Зниження рівня шуму NetBIOS в організації на 50 місць і 30 серверів

16

Ми - це магазин розробок, де на всіх 50-ти непарних комп'ютерах робочої станції працює Windows 7 SP1, а більшість наших 20-30 серверів - це сервер 2008 R2 або Server 2008 (на сервері 2003 ще є кілька скреглерів). У нас є рівне середовище єдиної підмережі, де сервери та робочі станції знаходяться в одній мережі. У нас є DNS-сервери з увімкненою динамічною реєстрацією DNS, і на даний момент у нас також є WINS-сервери. Виконуючи деякі діагностичні пакети Wireshark, що фіксують у нашій мережі для іншого випуску, ми побачили, що в нашій мережі є досить багато шуму трансляції NetBIOS.

Ми прагнемо відключити трансляцію NetBIOS, змінивши тип вузла наших робочих станцій (і, можливо, серверів) на p-вузол (або лише для однорангових), де WINS буде використовуватися як єдиний метод вирішення імен. Ми, швидше за все, налаштуємо його через опцію 043 DHCP, щоб гарантувати, що навіть клієнти, які не приєдналися до домену, беруть участь у нашій мережі без трансляції. Ми розглядали можливість використання підходу групової політики для розгортання ключа реєстру, однак це може мати згубний вплив на користувачів наших ноутбуків, коли вони є поза межами сайту (наприклад, у їх домашніх мережах).

Ось мої запитання:

  • це спричинить проблему з будь-яким із кількох серверів Windows Server 2003, які ми залишили, або з будь-яким із наших клієнтів Windows 7 або інших новіших серверів Windows?
  • Крім того, чи доцільно запобігати трансляції NetBIOS чи слід просто ігнорувати шум як типову частину мережі?
  • Ми також розглядали можливість відключення NetBIOS повністю. Однак єдиний мені спосіб зробити це - відключити NetBIOS від TCP / IP. Я припускаю, що це єдиний метод NetBIOS, що залишився в Windows 7? Тож відключення цього в NIC (або для всього ПК) повністю відключає NetBIOS?
  • Чи буде відключення NetBIOS означати, що FQDN / довге ім’я (наприклад, companyname.tld) ​​домену потрібно використовувати для цілей входу через коротке ім'я (наприклад, COMPANYNAME) більше не доступне? (тобто ім'я користувача@companyname.tld потрібно використовувати замість COMPANYNAME \ ім'я користувача) Якщо це так, чи все ще відображатиметься Windows Logon to: COMPANYNAMEчи він відображатиметься Logon to: companyname.tld.

Підводячи підсумок, ми пропонуємо кілька рекомендацій щодо загальної практики організацій щодо спілкування в NetBIOS сьогодні та досвіду інших під час внесення змін у конфігурацію мережі NetBIOS, подібних моїй топології.

Нижче я знайшов тему, яка посилається на декілька інших, але все ще не переконана. Мені хотілося б знати кроки, які люди вживали для «відключення» або обмеження NetBIOS, та будь-які недоліки чи переваги цього.

"Безкоштовна" мережа NetBIOS?

Редагувати:

Відповідно до питань; працює Active Directory, рівень функціональності 2008, підготовлений до 2008 R2, незабаром стане функціоналом R2.

І я отримав гідне "чому" питання, на яке я сказав:

Я вважаю, що якщо вона не потрібна, вона не повинна бути включена. Плюс до цього, в мережі багато шуму від роздільної здатності мовлення - впевнений, що ці пакети є крихітними, але я просто довідався, що зробили інші (можливо, у великих організаціях) щодо NetBIOS.

networking  netbios  windows 
Ешлі
джерело
1
Ви використовуєте Active Directory? Ви згадуєте GPO, але конкретно не вказуєте, чи це мережа, що управляється AD.
SpacemanSpiff
1
Це багато слів, але жодне з них не натякає на те, чому ви хочете це зробити. Хочете поділитися вашими причинами?
John Gardeniers
@SpacemanSpiff: Так точно Active Directory - я, мабуть, випадково видалив частину, де я сказав, що у мене функціонал лісу та домену 2008 року.
Ешлі
@JohnGardeniers Я вважаю, що якщо це не потрібно, воно не повинно бути. Плюс до цього в мережі дуже багато шуму від роздільної здатності мовлення - впевнений, що ці пакети є крихітними, але я просто довідався, що зробили інші (можливо, у великих організаціях) щодо NetBIOS.
Ешлі

Відповіді:

11

Якщо у вас немає програм, які потребують цього, просто скажіть сервер WINS і повністю відключіть NetBIOS через TCP / IP, я б сказав. Короткі назви все ще чудово працюють у мережі, що підтримує лише DNS, завдяки суфіксам пошуку.

