Réduction du bruit NetBIOS dans une organisation de 50 postes et 30 serveurs

16

Nous sommes une boutique de développement où tous les quelque 50 postes de travail exécutent Windows 7 SP1 et la plupart de nos serveurs 20-30 sont Server 2008 R2 ou Server 2008 (il y a encore quelques scragglers sur Server 2003). Nous avons un environnement de sous-réseau unique plat où les serveurs et les postes de travail sont dans le même réseau. Nous avons des serveurs DNS avec l'enregistrement DNS dynamique activé et actuellement nous avons aussi des serveurs WINS. En effectuant des diagnostics de capture de paquets Wireshark sur notre réseau pour un problème différent, nous avons vu qu'il y a beaucoup de bruit de diffusion NetBIOS sur notre réseau.

Nous cherchons à désactiver la diffusion NetBIOS en changeant le type de nœud de nos postes de travail (et éventuellement des serveurs) en nœud p (ou homologue uniquement) où WINS sera utilisé comme seule méthode de résolution de nom. Nous le configurerons très probablement via l'option DHCP 043 pour nous assurer que même les clients n'appartenant pas à un domaine participent à notre réseau sans diffusion. Nous avons envisagé d'utiliser l'approche de stratégie de groupe pour déployer la clé de registre, mais cela peut avoir des effets néfastes sur nos utilisateurs d'ordinateurs portables lorsqu'ils sont hors site (comme sur leurs réseaux domestiques).

Voici mes questions:

  • cela causera-t-il un problème avec l'un des rares serveurs Windows Server 2003 qui nous restent, ou avec l'un de nos clients Windows 7 ou d'autres serveurs Windows plus récents?
  • De plus, est-il même conseillé d'empêcher la diffusion de NetBIOS ou le bruit devrait-il simplement être ignoré en tant que partie typique du réseau?
  • Nous avons également envisagé de désactiver complètement NetBIOS. Cependant, la seule façon que je sache de le faire est de désactiver NetBIOS de TCP / IP. Je suppose que c'est la seule méthode NetBIOS qui reste dans Windows 7? Donc, désactiver cela sur la carte réseau (ou pour l'ensemble du PC) désactive complètement NetBIOS?
  • La désactivation de NetBIOS signifie-t-elle que le nom de domaine complet / nom long (par exemple, companyname.tld) ​​du domaine doit être utilisé à des fins de connexion car le nom court (par exemple, COMPANYNAME) n'est plus disponible? (c'est-à-dire, [email protected] doit être utilisé à la place de COMPANYNAME \ username) Si tel est le cas, Windows s'affichera Logon to: COMPANYNAME-t-il ou s'affichera -t-il Logon to: companyname.tld?

En résumé, nous recherchons des conseils sur la pratique courante des organisations concernant les communications NetBIOS ces jours-ci et sur l'expérience des autres lors de la modification de la configuration du réseau NetBIOS similaire à ma topologie.

J'ai trouvé le sujet ci-dessous qui renvoie à quelques autres, mais je ne suis toujours pas convaincu. Je voudrais connaître les étapes que les gens ont suivies pour «désactiver» ou limiter NetBIOS et les défauts ou avantages de le faire.

Réseau "gratuit" NetBIOS?

Éditer:

Selon les questions; exécutant Active Directory, niveau de fonctionnalité 2008, préparé pour 2008 R2, bientôt la fonctionnalité R2.

Et j'ai reçu une bonne question "pourquoi", à laquelle j'ai dit:

Je suis d'avis que si ce n'est pas nécessaire, cela ne devrait pas être activé. De plus, il y a beaucoup de bruit sur le réseau à partir des résolutions de diffusion - bien sûr, ces paquets sont minuscules, mais je voulais juste clarifier ce que d'autres (peut-être dans de plus grandes organisations) ont fait concernant NetBIOS.

Ashley
la source
1
Utilisez-vous Active Directory? Vous mentionnez GPO mais n'indiquez pas spécifiquement s'il s'agit d'un réseau géré par AD.
SpacemanSpiff
1
C'est beaucoup de mots, mais aucun d'eux ne fait allusion à la raison pour laquelle vous voulez faire cela. Vous souhaitez partager vos raisons?
John Gardeniers
@SpacemanSpiff: Oui, définitivement Active Directory - J'ai dû accidentellement supprimer la partie où je disais que j'avais un niveau de fonctionnalité de forêt et de domaine pour 2008.
Ashley
@JohnGardeniers Je suis d'avis que si ce n'est pas nécessaire, il ne devrait pas être activé. De plus, il y a beaucoup de bruit sur le réseau à partir des résolutions de diffusion - bien sûr, ces paquets sont minuscules, mais je voulais juste clarifier ce que d'autres (peut-être dans de plus grandes organisations) ont fait concernant NetBIOS.
Ashley

Réponses:

11

Si vous n'avez aucune application qui en a besoin, il suffit de supprimer le serveur WINS et de désactiver complètement NetBIOS sur TCP / IP, je dirais. Les noms courts fonctionnent toujours très bien dans un réseau DNS uniquement grâce aux suffixes de recherche.

