Anleitzung zur Nutzung des Netzwerkmonitors zum Aufzeichnen des Netzwerkdatenverkehrs

Dieser Artikel bezieht sich auf Windows 2000. Unterstützung für Windows 2000 endet am 13. Juli 2010. Windows 2000 End of Support Solution Center ist ein Ausgangspunkt für die Planung der Strategie für die Migration von Windows 2000. Weitere Informationen finden Sie auf der Microsoft Support Lifecycle Policy.

Zusammenfassung

Dieser Artikel beschreibt einige best Practices, Microsoft Netzwerkmonitor (Netmon.exe) verwenden den Netzwerkverkehr erfassen.


Netzwerk-Trace, das folgende Eigenschaften kann die erfolgreiche Analyse erfassten Netzwerkverkehr:
  • Netzwerk-Trace enthält nicht alle erforderlichen Netzwerkverkehr.
  • Es enthält zu viel unnötigen Netzwerkverkehr.
  • Es wird nicht nach Computer Name und Adresse der betroffenen Computer begleitet.
zurück zum Anfang

Definitionen

In diesem Artikel werden folgenden Definitionen verwendet:
  • Erfassen (oder Trace): Netzwerkverkehr erfasst und mit Microsoft Netzwerkmonitor (Netmon.exe) gespeichert.
  • Zu überwachender Computer: der Computer mit dem Netzwerkmonitor.
  • Zielcomputer: ein Computer, dessen Netzwerkverkehr Netmon.exe, erfasst.
  • Zieladresse: bestimmte Adresse des Zielcomputers.
zurück zum Anfang

Ziel Computer Datenverkehr machen zu überwachender Computer verfügbar

Wenn Netzwerkmonitor nicht auf dem Zielcomputer ausgeführt werden, stellen Sie sicher, der Netzwerkverkehr auf dem Zielcomputer zur Verfügung stehen den Netzwerkadapter des Computers überwachen. Dazu in der Ethernet-Umgebung verbinden Sie Computer Monitor und dem Zielcomputer mit einem Netzwerkhub. Die Computer überwachen und Ziel in einem switched Netzwerk befinden (z. B. miteinander Ethernet-Switch), alle Netzwerkverkehr zum und vom Ziel Computer möglicherweise nicht für den Monitor verfügbar.


Hinweis In der Regel Hub bietet alle Netzwerkpakete an alle Netzwerk-Schnittstellen (oder Ports) und ein Switch stellt die Pakete an den gewünschten Port. Komplexere Befehlszeilenoptionen gestatten Multicastpakete Filteroptionen und erweiterte Ports-bridging für Netzwerk erfasst und Überwachung.

zurück zum Anfang

Adressdatenbanken

Suchen und Speichern des Zielcomputers Adressen:

Adresse nach der Datenerfassung Sammlung

  1. Wenn das Netzwerk erfassen nicht sichtbar (z. B. wenn klicken Sie Beenden im Menü Sammeln nicht
    Beenden und anzeigenoder ein Sammlungsauslöser geltenden), klicken Sie auf
    Gesammelte Daten anzeigen im Menü Sammeln oder drücken Sie die Taste F12 erfasste Daten angezeigt.
  2. Klicken Sie im Menü Anzeige auf Alle Namen suchen.
  3. Die Meldung, dass eine bestimmte Anzahl von Namen in den gesammelten Daten gefunden wurden klicken Sie auf OK.
  4. Speichern einer Adressdatenbank gemäß der
    Speichern einer Adressdatenbank Abschnitt dieses Artikels.
zurück zum Anfang

Speichern einer Adressdatenbank

Adresse-Datenbankdateien ungenau ändert die Adresse des Ziel-Computers. Dies kann auftreten, wenn die Dynamic Host Configuration Protocol (DHCP)-Lease abläuft oder Sie den Netzwerkadapter ersetzen. Microsoft empfiehlt daher, speichern Adressdatenbanken für Netzwerkmonitor erfasst.

ADR-Datei Netzwerkmonitor im Arbeitsspeicher Adressdatenbank speichern:
  1. Klicken Sie im Netzwerkmonitor auf das
    Menü Sammeln .

