7
Printserver SMB2-Traffic über VPN (Wireguard) viel zu hoch
Hallo zusammen,
wir haben das Problem das unser Printserver zu viel Traffic über unser VPN (Wireguard) erzeugt.
Momentan läuft täglich mindestens 60% Traffic über unseren Printserver und wir wissen nicht wieso.
Im Normalfall bekommen unsere Nutzer diese Menge von Daten:
Jedoch bekommen ein paar Nutzer diese Menge an Daten:
Gemessen in etwa der gleichen Zeitspanne
Wir haben uns zuerst den Spool Prozess angeschaut und beim beenden resettet sich die Datenmenge die wir auf dem Printserver sehen.
Wenn wir also im nächsten Schritt den "Druckwarteschlange"-Dienst beenden, dann hört der Traffic bei dem Nutzer vollständig auf.
Jedoch fängt die Menge an Traffic bei start des Dienstes wieder an.
Die Warteschlange ist aber leer und in letzter Zeit hat nicht jeder Nutzer davon die Drucker etc. genutzt, da Homeoffice.
Hatte jemand schonmal das Problem oder hat eine Idee dazu?
wir haben das Problem das unser Printserver zu viel Traffic über unser VPN (Wireguard) erzeugt.
Momentan läuft täglich mindestens 60% Traffic über unseren Printserver und wir wissen nicht wieso.
Im Normalfall bekommen unsere Nutzer diese Menge von Daten:
Jedoch bekommen ein paar Nutzer diese Menge an Daten:
Wir haben uns zuerst den Spool Prozess angeschaut und beim beenden resettet sich die Datenmenge die wir auf dem Printserver sehen.
Wenn wir also im nächsten Schritt den "Druckwarteschlange"-Dienst beenden, dann hört der Traffic bei dem Nutzer vollständig auf.
Jedoch fängt die Menge an Traffic bei start des Dienstes wieder an.
Die Warteschlange ist aber leer und in letzter Zeit hat nicht jeder Nutzer davon die Drucker etc. genutzt, da Homeoffice.
Hatte jemand schonmal das Problem oder hat eine Idee dazu?
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 2767456335
Url: https://administrator.de/forum/printserver-smb2-traffic-ueber-vpn-wireguard-viel-zu-hoch-2767456335.html
Ausgedruckt am: 27.03.2025 um 07:03 Uhr
7 Kommentare
Neuester Kommentar
Wireshark dump vorhanden?
Ein frischer Client mit GANZ anderen Treiber fällt auch so auf?
Ein frischer Client mit GANZ anderen Treiber fällt auch so auf?
Nicht jeder Client löst hohen Traffic aus, jedoch die die es auslösen, sind (bis auf einer) alle gleich, also auch die Treiber.
Der eine Client der anders ist, zeigt aber leider keine Abweichungen zu den anderen.
Von 30+ Clients sind rund 6 betroffen.
Wireshark kenne ich mich tatsächlich nicht mit aus.
Ich versuche mal mich da rein zu fuchsen und dann einen dump zu erstellen.
Der eine Client der anders ist, zeigt aber leider keine Abweichungen zu den anderen.
Von 30+ Clients sind rund 6 betroffen.
Wireshark kenne ich mich tatsächlich nicht mit aus.
Ich versuche mal mich da rein zu fuchsen und dann einen dump zu erstellen.
Mein Bauchgefühl sagt mir, dass eine Funktion im Treiber Amok läuft.
Aber dann hätten nur 5 von 30+ Notebooks diese Treiberprobleme.
Auch welche die nie den Printserver benutzen.
Hier ein Ausschnitt aus dem Dump (Dieser wiederholt sich mehrmals):
Auch welche die nie den Printserver benutzen.
