Freigeben über

Paketüberwachungserweiterung im Windows Admin Center

Mit der Paketmonitorerweiterung können Sie den Paketmonitor in Windows Admin Center betreiben und nutzen. Diese Erweiterung unterstützt Sie bei der Diagnose Ihres Netzwerks, indem Netzwerkdatenverkehr über den gesamten Netzwerkstapel hinweg in einem Protokoll erfasst und angezeigt wird, das einfach zu verstehen und zu bearbeiten ist.

Was ist der Paketmonitor (Pktmon)?

Der Paketmonitor (Pktmon) ist ein integriertes, komponentenübergreifendes Netzwerkdiagnosetool für Windows. Es kann für die Paketerfassung, die Erkennung von Paketablegung, die Paketfilterung sowie die Zählung verwendet werden. Das Tool ist besonders nützlich in Virtualisierungsszenarien wie Containernetzwerken und SDN, da es Einblicke in den Netzwerkstapel bietet.

Was ist Windows Admin Center?

Windows Admin Center ist ein lokal bereitgestelltes, browserbasiertes Verwaltungstool, das die Verwaltung von Windows-Servern unabhängig von Azure oder der Cloud ermöglicht. Windows Admin Center ermöglicht die vollständige Kontrolle über alle Aspekte der Serverinfrastruktur und ist besonders nützlich für die Verwaltung von Servern in privaten Netzwerken, die nicht mit dem Internet verbunden sind. Windows Admin Center ist die moderne Weiterentwicklung von integrierten Verwaltungstools wie Server-Manager und MMC.

Vorbereitung

  • Zur Verwendung des Tools muss auf dem Zielserver Windows Server 2019, Version 1903 oder höher, ausgeführt werden.
  • Installieren von Windows Admin Center.
  • Hinzufügen eines Servers zu Windows Admin Center:
    1. Klicken Sie unter Alle Verbindungen auf + Hinzufügen.
    2. Wählen Sie die Option zum Hinzufügen einer Serververbindung aus.
    3. Geben Sie den Namen des Servers und bei entsprechender Aufforderung die zu verwendenden Anmeldeinformationen ein.
    4. Klicken Sie auf Senden, um den Vorgang abzuschließen.

Der Server wird der Verbindungsliste auf der Seite Übersicht hinzugefügt.

Erste Schritte

Um das Tool zu öffnen, navigieren Sie zu dem Server, den Sie im vorherigen Schritt erstellt haben, und wechseln Sie dann zur Erweiterung „PacketMon“.

Anwenden von Filtern

Es wird dringend empfohlen, vor dem Starten einer Paketerfassung Filter anzuwenden, da die Problembehandlung bei einer Verbindung mit einem bestimmten Ziel einfacher ist, wenn Sie sich auf einen einzelnen Paketdatenstrom konzentrieren können. Auch kann bei Erfassung des gesamten Netzwerkdatenverkehrs die Ausgabe so umfangreich sein, dass sie sich nicht analysieren lässt. Die Erweiterung öffnet also zuerst den Filterbereich, bevor die Erfassung gestartet wird. Sie können diesen Schritt überspringen, indem Sie auf Weiter klicken, um die Erfassung ohne Filter zu starten. Im Filterbereich werden Filter in drei Schritten hinzugefügt.

  1. Filtern nach Netzwerkstapelkomponenten

    Der erste Schritt des Filterbereichs zeigt das Layout des Netzwerkstapels an, sodass Sie die zu filternden Komponenten auswählen können, wenn Sie den Datenverkehr erfassen möchten, der nur bestimmte Komponenten durchläuft. Diese Stelle eignet sich auch hervorragend, um das Layout des Netzwerkstapels Ihres Computers zu analysieren und zu verstehen.

    Beispiel: Filtern nach Netzwerkstapelkomponenten

  2. Filtern nach Paketparametern

    Im zweiten Schritt können Sie Pakete anhand ihrer Parameter filtern. Damit ein Paket in den Bericht aufgenommen werden kann, muss es alle Bedingungen erfüllen, die in mindestens einem Filter angegeben sind; es werden bis zu 8 Filter gleichzeitig unterstützt. Für jeden Filter können Sie Paketparameter wie MAC-Adressen, IP-Adressen, Ports, Ethertype, Transportprotokoll und VLAN-ID angeben.

    • Wenn zwei MAC-Adressen, IP-Adressen oder Ports angegeben werden, unterscheidet das Tool nicht zwischen Quelle oder Ziel; es erfasst Pakete, die beide Werte aufweisen, unabhängig davon, ob es sich um ein Ziel oder eine Quelle handelt. Diese Unterscheidung kann in Anzeigefiltern erfolgen; siehe Abschnitt Anzeigefilter weiter unten.
    • Um TCP-Pakete weiter zu filtern, können Sie eine optionale Liste von TCP-Flags bereitstellen, mit denen eine Übereinstimmung vorliegen muss. Unterstützte Flags sind FIN, SYN, RST, PSH, ACK, URG, ECE und CWR.
    • Wenn das Kontrollkästchen Kapselung aktiviert ist, wendet das Tool den Filter zusätzlich zum äußeren Paket auch auf gekapselte innere Pakete an. Unterstützte Kapselungsmethoden sind VXLAN, GRE, NVGRE und IP-in-IP. Ein benutzerdefinierter VXLAN-Port ist optional und standardmäßig auf 4789 festgelegt.

