Reducción del ruido NetBIOS en una organización de 50 asientos y 30 servidores

16

Somos una tienda de desarrollo en la que todas las computadoras con una estación de trabajo de 50 o más ejecutan Windows 7 SP1 y la mayoría de nuestros servidores 20-30 son Server 2008 R2 o Server 2008 (todavía hay algunos scragglers en Server 2003). Tenemos un entorno de subred plano y único donde los servidores y las estaciones de trabajo están en la misma red. Tenemos servidores DNS con registro DNS dinámico habilitado y actualmente también tenemos servidores WINS. Al realizar algunas capturas de paquetes de diagnóstico de Wireshark en nuestra red por un problema diferente, hemos visto que hay bastante ruido de transmisión NetBIOS en nuestra red.

Estamos buscando deshabilitar la transmisión de NetBIOS cambiando el tipo de nodo de nuestras estaciones de trabajo (y posiblemente servidores) a p-node (o solo en pares) donde WINS se usará como el único método de resolución de nombres. Lo más probable es que lo configuremos a través de la opción 043 DHCP para garantizar que incluso los clientes que no están unidos al dominio participen en nuestra red sin transmisión. Consideramos utilizar el enfoque de la Política de grupo para implementar la clave de registro, pero esto puede tener efectos perjudiciales en los usuarios de nuestras computadoras portátiles cuando están fuera del sitio (como en sus redes domésticas).

Aquí están mis preguntas:

  • ¿Esto causará problemas con alguno de los pocos servidores Windows Server 2003 que nos quedan, o con cualquiera de nuestros clientes Windows 7 u otros servidores Windows más nuevos?
  • Además de eso, ¿es incluso aconsejable evitar la transmisión de NetBIOS o se debe ignorar el ruido como parte típica de la red?
  • También hemos considerado deshabilitar NetBIOS por completo. Sin embargo, la única forma en que sé hacerlo es deshabilitar NetBIOS de TCP / IP. ¿Supongo que este es el único método NetBIOS que queda en Windows 7? Entonces, ¿desactivar esto en la NIC (o para toda la PC) desactiva NetBIOS por completo?
  • ¿Desactivar NetBIOS significa que el FQDN / nombre largo (p. Ej., Companyname.tld) ​​del dominio debe usarse para iniciar sesión debido a que el nombre corto (p. Ej., COMPANYNAME) ya no está disponible? (es decir, [email protected] tiene que usarse en lugar de COMPANYNAME \ username) Si este es el caso, Windows seguirá mostrándose Logon to: COMPANYNAMEo se mostrará Logon to: companyname.tld.

En resumen, estamos siguiendo algunas pautas sobre lo que es una práctica común para las organizaciones hacer con las comunicaciones de NetBIOS en estos días y las experiencias de otros al realizar cambios en la configuración de red de NetBIOS similar a mi topología.

He encontrado el siguiente tema que enlaza con algunos otros, pero todavía no estoy convencido. Me gustaría saber los pasos que las personas tomaron para 'deshabilitar' o limitar NetBIOS y cualquier deficiencia o ventaja de hacerlo.

Red "gratuita" de NetBIOS?

Editar:

Según las preguntas; ejecutando Active Directory, nivel de funcionalidad 2008, preparado para 2008 R2, que pronto será la funcionalidad R2.

Y recibí una pregunta decente "por qué", a la que dije:

Soy de la opinión de que si no es necesario, no debería estar encendido. Además, hay mucho ruido en la red debido a las resoluciones de transmisión, seguro que estos paquetes son pequeños, pero solo busqué cierta claridad sobre lo que otros (quizás en organizaciones más grandes) han hecho con respecto a NetBIOS.

Ashley
fuente
1
¿Estás usando Active Directory? Menciona GPO pero no especifica específicamente si se trata de una red administrada por AD.
SpacemanSpiff
1
Son muchas palabras, pero ninguna de ellas sugiere por qué quieres hacer esto. ¿Te gustaría compartir tus razones?
John Gardeniers
@SpacemanSpiff: Sí, Active Directory definido: debo haber eliminado accidentalmente la parte donde dije que tenía un nivel de funcionalidad de bosque y dominio de 2008.
Ashley
@JohnGardeniers Soy de la opinión de que si no es necesario, no debería estar encendido. Además, hay mucho ruido en la red debido a las resoluciones de transmisión, seguro que estos paquetes son pequeños, pero solo busqué cierta claridad sobre lo que otros (quizás en organizaciones más grandes) han hecho con respecto a NetBIOS.
Ashley

Respuestas:

11

Si no tiene ninguna aplicación que lo necesite, simplemente elimine el servidor WINS y desactive NetBIOS a través de TCP / IP por completo, diría. Los nombres cortos todavía funcionan bien en una red de solo DNS en virtud de los sufijos de búsqueda.