Hier ein Ausschnitt aus dem Dump (Dieser wiederholt sich mehrmals):
No. Time Source Destination Protocol Length Info
1 0.000000 192.168.100.104 192.168.100.108 SMB2 192 Create Request File: spoolss
Frame 1: 192 bytes on wire (1536 bits), 192 bytes captured (1536 bits) on interface \Device\NPF_{3733F1EE-DBCE-4783-9199-08D593D422E5}, id 0
Ethernet II, Src: INVENTEC_ed:ca:a6 (64:c9:01:ed:ca:a6), Dst: VMware_9e:3c:4f (00:50:56:9e:3c:4f)
Internet Protocol Version 4, Src: 192.168.100.104, Dst: 192.168.100.108
Transmission Control Protocol, Src Port: 64127, Dst Port: 445, Seq: 1, Ack: 1, Len: 138
NetBIOS Session Service
SMB2 (Server Message Block Protocol version 2)
No. Time Source Destination Protocol Length Info
2 0.000581 192.168.100.108 192.168.100.104 SMB2 210 Create Response File: spoolss
Frame 2: 210 bytes on wire (1680 bits), 210 bytes captured (1680 bits) on interface \Device\NPF_{3733F1EE-DBCE-4783-9199-08D593D422E5}, id 0
Ethernet II, Src: VMware_9e:3c:4f (00:50:56:9e:3c:4f), Dst: INVENTEC_ed:ca:a6 (64:c9:01:ed:ca:a6)
Internet Protocol Version 4, Src: 192.168.100.108, Dst: 192.168.100.104
Transmission Control Protocol, Src Port: 445, Dst Port: 64127, Seq: 1, Ack: 139, Len: 156
NetBIOS Session Service
SMB2 (Server Message Block Protocol version 2)
No. Time Source Destination Protocol Length Info
3 0.001034 192.168.100.104 192.168.100.108 SMB2 162 GetInfo Request FILE_INFO/SMB2_FILE_STANDARD_INFO File: spoolss
Frame 3: 162 bytes on wire (1296 bits), 162 bytes captured (1296 bits) on interface \Device\NPF_{3733F1EE-DBCE-4783-9199-08D593D422E5}, id 0
Ethernet II, Src: INVENTEC_ed:ca:a6 (64:c9:01:ed:ca:a6), Dst: VMware_9e:3c:4f (00:50:56:9e:3c:4f)
Internet Protocol Version 4, Src: 192.168.100.104, Dst: 192.168.100.108
Transmission Control Protocol, Src Port: 64127, Dst Port: 445, Seq: 139, Ack: 157, Len: 108
NetBIOS Session Service
SMB2 (Server Message Block Protocol version 2)
No. Time Source Destination Protocol Length Info
4 0.001128 192.168.100.108 192.168.100.104 SMB2 154 GetInfo Response
Frame 4: 154 bytes on wire (1232 bits), 154 bytes captured (1232 bits) on interface \Device\NPF_{3733F1EE-DBCE-4783-9199-08D593D422E5}, id 0
Ethernet II, Src: VMware_9e:3c:4f (00:50:56:9e:3c:4f), Dst: INVENTEC_ed:ca:a6 (64:c9:01:ed:ca:a6)
Internet Protocol Version 4, Src: 192.168.100.108, Dst: 192.168.100.104
Transmission Control Protocol, Src Port: 445, Dst Port: 64127, Seq: 157, Ack: 247, Len: 100
NetBIOS Session Service
SMB2 (Server Message Block Protocol version 2)
No. Time Source Destination Protocol Length Info
5 0.003743 192.168.100.104 192.168.100.108 DCERPC 394 Bind: call_id: 2, Fragment: Single, 3 context items: SPOOLSS V1.0 (32bit NDR), SPOOLSS V1.0 (64bit NDR), SPOOLSS V1.0 (6cb71c2c-9812-4540-0300-000000000000), NTLMSSP_NEGOTIATE
Frame 5: 394 bytes on wire (3152 bits), 394 bytes captured (3152 bits) on interface \Device\NPF_{3733F1EE-DBCE-4783-9199-08D593D422E5}, id 0
Ethernet II, Src: INVENTEC_ed:ca:a6 (64:c9:01:ed:ca:a6), Dst: VMware_9e:3c:4f (00:50:56:9e:3c:4f)
Internet Protocol Version 4, Src: 192.168.100.104, Dst: 192.168.100.108