    Hinweis Wenn der erfassen: n(Zusammenfassung) Dialogfeld geöffnet ist, klicken Sie im Menü Sammeln nicht angezeigt.
  2. Klicken Sie auf Speichern, geben Sie einen beschreibenden Namen in die
    Dateiname , und klicken Sie dann auf
    Speichern.
zurück zum Anfang

Vor Aufnahme Adresse Sammlung: Computer ist im Netzwerk

  1. Klicken Sie im Netzwerkmonitor im Menü Extras auf Adressen über Namen auflösen .

    Hinweis Dieser Befehl steht nur in der Version von Netzwerkmonitor mit Microsoft Systems Management Server (SMS).
  2. Geben Sie den Namen des Zielcomputers in der
    Liste und klicken Sie dann auf
    Zu beheben.

    Netzwerkmonitor können je nach Netzwerk und Ziel Computerkonfiguration und verfügbaren Namensauflösungsoptionen normalerweise Adressen wie Ethernet, in der Token Ring, IP und IPX/XNS, die mit dem Zielcomputer verbunden sind aufgeführt.
    • Wenn der Name aufgelöst wurde, klicken Sie auf Adresse speichern , um die Adressen der Netzwerkmonitor im Arbeitsspeicher Adressdatenbank hinzufügen.
    • Wird der Name nicht aufgelöst und Meldung "Adresse nicht gefunden", sollten den Computer aus dem Netzwerk zu speichern, wie in beschrieben die vor Aufnahme Adresse Auflistung: Computer aus dem Netzwerk ist Abschnitt dieses Artikels.
  3. Klicken Sie auf Schließenund speichern Sie die Datenbank.
zurück zum Anfang

Vor Aufnahme Adresse Sammlung: Target Computer im Netzwerk befindet

Um das folgende Verfahren verwenden, müssen Sie die Zieladresse kennen. Microsoft empfiehlt die Verwendung der Media Access Control (MAC) Adresse des Zielcomputers. Legen Sie für bestimmte Protokolle wie IP-Filtern kann Netzwerkmonitor Datenverkehr mit anderen Protokollen wie IPX/XNS ignoriert.
  1. Klicken Sie im Menü Sammeln auf
    Adressen, und klicken Sie dann auf Hinzufügen.
  2. Geben Sie im Feld Name den Namen des Zielcomputers.
  3. Geben Sie die Adresse des Zielcomputers in der
    Adressfeld beispielsweise die IP-Adresse
    192.247.26.40.
  4. Klicken Sie in der Liste auf die Adresse im Feld Adresse . Klicken Sie beispielsweise auf
    IP.
  5. Klicken Sie auf OK , um die Adresse des Netzwerkmonitors im Arbeitsspeicher Adressdatenbank hinzufügen.
  6. Speichern Sie die Datenbank.
zurück zum Anfang

Erfassen Sie Filter

Die folgenden Beispiele veranschaulichen verschiedene allgemeine Erfassung Filter konfigurieren. Microsoft empfiehlt, dass möglichst den Filter für die MAC-Adresse des Zielcomputers (wie die Ethernet-Adresse festlegen). Erfassung für bestimmte Protokolle wie IP Filter eingerichtet, Netzwerkmonitor Datenverkehr mit anderen Protokollen, wie IPX/XNS ignoriert wird.

zurück zum Anfang

Allen Datenverkehr zu und von einem Zielcomputer

  1. Klicken Sie im Menü Sammeln auf
    Filter.
  2. Doppelklicken Sie auf den Knoten AND (Adresspaare).
  3. Klicken Sie in der Liste Name unter Station 1des Zielcomputers, deren Daten Sie sammeln möchten.
  4. Klicken Sie unter Richtungauf
    <> –, und klicken Sie dann auf OK.
zurück zum Anfang

Allen Datenverkehr zwischen beiden Zielcomputern aufzeichnen

  1. Klicken Sie im Menü Sammeln auf
    Filter.
  2. Doppelklicken Sie auf den Knoten AND (Adresspaare).
  3. Klicken Sie in der Liste Name unter Station 1des Zielcomputers, deren Daten Sie sammeln möchten.
  4. Klicken Sie unter Richtungauf
    <-->.
  5. Klicken Sie in der Liste Name unter Station 2anderen Zielcomputer, deren Daten Sie sammeln möchten.
  6. Klicken Sie auf OK, und klicken Sie dann auf
    OK.
zurück zum Anfang

Speichern eines Sammlungsfilters

So speichern Sie einen Sammlungsfilter Netzwerkmonitor CF-Datei
  1. Klicken Sie im Menü Sammeln auf
    Filter.
  2. Klicken Sie auf Speichern, geben Sie einen beschreibenden Namen in die
    Dateinamen und klicken Sie dann auf Speichern.
zurück zum Anfang

