Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Samba fragt tote Gegenstelle
1 view
Skip to first unread message
Tim Ritberg
Feb 8, 2024, 2:46:57 PM2/8/24
to
Hi!
Auf einem Samba-DC sah ich merkwürdige ARP-Anfragen ausgehend zu einem
intern lange toten Host.
Ich habe dann ein kleines Linux auf einer anderen Box gebootet und ihm
die IP-Adresse der Anfrage verpasst.
Mit tcpdump konnte ich dann UDP-Netbios-Anfragen Port 137 sehen:
Opcode: name query
Queries: type NBState, class IN
Was ist das los?
Ich konnte auch nicht sehen, woher der DC den Hostnamen hatte.
Ich hatte auf der Platte in allen Dateien kleiner 128MB danach gesucht
und nichts gefunden.
Tim
Auf einem Samba-DC sah ich merkwürdige ARP-Anfragen ausgehend zu einem
intern lange toten Host.
Ich habe dann ein kleines Linux auf einer anderen Box gebootet und ihm
die IP-Adresse der Anfrage verpasst.
Mit tcpdump konnte ich dann UDP-Netbios-Anfragen Port 137 sehen:
Opcode: name query
Queries: type NBState, class IN
Was ist das los?
Ich konnte auch nicht sehen, woher der DC den Hostnamen hatte.
Ich hatte auf der Platte in allen Dateien kleiner 128MB danach gesucht
und nichts gefunden.
Tim
Kay Martinen
Feb 8, 2024, 4:50:03 PM2/8/24
to
Am 08.02.24 um 20:46 schrieb Tim Ritberg:
Hast du den DNS; den der Samba befragt; untersucht ob dort die Fragliche
IP auftaucht, ggf. einem anderen namen zugeordnet der vom DC noch
angefragt wird?
Oder lokale hosts-datei, resolve-order mal kontrollieren. Die IP hast du
offenbar. Hast du auf der Platte nach der IP oder (nur?) dem Namen gesucht?
Sorry, nur allgemeine Ideen auf Vorrat. :)
Bye/
/Kay
--
"Kann ein Wurstbrot die Welt retten?" :-)
IP auftaucht, ggf. einem anderen namen zugeordnet der vom DC noch
angefragt wird?
Oder lokale hosts-datei, resolve-order mal kontrollieren. Die IP hast du
offenbar. Hast du auf der Platte nach der IP oder (nur?) dem Namen gesucht?
Sorry, nur allgemeine Ideen auf Vorrat. :)
Bye/
/Kay
--
"Kann ein Wurstbrot die Welt retten?" :-)
Tim Ritberg
Feb 8, 2024, 5:12:55 PM2/8/24
to
Am 08.02.24 um 22:47 schrieb Kay Martinen:
Es kann sein, dass der DC diese IP beim Setup hatte.
>
> Oder lokale hosts-datei, resolve-order mal kontrollieren. Die IP hast du
> offenbar. Hast du auf der Platte nach der IP oder (nur?) dem Namen gesucht?
>
Alles.
Ich finde die Adresse nur im Debian-Install-Log. Das Setup ist aber 5
Jahre her.
Tim
> Hast du den DNS; den der Samba befragt; untersucht ob dort die Fragliche
> IP auftaucht, ggf. einem anderen namen zugeordnet der vom DC noch
> angefragt wird?
Die IP gehört zum DHCP-Pool.
> IP auftaucht, ggf. einem anderen namen zugeordnet der vom DC noch
> angefragt wird?
Es kann sein, dass der DC diese IP beim Setup hatte.
>
> Oder lokale hosts-datei, resolve-order mal kontrollieren. Die IP hast du
> offenbar. Hast du auf der Platte nach der IP oder (nur?) dem Namen gesucht?
>
Ich finde die Adresse nur im Debian-Install-Log. Das Setup ist aber 5
Jahre her.
Tim
Tim Ritberg
Feb 9, 2024, 7:03:17 AM2/9/24
to
Am 08.02.24 um 23:12 schrieb Tim Ritberg:
Ich habe auf der Test-Box mal Samba installiert, das antwortet dann auch.
Weder beim DC noch bei der Test-Box steht was im Log, was da getrieben wird.
Ich werden mal auf der Testbox das Loglevel erhöhen.
Tim
> Am 08.02.24 um 22:47 schrieb Kay Martinen:
>> Hast du den DNS; den der Samba befragt; untersucht ob dort die
>> Fragliche IP auftaucht, ggf. einem anderen namen zugeordnet der vom DC
>> noch angefragt wird?
Übrigens fragt der DC alle 15 Minuten diesen Host mit NBSTAT.
>> Hast du den DNS; den der Samba befragt; untersucht ob dort die
>> Fragliche IP auftaucht, ggf. einem anderen namen zugeordnet der vom DC
>> noch angefragt wird?
Ich habe auf der Test-Box mal Samba installiert, das antwortet dann auch.
Weder beim DC noch bei der Test-Box steht was im Log, was da getrieben wird.
Ich werden mal auf der Testbox das Loglevel erhöhen.