Si les clients sont définis sur le paramètre NetBIOS par défaut (activé sauf si DHCP dit de ne pas le faire), vous pouvez simplement définir l'indicateur dans les options DHCP pour désactiver NetBIOS, sous la Microsoft Windows 2000 Optionsclasse du fournisseur - définir un 0x2sous le 001 Microsoft Disable Netbios Option- voir ce MS KB pour plus de détails .

Shane Madden
la source
Avez-vous l'expérience de la réussite d'une organisation de taille importante? Avez-vous des méthodes de test suggérées ou des scénarios à tester avant le déploiement à tous?
Ashley
@AshleySteel Bien sûr, je l'ai complètement désactivé dans une organisation de 1500 utilisateurs. Je recommanderais normalement de le désactiver sur un sous-réseau pour le tester, mais comme vous n'avez qu'un seul sous-réseau, peut-être le désactiver manuellement sur une poignée de systèmes et vérifier qu'aucune application ne casse?
Shane Madden
8

En plus de ce que Shane a posté dans sa réponse, veillez à ne pas tuer le mauvais dragon. Oui, NetBIOS est bavard, mais ce n'est pas nécessairement un problème qui doit être traité. Le trafic de diffusion, que ce soit au niveau 2 (ARP, BPDU Spanning Tree, etc.) ou à la couche 3 (NetBIOS, etc.) est un composant normal du trafic réseau et de la communication. La clé est de savoir si le trafic de diffusion sur lequel vous vous concentrez (inondation ARP, tempête de diffusion, tempête de multidiffusion) contribue ou non aux problèmes de réseau (très probablement la congestion) qui peuvent se manifester par des ACK en double, la perte de paquets, les retransmissions TCP , Retransmissions rapides TCP, etc.

Ma suggestion serait d'exécuter une capture de paquets sur votre commutateur (si le commutateur prend en charge la mise en miroir / surveillance des ports) avec un logiciel de capture de paquets qui peut vous donner une vue du pourcentage de trafic diffusé dans son ensemble et également du pourcentage de trafic est le trafic de diffusion NetBIOS. Le trafic NetBIOS qui n'est pas du trafic de diffusion (c'est-à-dire du trafic unicast) ne devrait pas poser plus de problème que tout autre trafic unicast.

Je ne connais pas de chiffres précis, mais si votre pourcentage de trafic de diffusion est supérieur à quelques pour cent (pas plus de 5% probablement), vous avez probablement une congestion du réseau qui se manifeste dans les symptômes que j'ai décrits ci-dessus. À ce stade, vous devez rechercher la cause de la congestion et la résoudre.

Une source de congestion du réseau, par exemple, est le trafic de pulsation lié à l'équilibrage de charge ou à l'association de cartes réseau.

joeqwerty
la source
1
Bien sûr, beaucoup de défilement dans une capture Wireshark ne signifie pas nécessairement beaucoup de trafic.
Shane Madden
J'utilise généralement Wireshark (ou moniteur réseau Microsoft) pour examiner des problèmes spécifiques (problèmes d'hôte à hôte) et j'utilise Colasoft Capsa pour obtenir une vue d'ensemble du réseau. Si je pouvais me le permettre, j'utiliserais Cascade Pilot.
joeqwerty
Oui, je n'ai rien fait d'intensif en ce qui concerne les captures de paquets sur les commutateurs ou une grande quantité d'hôtes, mais les quelques fois où j'ai dû retirer Wireshark pour faire un diagnostic, cela a été difficile avec tout le trafic de diffusion là-dedans. Ma question était plus d'un point de vue curieux de savoir si NetBIOS est vraiment nécessaire et si son coffre-fort à désactiver (moins c'est plus?: P).
Ashley
Il est assez simple de supprimer des types particuliers de trafic de votre capture Wharkshark. le filtre de capture "non diffusé" vous aidera, par exemple.
Dan Pritts
Ou, conservez tous les paquets Wireshark et utilisez un filtre d'affichage pour éliminer le trafic que vous ne voulez pas voir sur votre écran. Un filtre de capture empêche la capture des types de paquets spécifiés dans le filtre de capture. Le filtre d'affichage supprime simplement les paquets que vous ne souhaitez pas afficher sur votre écran, mais les conserve dans votre fichier de capture.
Bill Vallance