Netbios, Master Browser und Personalfirewalls
Stefan Helle
wir haben hier eine kleines Netzwerk mit ca. 50 Hosts. Es sind
unterschiedliche
Betriebssysteme vorhanden (Linux, Windows XP - Windows 95). Ich bin der
Ansprechpartner der User für Probleme mit dem Netz.
Zur Kommunikation wird NetBIOS verwendet. ES ist allerdings kein Winsserver
vorhanden. Deshalb nimmt einer Clients die Position des Master Browsers ein.
Wie die Auswahl auf einen Client fällt, weiss ich aber nicht. Jedenfalls
kommt es von Zeit zu Zeit mal vor, dass man überhaupt keine Rechner in der
Netzwerkumgebung finden kann, obwohl man andere Rechner anpingen bzw. über
den Explorer suchen und auch finden kann.
Da einige User wegen der in den Medien verbreiteten Panikmache unbedingt
eine
Personalfirewall installiert haben müssen, allerdings dieselbige überhaupt
nicht konfigurieren können, habe ich den Verdacht, dass diese PFs das oben
genannte Phänomen verursachen.
Ich vermute, dass ein Rechner trotz Firewall die Position des Master
Browsers
einnimmt. Wenn nun aber ein Client eine Liste der Clients vom Master Browser
haben will, bekommt er aufgrund der Firewall nichts.
Liege ich da in meiner Vermutung richtig oder ist es normal, dass die
Windows-
netzwerkumgebung manchmal keine Rechner anzeigt?
Gruss,
Stefan.
Jürgen Tobisch
> Zur Kommunikation wird NetBIOS verwendet. ES ist allerdings kein Winsserver
> vorhanden. Deshalb nimmt einer Clients die Position des Master Browsers ein.
> Wie die Auswahl auf einen Client fällt, weiss ich aber nicht. Jedenfalls
> kommt es von Zeit zu Zeit mal vor, dass man überhaupt keine Rechner in der
> Netzwerkumgebung finden kann, obwohl man andere Rechner anpingen bzw. über
> den Explorer suchen und auch finden kann.
Die Auswahl läuft über eine sog. "elektion", d.h. es wird durch ein
(meines erachtens) idiotisches Verfahren ausgehändelt wer der Chef
ist. Ziemlich blöde wenn der Rechnen ausgeschalten wird, da dann
das Spielchen wieder von vorne anfängt.
> Da einige User wegen der in den Medien verbreiteten Panikmache unbedingt
> eine
> Personalfirewall installiert haben müssen, allerdings dieselbige überhaupt
> nicht konfigurieren können, habe ich den Verdacht, dass diese PFs das oben
> genannte Phänomen verursachen.
Nicht unwahrscheinlich.
> Ich vermute, dass ein Rechner trotz Firewall die Position des Master
> Browsers
> einnimmt. Wenn nun aber ein Client eine Liste der Clients vom Master Browser
> haben will, bekommt er aufgrund der Firewall nichts.
Irgend eine Dose ist das dann schon, aber ich würde das nicht nach
dem Zufallsprinzip lösen.
> Liege ich da in meiner Vermutung richtig oder ist es normal, dass die
> Windows-
> netzwerkumgebung manchmal keine Rechner anzeigt?
Nur wenn's so konfiguriert ist wie in Deinem Fall. Mein Lösungsvorschlag
wäre: Auf einer Linux-Kiste die immer an ist einen Samba installieren,
den als PDC oder zumindest als Winsserver laufen lassen und in allen
Clients explizit angeben.
Jürgen Tobisch
Lutz Donnerhacke
>Zur Kommunikation wird NetBIOS verwendet. ES ist allerdings kein Winsserver
>vorhanden. Deshalb nimmt einer Clients die Position des Master Browsers ein.
>Wie die Auswahl auf einen Client fällt, weiss ich aber nicht.
Jeder brüllt ins Netz, er wäre bereit, den Master Browser zu spielen, falls
keiner widerspricht. Dann bekommt er die Meldungen von den anderen und
schickt die gehörten Berichte regelmäßig ins Netz.
>Jedenfalls kommt es von Zeit zu Zeit mal vor, dass man überhaupt keine
>Rechner in der Netzwerkumgebung finden kann, obwohl man andere Rechner
>anpingen bzw. über den Explorer suchen und auch finden kann.
Dann sendet der Masterbrowser leere Listen ins Netz, weil ihm niemand
Bericht erstattet hat.
>Da einige User wegen der in den Medien verbreiteten Panikmache unbedingt
>eine Personalfirewall installiert haben müssen, allerdings dieselbige
>überhaupt nicht konfigurieren können, habe ich den Verdacht, dass diese
>PFs das oben genannte Phänomen verursachen.
Korrekt.
>Ich vermute, dass ein Rechner trotz Firewall die Position des Master
>Browsers einnimmt.
