rotviper
Goto Top

Zeitserver - Anfrage protokollieren

Hallo zusammen,

ich habe folgendes Problem!
Ich habe ein Netzwerk, bestehend aus x Anzahl an Rechnern. Darunter ist auch ein Server (Windows SBS 2003). Auf diesem Server ist von Meinberg eine kleine Zeitserver NTP Applikation installiert. Alle Clients holen sich per Batchdatei und geplantem Task mit dem Befehl "net time \\xxx.xxx.xxx.xxx /set /yes" die Zeit beim Server.
Dies funktioniert auch alles einwandfrei.

Nun würde ich gern am Server ein Protokoll generieren lassen können, welches mir aufzeigt, welcher der Clients sich denn auch die Zeit geholt hat.
Ich habe mit Wireshark probiert, aber ohne Erfolg. Die Abfrage der Zeit konnte ich zwar lesen, doch die Filterfunktion klappt nicht so wie ich mir das vorstelle und ich habe neben den Zeitabfrageeinträgen und viele Andere Statusmeldungen, die ich nicht benötige.

Was gibt es denn da für Möglichkeiten und ganz gezielt solch ein Protokoll zu erhalten.

Es sollte ungefähr so aussehen.

Zeit der Abfrage - IP-Adresse des Clients
10:56 - xxx.xxx.xxx.xxx
11:02 - xxx.xxx.xxx.xxx
12:10 - xxx.xxx.xxx.xxx

usw.

Vielen Dank für eure Mühe.

Gruß

rotVIPER

Content-ID: 141213

Url: https://administrator.de/contentid/141213

Printed on: December 5, 2024 at 23:12 o'clock

MegaTraveller
MegaTraveller Apr 22, 2010 at 09:26:01 (UTC)
Goto Top
Hi,

durch google habe ich das gefunden:

http://www.meinberg.de/english/sw/time-server-monitor.htm

Da Du von denen die NTP Serversoftware einsetzt, hilft Dir vielleicht ja auch deren Monitoring Lösung oder zeigt die keine Requests durch die Clients?

Bye
MT
rotVIPER
rotVIPER Apr 22, 2010 at 10:27:58 (UTC)
Goto Top
@ MegaTraveller,

Die Monitorlösung von Meinberg setzte ich bereits ein. Jedoch bietet diese keine Auflistung der Requests durch die Clients an face-sad

Danke jedoch für deine Mühe.
MegaTraveller
MegaTraveller Apr 22, 2010 at 10:37:55 (UTC)
Goto Top
Ich guck mal vielleicht finde ich ja noch etwas. Mit Wireshark finde ich, dass es zu viel Aufwand ist.
rotVIPER
rotVIPER Apr 22, 2010 at 10:40:38 (UTC)
Goto Top
Wireshark hatte ich auch schon im Einsatz - das ist definitiv zu viel Aufwand !!!
MegaTraveller
MegaTraveller Apr 22, 2010 at 11:03:57 (UTC)
Goto Top
Check doch mal die Apps, velleicht ist ja etwas brauchbares dabei:

http://www.itlocation.com/de/software/prd54236,,.htm
http://www.itlocation.com/de/software/prd79205,,.htm
http://www.itlocation.com/de/software/prd68787,,.htm
http://www.itlocation.com/de/software/prd68787,,.htm

Hast Du mal bei dem Hersteller gefragt ob man ein logging der Requests vielleicht durch einen Startparameter des Dienstes einschalten.
rotVIPER
rotVIPER Apr 22, 2010 at 11:14:03 (UTC)
Goto Top
@ Mega Traveller
Also die Programme sind alle nicht so richtig das was ich möchte bzw. benötige.
Mit Meinberger habe ich bereits Kontakt aufgenommen. Das Problem bzw. dieser Kundenwunsch ist seit 2006 bekannt. Man ist aber bis dato noch nicht weiter darauf eingegangen. Die vorhandene Monitorlösung für die Requests der Clients ist leider fehlerhaft.
MegaTraveller
MegaTraveller Apr 22, 2010 at 11:27:18 (UTC)
Goto Top
Schade. Das einzige was ich mir dann nur noch vorstellen könnte ist sich ein Python oder Perl Script zu machen welches den Traffic überwacht und nur genau diese Pakete an der Schnittstelle erfasst. Leider weiß ich nicht ob, dadurch der NTP Serverbetrieb gestört wird. Ich weiß aber definitiv, dass es für Python ein pcap ähnliches Modul gibt.
Im Endeffekt würde es das gleiche wie Wireshark machen nur angepasster auf Deine Wünsche. Leider ist das natürlich recht aufwendig zu realisieren.
rotVIPER
rotVIPER Apr 22, 2010 at 11:33:40 (UTC)
Goto Top
@ Mega Traveller

vielen Dank nochmals für deine Mühe.
MegaTraveller
MegaTraveller Apr 22, 2010 at 11:40:30 (UTC)
Goto Top
Ich halte trotzdem mal die Augen offen. Vielleicht fällt mir etwas in die Hände. Die Python Lösung ist mir deswegen eingefallen weil Du Uni Bonn ein Python Script auf ihrer Seite hat um den Conficker Virus im Netzwerk aufzuspüren und dieses nutzt die entsprechenden Module.

