Lektion 2: Sammeln von Netzwerkdaten 499
Network Monitor
Network Monitor ist, wie der Name schon sagt, ein Netzwerkmonitor. Sie können ihn von
der Microsoft-Website herunterladen und zur Aufzeichnung und Analyse des Netzwerk-
datenverkehrs verwenden. Im Gegensatz zum Tool MBSA, das andere Hosts aus dem Netz-
werk aktiv überprüft, ist Network Monitor aber ein passives Tool, das mitlesen und auf-
zeichnen kann, was andere im Netzwerk übertragen. Nachdem Sie den Network Monitor auf
einem Computer installiert haben, auf dem Windows Server 2008 ausgeführt wird, müssen
Sie Ihr Benutzerkonto zur lokalen Gruppe Netzwerkkonfigurations-Operatoren hinzufügen.
Auf Windows Vista-Computern müssen Sie Ihr Benutzerkonto zur lokalen Gruppe Netmon
Users hinzufügen. Auf Windows Server 2008-Computern können nur Mitglieder der lokalen
Gruppe Netzwerkkonfigurations-Operatoren Netzwerkdaten aufzeichnen, ohne auf eine
Erhöhung der Rechte durch die Benutzerkontensteuerung angewiesen zu sein.
Der Network Monitor kann nur Netzwerk-Datenverkehr erfassen, der die Netzwerkkarte des
Hosts erreicht. In älteren Netzwerken bedeutet dies, dass der Network Monitor Datenverkehr
zwischen anderen Hosts mitlesen konnte. Heutzutage sind in Netzwerken OSI-Layer-2-
Switches verbreitet. Das bedeutet, dass ein Host nur Broadcast- und Unicast-Nachrichten er-
fasst, die direkt an die Ethernet-Adresse der Karte gerichtet sind. Auf Netzwerken, in denen
Hubs statt Switches eingesetzt werden, kann der Network Monitor weiteren Datenverkehr
mitlesen. Dazu müssen Sie den Network Monitor in den P-Mode (promiscuous mode) um-
schalten. Im P-Mode erfasst der Network Monitor den gesamten Datenverkehr, den er lesen
kann, also nicht nur den Datenverkehr, der an den Host gerichtet ist, auf dem der Network
Monitor installiert wurde.
Hinweis Überwachungsanschluss
Einige Layer-2-Switches verfügen über einen Überwachungsanschluss. Bei entsprechender
Konfiguration leitet der Switch den gesamten Datenverkehr, der ihn erreicht, an den Über-
wachungsanschluss weiter. Wenn Sie einen Host, auf dem Network Monitor installiert wur-
de, mit dem Überwachungsanschluss verbinden, können Sie den gesamten Datenverkehr
aufzeichnen und analysieren, der durch den Switch läuft.
Erfassen von Daten mit Network Monitor
Zur Erfassung von Netzwerkdaten mit dem Network Monitor klicken Sie auf New capture
tab. Mit einem Klick auf Start beginnt die Datenerfassung, ein Klick auf Pause unterbricht
die Datenerfassung und ein Klick auf Stop beendet die Datenerfassung. Wahrscheinlich ver-
wenden Sie den Network Monitor, weil Sie versuchen, auf dem Server, auf dem Sie den Net-
work Monitor installiert haben, ein Netzwerkproblem zu lösen. In diesem Fall leiten
Sie die Datenerfassung mit dem Network Monitor ein, reproduzieren nach Möglichkeit das
Problem, schließen die Datenerfassung ab und analysieren dann die aufgezeichneten Daten.
Durch die Untersuchung der aufgezeichneten Daten erfahren Sie zum Beispiel, welche Netz-
werkdaten
der Server sendete und empfing, als Sie versuchten, das Problem zu reproduzieren.
Daraus können sich Anhaltspunkte für die Lösung des Problems ergeben. Abbildung 9.18
zeigt beispielsweise ein Datenpaket von einer DNS-Anfrage (Domain Name System) nach
glasgow.contoso.internal. Bei der Untersuchung der aufgezeichneten Datenpakete sind die
Bereiche Frame Summary und Frame Details gewöhnlich am informativsten. Der Bereich
500 Kapitel 9: Verwalten von Softwareupdates und Überwachen von Netzwerkdaten
Hex Details zeigt zwar den Inhalt eines Datenpakets, aber diese Einzelheiten sind zur Diag-
nose eines Netzwerkproblems gewöhnlich nicht erforderlich.
Abbildung 9.18 Paketaufzeichnung
Mit dem Befehl nmcap.exe, den Sie im Installationsordner von Network Monitor finden,
können Sie auf der Befehlszeile Netzwerkdaten erfassen. Für eine einfache Aufzeichnung,
bei der alle Daten von allen Netzwerkschnittstellen erfasst werden, verwenden Sie diese
Syntax:
nmcap.exe /network * /capture /file c:\temp\Dateiname.cap
Die Standardgröße der Aufzeichnung beträgt 20 MByte. Sorgen Sie dafür, dass nmcap.exe
die Datei nicht in den Ordner des Network Monitors schreibt. Mit der Option
/disablelocal-
only
können Sie nmcap.exe in den P-Mode schalten, damit der gesamte Datenverkehr aufge-
zeichnet wird. Eine Aufzeichnung, die Sie auf der Befehlszeile erstellt haben, können Sie in
der Network Monitor-Konsole öffnen.
Filtern der aufgezeichneten oder angezeigten Netzwerkdaten
Sie können die Datenmenge, die von der GUI- oder Befehlszeilenversion von Network
Monitor erfasst wird, durch Filter eingrenzen. Erfassungs- oder Aufzeichnungsfilter be-
schränken die Datenmenge, die aufgezeichnet wird, während Anzeigefilter die Informa-
tionen beschränken, die bei der Betrachtung einer vorhandenen Aufzeichnung zu sehen sind.
Viele Administratoren ziehen Anzeigefilter vor, weil ihnen dann im Prinzip noch sämtliche
Daten zur Verfügung stehen und sie die Anzeige auf die Daten beschränken können, die für
die jeweilige Fragestellung von Interesse sind. Wenn Sie mit Aufzeichnungsfiltern arbeiten,
wurden die Daten, die Sie später noch analysieren können, bereits durch die Filter einge-
schränkt. Meistens ist es besser, zu viel aufzuzeichnen und die Anzeige auf das gewünschte
Get Aktualisieren Ihrer MCSA/MCSE-Zertifizierung auf Windows Server 2008 MCTS - Original Microsoft Training für Examen 70-648 und 70-649 now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
