Ungeklärter Internettraffic im Netz

Halllo, wir haben ein Schulnetz mit Windows 2003 Server neu aufgesetzt.

Es gibt einen Server und 161 workstations, von denen aber jetzt in der Testphase erst fünf Lehrer PCs Internetzugang nutzen können.

Es gibt LaptopWagen, die über ein verschlüsseltes WLan Internetzugang finden können, aber zur Zeit nur stundenweise getestet werden.


Unsere Problem: Wir haben laut Providerrechnung einen Datentransfer von ca. 600 MB täglich und das auch an Wochenden, an denen bekanntlich niemand in der Schule ist.

Gibt es eine Möglichkeit die Internetzugriffsprotokolle der Benutzer nach Datum und Benutzer auszuwerten oder/und die getätigten Downloads zu erfassen und nachzuweisen?

Wir haben zwar eine Flatrate, stehen aber vor einem Rätsel. :
Für Tipps wären wir sehrdankbar !!

1) Ist vielleicht WindowsUpdate aktiv?

2) Das sieht danach aus, als ob jemand FileSharing darauf betreibt.

3) Es haben sich Viren/Trojaner im Server/in den PCS eingenistet und die werden jetzt als SPamschleudern betrieben.

4) Unbedingt die Installation von Softeware auf den Clients per Gruppenrichtlinie verbieten.

5) Unbedingt die Verwendung von USB/Memory-Sticks verbieten. Das schleust sonst wieder Software ein.

GwenDragon schrieb:

5) Unbedingt die Verwendung von USB/Memory-Sticks verbieten. Das schleust sonst wieder Software ein.

Zum Vergrößern anklicken....

Laß ich halt den Stick zu Hause und bring die Software per Diskette, CD etc mit.  :°

Wenn müßtest für Benutzer Wechselmedien als Installationsquelle per Gruppenrichtlinie verhindern. 

Mfg. gimondi

Insofern die Clients CD/Diskette haben.
Es läßt sich ja heute auch so manches mit ThinClients machen

Danke für Eure Antworten und Tipps.

An einige dieser Varianten haben wir auch gedacht, aber wir wissen nicht, wie man das jeweils nachweisen kann.

Gibt es unter Windows 2003 Server keine Möglichkeit, den Internetverkehr und das Datenaufkommen den jeweiligen Verursachern zuzuodnen?

Ansonsten: mit welcher Gruppenrichtlinie sperre ich allen Benutzern oder bestimmten Gruppen nachhaltig die Verwendung von USB Sticks?

MfG naphta

Hi,

ich würde mal Ethereal (http://www.ethereal.com) laufenlassen.

Anhand der TCP Pakete solltest Du den Übeltäter ausfindig machen können.
Ich persönlich tippe auf fehlerhafte DNS/WINS Konfiguration.

Sonstige übliche Verdächtige sind wie teilweise schon oben beschrieben Viren, Trojaner, Windowsupdate, Heimtelefoniersoftware (Software mit Autoupdatefunktion).
Bei der Anzhal der Clients empfiehlt es sich sowieso intern einen WSUS Server aufzusetzen und mittels Gruppenrichtline die Clients zur Verwendung dessen zu zwingen. Ein bekannter Kandidat ist auch der Windows-Zeitdienst, falls falsch konfiguriert.

Wie gesagt, am besten mal das Netz ausschnüffeln und dann den Hahn zudrehen.

Gruß
Sven

naphta schrieb:

Ansonsten: mit welcher Gruppenrichtlinie sperre ich allen Benutzern oder bestimmten Gruppen nachhaltig die Verwendung von USB Sticks?

Zum Vergrößern anklicken....

http://www.gruppenrichtlinien.de/index.html?/HowTo/usb_sticks_deaktivieren.htm

Gruß
Sven

Hi,

mal 3 Ideen aus einer anderen Ecke.

Wenn am WE keiner in der Schule ist - warum laufen dann die Clients? - Eigentlich müsstest Du doch schon am DHCP Log sehen, wer am Server aufgeschaltet war.

Ich hatte mal das Problem bei einem Kunden, dass sein Provider nach jedem Verbindungsabbau den Datentransfer auf ein volles MB nach oben gerundet hat - und da der Router bei der kleinsten Bewegung im Netz online gegangen ist und eine Abschaltzeit von 5 Min eingetragen war, kam im Laufe des Tages auch sehr viel zusammen.

Letzte und einfache Idee - hat jemand außerhalb der Schule die Zugangsdaten?
Prüfe doch mal, ob der Server wirklich den Datentranfer produziert.

Myrddin

Nun - da kommen doch einige Tipps zusammen!!!

Wir werden am Freitag mal mit der Umsetzung beginnen.

Dank an alle!! :