18
Zeitserver - Anfrage protokollieren
Hallo zusammen,
ich habe folgendes Problem!
Ich habe ein Netzwerk, bestehend aus x Anzahl an Rechnern. Darunter ist auch ein Server (Windows SBS 2003). Auf diesem Server ist von Meinberg eine kleine Zeitserver NTP Applikation installiert. Alle Clients holen sich per Batchdatei und geplantem Task mit dem Befehl "net time \\xxx.xxx.xxx.xxx /set /yes" die Zeit beim Server.
Dies funktioniert auch alles einwandfrei.
Nun würde ich gern am Server ein Protokoll generieren lassen können, welches mir aufzeigt, welcher der Clients sich denn auch die Zeit geholt hat.
Ich habe mit Wireshark probiert, aber ohne Erfolg. Die Abfrage der Zeit konnte ich zwar lesen, doch die Filterfunktion klappt nicht so wie ich mir das vorstelle und ich habe neben den Zeitabfrageeinträgen und viele Andere Statusmeldungen, die ich nicht benötige.
Was gibt es denn da für Möglichkeiten und ganz gezielt solch ein Protokoll zu erhalten.
Es sollte ungefähr so aussehen.
Zeit der Abfrage - IP-Adresse des Clients
10:56 - xxx.xxx.xxx.xxx
11:02 - xxx.xxx.xxx.xxx
12:10 - xxx.xxx.xxx.xxx
usw.
Vielen Dank für eure Mühe.
Gruß
rotVIPER
ich habe folgendes Problem!
Ich habe ein Netzwerk, bestehend aus x Anzahl an Rechnern. Darunter ist auch ein Server (Windows SBS 2003). Auf diesem Server ist von Meinberg eine kleine Zeitserver NTP Applikation installiert. Alle Clients holen sich per Batchdatei und geplantem Task mit dem Befehl "net time \\xxx.xxx.xxx.xxx /set /yes" die Zeit beim Server.
Dies funktioniert auch alles einwandfrei.
Nun würde ich gern am Server ein Protokoll generieren lassen können, welches mir aufzeigt, welcher der Clients sich denn auch die Zeit geholt hat.
Ich habe mit Wireshark probiert, aber ohne Erfolg. Die Abfrage der Zeit konnte ich zwar lesen, doch die Filterfunktion klappt nicht so wie ich mir das vorstelle und ich habe neben den Zeitabfrageeinträgen und viele Andere Statusmeldungen, die ich nicht benötige.
Was gibt es denn da für Möglichkeiten und ganz gezielt solch ein Protokoll zu erhalten.
Es sollte ungefähr so aussehen.
Zeit der Abfrage - IP-Adresse des Clients
10:56 - xxx.xxx.xxx.xxx
11:02 - xxx.xxx.xxx.xxx
12:10 - xxx.xxx.xxx.xxx
usw.
Vielen Dank für eure Mühe.
Gruß
rotVIPER
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 141213
Url: https://administrator.de/contentid/141213
Printed on: April 16, 2024 at 21:04 o'clock
18 Comments
Latest comment
Hi,
durch google habe ich das gefunden:
http://www.meinberg.de/english/sw/time-server-monitor.htm
Da Du von denen die NTP Serversoftware einsetzt, hilft Dir vielleicht ja auch deren Monitoring Lösung oder zeigt die keine Requests durch die Clients?
Bye
MT
durch google habe ich das gefunden:
http://www.meinberg.de/english/sw/time-server-monitor.htm
Da Du von denen die NTP Serversoftware einsetzt, hilft Dir vielleicht ja auch deren Monitoring Lösung oder zeigt die keine Requests durch die Clients?
Bye
MT
@ MegaTraveller,
Die Monitorlösung von Meinberg setzte ich bereits ein. Jedoch bietet diese keine Auflistung der Requests durch die Clients an
Danke jedoch für deine Mühe.
Die Monitorlösung von Meinberg setzte ich bereits ein. Jedoch bietet diese keine Auflistung der Requests durch die Clients an
Danke jedoch für deine Mühe.
Ich guck mal vielleicht finde ich ja noch etwas. Mit Wireshark finde ich, dass es zu viel Aufwand ist.
Wireshark hatte ich auch schon im Einsatz - das ist definitiv zu viel Aufwand !!!
Check doch mal die Apps, velleicht ist ja etwas brauchbares dabei:
http://www.itlocation.com/de/software/prd54236,,.htm
http://www.itlocation.com/de/software/prd79205,,.htm
http://www.itlocation.com/de/software/prd68787,,.htm
http://www.itlocation.com/de/software/prd68787,,.htm
Hast Du mal bei dem Hersteller gefragt ob man ein logging der Requests vielleicht durch einen Startparameter des Dienstes einschalten.
http://www.itlocation.com/de/software/prd54236,,.htm
http://www.itlocation.com/de/software/prd79205,,.htm
http://www.itlocation.com/de/software/prd68787,,.htm
http://www.itlocation.com/de/software/prd68787,,.htm
Hast Du mal bei dem Hersteller gefragt ob man ein logging der Requests vielleicht durch einen Startparameter des Dienstes einschalten.