Der Host des Nutzers brüllt raus, Masterbrowser sein zu wollen. Die PF
verhindert den Empfang der Einsprüche des bisherigen Masterbrowsers.
Irgendwann geben die anderen auf und lassen ihn seinen Willen.
>Wenn nun aber ein Client eine Liste der Clients vom Master Browser haben
>will, bekommt er aufgrund der Firewall nichts.
Fast. Der neue Masterbrowser hört dank der PF nicht mehr, daß sich andere
bei ihm melden. Also glaubt er sich allein im Netz und meldet das fleißif an
alle.
>Liege ich da in meiner Vermutung richtig.
Ja. Es gibt zwei Lösungen:
- LART gegen jeden, der eine PF installiert und so den Netzbetrieb lahmlegt.
Sofort und nachhaltig. Auch wenn der Chef mal einen halben Tag vom Netz
genommen werden muß, bis er es lernt.
- LART des Chefs gegen den Netzdesigner, weil er die Netzstruktur so
entworfen hat, daß Angriffe dieser Art überhaupt möglich wurden.
Thomas Kopton
> wir haben hier eine kleines Netzwerk mit ca. 50 Hosts. Es sind
> unterschiedliche
> Betriebssysteme vorhanden (Linux, Windows XP - Windows 95). Ich bin
> der Ansprechpartner der User für Probleme mit dem Netz.
Bist du auch der Admin des Netzes?
> Zur Kommunikation wird NetBIOS verwendet. ES ist allerdings kein
> Winsserver vorhanden. Deshalb nimmt einer Clients die Position des
> Master Browsers ein.
Wieso denkst Du, dass es einer der Clients ist. Sobald es im Segment
einen Server (mit Server Version des BS) gibt, gewinnt dieser die Wahl
des MBs.
> Wie die Auswahl auf einen Client fällt, weiss
> ich aber nicht.
Google hilft, oder auch M$-Homepage.
> Jedenfalls kommt es von Zeit zu Zeit mal vor, dass
> man überhaupt keine Rechner in der Netzwerkumgebung finden kann,
> obwohl man andere Rechner anpingen bzw. über den Explorer suchen
> und auch finden kann.
In Windows Netzen mit NetBIOS nichts neues.
> Da einige User wegen der in den Medien verbreiteten Panikmache
> unbedingt eine
> Personalfirewall installiert haben müssen, allerdings dieselbige
> überhaupt nicht konfigurieren können,
Halt, stop, wer ist denn bei euch für die Sicherheit veratwortlich? Doch
nicht etwa die User? Wer hat denn die Policy erstellt? Doch nicht etwa
die User? Wer hat denn diese Krücke von Paketfilter auf den Clients
installiert? Doch nicht etwa du?
> habe ich den Verdacht, dass
> diese PFs das oben genannte Phänomen verursachen.
Dieser Verdacht ist nicht unbegründet.
> Ich vermute, dass ein Rechner trotz Firewall die Position des
> Master Browsers
> einnimmt. Wenn nun aber ein Client eine Liste der Clients vom
> Master Browser haben will, bekommt er aufgrund der Firewall nichts.
Das glaube ich weniger, es wird eher so sein, dass die Clients sich gar
nicht beim MB werden registrieren können, weil sie dank der
SuperFirewall vom restlichen Windows-Netzwerk "geschützt" werden. Deine
Vermutung ist dennoch theoretisch möglich.
> Liege ich da in meiner Vermutung richtig
Na ja, fast.
> oder ist es normal, dass
> die Windows-
> netzwerkumgebung manchmal keine Rechner anzeigt?
Auch.
Deinstalliere diese PFs und denke darüber nach wovor du deine User
schützen möchtest und wie man dieses erreichen kann. Tip von mir: In der
Lösung kommen keine PFs vor.
HTH,HAND
Thomas
Joens Peller
tut mir Leid daß ich es jetzt so schreibe, aber dieses Konzept ist nur noch
Schrott. Ich weiß zwar nicht, ob _Du_ dieses Netzwerk verbrochen hast aber
ich würde Deinem Chef mal vorschlagen, daß sich (bei 50 Clients..! Server?)
mal jemand darum kümmert der sich damit auskennt. Bezüglich der PF´s kann
ich nur sagen: Warum dürfen die User überhaupt ohne den Admin irgendwas
installieren? Und das ist nur ein Punkt von schätzungsweise 10. Dieses
Konzept ist sowas von "löchrig" daß es einem schlecht wird.
Sorry
jp
Chris Haaser
> wir haben hier eine kleines Netzwerk mit ca. 50 Hosts. Es sind
> unterschiedliche
> Betriebssysteme vorhanden (Linux, Windows XP - Windows 95).
^^^^^^^^^^
*patsch* #1. DOS ist NICHT für den Geschäftseinsatz vorgesehen.
