Determine qual processo está gerando o tráfego de rede (Windows Server 2003)

Navegue suas respostas
3

Eu tenho um servidor de impressão em nosso domínio do Windows 2003 com muitas filas de impressão. Estamos vendo uma quantidade significativa de varreduras SNMP provenientes desse servidor, que consideramos desnecessárias. Tudo relacionado ao servidor de impressão em si está funcionando bem, mas a equipe de rede gostaria que as verificações parassem.

Podemos ver as digitalizações à medida que acontecem no switch. Eu instalei o Wireshark e posso ver as varreduras acontecerem também. Eu posso ver programas que estão escutando conexões através de coisas como CurrPorts.

Este servidor teve vários mantenedores ao longo dos anos. Existem drivers residuais e coisas que não precisam estar lá. Infelizmente, não posso fazer nada muito drástico para limpar as coisas ou limpar a instalação do servidor, pois é o nosso principal servidor de impressão em que a nossa rede confia. Temos planos de substituí-lo no próximo ano ou dois.

Então minha pergunta é ....

Como posso identificar qual programa / processo no servidor Windows 2003 está gerando as varreduras SNMP?

    
por J.Zimmerman 07.11.2009 / 21:13

3 respostas

4

Eu suspeito strongmente que o serviço de spooler de impressão (spoolsv.exe) está fazendo isso porque provavelmente está configurado para fazer isso. Sem uma descrição mais profunda do tráfego (sondas de sub-rede ou consultas direcionadas a dispositivos de impressora individuais), é difícil dizer. Meu instinto diz que, se você examinar as propriedades "Configurar porta" de qualquer entrada "Porta TCP / IP padrão" na guia "Portas" das "Propriedades do servidor" da caixa de diálogo "Printers e faxes", você descobrirá que " SNMP Status Enabled "está marcado.

Se falhar, usar o "netstat -b" ou "netstat -o" é o caminho a ser seguido, embora o SNMP seja o que é, provavelmente os sockets serão fechados tão rapidamente que você terá problemas em detectá-los. / p>

Editar:

Aqui está esse script. 

@echo off
rem Query for all Standard TCP/IP Ports (skipping the first returned value, which 
rem is the "/Ports" key

FOR /f "skip=1 usebackq delims=" %%i IN ('reg query "HKLM\System\CurrentControlSet\Control\Print\Monitors\Standard TCP/IP Port\Ports" ^| find "HKEY_LOCAL_MACHINE"') DO (

  rem For each port, disable SNMP
  REG ADD "%%i" /v "SNMP Enabled" /t REG_DWORD /d 0 /f >NUL 2>NUL
)
    
por 07.11.2009 / 23:12
4

netstat -b mostrará todas as conexões e qual processo gerou essa conexão. Provavelmente, é um software de gerenciamento de impressoras (baseado em casa ou corporativo) que está constantemente tentando consultar as impressoras para manter um status delas, níveis de toner, etc.

    
por 07.11.2009 / 21:52
1

O Microsoft Network Monitor 3.3 permite filtrar o tráfego por ID de processo / processo.

link

Você também pode usar o TCPView:

link

O servidor de impressão pode ter o HP JetAdmin ou o WebJetAdmin instalado. Isso não é necessário para a operação normal.

link

    
por 08.11.2009 / 02:14

Tags

rsyslog ou um padrão de log distribuído similar, para Windows? Entradas ARP estáticas persistentes no Windows, é possível?