Wurde ein Rechner verschoben?
 

Ich habe wieder mal ein nettes Problem. Ich sollte in einem recht grossen Netz (ca. 1'500 Rechner) heraus finden können, wenn ein Rechner verschoben wird. Also gemeint ist nicht, von einer Ecke auf dem Pult zur andern sondern von einem Raum in den anderen, mindestens dadurch erkennbar, dass er nun an einem anderen Ausgang des gleichen Switch oder an einem anderen Switch gepatched ist.
Mit der IP-Adresse ist die Sache nicht machbar. Auch wenn der Kunde zum grössten Teil keine festen IPs hat, bezieht der gezügelte Rechner meist wieder die IP, welche er zuvor hatte.
Frage: Gibt es irgend eine Möglichkeit, so etwas wie Seriennummer und/oder MAC-Adresse des Switch auszulesen und die Anschlussnummer? Und was passiert, Wenn da noch so billige Mini-Switches (diejenigen mit 4 Anschlüssen, wenn's in einem Raum einfach zuwenig Leitungen zum Rack mit dem 'grossen' Switch) zwischen geschaltet sind?.

Für Ideen bin ich dankbar.

AW: Wurde ein Rechner verschoben?
 

Ich glaub da hast Du wenig Chancen. Theoretisch könnte der PC ja an einem Hub hängen. Das ist in der OSI-Schicht 1 angesiedelt. Hat also den selben Stellenwert wie das Kabel selber... und Switches haben auch nicht zwingend eine MAC-Adresse.

AW: Wurde ein Rechner verschoben?
 

Das wird wohl nicht funktionieren. Einzige Möglichkeit sähe ich darin, wenn das intelligente Switches sind. Dann könnte man alle Switches nach der MAC-Adresse des Rechners abfragen.

Liebe Grüße,
Valentin

AW: Wurde ein Rechner verschoben?
 

Da es ein Firmenumfeld ist, würde ich schon von Switches statt Hubs ausgehen, aber das lässt sich ja vom OT ergänzen.

Zur Machbarkeit: wenn man das Network and Sharing Center im Control Panel öffnet und dort See full map anklickt, sieht man beiweiten nicht nur Switches, die managed sind.

Spontane sicherlich verbesserungswürdige Idee: versuchen, eine Verbindung irgendwo hin aufzubauen, und dabei den TTL von 1 stückweise zu inkrementieren und schauen, von wem die Rückantwort kommt.


Bliebe die Frage, ob die Switches hier als Router zählen und den TTL dekrementieren. Spontan würde ich "ja" sagen.

AW: Wurde ein Rechner verschoben?
 

Ich hab früher für eine Firma gearbeitet, die Lösungen für solche Probleme bot. Aber selbst die hatte nichts, das automatisch ermitteln konnte ob ein Rechner verschoben wurde. Vielmehr hatten sie visuelle Software, bei der die Rechner mit der Maus verschoben wurden. Solltest du also an so was Interesse haben, aber unter 20.000 Euro wird es nichts, kannst du mir eine PN schreiben.

Auf der anderen Seite, ich weiß bis heute nicht ob mein Chef ein großer Visionär a la Steve Jobs war oder einfach nur dumm und keine Ahnung hatte (was evtl. zum Teil erklären würde wieso ich so meine Probleme habe, wenn man Steve Jobs als großen Visionär bezeichnet), hat mein Chef oft einfach unmögliche Wünsche geäußert, und wir es tatsächlich oft geschafft haben, wenn auch mit Mühe und Not und vielen schlaflosen Nächten und mit viel Tricks, sie umzusetzen. Nicht selten haben wir den Anbieter der Grundsoftware in erstaunen gebracht, was alles mit ihrem Produkt möglich ist. Auf was ich hinaus will ist: nur weil es noch nicht existiert und keiner vorher auf eine Idee gekommen ist, bedeutet es nicht, dass es unmöglich ist. Manchmal braucht man nur einen Chef oder Kunden die keine Ahnung haben, dass es nicht geht, um zu erreichen, dass es geht.

AW: Wurde ein Rechner verschoben?
 

Cisco sagt "(im Prinzip) nein":

https://learningnetwork.cisco.com/thread/12167

Frei übersetzt: ein Switch dekrementiert TTL nicht, es sei denn, er arbeitet auch als Router.

Was ist der Unterschied zwischen Hubs, Switches, Routern und Zugriffspunkten?
http://windows.microsoft.com/de-at/w...-points-differ

AW: Wurde ein Rechner verschoben?
 

