Häufig gestellte Fragen zu Netzwerkmonitor

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 294818
Alles erweitern | Alles schließen

Zusammenfassung

Dieser Artikel beantwortet häufig gestellte Fragen zu den Netzwerkmonitor.

Weitere Informationen

Einführung

Netzwerkmonitor ist ein Dienstprogramm, das mit Microsoft Systems Management Server und Microsoft Windows 2000 Server geliefert wird. Verwenden Sie den Netzwerkmonitor (auch bekannt als NetMon) zu erfassen und Tendenzen im Netzwerkdatenverkehr und Probleme zu beobachten.

Fenster erfassen

Beim Starten von Netzwerkmonitor wird der Erfassung angezeigt. Das Fenster Sammlungszusammenfassung umfasst vier Frames:

Tabelle minimierenTabelle vergrößern
Name desInhalt
DiagrammGrafische Darstellung der aktuellen Netzwerkaktivität
SitzungsstatistikStatistiken zum aktuellen einzelne Netzwerksitzungen
StationsstatistikfensterbereichStatistiken über Sitzungen an oder vom Computer Ausführen von Netzwerkmonitor
GesamtstatistikZusammenfassende Statistiken zur Netzwerkaktivität, die seit dem Beginn des Sammlung-Prozess erkannt wurde


Frame Viewer-Fenster

Nachdem eine Netzwerkmonitor-Ablaufverfolgung erfasst wurden, können aus innerhalb des Netzwerkmonitors unmittelbar durch das Rahmen-Viewer-Fenster oder für die spätere Analyse in einer Datei speichern. Daten im Rahmen-Viewer-Fenster ist in drei Frames dargestellt die erfassten Daten in unterschiedlicher Detailebenen anzeigen können:

Tabelle minimierenTabelle vergrößern
Name desInhalt
ZusammenfassungListet die Frames für die erfassten Daten in der Reihenfolge, in der sie einschließlich der Frame angekommen erfasst wurden, Quelle und Ziel MAC-Adressen, Protokoll, eine zusammenfassende Beschreibung sowie andere Quelle/Ziel-Adressen (z. B. IP-Adressen).
DetailAnalysiert jeden Frame und Protokollinformationen ausbricht. Klicken Sie zum Anzeigen des Protokolls Eigenschaftendaten um ein Feld in den Detailbereich zu erweitern. Wenn Sie eine Zeile im Detailfensterbereich auswählen, werden die zugeordneten hexadezimalen Daten im Hexadezimalbereich hervorgehoben.
HexZeigt den Inhalt des ausgewählten Rahmens, sowohl im Hexadezimal- und ASCII-Format.

Fragen und Antworten

  1. F: Wo erhalte ich das Tool "Netzwerkmonitor"?

    A. es gibt zwei Versionen des Netzwerkmonitors. Die vollständige Version wird mit Microsoft Systems Management Server (SMS) ausgeliefert. Eine "lite" Version ist in Windows NT Server und Windows 2000 Server enthalten und enthält eine Teilmenge der Funktionen, die in der Vollversion zur Verfügung stehen.
  2. Frage: verwenden welche Version soll ich?

    A. Es hängt davon ab, welche Art von Datenverkehr Sie erfassen möchten. Beide Versionen des Netzwerkmonitors können Datenverkehr, zum oder vom Host-Computer (dem Computer, auf denen NetMon ausgeführt wird), erfolgt, erfassen, einschließlich Broadcasts und Datenverkehr über eine DFÜ-Netzwerkverbindung. Die vollständige Version des Netzwerkmonitors ist es auch möglich, erfassen und Anzeigen von Frames aus dem Netzwerksegment auf dem Computer mit NetMon befindet, unabhängig davon, ob sie an dem Host-Computer adressiert sind.
  3. Frage: Was ist der Unterschied zwischen der Netzwerkmonitor-Agent und Netzwerkmonitor-Tools / Agent?