@ Mega Traveller
Also die Programme sind alle nicht so richtig das was ich möchte bzw. benötige.
Mit Meinberger habe ich bereits Kontakt aufgenommen. Das Problem bzw. dieser Kundenwunsch ist seit 2006 bekannt. Man ist aber bis dato noch nicht weiter darauf eingegangen. Die vorhandene Monitorlösung für die Requests der Clients ist leider fehlerhaft.
Also die Programme sind alle nicht so richtig das was ich möchte bzw. benötige.
Mit Meinberger habe ich bereits Kontakt aufgenommen. Das Problem bzw. dieser Kundenwunsch ist seit 2006 bekannt. Man ist aber bis dato noch nicht weiter darauf eingegangen. Die vorhandene Monitorlösung für die Requests der Clients ist leider fehlerhaft.
Schade. Das einzige was ich mir dann nur noch vorstellen könnte ist sich ein Python oder Perl Script zu machen welches den Traffic überwacht und nur genau diese Pakete an der Schnittstelle erfasst. Leider weiß ich nicht ob, dadurch der NTP Serverbetrieb gestört wird. Ich weiß aber definitiv, dass es für Python ein pcap ähnliches Modul gibt.
Im Endeffekt würde es das gleiche wie Wireshark machen nur angepasster auf Deine Wünsche. Leider ist das natürlich recht aufwendig zu realisieren.
Im Endeffekt würde es das gleiche wie Wireshark machen nur angepasster auf Deine Wünsche. Leider ist das natürlich recht aufwendig zu realisieren.
@ Mega Traveller
vielen Dank nochmals für deine Mühe.
vielen Dank nochmals für deine Mühe.
Ich halte trotzdem mal die Augen offen. Vielleicht fällt mir etwas in die Hände. Die Python Lösung ist mir deswegen eingefallen weil Du Uni Bonn ein Python Script auf ihrer Seite hat um den Conficker Virus im Netzwerk aufzuspüren und dieses nutzt die entsprechenden Module.
Leider habe ich mir noch nicht die Mühe gemacht, das Script näher anzusehen. Wenn Du selbst mal schauen willst: http://net.cs.uni-bonn.de/wg/cs/applications/containing-conficker
Leider habe ich mir noch nicht die Mühe gemacht, das Script näher anzusehen. Wenn Du selbst mal schauen willst: http://net.cs.uni-bonn.de/wg/cs/applications/containing-conficker
Wenn mir jemand den richtigen Capture Filter für Wireshark geben kann, dann werde ich es doch über Wireshark realisieren.
Jedoch mein Filter geht nicht. host xxx.xxx.xxx.xxx && port 123
Jedoch mein Filter geht nicht. host xxx.xxx.xxx.xxx && port 123
Würdest Du mir Deine Capture File, privat zusenden?
So ich habe mal die IP Adressen durch Client und TimeServer erstetzt.
Folgender Eintrag wird bei Wireshark getätigt wenn am Client per net time die Zeit mit dem TimeServer abgeglichen wird.
Dafür breuchte ich nun einen Filter.
"No.","Time","Source","Destination","Protocol","Info"
"736","30.328353","Client","TimeServer","DCERPC","Bind: call_id: 1 SRVSVC V3.0"
"737","30.328392","TimeServer","Client","SMB","Write AndX Response, FID: 0xc005, 72 bytes"
"738","30.328565","Client","TimeServer","SMB","Read AndX Request, FID: 0xc005, 1024 bytes at offset 0"
"739","30.328593","TimeServer","Client","DCERPC","Bind_ack: call_id: 1 accept max_xmit: 4280 max_recv: 4280"
"740","30.328775","Client","TimeServer","SRVSVC","NetRemoteTOD request"
"741","30.328867","TimeServer","Client","SRVSVC","NetRemoteTOD response"
"742","30.329089","Client","TimeServer","SMB","Close Request, FID: 0xc005"
"743","30.329135","TimeServer","Client","SMB","Close Response, FID: 0xc005"
"744","30.370531","Client","TimeServer","SMB","NT Create AndX Request, FID: 0xc00c, Path: \srvsvc"
"745","30.370650","TimeServer","Client","SMB","NT Create AndX Response, FID: 0xc00c"
Folgender Eintrag wird bei Wireshark getätigt wenn am Client per net time die Zeit mit dem TimeServer abgeglichen wird.
Dafür breuchte ich nun einen Filter.