> Ich bin der Ansprechpartner der User für Probleme mit dem Netz.
Arme Sau.
> Zur Kommunikation wird NetBIOS verwendet.
Kommunikation zwischen wem und für was?
Um sich die neuesten Fickbildchen zuzuschieben?
Eine andere sinnvolle Verwendung für NetBIOS im Firmenumfeld fällt mir
leider grad nicht ein.
> ES ist allerdings kein Winsserver vorhanden.
~40 Windows-Kisten, die das Netz regelmäßig mit "ich hab den
längsten^Whöchsten OS-Level"-Broadcasts überfluten? *patsch* #2.
> Deshalb nimmt einer Clients die Position des Master Browsers ein.
50 User und kein Server? *patsch* #3.
> Da einige User wegen der in den Medien verbreiteten Panikmache unbedingt
> eine Personalfirewall installiert haben müssen,
*PATSCH* #4.
User haben auf ihren Rechnern NICHTS zu installieren.
Dass ihr unter Spielzeug-Windows (95|98|ME) keine Möglichkeit habt, das
zu unterbinden, habt ihr euch selber zuzuschreiben. UM SO SCHLIMMER,
dass das nicht vertraglich geregelt wird.
> Ich vermute, dass ein Rechner trotz Firewall die Position des Master
> Browsers einnimmt. Wenn nun aber ein Client eine Liste der Clients vom
> Master Browser haben will, bekommt er aufgrund der Firewall nichts.
Klingt einleuchtend. Siehe auch Lutz' Antwort.
> Liege ich da in meiner Vermutung richtig oder ist es normal, dass die
> Windowsnetzwerkumgebung manchmal keine Rechner anzeigt?
Ja. Jein. Das sollte in einer Firma aber genau nichts ausmachen. Shares,
die die Nutzer brauchen, kann man auf Laufwerke mappen.
JFTR: Wie heißt eure Firma? Meine persönliche Blacklist muss wohl
aktualisiert werden.
<OT>
Das nervt auch auf LAN-Partys tierisch. Gigabit-Backbone,
vollgeswitcht, super Ping, aber "das Netzwerk geht nicht,
ich seh keinen in der Netzwerkumgebung". - "Ja, das WiXP da
drüben ist schon wieder abgekackt. Und? Nimm http, die
Anleitung hast du vor der Nase." Gna.
</OT>
--
Die Magd liegt tot am Boden
der Knecht liegt obendrauf
er zuckt ein letztes Mal
wahrscheinlich stirbt er auch
Sebastian Posner
<kristallkugel>
Ich denke, er redet von sowas wie einem Studentenwohnheimnetz.
</>
Noch Fragen?
Sebastian
Sebastian Posner
> JFTR: Wie heißt eure Firma? Meine persönliche Blacklist muss wohl
> aktualisiert werden.
<nochmalkristallkugelauspack>
Studentenwohnheim in $Unistadt.
Er ist der "Netzbeauftragte" oder eben derjenige, der beim RZ als
Verantwortlicher für den Adressblock eingetragen ist o.ä.
</>
Sebastian
Paul Muster
> > > Message-ID: <a8u9c2$6vl$06$1...@news.t-online.com>
> > > X-Trace: news.t-online.com 1018341570 06 7157 22FMTNKSS6Awf0
> > > 020409 08:39:30 X-Complaints-To: ab...@t-online.com
> > > X-Sender: 52007123...@t-dialin.net
> <kristallkugel>
> Ich denke, er redet von sowas wie einem Studentenwohnheimnetz.
> </>
>
> Noch Fragen?
Ja, zwei.
Welcher T-Online-Tarif?
Wie lange noch?
mfG Paul
--
eMails ans From: werden ungelesen gelöscht.
Lutz Donnerhacke
>Chris Haaser wrote:
>
>> JFTR: Wie heißt eure Firma? Meine persönliche Blacklist muss wohl
>> aktualisiert werden.
>
><nochmalkristallkugelauspack>
>Studentenwohnheim in $Unistadt.
Deine Kristallkugel ist fleckig. Kein Studentenwohnheimnutzer würde sich
beschweren, weil es grade mal nicht geht: Es ging nie.
Chris Haaser
*hualp*
Der OP möge sich zu diesem Vorwurf äußern. Wenn er zutrifft, lautet die
korrekte Antwort auf solche Fehlerbeschreibungen: "Ein paar von euch
Idioten haben $PF installiert, die macht das Netzwerk unbrauchbar."
Den LART kann man dann den Fickbild-Saugern überlassen.
Alternativ einfach mal einen Dauer-Portscan 1-65535 laufen lassen. Nach
ein paar Stunden Klickerei ist $PF dann so dicht, dass sie mit "Mein
Internet ist kaputt!!!!11" ankommen. Dann auf den Passus "netzkonformes
Verhalten" in den Nutzungsvereinbarungen verweisen und einfach
abklemmen.