    A. die beiden primären Komponenten des Netzwerkmonitors werden der Netzwerkmonitor-Agent und der Benutzeroberfläche. Der Netzwerkmonitor-Agent überwacht das Netzwerk und wird der Datenverkehr bis zu "Program" (Benutzeroberfläche). Der Netzwerkmonitor-Agent kann auf jedem kompatiblen Computer ausgeführt, während das Programm auf einem separaten Computer ausgeführt wird.

    Ein Computer sehen nur Netzwerkverkehr, der über ein Netzwerksegment übergibt. Daher kann es hilfreich sein, eine Netzwerkmonitor-Agent verfügen, die in einem Netzwerk, in dem das Problem auftritt, während die Netzwerkmonitor-Benutzeroberfläche auf einem anderen Netzwerksegment aus (zum Beispiel) der lokalen Netzwerks (LAN)-Administrator-Computer ausgeführt wird, ausgeführt wird. LAN-Administrator kann die Erfassung verwalten und die erfassten Daten von dem Computer anzeigen, auch wenn LAN-Administrator nicht im Segment ist, in dem das Problem auftritt.
  4. F: eingeführt welche Sicherheitsrisiken werden durch die Verwendung des Netzwerkmonitors?

    A. Network Monitor ist eine "Sniffer", d. h. Probleme im Netzwerk erkannt. Da Sie Datenverkehr auf Frameebene analysieren können, alle nicht verschlüsselten Daten in einer Ablaufverfolgung angezeigt wird. Z. B. bei Verwendung von Microsoft Internet Information Server (IIS) bei der Standardauthentifizierung das Kennwort wird als Klartext übergeben und kann in einer Netzwerkmonitor-Ablaufverfolgung gelesen werden.
  5. Frage: Was ist der Unterschied zwischen einer MAC-Adresse und eine IP-Adresse? Wie können voneinander unterscheiden?

    A. eine Media Access Control (MAC) Adresse ist eine eindeutige, 12 Ziffern (48 Bit), hexadezimale Zahl, die das Netzwerk Interface Card (NIC) Hersteller "brennt in" Netzwerkkarte des Computers. Einige Karten Software kann diese Zahl außer Kraft setzen, aber die Nummer bleibt in der Karte gebrannt. MAC-Adressen werden auch als "Hardware" und "Universell verwaltete Adressen" (UAAs) bezeichnet. Wenn sie überschrieben werden, werden die MAC-Adressen "Lokal verwaltete Adressen" (LAAs) bezeichnet.

    Die Zugriffssteuerung Media ist die unterste Ebene der Netzwerkmodell, das Adressinformationen enthält. Alle Bilder in einem Local Area Network enthalten eine MAC-Adresse, unabhängig vom Netzwerkprotokoll im Frame. Das gleiche kann nicht über Internet Protocol (IP)-Adressen, sagen, die auf einer höheren Ebene des Netzwerkmodells befinden. Nicht-IP-Datenverkehr, wie z. B. Datenverkehr, der das Novell IPX/SPX-Protokoll verwendet haben, aber nicht in eine IP-Adresse eine MAC-Adresse.

    Eine IP-Adresse ist eine 32-Bit-Adresse, die über ein Netzwerk (TCP/IP = Transmission Control Protocol/Internet Protocol) eindeutig sein muss. IP-Adressen werden in der Regel in punktierter Dezimalschreibweise, dargestellt, die jedes Oktett (acht Bits) einer IP-Adresse als Dezimalwert darstellt und jedes Oktett durch einen Punkt (z. B. 172.16.255.255) trennt.

    Wenn Sie die erfasste Daten im Netzwerkmonitor anzeigen, können Sie einen Anzeigenamen für einen dieser Adresse einrichten. Zu diesem Zweck mit der rechten Maustaste der Adresse im Zusammenfassungsfensterbereich des Rahmen-Viewer-Fensters, und klicken Sie dann auf Adresse bearbeiten.
  6. Frage: Was geschieht, wenn die Netzwerkkarte den promiscuous-Modus nicht unterstützt? Was ist eigentlich den promiscuous-Modus?