Erfassen von Puffern

Standardmäßig können Netzwerkmonitor erfasst bis zu 1 Gigabyte (GB) speichern. Klicken Sie zum Ändern der Standardeinstellung von 1 MB Puffer im Netzwerkmonitor erfassen auf.
  • Überprüfen Sie die Puffergröße ausreichend ausreichend Netzwerkverkehrs. Eine Standard-Baseline ermitteln, legen Sie entsprechende Sammlungsfilter gegen einen Client arbeiten und führen Sie dann eine Test-Aufzeichnung. Ist die gespeicherte Aufzeichnung dieselbe Größe wie die Puffer, müssen Sie den Puffer vergrößern. Regel wird Puffer um den Faktor 2 erhöht.
  • Stellen Sie sicher, dass virtueller Speicher (Auslagerungsdatei) Einstellungen des Computers überwachen die Maximalgröße behandeln können, die Sie speichern möchten.
zurück zum Anfang

Erfassen von Triggern

Sammlungsauslöser sind normalerweise Situationen festgelegt schwierig zu verhindern, dass dieses Sammlungspuffers. Dies tritt häufig auf, wenn Folgendes zutrifft:
  • Sie können nicht zuverlässig reproduzieren Sie mithilfe eines bestimmten untersucht.
  • Sie können nicht auf den Monitor und Ziel Computern koordinieren.
  • Sie müssen den gesamten Datenverkehr zu und von einem stark ausgelasteten Server erfassen. Beispielsweise müssen Sie diese Datei sperren Verstöße Diagnose.
Um einen Sammlungsauslöser zu entwerfen, müssen Sie normalerweise ein Beispielpaket Byte-Muster für einen bestimmten Offset abgeleitet. Der Offset für SMB "Status Code Systemfehler" ist z. B. für NBT (NetBIOS-Transport über IP) und direkter SMB (TCP/UDP-Port 445). Das folgende Beispiel veranschaulicht einen Sammlungsauslöser fest, der das Abfangen wird angehalten, wenn Sie versuchen, zu einer nicht vorhandenen Freigabe auf einem vorhandenen Server herstellen. Das Beispiel enthält keine Details Filter erfassen.

Die Fehlermeldung wird ist der Win32-Fehlercode 0xC00000CC. Der Fehlercode wird in eine Aufzeichnung in SMB 'Status Code Systemfehler' Feld 'STATUS_BAD_NETWORK_NAME'. Dieser Fehler wird in "ntstatus.h" definiert. Microsoft Software Development Kit (SDK) enthält diese Definition. Weitere Informationen finden Sie auf der folgenden Microsoft-Website:Klicken Sie für Weitere Informationen auf die folgende Artikelnummer, um den Artikel der Microsoft Knowledge Base anzuzeigen:
113996 INFO: Win32-Fehlercodes NT Fehler Statuscodes zuordnen
  1. Auf dem Überwachungscomputer:
    1. Starten Sie den Netzwerkmonitor.
    2. Klicken Sie im Menü Sammeln auf
      Trigger.
    3. Klicken Sie unter Trigger
      Muster.
    4. Klicken Sie Vom Start des Rahmensunter Musterund klicken Sie auf Hex.
    5. Geben Sie in das Feld Versatz (Hex)
      3f.
    6. Geben Sie im Feld Muster
      cc0000c0

      Hinweis: das little-Endian-Byte-Muster entspricht der Fehler DWORD 0xC00000CC.
    7. Klicken Sie unter Aktionauf
      Sammlung beenden, und klicken Sie dann auf OK.
    8. Klicken Sie im Menü Sammeln auf
      Starten.
  2. Auf dem Zielcomputer:
    1. Klicken Sie auf Start, und klicken Sie dann auf
      Ausführen.
    2. Geben Sie im Feld Öffnen
      \\Servername\Ungültiger Freigabename, wo Servername ein gültiger Servername und
      Ungültiger Freigabename ist der Name einer nicht vorhandenen Freigabe.
    3. Klicken Sie auf OK. Die Meldung, dass der Netzwerkname nicht gefunden werden kann, klicken Sie auf OK
  3. Auf dem Überwachungscomputer:
    1. Die Aufzeichnung beendet automatisch. Auf der
      Menü Datei , klicken Sie auf Speichern.
    2. Geben Sie einen beschreibenden Namen für die Aufnahme in die
      Dateiname , und klicken Sie dann auf
      Speichern.
zurück zum Anfang

Problembehandlung

  • Beschreibende Namen verwenden, wenn Sie abgefangenen Netzwerkverkehr speichern..