Якщо для клієнтів встановлено налаштування NetBIOS за замовчуванням (увімкнено, за винятком випадків, коли DHCP не говорить), ви можете просто встановити прапор у параметрах DHCP, щоб відключити NetBIOS, під Microsoft Windows 2000 Optionsкласом постачальника - встановити 0x2під 001 Microsoft Disable Netbios Option- див. Цю MS KB для отримання детальної інформації .

Шейн Медден
джерело
Чи мали ви досвід роботи з цим успіхом у значній організації? Чи є у вас які-небудь запропоновані методи тестування або сценарії тестування перед розгортанням для всіх?
Ешлі
@AshleySteel Звичайно, я повністю відключив її в організації 1500 користувачів. Я зазвичай рекомендую вимкнути її в одній підмережі для тестування, але оскільки у вас є лише одна підмережа, можливо, просто відключіть її вручну на кількох системах і переконайтесь, що жодна програма не ламається?
Шейн Медден
8

Окрім того, що Шейн виклав у своїй відповіді, подбайте про те, щоб не вбити невірного дракона. Так, NetBIOS - балакучий, але це не обов'язково проблема, з якою потрібно вирішуватись. Трансляція трафіку, будь то на рівні 2 (ARP, Spanning Tree BPDU тощо) або на рівні 3 (NetBIOS тощо), є нормальною складовою мережевого трафіку та зв'язку. Ключовим моментом є знати, чи впливає на конкретний трафік, на який ви зосереджені (затоплення ARP, штормовий шторм, багатошвидкісний шторм), що сприяє мережевим проблемам (швидше за все, заторам), які можуть проявлятись у дублікатах ACK, втраті пакетів, повторній передачі TCP , Швидка ретрансляція TCP тощо.

Моя пропозиція полягатиме в тому, щоб запустити захоплення пакетів на своєму комутаторі (якщо комутатор підтримує дзеркальне відображення / моніторинг портів) за допомогою програмного забезпечення для захоплення пакетів, яке може дати вам уявлення про відсоток трафіку, який транслюється в цілому, а також відсоток трафіку. - це трафік трансляції NetBIOS. Трафік NetBIOS, який не транслює трафік (це означає, що це одноразовий трафік), не повинен представляти більше проблеми, ніж будь-який інший одноадресний трафік.

Я не знаю жодних важких цифр, але якщо ваш відсоток трафіку трансляції перевищує декілька відсотків (мабуть, не більше 5%), то у вас, ймовірно, є перевантаженість мережі, що проявляється у симптомах, які я описав вище. У цей момент слід встановити причину заторів та усунути її.

Наприклад, одним із джерел перевантаженості мережі є трафік серцебиття, пов’язаний з балансуванням навантаження або згуртуванням NIC.

joeqwerty
джерело
1
Напевно - багато прокрутки під час захоплення Wireshark не обов'язково означає багато трафіку.
Шейн Медден
Зазвичай я використовую Wireshark (або монітор Microsoft Network) для розгляду конкретних проблем (проблем із хостом), і я використовую Colasoft Capsa, щоб отримати "велику картину" уявлення про мережу. Якби я міг собі це дозволити, я би скористався Cascade Pilot.
joeqwerty
Так, я не робив нічого інтенсивного щодо захоплення пакетів комутаторами або великої кількості хостів, але кілька разів мені довелося витягнути Wireshark, щоб зробити діагностику, що це було складно з усім трансляційним трафіком. Моє запитання було скоріше з точки зору цікавості щодо того, чи дійсно потрібен NetBIOS та чи безпечно його відключити (менше - більше?: P).
Ешлі
Це досить просто для видалення конкретних типів трафіку з вашої зйомки. наприклад, допоможе фільтр захоплення "не транслюється".
Dan Pritts
Або збережіть усі пакети Wireshark і використовуйте фільтр дисплея, щоб усунути трафік, який ви не хочете бачити на екрані. Фільтр захоплення взагалі запобігає захопленню типів пакетів, визначених у фільтрі захоплення. Дисплейний фільтр просто видаляє пакети, які ви не хочете відображати на екрані, але зберігає їх у файлі захоплення.
Білл
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.