angesprochen werden. Die Firewall (Netscreen SSG5) kann die IP Adressen nicht filtern, die den hohen Traffic erzeugen (zumindest laut ISP, der auch die Firewall wartet).

Wir sehen lediglich über einen vom ISP bereitgestellten PRTG-Monitor, wie hoch die Auslastung am Gateway im LAN und im WAN ist. 

Was muss ich anstellen, um den Traffic inkl IP-Adressen angezeigt zu bekommen, der von intern nach extern und umgekehrt läuft ?

 

Gruß

Markus

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 17 Minuten schrieb Sunny61:

Habt ihr einen WSUS im Einsatz? Wie ist Windows Update auf den Clients konfiguriert?

WSUS haben wir (noch) nicht, Updates kommen bisher automatisch. Das Problem besteht komischerweise erst seit September letzten Jahres,

da hab ich den zweiten Server aufgesetzt und als DHCP-Failover eingerichtet. Hatte zuvor einen alten Desktop Rechner als Failover-Server, da gab es keine Probleme. 

Hatten Zeitgleich Probleme mit unserer Internetleitung (Syncverluste am Modem), die aber behoben wurden. Nur die "Ruckler" sind halt geblieben. Laut ISP hängt das jetzt mit den Lastspitzen zusammen.  

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Moin

 

PRTG ist schon ein schönes Tool. Schön wären auch einigermaßen moderne Switche, da kann man denn über SNMP gut schauen. Ich habe aber auch schon mit einem Hub als Mess und einem Laptop mit PRTG drauf Engstellen gefunden, den Hub in die zu überwachende Verbindung eingeschleift mit dem Laptop dran zum Monitoren.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 15 Minuten schrieb lefg:

Moin

 

PRTG ist schon ein schönes Tool. Schön wären auch einigermaßen moderne Switche, da kann man denn über SNMP gut schauen. Ich habe aber auch schon mit einem Hub als Mess und einem Laptop mit PRTG drauf Engstellen gefunden, den Hub in die zu überwachende Verbindung eingeschleift mit dem Laptop dran zum Monitoren.

Switche sind, wie schon geschrieben, "doof" (genau wie ich bei der Einrichtung von PRTG)...

Hab mich damit bisher nicht auseinander setzen müssen, bin daher ziemlich ahnungslos.

 

Gruß

Markus

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Oh Mist, nun ist mir ein Beitrag verlorengegangen.

 

Ich hatte mal von PRTG keine Ahnung, irgendwann blieb mir nichts anderes übrig. Das Erlebnis war dann grundlegend.

 

 

bearbeitet von lefg

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Prüfe. ob Du auf der Firewall ein Packet Capture im PCAP-Format machen kannst. Diese Datei kannst Du dann mit Wireshark analysieren.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
Gerade eben schrieb zahni:

Prüfe. ob Du auf der Firewall ein Packet Capture im PCAP-Format machen kannst. Diese Datei kannst Du dann mit Wireshark analysieren.

Ich weiß lediglich die IP Adresse von der Firewall. Ansonsten hab ich da keinen Zugriff. Wie bekomme ich da ein Packet Capture hin?

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Dann musst Du es machen wie von "lefg" beschrieben: guten alten Hub aus dem Archiv kramen, Firewall, LAN und Notebook daran anschliessen. Danach siehst Du den Traffic am Notebook. Aufzeichnung entweder per Wireshark (für eine kurze Diagnose) oder über einen längeren Zeitraum mit PRTG.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Opa erzählt vom Krieg:

 

Vor Jahren eines Abends, eine Kollegin von nebenan verabschiedete sich in den Urlaub, in dem Moment brach der Traffik der Sektion zusammen, der 3Com-Switch flippte aus, alles blinkte. Die Kollegin schaltete sonst nie den Rechner aus. Der Rechner ausgeschaltet erzeugte das Netzwerkinterface einen Storm auf Layer 2. Ich nutzte die Gelegenheit zum Kauf neuer Switche.

 

In einem anderen Fall war der erstmals wieder eingeschaltete Rechner einer aus dem Urlaub zurückgekehrten Kollegin die Ursache, der versuchte Updates, das schaffte aber der Scanner auf dem Proxy zum Higher Headqarter nicht. Mit dem Abgang zum HH als Mirrorport und einem PRTG am Monitorport war dann die Dicke des Traffik der Teilnehmer sehr gut zu beobachten und auch aufzuzeichen. Ich mache das zur Dauereinrichtung.

 

 

 

Sollte man messtechnisch und detektivisch erfolglos sein, dann bleibt wohl nichts anderes übrig als mit Versuch und Irrtum vorzugenen, Sektionen abklemmen, dann Teilnehmer.

 

Auch auf die LEDs der Switche könnte man schauen.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ich Überwache mit PRTG auch unseren kompletten Tarffic und habe damit gleich eine MAP erstellt.

Wenn Irgendwo irgendwer meldet das etwas Richtung Internet sehr langsam ist, dann kann ich innerhalb von paar Sekunden sagen, welches Endgerät dafür verantwortlich ist.

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen
vor 16 Stunden schrieb stemar:

WSUS haben wir (noch) nicht, Updates kommen bisher automatisch. Das Problem besteht komischerweise erst seit September letzten Jahres,

da hab ich den zweiten Server aufgesetzt und als DHCP-Failover eingerichtet. Hatte zuvor einen alten Desktop Rechner als Failover-Server, da gab es keine Probleme. 

Hatten Zeitgleich Probleme mit unserer Internetleitung (Syncverluste am Modem), die aber behoben wurden. Nur die "Ruckler" sind halt geblieben. Laut ISP hängt das jetzt mit den Lastspitzen zusammen.  

 

Dann wird es Zeit einen WSUS einzusetzen und die Clients via GPO korrekt zu konfigurieren. Sind die Spitzen dann weg, hast Du die Ursache gefunden. Wenn die Spitzen nicht weg sind, hast Du eine Möglichkeit ausgeschlossen und gleichzeitig etwas sinnvolles für die Zukunft aufgesetzt.

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Ich sehe schon, ich muss mich erstmal entscheiden, ob Wireshark oder PRGT, und danach dann den WSUS einrichten...

Gibt's Empfehlungen, welches Monitoring Tool für einen Anfänger besser geeignet ist? Und das nicht nur aus Sympathie zum Programm :)

 

Gruß

Markus

 

Diesen Beitrag teilen


Link zum Beitrag
Auf anderen Seiten teilen

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden

×