recherche outils d'analyse netbios

Ce forum est destiné à accueillir vos posts concernant la sécurité relative aux logiciels microsoft. Ils peuvent aussi bien traiter des systèmes d'exploitation Windows (NT,WIN2K,WINXP), du serveur web IIS, de Microsoft SQL et ainsi de suite...

Modérateur: modos Ixus

recherche outils d'analyse netbios

Messagepar hb » 10 Jan 2005 10:59

Bonjour à tous,

j'ai quelques soucis intermittant sur un serveur de fichier windows 2003.
de temps en temps, les utilisateurs perdent l'acces à leurs fichiers pendant 30sec. 1 minute, et tout redevient normal après. coté serveur, rien d'anormal, le seul indicateur que j'ai pu trouver c'est avec le PerfMon "Files de travail du serveur"/"longueur de la file"/"instance0"
au moment du "Freeze" de mon serveur, cette file d'attente depasse 1, et monte jusqu'a + de 200.

je voudrais essayer de monitorer plus précisement la fonction Partage de fichier, puisque c'est la seule fonction du serveur, et voir la charge généré par chaque utilisateur.

dans "Gestion de l'ordinateur" / "dossiers partagés" il y a 3 moniteurs "partages" "sessions" "ouvrir les fichier", mais aucun de ces 3 ne me donne la "charge" par utilisateur, et je ne trouve pas comment faire une log avec ce moniteur pour l'étudier après l'incident.

Donc si vous connaissez des outils répondant à ce type d'audit, merci de m'indiquer leurs noms.

PS: au niveau IP il n'y a aucun pb, le ping du serveur est toujours bon, par contre un simple "net view" n'abouti pas et genere une erreur 53"
Avatar de l’utilisateur
hb
Amiral
Amiral
 
Messages: 1513
Inscrit le: 06 Juin 2002 00:00
Localisation: Nord Isere, 50kms Lyon

Messagepar vanvan » 10 Jan 2005 11:02

t'as du vlan dans ton réseau et/ou des transceivers ( pour faire la conversion rj45 et fibre optique ) ?
"Conduire semble un peu compliqué mais après avoir essayé 271 fois d'avoir l'oral qu'ai-je à craindre?", a-t-il philosophé.
Fri April 15, 2005, Seo San-moon
Avatar de l’utilisateur
vanvan
Amiral
Amiral
 
Messages: 1270
Inscrit le: 14 Mars 2003 01:00
Localisation: la roche sur yon / nantes

Messagepar TriaaaD » 10 Jan 2005 16:05

Salut,

t`est sur que tu n`a pas de probleme de resolution DNS sur ce serveur?

du genre les updates dynamiques qui ne se font pas ou ton serveur qui fait ses resolutions DNS sur lui-meme...
"La culture c'est comme les parachutes, quand on en a pas on s'écrase" - P. Desproges.
Avatar de l’utilisateur
TriaaaD
Premier-Maître
Premier-Maître
 
Messages: 67
Inscrit le: 21 Juil 2003 00:00
Localisation: Dublin, Ireland

Messagepar hb » 10 Jan 2005 19:46

D'abord merci de vous être penché sur mon cas,

je ne pense pas avoir de pb dns, puisque je ping parfaitement.
pour info je suis toujours en domaine NT4 avec des serveurs WINS.
le serveur est cablé en Gigabit ethernet cuivre sur un rack 14U relier en fibre vers les swicths des differents batiments, mais je n'ai aucun pb sur les autres serveurs.
le rack gere le Vlan vers l'autre site, mais les principaux utilisateurs sont sur le meme site que le serveur, donc sans vlan.
les 50 autres serveurs (cluteurs ou non cluster) fonctionnent quant à eux parfaitement bien.

enfin pour etre completement transparent, il s'agit d'un Cluster NAS à base de windows Advanced Server 2003. et j'ai le meme dysfonctionnement avec les 2 machines.
et Elles ont été ré installées avec la config Usine par le constructeur il y a quelques mois pour tenter de resoudre le pb.
on à même changé la carte reseau sur l'1 des deux passant du chipset integre Broadcom à une carte PCI Intel.
Mais cela n'a rien changé

les outils de management reseau ne detectent pas de collisions ou tout autre phenomene succeptible de générer des pb

c'est pourquoi j'orientais vraiment ma question ici versle fait de pouvoir monitorer les utilisateurs accedant aux partages comme ont le ferait pour un serveur WEB, mais je ne trouve pas d'outils comparable, et mon ami google non plus.
Avatar de l’utilisateur
hb
Amiral
Amiral
 
Messages: 1513
Inscrit le: 06 Juin 2002 00:00
Localisation: Nord Isere, 50kms Lyon

Messagepar vanvan » 11 Jan 2005 12:04

t'as regardé du côté des modules fibre optique des switchs si tu en as et/ou des modules transceivers pour vérifier si tu n'as pas des conflits entre full duplex et half duplex ? surtout si certains sont en auto-négociation, il arrive que l'un se coince en half et l'autre en full, ce qui te donne des temps de l'attence énorme. Pour tester sur mon parc, on a transféré des fichiers de 100Mo pour vérifier le temps de transfert par Mo et on c rendu compte que ça trainait grave.

