У меня есть сервер печати в нашем домене Windows 2003 с множеством очередей печати на нем. Мы видим значительное количество сканирований SNMP, поступающих с этого сервера, которые мы считаем ненужными. Все, что связано с самим сервером печати, работает нормально, но сетевая команда хотела бы, чтобы сканирование прекратилось.
Мы можем видеть сканирование на коммутаторе. Я установил Wireshark и вижу, что сканирование тоже выполняется. Я вижу программы, которые прослушивают соединения через такие вещи, как CurrPorts.
За эти годы у этого сервера было несколько специалистов по обслуживанию. Есть остаточные драйверы и вещи, которых там не должно быть. К сожалению, я не могу сделать ничего слишком радикального для очистки или чистой установки сервера, потому что это наш основной сервер печати, на который полагается наша сеть. У нас есть планы заменить его в ближайшие год-два.
Итак, мой вопрос ...
Как я могу определить, какая программа / процесс на сервере Windows 2003 генерирует сканирование SNMP?
netstat -b покажет вам все соединения и какой процесс сгенерировал это соединение. Скорее всего, это программное обеспечение для управления принтером (домашнее или корпоративное), которое постоянно пытается опрашивать принтеры, чтобы сохранить их состояние, уровень тонера и т. Д.
Я сильно подозреваю, что служба диспетчера очереди печати (spoolsv.exe) делает это, потому что, вероятно, она настроена для этого. Без более глубокого описания трафика (зондирование всей подсети или запросы, направленные на отдельные принтерные устройства) трудно сказать. Моя интуиция говорит, что если вы изучите свойства «Настроить порт» любых записей «Стандартный порт TCP / IP» на вкладке «Порты» в «Свойства сервера» диалогового окна «Принтеры и факсы», вы обнаружите, что: Статус SNMP включен »установлен.
В противном случае можно использовать «netstat -b» или «netstat -o», хотя при использовании SNMP сокеты, вероятно, закроются так быстро, что вам будет сложно их поймать.
Редактировать:
Вот этот сценарий.
@echo off
rem Query for all Standard TCP/IP Ports (skipping the first returned value, which
rem is the "/Ports" key
FOR /f "skip=1 usebackq delims=" %%i IN (`reg query "HKLM\System\CurrentControlSet\Control\Print\Monitors\Standard TCP/IP Port\Ports" ^| find "HKEY_LOCAL_MACHINE"`) DO (
rem For each port, disable SNMP
REG ADD "%%i" /v "SNMP Enabled" /t REG_DWORD /d 0 /f >NUL 2>NUL
)
Microsoft Network Monitor 3.3 позволяет фильтровать трафик по идентификатору процесса / процесса.
Вы также можете использовать TCPView:
http://technet.microsoft.com/en-us/sysinternals/bb897437.aspx
На сервере печати может быть установлен HP JetAdmin или WebJetAdmin. Для нормальной работы этого не требуется.
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c01718860