Transmission Control Protocol, Src Port: 64127, Dst Port: 445, Seq: 247, Ack: 257, Len: 340
NetBIOS Session Service
SMB2 (Server Message Block Protocol version 2)
Distributed Computing Environment / Remote Procedure Call (DCE/RPC) Bind, Fragment: Single, FragLen: 224, Call: 2
No. Time Source Destination Protocol Length Info
6 0.003777 192.168.100.108 192.168.100.104 SMB2 138 Write Response
Frame 6: 138 bytes on wire (1104 bits), 138 bytes captured (1104 bits) on interface \Device\NPF_{3733F1EE-DBCE-4783-9199-08D593D422E5}, id 0
Ethernet II, Src: VMware_9e:3c:4f (00:50:56:9e:3c:4f), Dst: INVENTEC_ed:ca:a6 (64:c9:01:ed:ca:a6)
Internet Protocol Version 4, Src: 192.168.100.108, Dst: 192.168.100.104
Transmission Control Protocol, Src Port: 445, Dst Port: 64127, Seq: 257, Ack: 587, Len: 84
NetBIOS Session Service
SMB2 (Server Message Block Protocol version 2)
No. Time Source Destination Protocol Length Info
7 0.004261 192.168.100.104 192.168.100.108 SMB2 171 Read Request Len:1024 Off:0 File: spoolss
Frame 7: 171 bytes on wire (1368 bits), 171 bytes captured (1368 bits) on interface \Device\NPF_{3733F1EE-DBCE-4783-9199-08D593D422E5}, id 0
Ethernet II, Src: INVENTEC_ed:ca:a6 (64:c9:01:ed:ca:a6), Dst: VMware_9e:3c:4f (00:50:56:9e:3c:4f)
Internet Protocol Version 4, Src: 192.168.100.104, Dst: 192.168.100.108
Transmission Control Protocol, Src Port: 64127, Dst Port: 445, Seq: 587, Ack: 341, Len: 117
NetBIOS Session Service
SMB2 (Server Message Block Protocol version 2)
No. Time Source Destination Protocol Length Info
8 0.004290 192.168.100.108 192.168.100.104 DCERPC 516 Bind_ack: call_id: 2, Fragment: Single, max_xmit: 4280 max_recv: 4280, 3 results: Provider rejection, Acceptance, Negotiate ACK, NTLMSSP_CHALLENGE
Frame 8: 516 bytes on wire (4128 bits), 516 bytes captured (4128 bits) on interface \Device\NPF_{3733F1EE-DBCE-4783-9199-08D593D422E5}, id 0
Ethernet II, Src: VMware_9e:3c:4f (00:50:56:9e:3c:4f), Dst: INVENTEC_ed:ca:a6 (64:c9:01:ed:ca:a6)
Internet Protocol Version 4, Src: 192.168.100.108, Dst: 192.168.100.104
Transmission Control Protocol, Src Port: 445, Dst Port: 64127, Seq: 341, Ack: 704, Len: 462
NetBIOS Session Service
SMB2 (Server Message Block Protocol version 2)
Distributed Computing Environment / Remote Procedure Call (DCE/RPC) Bind_ack, Fragment: Single, FragLen: 378, Call: 2
No. Time Source Destination Protocol Length Info
9 0.005068 192.168.100.104 192.168.100.108 DCERPC 714 AUTH3: call_id: 2, Fragment: Single, NTLMSSP_AUTH, User: IQUADRAT\jl
Frame 9: 714 bytes on wire (5712 bits), 714 bytes captured (5712 bits) on interface \Device\NPF_{3733F1EE-DBCE-4783-9199-08D593D422E5}, id 0
Ethernet II, Src: INVENTEC_ed:ca:a6 (64:c9:01:ed:ca:a6), Dst: VMware_9e:3c:4f (00:50:56:9e:3c:4f)
Internet Protocol Version 4, Src: 192.168.100.104, Dst: 192.168.100.108
Transmission Control Protocol, Src Port: 64127, Dst Port: 445, Seq: 704, Ack: 803, Len: 660
NetBIOS Session Service
SMB2 (Server Message Block Protocol version 2)
Distributed Computing Environment / Remote Procedure Call (DCE/RPC) AUTH3, Fragment: Single, FragLen: 544, Call: 2
