17
Wireshark - Name query NB . sysprepPC
Hallo;
Ich versuche mich endlich mehr mit Wireshark zu beschäftigen, und da ist mir folgendes aufgefallen:
33878 132.705411 10.1.5.237 10.1.255.255 NBNS 92 Name query NB "computername"<00>
Diese Einträge tauchen zu Hauf auf, nämlich von PCs mit einem vom WDS ausgerollten gesysprepten (geiles Wort) Image.
Computername ist der mit dem ich damals das sysprep erstellt habe.
Ist das normal?
Per DHCP werden nicht nur die DNS Server verteilt, sondern auch die WINS Server (sind die gleichen), lustigerweise kann mir nichtmal mein "Chef" sagen warum das so ist, bzw ob wir die brauchen. Das muss ich noch herausfinden.
Server 2012R2 Domäne.
~15 Server
~150 Clients
Fortigate Firewall
DHCP und DNS machen die DC
Mfg
Lukas
Ich versuche mich endlich mehr mit Wireshark zu beschäftigen, und da ist mir folgendes aufgefallen:
33878 132.705411 10.1.5.237 10.1.255.255 NBNS 92 Name query NB "computername"<00>
Diese Einträge tauchen zu Hauf auf, nämlich von PCs mit einem vom WDS ausgerollten gesysprepten (geiles Wort) Image.
Computername ist der mit dem ich damals das sysprep erstellt habe.
Ist das normal?
Per DHCP werden nicht nur die DNS Server verteilt, sondern auch die WINS Server (sind die gleichen), lustigerweise kann mir nichtmal mein "Chef" sagen warum das so ist, bzw ob wir die brauchen. Das muss ich noch herausfinden.
Server 2012R2 Domäne.
~15 Server
~150 Clients
Fortigate Firewall
DHCP und DNS machen die DC
Mfg
Lukas
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 324100
Url: https://administrator.de/forum/wireshark-name-query-nb-syspreppc-324100.html
Ausgedruckt am: 02.04.2025 um 08:04 Uhr
17 Kommentare
Neuester Kommentar
Genau auf der Seite war ich schon, hab natürlich bevor ich hier schrieb gegoogelt.
Trotzdem verstehe ich nicht wieso die Clients nach den Namen der Maschine schreien von der ich gesysprept habe.
Trotzdem verstehe ich nicht wieso die Clients nach den Namen der Maschine schreien von der ich gesysprept habe.
Ist das normal?
Nein...nicht wirklich !wieso die Clients nach den Namen der Maschine schreien von der ich gesysprept habe.
Da irrst du ??Du kannst ja sehen das es ein Broadcast ist 10.1.255.255 an den diese Frames gehen.
Was auch deinen kranken 16 Bit IP Prefix in der Adressierung zeigt für 150 Clients was aber jetzt nur nebensächlich ist.
Was hier passiert ist das der Rechner mit der IP 10.1.5.237 sich selber krampfhaft im Netz mit seinem Namen bekannt machen will. Warum auch immer...
Mit einem lokalen DNS wäre NBNS eh überflüssig, deshalb ist das auch nicht normal.
Die Angabe zuhauf ist natürlich sehr hilfreich. Damit können wir sofort sehen ob das normal oder unnormal ist.
Zuhauf in 24 Stunden ist sicher normal. Zuhauf in 1 Minute ganz sicher nicht.
Trotzdem verstehe ich nicht wieso die Clients nach den Namen der Maschine schreien von der ich gesysprept habe.
Weil vermutlich auf dem mittlerweile schon lange überflüssigen WINS-Server noch ein Cache-Eintrag existiert, welchen er ins Netz pustet.Gruß
Ja ich sehe natürlich dass die an einen Broadcast gehen, trotzdem fragen sie eben nach "computername"<00> oder verstehe ich das falsch?
Ich hab schlicht nicht dazugeschrieben dass in dem Netzwerk 8 Subnetze sind.
Und eben nicht nur die 150 gesysprepten Clients sondern noch weitere 30 PCs + ~200 WLAN Clients.
Bist dir sicher dass der sich bekanntmachen will und nicht nach eben diesem "computername"<00> fragt?
Ich weiß dass es überflüssig ist, und es kommt auch weg, trotzdem hätte es mich interessiert was da los ist.
Ich will ja dazu lernen.
Ich hatte den Wireshark ungefähr 5 Minuten laufen, und jeder der aktiven gesysprepten Clients hat ungefähr 20 Anfragen geschickt.
Zitat von @aqui:
Was auch deinen kranken 16 Bit IP Prefix in der Adressierung zeigt für 150 Clients was aber jetzt nur nebensächlich ist.
Was auch deinen kranken 16 Bit IP Prefix in der Adressierung zeigt für 150 Clients was aber jetzt nur nebensächlich ist.
Ich hab schlicht nicht dazugeschrieben dass in dem Netzwerk 8 Subnetze sind.
Und eben nicht nur die 150 gesysprepten Clients sondern noch weitere 30 PCs + ~200 WLAN Clients.
Bist dir sicher dass der sich bekanntmachen will und nicht nach eben diesem "computername"<00> fragt?
Ich weiß dass es überflüssig ist, und es kommt auch weg, trotzdem hätte es mich interessiert was da los ist.
Ich will ja dazu lernen.
Ich hatte den Wireshark ungefähr 5 Minuten laufen, und jeder der aktiven gesysprepten Clients hat ungefähr 20 Anfragen geschickt.
Hm, ok, nur warum fragen alle nach dem "Master"? Eben nach der Maschine von der aus gesysprept wurde.