    Beim Speichern einer Sammlung Network Monitor ist nützlich, einen aussagekräftigen Dateinamen verwenden. Beispiel:
    Computer1_connect_failure_05_dec_2002.adr
    Obwohl Datei die Uhrzeit enthält, kann das Datum nicht offensichtlichen oder überprüfbar ist, besonders, wenn die Datei geändert wird. Sie müssen während der Analyse die Abrufdateien ändern. Beispielsweise hängt die Verbindung (SMB = Server Message Block) Client- oder Pakete die MAC-Adresse. Zwischen einem Client und einem Server-Computer kann die MAC-Adresse verbergen. Netzwerkmonitor kann einige Antworten in diesem Fall beispielsweise verteilte Datei System (DFS) Referenzantworten nicht vollständig analysiert. Einige Versionen des Netzwerkmonitors können Sie die Aufzeichnung bearbeiten. Daher können Sie die MAC-Adresse des Routers mit dem Zielserver ersetzen. Dies ermöglicht SMB-Parser besser lesbaren Form das angegebene Paket aufteilen.
  • Stellen sicher, dass die Uhren zwischen Computern synchronisiert werden..

    Viele Diagnoseverfahren müssen ein Ereignis oder Debuggen Komponente und Netzwerk-Traces des Problems. Andere Protokolldateien mit Netzwerkmonitor erfolgreich Kreuz verweisen möchten, müssen Sie zwischen Computern synchronisiert Uhren.
  • Speichern die IP-Adressinformationen..

    Da DHCP-Leasing-Ablaufdatum IP-Adressänderungen auf dem Client Computer verursachen, müssen Sie oder speichern die IP-Adresse Informationen während der Netzwerkmonitor erfasst.
  • Die Aufzeichnung starten vor des Problems auftreten..

    Erfassen Sie Datenverkehr notwendig und ausreichend, um ein Problem zu dokumentieren. Hierzu müssen Sie eine Aufzeichnung starten, bevor Sie die erste Verbindung zwischen zwei Zielcomputer, und dann beenden, nachdem das Problem Verhalten. Mit dem SMB-Protokoll arbeiten Dateioperationen gegen behandelt. Um den Dateinamen kennen, müssen Sie erfassen Datei öffnen (oder erstellen) Vorgang.
  • Versuch, "Erfolg" und "Fehler" Traces erfassen..

    Wenn Sie können Spuren, wo das Problem, erfassen und wo tritt nicht auf. Es empfiehlt sich, diese Spuren auf den gleichen Zielcomputer erfassen. Wenn dies nicht möglich ist, versuchen Sie die nächste Konfiguration und Netzwerk erstellen aufzuzeichnen. Beispielsweise sollten beide Zielcomputern mit demselben Server kommunizieren oder demselben Clientcomputer mit ähnlich konfigurierte Server kommunizieren soll.
  • Dokumentieren der Aktionen, die den erheblichen Netzwerkverkehr generieren..

    Dokumentieren Sie die Aktionen, die Sie auf dem Zielcomputer ausführen Computer erheblichen Netzwerkverkehr erzeugt. Beispielsweise können in IP-Umgebung Sie vereinfachen die Querverweise der Benutzeraktivität, Programmaktivität oder Dateiaktivität erfassen. Dazu führen Sie einmalige Ping -Befehle eine eindeutige IP-Adresse vor der Aktivitäten und die Aktivitäten.
zurück zum Anfang

Referenzen

Klicken Sie für weitere Informationen auf die folgenden Artikelnummern, um die betreffenden Artikel in der Microsoft Knowledge Base anzuzeigen:

810156 Fehlermeldung "Keine Netzwerktreiber gefunden" nach Installation von Netzwerkmonitor

261327 wie Netzwerkmonitor zusätzlichen Parser hinzugefügt
164961 Network Monitor Setup keine frühere Version Installation finden
Weitere Informationen über das Dienstprogramm Network Monitor Capture in Windows XP klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:
310875 Beschreibung des Programms Netzwerkmonitor-Aufzeichnung


zurück zum Anfang
Eigenschaften

Artikelnummer: 812953 – Letzte Überarbeitung: 16.01.2017 – Revision: 1

Feedback