No. Time Source Destination Protocol Length Info
10 0.005316 192.168.100.108 192.168.100.104 SMB2 138 Write Response
Frame 10: 138 bytes on wire (1104 bits), 138 bytes captured (1104 bits) on interface \Device\NPF_{3733F1EE-DBCE-4783-9199-08D593D422E5}, id 0
Ethernet II, Src: VMware_9e:3c:4f (00:50:56:9e:3c:4f), Dst: INVENTEC_ed:ca:a6 (64:c9:01:ed:ca:a6)
Internet Protocol Version 4, Src: 192.168.100.108, Dst: 192.168.100.104
Transmission Control Protocol, Src Port: 445, Dst Port: 64127, Seq: 803, Ack: 1364, Len: 84
NetBIOS Session Service
SMB2 (Server Message Block Protocol version 2)
No. Time Source Destination Protocol Length Info
11 0.006320 192.168.100.104 192.168.100.108 SPOOLSS 626 OpenPrinterEx request
Frame 11: 626 bytes on wire (5008 bits), 626 bytes captured (5008 bits) on interface \Device\NPF_{3733F1EE-DBCE-4783-9199-08D593D422E5}, id 0
Ethernet II, Src: INVENTEC_ed:ca:a6 (64:c9:01:ed:ca:a6), Dst: VMware_9e:3c:4f (00:50:56:9e:3c:4f)
Internet Protocol Version 4, Src: 192.168.100.104, Dst: 192.168.100.108
Transmission Control Protocol, Src Port: 64127, Dst Port: 445, Seq: 1364, Ack: 887, Len: 572
NetBIOS Session Service
SMB2 (Server Message Block Protocol version 2)
Distributed Computing Environment / Remote Procedure Call (DCE/RPC) Request, Fragment: Single, FragLen: 448, Call: 2, Ctx: 1, [Resp: #12]
Microsoft Spool Subsystem, OpenPrinterEx
No. Time Source Destination Protocol Length Info
12 0.006745 192.168.100.108 192.168.100.104 SPOOLSS 250 OpenPrinterEx response
Frame 12: 250 bytes on wire (2000 bits), 250 bytes captured (2000 bits) on interface \Device\NPF_{3733F1EE-DBCE-4783-9199-08D593D422E5}, id 0
Ethernet II, Src: VMware_9e:3c:4f (00:50:56:9e:3c:4f), Dst: INVENTEC_ed:ca:a6 (64:c9:01:ed:ca:a6)
Internet Protocol Version 4, Src: 192.168.100.108, Dst: 192.168.100.104
Transmission Control Protocol, Src Port: 445, Dst Port: 64127, Seq: 887, Ack: 1936, Len: 196
NetBIOS Session Service
SMB2 (Server Message Block Protocol version 2)
Distributed Computing Environment / Remote Procedure Call (DCE/RPC) Response, Fragment: Single, FragLen: 80, Call: 2, Ctx: 1, [Req: #11]
Microsoft Spool Subsystem, OpenPrinterEx
No. Time Source Destination Protocol Length Info
13 0.007231 192.168.100.104 192.168.100.108 SPOOLSS 258 ClosePrinter request
Frame 13: 258 bytes on wire (2064 bits), 258 bytes captured (2064 bits) on interface \Device\NPF_{3733F1EE-DBCE-4783-9199-08D593D422E5}, id 0
Ethernet II, Src: INVENTEC_ed:ca:a6 (64:c9:01:ed:ca:a6), Dst: VMware_9e:3c:4f (00:50:56:9e:3c:4f)
Internet Protocol Version 4, Src: 192.168.100.104, Dst: 192.168.100.108
Transmission Control Protocol, Src Port: 64127, Dst Port: 445, Seq: 1936, Ack: 1083, Len: 204
NetBIOS Session Service
SMB2 (Server Message Block Protocol version 2)
Distributed Computing Environment / Remote Procedure Call (DCE/RPC) Request, Fragment: Single, FragLen: 80, Call: 3, Ctx: 1, [Resp: #14]
Microsoft Spool Subsystem, ClosePrinter
No. Time Source Destination Protocol Length Info
14 0.007290 192.168.100.108 192.168.100.104 SPOOLSS 250 ClosePrinter response