Sinon est ce qu'il t'arrive de balancer des images ghost à travers le réseau ? car c peut être un problème de qualité de service qui te plombe le réseau.

Sinon essayes de t'installer diskstate. ça permet de voir la taille des répertoires. Tu te montes en lecteur logiques le répertoire de stockage de tes profils utilisateurs, et tu verras la taille qu'ils font. c peut être un problème de fichiers temporaire dans les profils qui les font trop prendre de place et sauter lors des transfers. C du profil obligatoire que tu leur à mis ou pas ?
"Conduire semble un peu compliqué mais après avoir essayé 271 fois d'avoir l'oral qu'ai-je à craindre?", a-t-il philosophé.
Fri April 15, 2005, Seo San-moon
Avatar de l’utilisateur
vanvan
Amiral
Amiral
 
Messages: 1270
Inscrit le: 14 Mars 2003 01:00
Localisation: la roche sur yon / nantes

Messagepar vanvan » 11 Jan 2005 12:08

Sinon question idée :

ça pourrait pas être la carte réseau gigabit qui balance des paquets trop gros et qui saturent les machines pas prévus pour ?

ou c peut être le driver qui est pas top top mais bon ça m'étonnerai

Pour ce qui est de monitore, dans la partie journal d'énements sur le serveur ça donne quoi ?

voilà s'était quelques idées en vrac
"Conduire semble un peu compliqué mais après avoir essayé 271 fois d'avoir l'oral qu'ai-je à craindre?", a-t-il philosophé.
Fri April 15, 2005, Seo San-moon
Avatar de l’utilisateur
vanvan
Amiral
Amiral
 
Messages: 1270
Inscrit le: 14 Mars 2003 01:00
Localisation: la roche sur yon / nantes

Messagepar TriaaaD » 11 Jan 2005 12:52

Desole si j`insiste sur le dns, mais lorsque qu`un utilisateur se connecte sur un partage ses droits d`acces sont verifies via l`active directory, et qui dit active directory dit Dns.

Mais j`ai peut etre mal compris, ton cluster est sur une base windows 2003 adv mais connecte a un domaine NT4 ?
"La culture c'est comme les parachutes, quand on en a pas on s'écrase" - P. Desproges.
Avatar de l’utilisateur
TriaaaD
Premier-Maître
Premier-Maître
 
Messages: 67
Inscrit le: 21 Juil 2003 00:00
Localisation: Dublin, Ireland

Messagepar vanvan » 11 Jan 2005 14:44

c vrai que sur cet aspect là j'ai pas très bien compris non plus
"Conduire semble un peu compliqué mais après avoir essayé 271 fois d'avoir l'oral qu'ai-je à craindre?", a-t-il philosophé.
Fri April 15, 2005, Seo San-moon
Avatar de l’utilisateur
vanvan
Amiral
Amiral
 
Messages: 1270
Inscrit le: 14 Mars 2003 01:00
Localisation: la roche sur yon / nantes

Messagepar hb » 11 Jan 2005 19:10

merci pour toutes ces idées en vrac.

oui oui il s'agit bien d'un domaine NT4, donc pas d'AD !!!
le cluster n'est pas controleur de domaine, ll est "stand alone" membre du domaine NT4


ça pourrait pas être la carte réseau gigabit qui balance des paquets trop gros et qui saturent les machines pas prévus pour ?

si tu parles du serveur, ce sont des Bi XEON 2.8G avec 2Go de RAM un controleur RAID avec 2 disques scsi 36Go 10K en raid1, puis 2 cartes Fiber Channel reliées à un SAN avec une Baie de Stockage de plusieurs tera. Et ils sont équipés de 2 ports 10/100/1000, donc prevuent pour faire du giga.
niveau debit, c'est du bonheur, j'ai eu tiré ou poussé des images ghost a des vitesses impressionantes

comme j'utilise ghost, avec ou sans multicast, je sais tres bien identifier ce type de traffic, d'ailleurs ça ne penalise pas 1 serveur mais tout le reseau de la boite dans ce cas là.

de même quand un virus circule en exploitant les failles windows, c'est tres identifiable comme traffic, et facile à repérer.

coté nego, 10/1000/1000 half/full, il y a longtemps que nous avons pris l'habitude de forcer et ne pas laisser l'auto negociation, sinon rien de tel pour avoir un debit catastrophique.

coté ethernet fibre, le fond de panier est equipé de carte cuivre 10/100 pour les clients, cuivre 1000 pour les serveurs, et les cartes fibres ne servent qu'à atteindre les switchs des autres batiments.
et là pas d'anomalie, d'ailleurs tout le traffic ne passe pas forcement par des fibres, meme les autres serveurs cablés sur la meme carte giga n'ont plus acces aux shares. "c'est comme si mon serveur de fichier était débranché du reseau" sauf qu'il ping toujours sans pb.