Leider habe ich mir noch nicht die Mühe gemacht, das Script näher anzusehen. Wenn Du selbst mal schauen willst: http://net.cs.uni-bonn.de/wg/cs/applications/containing-conficker
rotVIPER
rotVIPER Apr 22, 2010 at 12:29:22 (UTC)
Goto Top
Wenn mir jemand den richtigen Capture Filter für Wireshark geben kann, dann werde ich es doch über Wireshark realisieren.
Jedoch mein Filter geht nicht. host xxx.xxx.xxx.xxx && port 123
MegaTraveller
MegaTraveller Apr 22, 2010 at 12:33:48 (UTC)
Goto Top
Würdest Du mir Deine Capture File, privat zusenden?
rotVIPER
rotVIPER Apr 22, 2010 at 12:51:25 (UTC)
Goto Top
So ich habe mal die IP Adressen durch Client und TimeServer erstetzt.

Folgender Eintrag wird bei Wireshark getätigt wenn am Client per net time die Zeit mit dem TimeServer abgeglichen wird.
Dafür breuchte ich nun einen Filter.

"No.","Time","Source","Destination","Protocol","Info"

"736","30.328353","Client","TimeServer","DCERPC","Bind: call_id: 1 SRVSVC V3.0"
"737","30.328392","TimeServer","Client","SMB","Write AndX Response, FID: 0xc005, 72 bytes"
"738","30.328565","Client","TimeServer","SMB","Read AndX Request, FID: 0xc005, 1024 bytes at offset 0"
"739","30.328593","TimeServer","Client","DCERPC","Bind_ack: call_id: 1 accept max_xmit: 4280 max_recv: 4280"
"740","30.328775","Client","TimeServer","SRVSVC","NetRemoteTOD request"
"741","30.328867","TimeServer","Client","SRVSVC","NetRemoteTOD response"
"742","30.329089","Client","TimeServer","SMB","Close Request, FID: 0xc005"
"743","30.329135","TimeServer","Client","SMB","Close Response, FID: 0xc005"
"744","30.370531","Client","TimeServer","SMB","NT Create AndX Request, FID: 0xc00c, Path: \srvsvc"
"745","30.370650","TimeServer","Client","SMB","NT Create AndX Response, FID: 0xc00c"
MegaTraveller
MegaTraveller Apr 22, 2010 at 13:45:32 (UTC)
Goto Top
Ok, so ist es für mich natürlich jetzt ein wenig schwer Dir den Filter in Wireshark zu basteln, aber ich schau mal was sich machen lässt. Du möchtest also wissen wann der "Client" bei dem "TimeServer" die Anfrage macht und hier begann ich zu lesen was da steht: SMB?
Ich sehe da kein einziges NTP Paket.
Warum sehe ich da kein einziges NTP Paket oder habe ich da irgendetwas verpasst und es ist ein NTP Server für nicht NTP Clients, oder wie muss ich das verstehen?

Ich hätte einen Filter gesetzt ,der nur Client,TimeServer Pakete anzeigt und dazu Filter auf NTP Request und bin jetzt etwas erstaunt , ehrlich gesagt.
MegaTraveller
MegaTraveller Apr 22, 2010 at 13:48:37 (UTC)
Goto Top
Ich würde jetzt vermuten, dass die Clients OS/2, MS-DOS, Windows 95, 98, NT3, NT4 sind.
rotVIPER
rotVIPER Apr 22, 2010 at 14:00:47 (UTC)
Goto Top
Also warum da kein NTP Paket steht verwundert mich auch und dies habe ich auch schon vergeblich bei Wireshark gesucht.
Es werde wirklich nur diese Einträge in Wireshark mitgeschrieben wie oben aufgeführt.
Die Clients sind alle Windows XP Prof. Systeme.
MegaTraveller
MegaTraveller Apr 22, 2010 at 14:10:23 (UTC)
Goto Top
Dann stelle ich hier nochmal eine andere Frage, warum benutzt Du ein Drittanbieter NTP Server, statt dem im Windows Server integrierten?
rotVIPER
rotVIPER Apr 22, 2010 at 14:17:52 (UTC)
Goto Top
Eine berechtigte Frage.
Aber auch beim dem Windows Server integrieterm Zeitgeber habe ich dieses Problem !
MegaTraveller
MegaTraveller Apr 23, 2010 at 10:17:51 (UTC)
Goto Top
Wenn Du alles Windows XP Systeme hast und Du hast einen Windows Server (?) warum musst Du dann die Zeit mit einem Befehl antriggern?

Ich will nur die Konstellation bei Dir zu verstehen. Wenn Du die Clients in eine Domäne ziehst und wenn es nicht automatisch gehen sollte den Server als NTP Server klar machst und den Clients sagen wir mal auch noch manuell die NTP Quelle in der Registry angeben müsstest. Dann kann es doch nicht sein, dass das ganze als SMB abgeht.

hmmm.

Kannst Du mal etwas über Deine Umgebung schreiben? Ich werde mal später nachsehen ob ich Dir mal eine Doku raussuchen kann, dann können wir ja die Punkte mal zusammen durchgehen.

Ich vermute in dem Ganzen liegt keine all zu große Eile, auch wenn es um Zeit geht ;) , oder?