Frame 14: 250 bytes on wire (2000 bits), 250 bytes captured (2000 bits) on interface \Device\NPF_{3733F1EE-DBCE-4783-9199-08D593D422E5}, id 0
Ethernet II, Src: VMware_9e:3c:4f (00:50:56:9e:3c:4f), Dst: INVENTEC_ed:ca:a6 (64:c9:01:ed:ca:a6)
Internet Protocol Version 4, Src: 192.168.100.108, Dst: 192.168.100.104
Transmission Control Protocol, Src Port: 445, Dst Port: 64127, Seq: 1083, Ack: 2140, Len: 196
NetBIOS Session Service
SMB2 (Server Message Block Protocol version 2)
Distributed Computing Environment / Remote Procedure Call (DCE/RPC) Response, Fragment: Single, FragLen: 80, Call: 3, Ctx: 1, [Req: #13]
Microsoft Spool Subsystem, ClosePrinter
No. Time Source Destination Protocol Length Info
15 0.007767 192.168.100.104 192.168.100.108 SMB2 146 Close Request File: spoolss
Frame 15: 146 bytes on wire (1168 bits), 146 bytes captured (1168 bits) on interface \Device\NPF_{3733F1EE-DBCE-4783-9199-08D593D422E5}, id 0
Ethernet II, Src: INVENTEC_ed:ca:a6 (64:c9:01:ed:ca:a6), Dst: VMware_9e:3c:4f (00:50:56:9e:3c:4f)
Internet Protocol Version 4, Src: 192.168.100.104, Dst: 192.168.100.108
Transmission Control Protocol, Src Port: 64127, Dst Port: 445, Seq: 2140, Ack: 1279, Len: 92
NetBIOS Session Service
SMB2 (Server Message Block Protocol version 2)
No. Time Source Destination Protocol Length Info
16 0.007795 192.168.100.108 192.168.100.104 SMB2 182 Close Response
Frame 16: 182 bytes on wire (1456 bits), 182 bytes captured (1456 bits) on interface \Device\NPF_{3733F1EE-DBCE-4783-9199-08D593D422E5}, id 0
Ethernet II, Src: VMware_9e:3c:4f (00:50:56:9e:3c:4f), Dst: INVENTEC_ed:ca:a6 (64:c9:01:ed:ca:a6)
Internet Protocol Version 4, Src: 192.168.100.108, Dst: 192.168.100.104
Transmission Control Protocol, Src Port: 445, Dst Port: 64127, Seq: 1279, Ack: 2232, Len: 128
NetBIOS Session Service
SMB2 (Server Message Block Protocol version 2)
Kannst du den Dump als File bitte zur Verfügung stellen? Ist ergonomischer ;) Und eine Legende wer welcher Host ist und es dürfen auch gerne mehre Hosts sein.
https://sharefast.me/4YEB9PM
Die 192.168.100.104 ist ein Client der aber im Büro steht und von da aus kommuniziert
Die 192.168.100.107 ist ein Terminalserver auf dem mehrere Kollegen Arbeiten
Die 192.168.100.108 ist der Printserver
Die 192.168.100.161 ist ein DC
Alle 192.168.110.xxx Adressen sind Clients die über Wireguard-VPN kommunizieren
Die 192.168.100.104 ist ein Client der aber im Büro steht und von da aus kommuniziert
Die 192.168.100.107 ist ein Terminalserver auf dem mehrere Kollegen Arbeiten
Die 192.168.100.108 ist der Printserver
Die 192.168.100.161 ist ein DC
Alle 192.168.110.xxx Adressen sind Clients die über Wireguard-VPN kommunizieren
Für mich sieht das nach einem Treiber-Problem aus, oder Berechtigungsproblem.
Der Printserver ist nicht zufällig auf einer Samba-Kiste?
Jedenfalls gibt es Probleme mit OpenPrinterEx usw... wird aufgerufen und wieder geschlossen. Permanent.
Der Printserver ist nicht zufällig auf einer Samba-Kiste?
Jedenfalls gibt es Probleme mit OpenPrinterEx usw... wird aufgerufen und wieder geschlossen. Permanent.