Ich hab schlicht nicht dazugeschrieben dass in dem Netzwerk 8 Subnetze sind.
Was ja völliger Quatsch ist, denn dann hättest du eine ganz andere Broadcast Adresse !Ein Routing und Segmentierung in die ominösen 8 Subnetze kann es so technisch gar nicht geben, oder da ist was oberfaul in der IP Adressierung. Aber egal....
1
Poste mal die Ausgaben von
nbtstat -n und nbtstat -c auf diesen Clients. Ich schätze mal die haben den Namen eventuell noch in der lokalen Namenstabelle rumgeistern. Durchsuche auch mal die Registry nach dem Namen.
Und zu eurem WINS hast du auch noch nicht viel gesagt, dort bitte ebenfalls die aktuellen Einträge checken.
Wir kennen deine Umgebung ja nicht
Gruß
nbtstat -n und nbtstat -c auf diesen Clients. Ich schätze mal die haben den Namen eventuell noch in der lokalen Namenstabelle rumgeistern. Durchsuche auch mal die Registry nach dem Namen.
Und zu eurem WINS hast du auch noch nicht viel gesagt, dort bitte ebenfalls die aktuellen Einträge checken.
Wir kennen deine Umgebung ja nicht
Gruß
1
Ja hast natürlich recht^^
Es sind in dem Sinn keine Subnetze.
Sondern wir haben
10.1.x.x
10.2.x.x
10.3.x.x
.
.
.
usw
Sorry, hab den Namen missbraucht.
Es sind in dem Sinn keine Subnetze.
Sondern wir haben
10.1.x.x
10.2.x.x
10.3.x.x
.
.
.
usw
Sorry, hab den Namen missbraucht.
Sondern wir haben
Ziemlich kranke Maske mit einem 16 Bit Prefix.Wozu braucht man 65.534 Hosts in einem Subnetz wenn ein Ethernet bei 300 schon nicht mehr gut funktioniert ?!
Aber egal....
Ich schätze der Grund: Otto-Normaluser kennt keine anderen Masken als 16 und 24, bzw. kann keine Subnetzrechner bedienen 
Das wird wie immer das Problem sein...die leben noch in der "Klassen Steinzeit"
Da steht eigentlich nirgends was verdächtiges drin.
Hm, egal WINS wird sowieso abgedreht.
In der Registry taucht der Namen nur bei einem Programm auf, dass auf den verweist, und mich wundert es dass dieses Programm trotzdem funktioniert^^
Auf den Servern sind die "Ative Registrierungen" leer.
Ich kenne meine Umgebung anscheinend auch nciht, ich wusste ja bis vor kurzem nicht mal dass WINS hier aktiviert ist. Warum kann mir natürlich auch keiner sagen...
Hm, egal WINS wird sowieso abgedreht.
In der Registry taucht der Namen nur bei einem Programm auf, dass auf den verweist, und mich wundert es dass dieses Programm trotzdem funktioniert^^
Auf den Servern sind die "Ative Registrierungen" leer.
Ich kenne meine Umgebung anscheinend auch nciht, ich wusste ja bis vor kurzem nicht mal dass WINS hier aktiviert ist. Warum kann mir natürlich auch keiner sagen...
Dass ein Ethernet mit mehr als 300 Hosts nicht mehr gut funktioniert war vielleicht vor 10 Jahren so... Ab 1000 ja ok.
Fühlt ihr euch eigentlich irgendwie besser wenn ihr andere runter macht?
Nicht jeder wurde so wie ihr als unfehlbarer allwissender IT-Gott geboren...
Ich bin bei weitem kein Otto-Normaluser und ich kann sehr wohl Subnetze berechnen.
Nur wieso sollte ich das tun?
Gibt keinen Grund dafür, Netzmaske /16 und fertig.
Abgesehen davon hab das Ganze hier nicht ich aufgebaut. Bin selbst erst seit einem Jahr hier und räume auf.
Fühlt ihr euch eigentlich irgendwie besser wenn ihr andere runter macht?
Nicht jeder wurde so wie ihr als unfehlbarer allwissender IT-Gott geboren...
Ich bin bei weitem kein Otto-Normaluser und ich kann sehr wohl Subnetze berechnen.
Nur wieso sollte ich das tun?
Gibt keinen Grund dafür, Netzmaske /16 und fertig.
Abgesehen davon hab das Ganze hier nicht ich aufgebaut. Bin selbst erst seit einem Jahr hier und räume auf.
Gibt keinen Grund dafür, Netzmaske /16 und fertig.
Ah ja, schon mal was von "Broadcaststorms" gehört?Abgesehen davon hab das Ganze hier nicht ich aufgebaut. Bin selbst erst seit einem Jahr hier und räume auf.
Gut dann kannst du damit ja gleich mit anfangen 
.Viel Erfolg.
Gruß mik.
1
Ja schonmal gehört, allerdings noch nichts damit zu tun gehabt.
Werde ich mir mal genauer anschauen.
Mache seit einem Jahr hier nichts anderes.
Wenn ich publik machen würde was hier alles passiert ist bzw teilweise noch ist, würdet ihr wahrscheinlich aus Mitleid das Gebäude anzünden.
Werde ich mir mal genauer anschauen.
Mache seit einem Jahr hier nichts anderes.
Wenn ich publik machen würde was hier alles passiert ist bzw teilweise noch ist, würdet ihr wahrscheinlich aus Mitleid das Gebäude anzünden.
Deshalb wollen wir es auch besser gar nicht erst wissen ! Es reicht vollends wenn du dich mit so einem üblen Chaos rumärgern musst
1
