Трафик из прошлого

[Uri_K]

Добрый день.

Подскажите, с какой стороны подступиться к проблеме.

MS Network Monitor показывает, что парочка машин шлет запросы такого вида

Src MAC Addr       Dst MAC Addr        Proto               Description
-------------------------------------------------------------------------------------------
name                   *BROADCAST        NBT                NS: Query req. for _НЕСУЩЕСТВУЮЩЕЕ ИМЯ_ <00>

Раньше машина с таким именем в сети была, теперь нет.  Поиск в реестре ничего не дал.
Где поискать? Каким инструментом?

[nuclight]

Добрый день.

Подскажите, с какой стороны подступиться к проблеме.

MS Network Monitor показывает, что парочка машин шлет запросы такого вида

Src MAC Addr       Dst MAC Addr        Proto               Description
-------------------------------------------------------------------------------------------
name                   *BROADCAST        NBT                NS: Query req. for _НЕСУЩЕСТВУЮЩЕЕ ИМЯ_ <00>

Раньше машина с таким именем в сети была, теперь нет.  Поиск в реестре ничего не дал.
Где поискать? Каким инструментом?

Перезагружать пробовал? Самбы в сети нет?

[Uri_K]

Перезагружать пробовал? Самбы в сети нет?

Самбы нет. Перезагружал.
Думаю еще а АД посмотреть.
По хорошему, мне нужен совет по поводу инструмента, что бы определить какая служба этот трафик порождает. Тогда дело быстрее пойдет. А то вслепую ищу. TCPView и ProcessExplorer ничего не дают.
Самое подозрительное, что контроллер доверяющего домена ищет машину, хотя она была Domain Member и брать ему там решительно нечего.

[kuguar]

я бы проверил 1. что в журналах событий на этих машинах - может на тойужеубитой машине стоял расшареный принтер/ресурс/сервер 2.  поглядел настройки wins на них же 3. глянул им в hosts

[Uri_K]

я бы проверил 1. что в журналах событий на этих машинах - может на тойужеубитой машине стоял расшареный принтер/ресурс/сервер 2.  поглядел настройки wins на них же 3. глянул им в hosts

1.В журнале на эту тему зацепиться не за что. Подключенные несуществующие ресурсы отлавливаются через реестр. Там я смотрел, ничего не увидел.
2.Мне кажется винс здесь непричем, т.к. потребность узнать имя машины возникает раньше винса (К тому же если бы винс отдавал имя, не было бы широковещательных запросов. То же самое справедливо и для lmhosts).
Сами по себе правильно или неправильно сконфигурированные wins и hosts не могут быть причиной такого трафика imho.

[nuclight]

1.В журнале на эту тему зацепиться не за что. Подключенные несуществующие ресурсы отлавливаются через реестр. Там я смотрел, ничего не увидел.
2.Мне кажется винс здесь непричем, т.к. потребность узнать имя машины возникает раньше винса (К тому же если бы винс отдавал имя, не было бы широковещательных запросов. То же самое справедливо и для lmhosts).
Сами по себе правильно или неправильно сконфигурированные wins и hosts не могут быть причиной такого трафика imho.

А ты не могу бы сами имена привести? Иногда винда сама ломится на несуществующие адреса, типа wpad.<domainname> ?

[Uri_K]

А ты не могу бы сами имена привести? Иногда винда сама ломится на несуществующие адреса, типа wpad.<domainname> ?

Ищется имя, которое было раньше у машины админа. С wpad проблем нет.
Сегодня буду проверять Everest, может его агенты чего не надо запомнили. Хотя в целом все машинки рапортуют.