Es sollte aber trotzdem nicht das Problem sein, irgendwo einen Samba als
WINS aufzusetzen.
--
Support: "Hmm, komisch. Jetzt fällt mir auch keine Lösung mehr ein. Installieren
Sie das Update doch nochmal."
DAU: "Installieren?"
Markus Dobel
>
> Ich vermute, dass ein Rechner trotz Firewall die Position des Master
> Browsers einnimmt. Wenn nun aber ein Client eine Liste der Clients
> vom Master Browser haben will, bekommt er aufgrund der Firewall
> nichts.
Genau so ist es (auch hier). Fuer die Statistik: in 95% aller Faelle
sind es Windows 2000/XP-Rechner mit Norton Internet Security. Dies ist
in der Standardkonfiguration so konfiguriert, dass die Maschine
NetBIOS-Pakete rauspusten darf, aber fuer die Anliegen anderer voellig
taub ist. Somit veranstalten diese Rechner nach dem Booten eine
Election, bei der sie mangels hoerbarer Konkurrenz natuerlich gewinnen
und diesen Sieg stolz announcen. Der vorher noch Meisterbrausende
Samba-Server reagiert darauf sehr verdutzt und zieht fuer weitere
Elections offensichtlich die Fuehler ein. Danke. Nicht, dass mir eine
browsebare Netzwerkumgebung wichtig waere, aber der User an sich weint,
weil er keine anderen Rechner mehr sieht.
Ich hab weder Lust noch Zeit, mir die Konfiguration von Norton Internet
Security (und anderen Desktopfirewalls) anderer Leute anzutun, und die
Leute wenig Lust und Einsicht, die vermeintlich gewonnene Sicherheit zu
deinstallieren. Leider hat man in einem Wohnheim halt keine zentrale
Administration aller Rechner (die Teile gehoeren schliesslich auch den
Bewohnern selbst) und man hat als Netzadmin nur eingeschraenkt Einfluss
auf die Konfiguration der Userrechner. Ich sah vier Moeglichkeiten:
Egal-Methode: Was interessiert mich die Klickibunti-Netzwerkumgebung.
Damit macht man aber leider User ungluecklich und
quengelig. Nein, ich will meine Ruhe.
BOFH-Methode: Wer die Netzwerkumgebung sprengt, wird abgeklemmt oder
sonstwie geschlachtet. Macht auch ne Menge Aerger,
ausserdem find ichs ueberreagiert. Schliesslich ist nur
die Wixdos-Netzwerkumgebung leer und nichts wirklich
kaputt, was nicht eh schon Konzeptionell kaputt ist.
Gebetsmuehle: Immer wieder den Leuten hinterherrennen und die ewig
selbe Leier ueber Desktop Firewalls loslassen, die Leute
dazu bringen, sich mit der Materie auseinanderzusetzen
und es dann selber richtig zu machen. Ja, Genau. Das
klappt bestimmt prima.
Pragmatschig: Einfaches, fuer alle akzeptierbares Rezept, wie man trotz
defekter Firewallkonfig die Netzwerkumgebung wenigstens
nicht stoert. Und wenn wieder mal jemand stoert ->
Automagisch rausfinden, wers ist und ihm eine
Standardmail schicken, wo das Rezept drinsteht.
Das Rezept ist folgendes: ich sage ich den Leuten, sie sollen den
"Computersuchdienst" auf ihren Windows-Kisten abschalten. Damit rufen
diese Kisten keine Elections mehr aus und nehmen auch an keiner mehr
teil; und der Wohnheimserver bleibt Meisterbrauser und alle sind happy
(Das diese Liste der Rechner Prinzipbedingt nur selten mit der Realitaet
uebereinstimmt, interessiert ja keinen; Hauptsache, man kann klicken).
Abschalten ist recht einfach (Bei NT/2000/XP den entsprechenden Service
deaktivieren, bei Windows 9x hab ich gerad nich im Kopf) realisierbar
und der gefirewallte User stoert zumindest keinen mehr.
Fuer das Automagische herausfinden hab ich mir ein kleines Script
geschrieben, was periodisch nachsieht, wer Masterbrowser ist und wenn
es nicht der Wohnheim-Server ist, wird in der Userdatenbank nach dem
User zum Rechner gesucht und ne Mail geschickt. Danach wird dann der
Samba-Server neugestartet (anders bekommt man den zu keiner Election
mehr ueberredet) Ist zwar nicht das eleganteste, hat aber bisher den
Umstaenden entsprechend gut funktioniert.
Gruss, Mar "ja, manchmal weine ich nachts deswegen" kus
--
Kostenloses MySQL Datenbank-Hosting:
http://www.google.com/search?q=welcome+to+phpmyadmin