"No.","Time","Source","Destination","Protocol","Info"
"736","30.328353","Client","TimeServer","DCERPC","Bind: call_id: 1 SRVSVC V3.0"
"737","30.328392","TimeServer","Client","SMB","Write AndX Response, FID: 0xc005, 72 bytes"
"738","30.328565","Client","TimeServer","SMB","Read AndX Request, FID: 0xc005, 1024 bytes at offset 0"
"739","30.328593","TimeServer","Client","DCERPC","Bind_ack: call_id: 1 accept max_xmit: 4280 max_recv: 4280"
"740","30.328775","Client","TimeServer","SRVSVC","NetRemoteTOD request"
"741","30.328867","TimeServer","Client","SRVSVC","NetRemoteTOD response"
"742","30.329089","Client","TimeServer","SMB","Close Request, FID: 0xc005"
"743","30.329135","TimeServer","Client","SMB","Close Response, FID: 0xc005"
"744","30.370531","Client","TimeServer","SMB","NT Create AndX Request, FID: 0xc00c, Path: \srvsvc"
"745","30.370650","TimeServer","Client","SMB","NT Create AndX Response, FID: 0xc00c"
Ok, so ist es für mich natürlich jetzt ein wenig schwer Dir den Filter in Wireshark zu basteln, aber ich schau mal was sich machen lässt. Du möchtest also wissen wann der "Client" bei dem "TimeServer" die Anfrage macht und hier begann ich zu lesen was da steht: SMB?
Ich sehe da kein einziges NTP Paket.
Warum sehe ich da kein einziges NTP Paket oder habe ich da irgendetwas verpasst und es ist ein NTP Server für nicht NTP Clients, oder wie muss ich das verstehen?
Ich hätte einen Filter gesetzt ,der nur Client,TimeServer Pakete anzeigt und dazu Filter auf NTP Request und bin jetzt etwas erstaunt , ehrlich gesagt.
Ich sehe da kein einziges NTP Paket.
Warum sehe ich da kein einziges NTP Paket oder habe ich da irgendetwas verpasst und es ist ein NTP Server für nicht NTP Clients, oder wie muss ich das verstehen?
Ich hätte einen Filter gesetzt ,der nur Client,TimeServer Pakete anzeigt und dazu Filter auf NTP Request und bin jetzt etwas erstaunt , ehrlich gesagt.
Ich würde jetzt vermuten, dass die Clients OS/2, MS-DOS, Windows 95, 98, NT3, NT4 sind.
Also warum da kein NTP Paket steht verwundert mich auch und dies habe ich auch schon vergeblich bei Wireshark gesucht.
Es werde wirklich nur diese Einträge in Wireshark mitgeschrieben wie oben aufgeführt.
Die Clients sind alle Windows XP Prof. Systeme.
Es werde wirklich nur diese Einträge in Wireshark mitgeschrieben wie oben aufgeführt.
Die Clients sind alle Windows XP Prof. Systeme.
Dann stelle ich hier nochmal eine andere Frage, warum benutzt Du ein Drittanbieter NTP Server, statt dem im Windows Server integrierten?
Eine berechtigte Frage.
Aber auch beim dem Windows Server integrieterm Zeitgeber habe ich dieses Problem !
Aber auch beim dem Windows Server integrieterm Zeitgeber habe ich dieses Problem !
Wenn Du alles Windows XP Systeme hast und Du hast einen Windows Server (?) warum musst Du dann die Zeit mit einem Befehl antriggern?
Ich will nur die Konstellation bei Dir zu verstehen. Wenn Du die Clients in eine Domäne ziehst und wenn es nicht automatisch gehen sollte den Server als NTP Server klar machst und den Clients sagen wir mal auch noch manuell die NTP Quelle in der Registry angeben müsstest. Dann kann es doch nicht sein, dass das ganze als SMB abgeht.
hmmm.
Kannst Du mal etwas über Deine Umgebung schreiben? Ich werde mal später nachsehen ob ich Dir mal eine Doku raussuchen kann, dann können wir ja die Punkte mal zusammen durchgehen.
Ich vermute in dem Ganzen liegt keine all zu große Eile, auch wenn es um Zeit geht ;) , oder?
Ich will nur die Konstellation bei Dir zu verstehen. Wenn Du die Clients in eine Domäne ziehst und wenn es nicht automatisch gehen sollte den Server als NTP Server klar machst und den Clients sagen wir mal auch noch manuell die NTP Quelle in der Registry angeben müsstest. Dann kann es doch nicht sein, dass das ganze als SMB abgeht.
hmmm.
Kannst Du mal etwas über Deine Umgebung schreiben? Ich werde mal später nachsehen ob ich Dir mal eine Doku raussuchen kann, dann können wir ja die Punkte mal zusammen durchgehen.
Ich vermute in dem Ganzen liegt keine all zu große Eile, auch wenn es um Zeit geht ;) , oder?
