Netbios über TCP deaktiviert - Netzwerkumgebung leer

#1 Hallo

das ist nicht zwingend eine Security Sache, aber beim Googlen bin ich immer wieder auf sicherheitsbezogene Argumentationen gestossen. Da ich gerade am Herumexperimentieren bin mit meinem Netzwerk, folgende kurze Frage:
Wenn man bei einem W2k Client in den TCP Einstellungen "Netbios über TCP IP beziehen" deaktiviert, sind die Clients in der Netzwerkumgebung nicht mehr sichtbar. Ist euch darüber was bekannt. Ich hab mal nachgegoogelt, finde aber nur sicherheitsrelevante Begründungen weshalb man Netbios deaktivieren soll. Gibt es eine andere Möglichkeit, trotz deaktiviertem Netbios die aktuell online befindlichen Clients in der Netzwerkumgebung anzuzeigen. Das ganze is Teil der Vorbereitung auf meine Abschlussprüfungen.

Wie gesagt, aus sicherheitsrelevanten Gründen könnte ich mir vorstellen, das man in einem grossen LAN Netbios deaktiviert. Die "User" sehen in der Netzwerkumgebung keine anderen Clients. Der Administrator kann über das Verzeichnis im ADS nachschauen, welche Rechner gerade online sind.

Gruss
djmugge
__________
Computer sind dazu da, Probleme zu lösen, die wir ohne sie nicht hätten.

#2 tagchen

-= edited =-

siehe unten

greez

#3 Hallo zusammen :-)

Emba tust du da gerade was verwechseln?

Also wenn NetBios over TCP/IP aktiviert ist dann horcht der Client auf Port 137-139 oder etwa nicht?
Und die Nachteile sind dann: Broadcasts und Sicherheitsmängel!

Und wenn man NetBIOS over TCP/IP deaktiviert dann horcht der Client nur noch auf Port 445

Quelle :
http://support.microsoft.com/default.aspx?scid=kb;de;204279

Also ich hab NetBT deaktiviert und bei mir läuft alles super
Vorausetzung dafür ist nur ein funktionierender DNS Server und das im Netz nur noch W2K/XP Maschinen sind.

Vielleicht hab ich dich da auch falsch verstanden?

#4 hi paddel

danke für den hinweis, hatte mich an manchen stellen undeutlich ausgedrückt

also nochmal (hab grad inner vmware nochma win2k gestartet und geschaut):

ich hatte die funktion netbios over tcp auf smb bezogen
ist in diesem zusammenhang so nicht ganz richtig, genau

die frage zielt nicht direkt auf smb ab sondern auf WINS respektive DNS
wenn man nun Netbios over TCP deaktiviert erfolgt die namensauflösung AFAIK über andere protokolle, meist Netbeui, das von MS früher preferierte Transportprotokoll, da Netbios nur eine API darstellt

aktiviert man nun aber Netbios over TCP lauscht der client auf port 139 _und_ 445 auf verbindungen und nutzt zur namensauflösung Netbios

dabei wird aber auch, je nachdem welches verfahren beim challenging gewinnt, SMB over NBT gefahren

deaktiviert man Netbios over TCP erfolgt die namensauflösung, wie du richtig sagst über DNS und reines TCP
das gleiche gilt auch für SMB, der client lauscht nur noch auf port 445

um nun auf djmugge´s thread zu antworten:
in deinem netzwerk sind anscheinend keine DNS server zur namensauflösung vorhanden
deshalb können die clients ihre anfragen, die sie normalerweise regelmässig stellen (netzlast steigt bei netbios over tcp), nicht erfolgreich auflösen und du siehst nichts in deiner netzwerkumgebung

entweder du setzt einen WINS server auf und arbeitest weiterhin mit Netbios over TCP oder du setzt einen DNS server auf und lässt diesen die namensauflösung erledigen
oder du arbeitest ohne die netzwerkumgebung und mountest via IP Adresse

außerdem muss das oben nicht netstat -tan heißen, sondern netstat -an -p tcp (linuxer *gg)

vielen dank nochmal an dich paddel, hab meinen thread oben editiert, sonst kommts zu verwirrungen

greez

#5 Hmm
Also ich hab das nun mal auf meinem Test Netzerk ausprobiert.
Testumgebung:
W2K DC + DNS
W2K Workstation

Bei beiden das "NetBios over TCP/IP" deaktiviert, tja wenn ich das mache ist die Netzwerkumgebun Leer bzw. der Unterordner Microsoft Windows-Netzwerk!
Mach ich da was falsch???

Meine Theroie ist das wenn man NetBT deaktiviert dann sieht man eben nix mehr in der Netzwerkumgebung... ist das richtig?

Ich glaube auch der Browserdienst arbeitet nur mit Netbios zusammen nicht mit DNS glaub ich aber nur...
Hmm also mounten kann man ja mit dem DNS-Namen dazu brauch ich kein NetBT

Vielleicht kann mir einer sagen ob ich was falsch mache oder ob es einfach so ist das man wenn man NetBT deaktiviert eben keine Netzwerkumgebung mehr hat...

Axo net send geht dann au nimmer -> aber wer braucht das schon

#6 hi

also das AD arbeitet mittels DNS
robert weiß genaueres, obs überhaupt nen port zu netbios gibt, was ich nicht glaube

auch ohne NBT kannst du die browsingfunktionalitäten nutzen (netzwerkumgebung)
du musst nur eine gegenstelle haben, die die namensauflösungsanfragen auch beantwortet (dein AD) - sind die rechner auch mitglied der domain? oder arbeitest du (versehentlich) nocht mit workgroups?

sniff mal den verkehr in deinem netzwerk mit, wenn du die netzwerkumg. öffnest
da werden broadcasts versandt, um zu "sehen", wer im netzwerk "da" ist

die WINS-Adresse muss logischerweise leer bleiben und ein qualified DNS server eingetragen werden

natürlich kannst du auch mittels DNS namen mounten, brauchst dazu halt aber nen DNS server, den die meisten nicht privat eingerichtet haben

greez

#7 Hmm also ich bin auf alle Fälle in der Domäne drin ...

Ich glaube immer noch das der Computerbrowser nur über Netbios funzt...

Hab hier noch einen Englischen Artikel dazu:
http://support.microsoft.com/default.aspx?scid=kb;en-us;188001

Aber vielleicht irre ich mich auch, da mein Englisch ned so berauschend ist.

Vielleicht kann mir das noch mal einer erklären :-)

#8 Also die reine Netzwerkumgebung funktioniert nicht ohne NetBios - der Computer Browser Dienst basiert auf dem NetBios Namensdienst. Die Alternative seit Windows 2000 ist, daß Browsen im AD - dort kann ich jede Information (Computer, Drucker, Share ..) Im Ad veröffentlichen und somit auch "browsen".

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#9 Danke schön Robert :-)

Das hatte ich mir so gedacht...

Naja eigentlich ist es ja auch keine Verlust, wenn man bedenkt wie unzuverlässig die Netzwerkumgebung wahr/ist...

Nur schade das man im AD nicht sieht wer Online ist, oder gibt es da doch eine Funktion ?