Si los clientes están configurados con la configuración predeterminada de NetBIOS (habilitada, excepto si DHCP dice que no), entonces simplemente puede configurar el indicador en las opciones de DHCP para deshabilitar NetBIOS, en la Microsoft Windows 2000 Optionsclase de proveedor - configure un 0x2debajo de 001 Microsoft Disable Netbios Option- vea este MS KB para más detalles .

Shane Madden
fuente
¿Has tenido experiencia con este éxito en una organización considerable? ¿Tiene algún método sugerido para probar o escenarios para probar antes de lanzarlo a todos?
Ashley
@AshleySteel Claro, lo he deshabilitado por completo en una organización de 1500 usuarios. Normalmente recomendaría deshabilitarlo en una subred para probar, pero dado que solo tiene una subred, ¿tal vez simplemente deshabilitarla manualmente en un puñado de sistemas y verificar que no se rompan las aplicaciones?
Shane Madden
8

Además de lo que Shane publicó en su respuesta, tenga cuidado de no matar al dragón equivocado. Sí, NetBIOS es hablador, pero no es necesariamente un problema que deba abordarse. El tráfico de difusión, ya sea en la capa 2 (ARP, Spanning Tree BPDU, etc.) o en la capa 3 (NetBIOS, etc.) es un componente normal del tráfico y la comunicación de la red. La clave es saber si el tráfico de transmisión particular en el que está enfocado (inundación ARP, tormenta de transmisión, tormenta de multidifusión) está contribuyendo a problemas de red (muy probablemente congestión) que pueden manifestarse en duplicados ACK, pérdida de paquetes, retransmisiones TCP , Retransmisiones rápidas de TCP, etc.

Mi sugerencia sería ejecutar una captura de paquetes en su conmutador (si el conmutador admite la duplicación / supervisión de puertos) con un software de captura de paquetes que puede brindarle una visión del porcentaje de tráfico que se transmite en su conjunto y también qué porcentaje de tráfico es el tráfico de difusión de NetBIOS. El tráfico NetBIOS que no es tráfico de difusión (lo que significa que es tráfico de unidifusión) no debería presentar más problemas que cualquier otro tráfico de unidifusión.

No conozco ningún número fijo, pero si su porcentaje de tráfico de transmisión está por encima de un pequeño porcentaje (probablemente no más del 5%), entonces es probable que tenga congestión en la red que se manifiesta en los síntomas que describí anteriormente. En ese punto, debe localizar la causa de la congestión y resolverla.

Una fuente de congestión de la red, por ejemplo, es el tráfico de latidos relacionados con el equilibrio de carga o la formación de equipos NIC.

joeqwerty
fuente
1
Por supuesto, una gran cantidad de desplazamiento en una captura de Wireshark no significa necesariamente mucho tráfico.
Shane Madden
Generalmente uso Wireshark (o monitor de red de Microsoft) para ver problemas específicos (problemas de host a host) y uso Colasoft Capsa para obtener una vista de "panorama general" de la red. Si pudiera pagarlo, usaría Cascade Pilot.
joeqwerty
Sí, no he hecho nada intensivo con respecto a la captura de paquetes en conmutadores o una gran cantidad de hosts, pero las pocas veces que tuve que sacar Wireshark para hacer un diagnóstico ha sido difícil con todo el tráfico de transmisión allí. Mi pregunta fue más desde el punto de vista de la curiosidad sobre si realmente se necesita NetBIOS y si es seguro desactivarlo (¿menos es más?: P).
Ashley
Es bastante simple eliminar tipos particulares de tráfico de su captura de Wirehark. el filtro de captura "no transmitido" ayudará, por ejemplo.
Dan Pritts
O bien, guarde todos los paquetes de Wireshark y use un filtro de pantalla para eliminar el tráfico que no desea ver en su pantalla. Un filtro de captura evita que se capturen los tipos de paquetes especificados en el filtro de captura. El filtro de visualización solo elimina los paquetes que no desea que se muestren en su pantalla, pero los mantiene en su archivo de captura.
Bill Vallance