Tomsk Sysadmins Forum

Windows => Администрирование => Topic started by: Uri_K on June 19, 2006, 17:16:49

Title: Трафик из прошлого
Post by: Uri_K on June 19, 2006, 17:16:49

Добрый день.

Подскажите, с какой стороны подступиться к проблеме.

MS Network Monitor показывает, что парочка машин шлет запросы такого вида

Src MAC Addr       Dst MAC Addr        Proto               Description
-------------------------------------------------------------------------------------------
name                   *BROADCAST        NBT                NS: Query req. for _НЕСУЩЕСТВУЮЩЕЕ ИМЯ_ <00>

Раньше машина с таким именем в сети была, теперь нет.  Поиск в реестре ничего не дал.
Где поискать? Каким инструментом?

Title: Трафик из прошлого
Post by: nuclight on June 19, 2006, 23:46:21

Quote from: Uri_K

Добрый день.

Подскажите, с какой стороны подступиться к проблеме.

MS Network Monitor показывает, что парочка машин шлет запросы такого вида

Src MAC Addr       Dst MAC Addr        Proto               Description
-------------------------------------------------------------------------------------------
name                   *BROADCAST        NBT                NS: Query req. for _НЕСУЩЕСТВУЮЩЕЕ ИМЯ_ <00>

Раньше машина с таким именем в сети была, теперь нет.  Поиск в реестре ничего не дал.
Где поискать? Каким инструментом?

Перезагружать пробовал? Самбы в сети нет?

Title: Трафик из прошлого
Post by: Uri_K on June 20, 2006, 13:02:49

Quote from: nuclight

Перезагружать пробовал? Самбы в сети нет?

Самбы нет. Перезагружал.
Думаю еще а АД посмотреть.
По хорошему, мне нужен совет по поводу инструмента, что бы определить какая служба этот трафик порождает. Тогда дело быстрее пойдет. А то вслепую ищу. TCPView и ProcessExplorer ничего не дают.
Самое подозрительное, что контроллер доверяющего домена ищет машину, хотя она была Domain Member и брать ему там решительно нечего.

Title: Трафик из прошлого
Post by: kuguar on June 20, 2006, 14:47:44

я бы проверил 1. что в журналах событий на этих машинах - может на тойужеубитой машине стоял расшареный принтер/ресурс/сервер 2.  поглядел настройки wins на них же 3. глянул им в hosts

Title: Трафик из прошлого
Post by: Uri_K on June 20, 2006, 16:18:25

Quote from: kuguar

я бы проверил 1. что в журналах событий на этих машинах - может на тойужеубитой машине стоял расшареный принтер/ресурс/сервер 2.  поглядел настройки wins на них же 3. глянул им в hosts

1.В журнале на эту тему зацепиться не за что. Подключенные несуществующие ресурсы отлавливаются через реестр. Там я смотрел, ничего не увидел.
2.Мне кажется винс здесь непричем, т.к. потребность узнать имя машины возникает раньше винса (К тому же если бы винс отдавал имя, не было бы широковещательных запросов. То же самое справедливо и для lmhosts).
Сами по себе правильно или неправильно сконфигурированные wins и hosts не могут быть причиной такого трафика imho.

Title: Трафик из прошлого
Post by: nuclight on June 21, 2006, 23:28:12

Quote from: Uri_K

1.В журнале на эту тему зацепиться не за что. Подключенные несуществующие ресурсы отлавливаются через реестр. Там я смотрел, ничего не увидел.
2.Мне кажется винс здесь непричем, т.к. потребность узнать имя машины возникает раньше винса (К тому же если бы винс отдавал имя, не было бы широковещательных запросов. То же самое справедливо и для lmhosts).
Сами по себе правильно или неправильно сконфигурированные wins и hosts не могут быть причиной такого трафика imho.

А ты не могу бы сами имена привести? Иногда винда сама ломится на несуществующие адреса, типа wpad.<domainname> ?

Title: Трафик из прошлого
Post by: Uri_K on June 22, 2006, 10:08:21

Quote from: nuclight

А ты не могу бы сами имена привести? Иногда винда сама ломится на несуществующие адреса, типа wpad.<domainname> ?

Ищется имя, которое было раньше у машины админа. С wpad проблем нет.
Сегодня буду проверять Everest, может его агенты чего не надо запомнили. Хотя в целом все машинки рапортуют.