    Beispiel: Filtern nach Paketparametern

  3. Filtern nach Paketflussstatus

    Der Paketmonitor erfasst standardmäßig den Paketfluss sowie verworfene Pakete. Um nur verworfene Pakete zu erfassen, wählen Sie Verworfene Pakete aus.

    Beispiel: Filtern nach Paketflussstatus

    Anschließend wird eine Zusammenfassung aller ausgewählten Filterbedingungen zur Überprüfung angezeigt. Sie können diese Ansicht nach dem Starten der Erfassung über die Schaltfläche Erfassungsbedingungen abrufen.

    Nur verworfene Pakete erfassen

Erfassungsprotokoll

Die Ergebnisse werden in einer Tabelle mit den wichtigsten Parametern der erfassten Pakete angezeigt: Zeitstempel, IP-Quelladresse, Quellport, IP-Zieladresse, Zielport, Ethertype, Protokoll, TCP-Flags, Informationen dazu, ob das Paket verworfen wurde, und der Grund für das Verwerfen.

  • Der Zeitstempel für jedes dieser Pakete ist gleichzeitig ein Hyperlink, der Sie zu einer anderen Seite weiterleitet, auf der Sie weitere Informationen zum ausgewählten Paket finden. Weitere Informationen finden Sie im Abschnitt „Seite mit Details“ weiter unten.
  • Für alle verworfenen Pakete wird auf der Registerkarte Verworfen der Wert „True“ sowie der Grund für das Verwerfen angezeigt. Außerdem werden sie in roter Schrift angezeigt, sodass sie leichter zu erkennen sind.
  • Alle Registerkarten können aufsteigend und absteigend sortiert werden.
  • Sie können über die Suchleiste in jeder Spalte im Protokoll nach einem Wert suchen.
  • Über die Schaltfläche Neu starten können Sie die Erfassung mit denselben ausgewählten Filtern neu starten.

Beispiel: Tabelle mit Ergebnissen des Erfassungsprotokolls

Detailseite

Diese Seite stellt eine Momentaufnahme des Pakets dar, während es jede Komponente des lokalen Netzwerkstapels durchläuft. In dieser Ansicht sehen Sie den Paketflusspfad und können untersuchen, wie sich die Pakete ändern, wenn sie von den einzelnen Komponente verarbeitet werden, die sie durchlaufen.

  • Die Paketmomentaufnahmen werden nach Adapter-/Switchstapel gruppiert: Paketmomentaufnahmen, die von einem Adapter/Switch erfasst werden, sowie die zugehörigen Filter- und Protokolltreiber werden unter dem Namen des Adapters/Schalters gruppiert. So lässt sich der Fluss eines Pakets von einem Adapter zum nächsten leichter nachverfolgen.
  • Wenn Sie eine Momentaufnahme auswählen, werden weitere Details zu dieser spezifischen Momentaufnahme angezeigt, einschließlich der unformatierten Paketkopfzeilen.
  • Für alle verworfenen Pakete wird auf der Registerkarte Verworfen der Wert „True“ sowie der Grund für das Verwerfen angezeigt. Außerdem werden sie in roter Schrift angezeigt, sodass sie leichter zu erkennen sind.

Beispiel: Detailseite mit Paketmomentaufnahmen

Anzeigefilter

Mit den Anzeigefiltern können Sie das Protokoll filtern, nachdem Sie die Pakete erfasst haben. Für jeden Filter können Sie Paketparameter wie MAC-Adressen, IP-Adressen, Ports, Ethertype und Transportprotokoll angeben. Unterschied zu Erfassungsfiltern:

  • Anzeigefilter können zwischen der Quelle und dem Ziel von IP-Adressen, MAC-Adressen und Ports unterscheiden.
  • Anzeigefilter können nach ihrer Anwendung gelöscht und bearbeitet werden, um die Ansicht des Protokolls zu ändern.
  • Anzeigefilter werden in den gespeicherten Protokollen aufgehoben.

Bildschirm: Anzeigefilter

Speichern

Mit der Schaltfläche „Speichern“ können Sie das Protokoll auf Ihrem lokalen Computer, Ihrem Remotecomputer oder auf beiden Computern speichern. Anzeigefilter werden im gespeicherten Protokoll aufgehoben.

  • Auf Ihrem lokalen Computer können Sie das Protokoll in verschiedenen Formaten speichern:
    • Im ETL-Format, das mithilfe des Microsoft-Netzwerkmonitors analysiert werden kann. Hinweis: Weitere Informationen finden Sie auf dieser Seite.
    • Im Textformat, das mithilfe eines beliebigen Text-Editors wie TextAnalysisTool.NET analysiert werden kann.
    • Im Pcapng-Format, das mit Tools wie Wireshark analysiert werden kann.
    • Die meisten Metadaten des Paketmonitors gehen während dieser Konvertierung verloren. Weitere Informationen finden Sie auf dieser Seite.

Speichern einer lokalen Kopie der Erfassung

Öffnen

Mit der Funktion „Öffnen“ können Sie die fünf letzten gespeicherten Protokolle erneut öffnen und mit dem Tool analysieren.

Öffnen eines zuletzt erstellten Protokolls