    A. den Promiscuous-Modus ist ein Zustand, in dem eine Netzwerkkarte alle Frames übernimmt, die über das Netzwerk auf einen lokalen Puffer, unabhängig von der Zieladresse übergeben. In diesem Modus können den Netzwerkmonitor zum Erfassen und Anzeigen der gesamte Netzwerkverkehr.

    Um den Netzwerkmonitor zu verwenden, muss Ihr Computer über eine Netzwerkkarte verfügen, die promiscuous-Modus unterstützt. Bei Verwendung von Netzwerkmonitor-Agent auf einem Remotecomputer die lokale Arbeitsstation braucht sich nicht auf eine Netzwerkkarte, die promiscuous-Modus unterstützt, aber der Remotecomputer verfügt.
  7. F: wie interpretiert den Netzwerkmonitor die Protokolle in einer Ablaufverfolgung, die erfasst wurden?

    A. Network Monitor umfasst Protokollparser, die betrachten und wichtige Elemente innerhalb der unformatierten Daten interpretieren einige der am häufigsten verwendeten Protokolle zu interpretieren. Neue Standards und Implementierungen entwickeln, werden bestimmte Protokolle, für die NetMon Parser nicht enthält. Einzelpersonen können Parser für die Protokolle, oder andere Unternehmen möglicherweise einige dieser Parser (das sich im Internet befindet) schreiben. Einige zusätzliche Parser sind in den Microsoft Resource Kits enthalten.
  8. F: Warum nicht HTTP-Aktivität angezeigt, aber ich kann meine Anrufe unter ein anderes Protokoll sehen?

    A. die Netzwerk-Monitor HTTP-Parser sucht nach TCP-Port 80 auf einen Rahmen wie ein HTTP-Frame zu identifizieren. Wenn die Website einen anderen Anschluss als den standard-Port 80 (0 x 50) verwendet wird, erkennt der Parser nicht, dass der Frame HTTP-Daten enthält. Überprüfen Sie in den Website-Eigenschaften auf der Registerkarte Website die IIS-Konfiguration, um festzustellen, ob die TCP-Port 80 festgelegt ist.
  9. F. Worum handelt es sich um einen Dreiwege-Handshake?

    A. bevor Sie sämtliche Daten über das TCP-Protokoll übertragen werden können, muss eine zuverlässige Verbindung hergestellt. "Dreiwege-Handshake" ist der Prozess, den TCP verwendet, um diese Verbindung herzustellen.

    Dieser Vorgang kann nicht im Rahmen dieses Artikels ausführlich beschrieben werden. Kurz, identifizieren Sie drei Frames einen Dreiwege-Handshake. Im ersten Bild sendet Computer1, Computer2 einen Frame das TCP-SYN-Flag gesetzt an. Im zweiten Rahmen sendet ein Frame zurück an Computer1 mit SYN und ACK Satz Dateiflags Computer2. Im dritten Rahmen sendet Computer1, Computer2 einen Frame mit dem ACK-Flag an. Zwei beliebige Computer tauschen diese drei Pakete, jedes Mal, wenn sie eine TCP-Verbindung einzurichten.
  10. Frage: wie wird eine Trennung in den Netzwerkmonitor angezeigt?

    A. A TCP-Verbindung kann auf zwei Arten beendet werden. "Schließvorgangs" verwendet das TCP FIN-Flag, um anzuzeigen, dass der Absender keine Daten mehr zu senden hat. TCP RST-Flag wird für einen beendeten ("Abbrechen") Sitzungstrennung verwendet.
  11. Frage: Was ist der Unterschied zwischen einem Sammlungsfilter und einen Anzeigefilter?

    A. vor dem Ausführen der Sammlung können Sie einen Sammlungsfilter einrichten, um zu bestimmen, welche Frames im Puffer gespeichert werden. Nachdem die Daten gespeichert sind, können Sie einen Anzeigefilter an weitere Aufmerksamkeit auf einen bestimmten Satz von Frames einrichten.
  12. Frage: werden können als Standard Sammel- oder Filter gespeichert?

