Printserver SMB2-Traffic über VPN (Wireguard) viel zu hoch

bublesinator
Goto Top
Hallo zusammen,

wir haben das Problem das unser Printserver zu viel Traffic über unser VPN (Wireguard) erzeugt.
Momentan läuft täglich mindestens 60% Traffic über unseren Printserver und wir wissen nicht wieso.
2022-03-24 12_01_39-- ubnt

Im Normalfall bekommen unsere Nutzer diese Menge von Daten:
2022-05-13 09_15_35-edv #22419_ transfer-traffic vom printserver viel zu hoch - edv - iquadrat suppo

Jedoch bekommen ein paar Nutzer diese Menge an Daten:
2022-05-13 09_19_13-edv #22419_ transfer-traffic vom printserver viel zu hoch - edv - iquadrat suppo
Gemessen in etwa der gleichen Zeitspanne

Wir haben uns zuerst den Spool Prozess angeschaut und beim beenden resettet sich die Datenmenge die wir auf dem Printserver sehen.
Wenn wir also im nächsten Schritt den "Druckwarteschlange"-Dienst beenden, dann hört der Traffic bei dem Nutzer vollständig auf.

Jedoch fängt die Menge an Traffic bei start des Dienstes wieder an.
Die Warteschlange ist aber leer und in letzter Zeit hat nicht jeder Nutzer davon die Drucker etc. genutzt, da Homeoffice.

Hatte jemand schonmal das Problem oder hat eine Idee dazu?

Content-Key: 2767456335

Url: https://administrator.de/contentid/2767456335

Ausgedruckt am: 16.05.2022 um 18:05 Uhr

Mitglied: unbelanglos
unbelanglos 13.05.2022 um 12:13:32 Uhr
Goto Top
Wireshark dump vorhanden?

Ein frischer Client mit GANZ anderen Treiber fällt auch so auf?
Mitglied: Bublesinator
Bublesinator 16.05.2022 um 10:04:34 Uhr
Goto Top
Nicht jeder Client löst hohen Traffic aus, jedoch die die es auslösen, sind (bis auf einer) alle gleich, also auch die Treiber.
Der eine Client der anders ist, zeigt aber leider keine Abweichungen zu den anderen.
Von 30+ Clients sind rund 6 betroffen.

Wireshark kenne ich mich tatsächlich nicht mit aus.
Ich versuche mal mich da rein zu fuchsen und dann einen dump zu erstellen.
Mitglied: unbelanglos
unbelanglos 16.05.2022 um 10:30:42 Uhr
Goto Top
Mein Bauchgefühl sagt mir, dass eine Funktion im Treiber Amok läuft.
Mitglied: Bublesinator
Bublesinator 16.05.2022 um 12:14:19 Uhr
Goto Top
Aber dann hätten nur 5 von 30+ Notebooks diese Treiberprobleme.
Auch welche die nie den Printserver benutzen.

Hier ein Ausschnitt aus dem Dump (Dieser wiederholt sich mehrmals):
Mitglied: unbelanglos
unbelanglos 16.05.2022 um 12:24:10 Uhr
Goto Top
Kannst du den Dump als File bitte zur Verfügung stellen? Ist ergonomischer ;) Und eine Legende wer welcher Host ist und es dürfen auch gerne mehre Hosts sein.
Mitglied: Bublesinator
Bublesinator 16.05.2022 um 12:52:56 Uhr
Goto Top
https://sharefast.me/4YEB9PM

Die 192.168.100.104 ist ein Client der aber im Büro steht und von da aus kommuniziert
Die 192.168.100.107 ist ein Terminalserver auf dem mehrere Kollegen Arbeiten
Die 192.168.100.108 ist der Printserver
Die 192.168.100.161 ist ein DC
Alle 192.168.110.xxx Adressen sind Clients die über Wireguard-VPN kommunizieren
Mitglied: unbelanglos
unbelanglos 16.05.2022 um 14:33:49 Uhr
Goto Top
Für mich sieht das nach einem Treiber-Problem aus, oder Berechtigungsproblem.
Der Printserver ist nicht zufällig auf einer Samba-Kiste?

Jedenfalls gibt es Probleme mit OpenPrinterEx usw... wird aufgerufen und wieder geschlossen. Permanent.