Coté fichiers temporaire dans les profils, no chance, pas de profil errant. seules les données utilent sont partagées sur le reseau (DOC, XLS, PDF, PST pour outlook, plan CAO, ...)

j'ai meme essayé de générer du traffic en journée pour créer une panne, et je n'y parvient pas.
le FREEZE ne survient meme pas forcement aux heures de pointes.

l'aspect drivers a été mis en cause également, les bios des cartes à meme été flashée.
et on a meme poussé jusqu'a passer sur d'autres cartes avec un chipset Intel au lieu du chipset broadcom d'origine.
on à même supprimer le LOAD BALANCING entre les cartes reseaux et concentré tout la communication sur une seule carte giga au lieu de 2 comme le permet l'installation.

ah oui le journal d'évenement, et bien vide de chez vide au moment du blocage aucune log n'apparait pour orienter mes recherches, c'est bien là mon souci, quel indicateur pourrait bien m'aider à diagnostiquer mon pb.

je fais donc tourner des perfmon pour logguer des parametres, mais pas tous à la fois, c'est impossible sans écrouler le serveur. puis je decortique tout cela pour essayer de trouver des similitudes sur les pics presents aux moments des FREEZE. mais c'est long et fastidieux, et rien ne prouve que cette méthode me permettra d'aboutir à un résultat.

------------------------------------------------------------------------------

Dans tous les cas, merci pour vos questions, cela me permet au moins de voir ce que j'aurais pu oublier de vérifier
Avatar de l’utilisateur
hb
Amiral
Amiral
 
Messages: 1513
Inscrit le: 06 Juin 2002 00:00
Localisation: Nord Isere, 50kms Lyon

Messagepar TriaaaD » 12 Jan 2005 13:01

et si tu utilise le network monitor en filtrant uniquement le protocole netbios?

c`est $%#&! a analyser mais au moins tu aura l`affichage des acces par utilisateurs pour le protocole.
"La culture c'est comme les parachutes, quand on en a pas on s'écrase" - P. Desproges.
Avatar de l’utilisateur
TriaaaD
Premier-Maître
Premier-Maître
 
Messages: 67
Inscrit le: 21 Juil 2003 00:00
Localisation: Dublin, Ireland

Messagepar anti_p » 18 Jan 2005 19:46

Si c'est possible (nb de postes)

mettre des adresses IP fixe

qqles fois souverain

mais tout le monde y a pensé

anti_p
anti_p
Premier-Maître
Premier-Maître
 
Messages: 58
Inscrit le: 15 Sep 2004 22:00

Messagepar hb » 18 Jan 2005 19:55

@triaaad : bon le network monitor c'est vraiment teutchi pour arriver à le faire causer netbios.
c'est pas vraiment ce que je recherche.

@anti_p : merci pour l'idée des IP fixes, mais bon plus de 700 postes ça ne me tente pas ;)

pour l'instant le constructeur à l'air de se replonger à nouveau sur le mistère, ils creusent plutot la piste du WINS d'après leur log, plus un tas d'autres petites pistes.

mais bon je suis toujours preneur d'un outil d'audit d'un pour un serveur de fichier type SMB, a de nombreuses occasions je serais curieux d'avoir la répartitions des charges, si l'1 de vous se sent l'âme de développer quelque chose, il semble qu'il n'y ai pas encore d'outils de ce type sur le marché.
Avatar de l’utilisateur
hb
Amiral
Amiral
 
Messages: 1513
Inscrit le: 06 Juin 2002 00:00
Localisation: Nord Isere, 50kms Lyon

Messagepar TriaaaD » 18 Jan 2005 20:17

hb a écrit:@triaaad : bon le network monitor c'est vraiment teutchi pour arriver à le faire causer netbios.


je suis bien d`accord, un outil pour ce genre de diag serait le bienvenu.

En cherchant dans la Kb microsoft j`ai trouve ceci:
You Experience Slow File Server Performance and Delays Occur When You Work With Files That Are Located on a File Server KB822219.

il y a des references a certaines version de drivers arcserve ou veritas qui pourrai etre en cause.
[/url]
Avatar de l’utilisateur
TriaaaD
Premier-Maître
Premier-Maître
 
Messages: 67
Inscrit le: 21 Juil 2003 00:00
Localisation: Dublin, Ireland

une lueur d'espoir dans la nuit ....

Messagepar hb » 18 Jan 2005 23:06

sincerement bravo pour avoir déniché cet article, pourtant j'ai passé pas mal de temps sur leur site.
la description des symptomes est vraiment très ressemblante.
je n'utilise malheureusement pas ces produits (arcserve, veritas) mais TImeNAvigator.
cependant ça vaut le coup de creuser cette piste, meme si les indicateurs à monitorer ne sont pas révélateur chez moi, j'avais déjà chercher du coté STRESS disque sans résultat
de meme que le switch contexte n'est pas non plus trop extraordinaire.
Mais je vais quand même accorder tout l'intérêt qu'il se doit à ton link.

Merci

HB
Avatar de l’utilisateur
hb
Amiral
Amiral
 
Messages: 1513
Inscrit le: 06 Juin 2002 00:00
Localisation: Nord Isere, 50kms Lyon


Retour vers Logiciels Microsoft

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)

cron