    A. um eine Aufnahme oder Anzeige Filter als Standard speichern, müssen Sie über die vorhandene Datei schreiben. Die standardmäßige Anzeige Filter-Datei hat den Namen Default.df, und die Standard-Sammlungsfilterdatei heißt Default.cf. Diese Dateien befinden sich normalerweise in WinNT/System32/Netmon/Erfassung/Ordner.

    Alternativ können Sie speichern und Laden von verschiedenen Filterdateien, Bedarf von innerhalb des Netzwerkmonitors. Klicken Sie hierzu im Dialogfeld Sammlungsfilter oder AnzeigefilterLaden .
  13. F: Ich habe die Aufzeichnung erhalten. Wie machen kann ich es besser lesbar?

    A. Sie Frames können nicht sortiert werden, aber Sie können die Darstellung des Zusammenfassungsfensterbereichs sortieren. Ziehen Sie hierzu die Spaltennamen in der bevorzugten Reihenfolge. Darüber hinaus können Sie eine Adresse mit einem aussagekräftigen Namen ersetzen. Zu diesem Zweck mit der rechten Maustaste der Adresse im Zusammenfassungsfensterbereich des Rahmen-Viewer-Fensters, und klicken Sie dann auf Adresse bearbeiten.
  14. Frage: werden sollte Netzwerkmonitor auf dem Client oder dem Server ausgeführt? Wenn Client und Server des Computers sind?

    A. normalerweise, wenn Client- und Serveranwendungen auf demselben Computer befinden, es gibt keinen Netzwerkverkehr. Network Monitor können Sie daher verstehen, was zwischen den Anwendungen.

    Sie Problembehandlung bei HTTP oder andere textbasierte Protokolle, wenn Sie zwei Computer haben und der Client wieder unerwartete Ergebnisse immer ist, führen Sie den Netzwerkmonitor auf dem Server, um festzustellen, ob der Server mit die richtigen Daten sendet.

    Sie können für die Ablaufverfolgung auf dem Client und den Server benötigen, wenn einer Firewall oder des Intranets Netzwerkprobleme verursacht. In diesem Szenario können Sie vergleichen weitere Spuren effizient, wenn Sie den Befehl Net Time mit die Systemzeit auf dem Computer synchronisiert werden.

    Wenn Sie drei Computer, die in einer 3-Tier Architektur kommunizieren verfügen, kann Netzwerkmonitor auf der mittleren Ebene ausgeführt werden, da alle Verkehr auf diesem Computer passiert.
  15. F. ausführen kann der Benutzer andere Anwendungen, während der Netzwerkmonitor aufzeichnen oder den Datenverkehr des Netzwerks gefiltert?

    A: Ja, der Aufwand für das NetMon ist minimal, und andere Anwendungen sollten durch den Netzwerkmonitor nicht beeinträchtigt werden.

Informationsquellen

Weitere Informationen finden Sie in den nachstehenden Artikeln der Microsoft Knowledge Base:
169292 Die Grundlagen für das Einlesen von TCP/IP-Ablaufverfolgungen
231920 Das Filtern auf TCP-Header-Informationen mithilfe von Microsoft Network Monitor
232247 Verwenden den Netzwerkmonitor zum Erfassen des Datenverkehrs mit einem Remote-Agenten
172983 Erklärung des Dreiwege-Handshakes über TCP/IP

Eigenschaften

Artikel-ID: 294818 - Geändert am: Donnerstag, 6. Februar 2014 - Version: 3.0
Keywords: 
kbinfo kbmt KB294818 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell übersetzt und wird dann möglicherweise mithilfe des Community Translation Framework (CTF) von Mitgliedern unserer Microsoft Community nachbearbeitet. Weitere Informationen zu CTF finden Sie unter http://support.microsoft.com/gp/machine-translation-corrections/de.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 294818
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com