freak-on-silicon
Goto Top

Wireshark - Name query NB . sysprepPC

Hallo;

Ich versuche mich endlich mehr mit Wireshark zu beschäftigen, und da ist mir folgendes aufgefallen:

33878 132.705411 10.1.5.237 10.1.255.255 NBNS 92 Name query NB "computername"<00>

Diese Einträge tauchen zu Hauf auf, nämlich von PCs mit einem vom WDS ausgerollten gesysprepten (geiles Wort) Image.
Computername ist der mit dem ich damals das sysprep erstellt habe.

Ist das normal?

Per DHCP werden nicht nur die DNS Server verteilt, sondern auch die WINS Server (sind die gleichen), lustigerweise kann mir nichtmal mein "Chef" sagen warum das so ist, bzw ob wir die brauchen. Das muss ich noch herausfinden.

Server 2012R2 Domäne.
~15 Server
~150 Clients
Fortigate Firewall
DHCP und DNS machen die DC

Mfg
Lukas

Content-Key: 324100

Url: https://administrator.de/contentid/324100

Ausgedruckt am: 19.03.2024 um 06:03 Uhr

Mitglied: BassFishFox
BassFishFox 16.12.2016 um 15:03:24 Uhr
Goto Top
Hallo,

Mach Dich hier schlau.

https://wiki.wireshark.org/NetBIOS/NBNS

BFF
Mitglied: Freak-On-Silicon
Freak-On-Silicon 16.12.2016 um 15:11:13 Uhr
Goto Top
Genau auf der Seite war ich schon, hab natürlich bevor ich hier schrieb gegoogelt.

Trotzdem verstehe ich nicht wieso die Clients nach den Namen der Maschine schreien von der ich gesysprept habe.
Mitglied: aqui
aqui 16.12.2016 aktualisiert um 16:08:15 Uhr
Goto Top
Ist das normal?
Nein...nicht wirklich !
wieso die Clients nach den Namen der Maschine schreien von der ich gesysprept habe.
Da irrst du ??
Du kannst ja sehen das es ein Broadcast ist 10.1.255.255 an den diese Frames gehen.
Was auch deinen kranken 16 Bit IP Prefix in der Adressierung zeigt für 150 Clients was aber jetzt nur nebensächlich ist.
Was hier passiert ist das der Rechner mit der IP 10.1.5.237 sich selber krampfhaft im Netz mit seinem Namen bekannt machen will. Warum auch immer...
Mit einem lokalen DNS wäre NBNS eh überflüssig, deshalb ist das auch nicht normal.
Die Angabe zuhauf ist natürlich sehr hilfreich. Damit können wir sofort sehen ob das normal oder unnormal ist.
Zuhauf in 24 Stunden ist sicher normal. Zuhauf in 1 Minute ganz sicher nicht.
Mitglied: 131381
131381 17.12.2016 aktualisiert um 16:16:40 Uhr
Goto Top
Trotzdem verstehe ich nicht wieso die Clients nach den Namen der Maschine schreien von der ich gesysprept habe.
Weil vermutlich auf dem mittlerweile schon lange überflüssigen WINS-Server noch ein Cache-Eintrag existiert, welchen er ins Netz pustet.

Gruß
Mitglied: Freak-On-Silicon
Freak-On-Silicon 19.12.2016 aktualisiert um 09:22:45 Uhr
Goto Top
Ja ich sehe natürlich dass die an einen Broadcast gehen, trotzdem fragen sie eben nach "computername"<00> oder verstehe ich das falsch?

Zitat von @aqui:
Was auch deinen kranken 16 Bit IP Prefix in der Adressierung zeigt für 150 Clients was aber jetzt nur nebensächlich ist.

Ich hab schlicht nicht dazugeschrieben dass in dem Netzwerk 8 Subnetze sind.
Und eben nicht nur die 150 gesysprepten Clients sondern noch weitere 30 PCs + ~200 WLAN Clients.

Bist dir sicher dass der sich bekanntmachen will und nicht nach eben diesem "computername"<00> fragt?

Ich weiß dass es überflüssig ist, und es kommt auch weg, trotzdem hätte es mich interessiert was da los ist.
Ich will ja dazu lernen.

Ich hatte den Wireshark ungefähr 5 Minuten laufen, und jeder der aktiven gesysprepten Clients hat ungefähr 20 Anfragen geschickt.
Mitglied: Freak-On-Silicon
Freak-On-Silicon 19.12.2016 um 09:23:59 Uhr
Goto Top
Hm, ok, nur warum fragen alle nach dem "Master"? Eben nach der Maschine von der aus gesysprept wurde.
Mitglied: aqui
aqui 19.12.2016 um 10:13:55 Uhr
Goto Top
Ich hab schlicht nicht dazugeschrieben dass in dem Netzwerk 8 Subnetze sind.
Was ja völliger Quatsch ist, denn dann hättest du eine ganz andere Broadcast Adresse !
Ein Routing und Segmentierung in die ominösen 8 Subnetze kann es so technisch gar nicht geben, oder da ist was oberfaul in der IP Adressierung. Aber egal....
Mitglied: 131381
131381 19.12.2016 aktualisiert um 10:52:19 Uhr
Goto Top
Poste mal die Ausgaben von
nbtstat -n und nbtstat -c auf diesen Clients. Ich schätze mal die haben den Namen eventuell noch in der lokalen Namenstabelle rumgeistern. Durchsuche auch mal die Registry nach dem Namen.