Tim
Kay Martinen
Feb 9, 2024, 9:00:03 AM2/9/24
to
Am 09.02.24 um 13:03 schrieb Tim Ritberg:
> Ich habe auf der Test-Box mal Samba installiert, das antwortet dann auch.
Und was antwortet der genau?
> Weder beim DC noch bei der Test-Box steht was im Log, was da getrieben wird.
>
> Ich werden mal auf der Testbox das Loglevel erhöhen.
Das wäre wohl gut. Dann sollten eigene logdateien für die IP und den
SMB-namen existieren. Schau dann auch mal in die logs für den nmbd -
falls der läuft. Aber den Domain Master wird wohl dein DC machen, da
wäre das wohl besser.
Kannst du auf dem DC den loglevel auch hoch drehen oder (Viel genutzt?)
läuft dem dann schnell die Platte voll. Zumindest wenn die testbox nicht
an ist sollte der DC dann ja loggen das er versuchte den zu erreichen.
Evtl. hilft das dann auch weiter.
> Am 08.02.24 um 23:12 schrieb Tim Ritberg:
>> Am 08.02.24 um 22:47 schrieb Kay Martinen:
>>> Hast du den DNS; den der Samba befragt; untersucht ob dort die
>>> Fragliche IP auftaucht, ggf. einem anderen namen zugeordnet der vom DC
>>> noch angefragt wird?
>
> Übrigens fragt der DC alle 15 Minuten diesen Host mit NBSTAT.
Das klingt nach einem Broadcast/WINS-Bezüglichem Kontext.
>> Am 08.02.24 um 22:47 schrieb Kay Martinen:
>>> Hast du den DNS; den der Samba befragt; untersucht ob dort die
>>> Fragliche IP auftaucht, ggf. einem anderen namen zugeordnet der vom DC
>>> noch angefragt wird?
>
> Übrigens fragt der DC alle 15 Minuten diesen Host mit NBSTAT.
> Ich habe auf der Test-Box mal Samba installiert, das antwortet dann auch.
> Weder beim DC noch bei der Test-Box steht was im Log, was da getrieben wird.
>
> Ich werden mal auf der Testbox das Loglevel erhöhen.
SMB-namen existieren. Schau dann auch mal in die logs für den nmbd -
falls der läuft. Aber den Domain Master wird wohl dein DC machen, da
wäre das wohl besser.
Kannst du auf dem DC den loglevel auch hoch drehen oder (Viel genutzt?)
läuft dem dann schnell die Platte voll. Zumindest wenn die testbox nicht
an ist sollte der DC dann ja loggen das er versuchte den zu erreichen.
Evtl. hilft das dann auch weiter.
Tim Ritberg
Feb 9, 2024, 10:33:36 AM2/9/24
to
Am 09.02.24 um 14:51 schrieb Kay Martinen:
>
> Und was antwortet der genau?
Message is a response, Server is an authority for domain.
Dann noch zusätzliche Flags wie Servername, Local Master Browser etc
>
> Das wäre wohl gut. Dann sollten eigene logdateien für die IP und den
> SMB-namen existieren. Schau dann auch mal in die logs für den nmbd -
> falls der läuft. Aber den Domain Master wird wohl dein DC machen, da
> wäre das wohl besser.
>
Es es sieht so aus, als würde immer nur der Serverstation abgefragt.
Ich guck noch mal genauer.
Ich habe so das Gefühl, der DC hält diese IP für einen Slave oder Member.
Tim
> Das klingt nach einem Broadcast/WINS-Bezüglichem Kontext.
Kommt aber nicht als Broadcast.
>
> Und was antwortet der genau?
Dann noch zusätzliche Flags wie Servername, Local Master Browser etc
>
> Das wäre wohl gut. Dann sollten eigene logdateien für die IP und den
> SMB-namen existieren. Schau dann auch mal in die logs für den nmbd -
> falls der läuft. Aber den Domain Master wird wohl dein DC machen, da
> wäre das wohl besser.
>
Ich guck noch mal genauer.
Ich habe so das Gefühl, der DC hält diese IP für einen Slave oder Member.
Tim
Tim Ritberg
Feb 14, 2024, 9:57:23 AM2/14/24
to
Am 09.02.24 um 16:33 schrieb Tim Ritberg:
process_node_status_request: status requst for name *<00> from IP 192...
(DC) on subnet UNICAST_SUBNET
Tim
> Es es sieht so aus, als würde immer nur der Serverstation abgefragt.
> Ich guck noch mal genauer.
Log sagt:
> Ich guck noch mal genauer.
process_node_status_request: status requst for name *<00> from IP 192...
(DC) on subnet UNICAST_SUBNET
Tim
Tim Ritberg
Feb 15, 2024, 3:45:48 PM2/15/24
to
Am 14.02.24 um 15:57 schrieb Tim Ritberg:
Oh man...
Tim
> Log sagt:
> process_node_status_request: status requst for name *<00> from IP 192...
> (DC) on subnet UNICAST_SUBNET
>
Der Eintrag stand in der wins.dat.
> process_node_status_request: status requst for name *<00> from IP 192...
> (DC) on subnet UNICAST_SUBNET
>
Oh man...
Tim
0 new messages