Und zu eurem WINS hast du auch noch nicht viel gesagt, dort bitte ebenfalls die aktuellen Einträge checken.

Wir kennen deine Umgebung ja nicht face-confused

Gruß
Mitglied: Freak-On-Silicon
Freak-On-Silicon 19.12.2016 um 12:29:22 Uhr
Goto Top
Ja hast natürlich recht^^

Es sind in dem Sinn keine Subnetze.

Sondern wir haben
10.1.x.x
10.2.x.x
10.3.x.x
.
.
.
usw

Sorry, hab den Namen missbraucht.
Mitglied: aqui
aqui 19.12.2016 um 14:12:07 Uhr
Goto Top
Sondern wir haben
Ziemlich kranke Maske mit einem 16 Bit Prefix.
Wozu braucht man 65.534 Hosts in einem Subnetz wenn ein Ethernet bei 300 schon nicht mehr gut funktioniert ?!
Aber egal....
Mitglied: 131381
131381 19.12.2016 aktualisiert um 15:48:48 Uhr
Goto Top
Ich schätze der Grund: Otto-Normaluser kennt keine anderen Masken als 16 und 24, bzw. kann keine Subnetzrechner bedienen face-smile
Mitglied: aqui
aqui 20.12.2016 um 10:37:38 Uhr
Goto Top
Das wird wie immer das Problem sein...die leben noch in der "Klassen Steinzeit" face-smile
Mitglied: Freak-On-Silicon
Freak-On-Silicon 30.12.2016 um 11:32:13 Uhr
Goto Top
Da steht eigentlich nirgends was verdächtiges drin.
Hm, egal WINS wird sowieso abgedreht.

In der Registry taucht der Namen nur bei einem Programm auf, dass auf den verweist, und mich wundert es dass dieses Programm trotzdem funktioniert^^

Auf den Servern sind die "Ative Registrierungen" leer.

Ich kenne meine Umgebung anscheinend auch nciht, ich wusste ja bis vor kurzem nicht mal dass WINS hier aktiviert ist. Warum kann mir natürlich auch keiner sagen...
Mitglied: Freak-On-Silicon
Freak-On-Silicon 30.12.2016 aktualisiert um 11:37:22 Uhr
Goto Top
Dass ein Ethernet mit mehr als 300 Hosts nicht mehr gut funktioniert war vielleicht vor 10 Jahren so... Ab 1000 ja ok.

Fühlt ihr euch eigentlich irgendwie besser wenn ihr andere runter macht?
Nicht jeder wurde so wie ihr als unfehlbarer allwissender IT-Gott geboren...

Ich bin bei weitem kein Otto-Normaluser und ich kann sehr wohl Subnetze berechnen.
Nur wieso sollte ich das tun?
Gibt keinen Grund dafür, Netzmaske /16 und fertig.

Abgesehen davon hab das Ganze hier nicht ich aufgebaut. Bin selbst erst seit einem Jahr hier und räume auf.
Mitglied: 131381
131381 30.12.2016 aktualisiert um 11:41:11 Uhr
Goto Top
Gibt keinen Grund dafür, Netzmaske /16 und fertig.
Ah ja, schon mal was von "Broadcaststorms" gehört?
Abgesehen davon hab das Ganze hier nicht ich aufgebaut. Bin selbst erst seit einem Jahr hier und räume auf.
Gut face-smile dann kannst du damit ja gleich mit anfangen face-wink.

Viel Erfolg.

Gruß mik.
Mitglied: Freak-On-Silicon
Freak-On-Silicon 30.12.2016 um 11:46:08 Uhr
Goto Top
Ja schonmal gehört, allerdings noch nichts damit zu tun gehabt.
Werde ich mir mal genauer anschauen.

Mache seit einem Jahr hier nichts anderes.

Wenn ich publik machen würde was hier alles passiert ist bzw teilweise noch ist, würdet ihr wahrscheinlich aus Mitleid das Gebäude anzünden.
Mitglied: aqui
aqui 30.12.2016 um 11:50:09 Uhr
Goto Top
Deshalb wollen wir es auch besser gar nicht erst wissen ! Es reicht vollends wenn du dich mit so einem üblen Chaos rumärgern musst face-wink