Wer verschiebt den Rechner? In der Regel doch ein Admin.

Also nach dem Verschieben, passt der Admin den Standort des Rechners im AD an, danach kann die Standortinformation aus dem Active Directory herausgelesen werden und anschliessend verglichen werden mit dem letzten Stand.

AW: Wurde ein Rechner verschoben?
 

Ist ja super, dass das Thema doch auf einiges Interesse gestossen ist. Danke Euch allen für die Beiträge.
Wenn ich mal hinten anfange: Lieber Bernerbaer, eigentlich hast Du ja recht. So sollte es sein. Nur eben, sollte. Und das ist genau der Grund, weshalb man ein Tool sucht. So hin und wieder tauschen einfach mal zwei Mitarbeiter die Büro und nehmen auch den Rechner mit, dann vergisst der Admin mal, den Umzug im AD nachzuführen, etc. Und dann kommt ein Tool daher wie meine Alarmierungs-Software. Und jemand löst ausgerechnet einen Alarm auf einem Rechner aus, der sich nicht dort befindet, wo er sein sollte und diejenigen, die Hilfe leisten wollen, rennen an.
Dann kann ich wirklich bestätigen, dass es sich mit wenigen Ausnahmen um Intelligente Switches handelt. Die Ausnahmen haben ich schon erwähnt: Wenn in einem Raum nicht genügend Leitungen zum Rack mit dem Switch vorhanden sind, hat man hin und wieder noch so einen kleinen Switch zwischen geschaltet, quasi als Mehrfachsteckdose.
Lieber Popov: Auch Dir danke für die Aufmunterung. Das mit der Einzeichnung der Rechner auf einem Lageplan mittels Mausklick ist bereits in meiner Alarmaierungs-Software enthalten (und die ist bei weitem nicht so teuer).
Der Rest Eurer Kommentare ist für mich doch eher eine Ebene zu hoch. Ich bin eindeutig kein Netzwerk-Spezialist und ich werde deshalb versuchen, mal als erstes die Begriffe, die Ihr mir da an den Kopf geschlagen habt, zu verdauen, resp. versuchen, das zu begreifen. Dann melde ich wieder.

AW: Wurde ein Rechner verschoben?
 

Ich kann mir kaum vorstellen, dass es bei 1500 Mitarbeitern es keine Subnetze gibt. Deshalb würde ich vielleicht eine Kombination zwischen Subnetz, angemeldeten Benutzer und alarmierenden Rechner vorschlagen.

AW: Wurde ein Rechner verschoben?
 

Das geht man kann mit Layer 3 Switchen das machen (müssen aber alle Switche Layer 3 sein)

da kann man nämlich am Anschluss sehen Welche MAC sich dort befindet und auch die IP des Clients

AW: Wurde ein Rechner verschoben?
 

Mir scheint, da wird mal wieder versucht, ein Fehler in der Arbeitsorganisation durch Software abzufangen. Meiner Meinung nach funktioniert sowas nicht. Wenn jemand einen Rechner an einen anderen Platz stellt, muss er das dokumentieren. Und wenn er das nicht tut, muss man ihm auf die Finger klopfen, wenn es auffällt.

AW: Wurde ein Rechner verschoben?
 

@Nersgatt: Da stimme ich dir zu. Im Zweifelsfall würde ich das durch ein "Kensington-Loopback" unterbinden (Ich hoffe jemand weiß das Wortspiel zu schätzen :-D )

Ansonsten, rein aus technischem Interesse: Auf der untersten logischen Ebene gibt es bei einer Netzwerkverbindung zwei Peeringpartner: Das NIC im PC und das NIC im nächsten Switch. Beide haben i.d.R. eine einzigartige MAC-Adresse. Pingt man jetzt einen beliebigen Host im Netz an, dann wandert das ICMP-Paket vom PC über einen oder mehrere Switches zum Zielhost. Dort reagiert der IP-Stack und schickt ein ICMP-Paket zurück. Der Ziel-PC empfängt das Paket von "seinem" Switch. Entsprechend müßte auf der niedrigsten logischen Ebene beim empfangenen ICMP-Paket die MAC-Adresse des nächstgelegenen "Hops" vermerkt sein. Allerdings nur unter der Einschränkung einer Stern-Topologie (10Base-T, 100Base-TX, 1000Base-TX usw.)

Eventuell müßte man sich das mal im Wireshark anschauen.

AW: Wurde ein Rechner verschoben?
 

Natürlich ist das ein Fehler in der Arbeitsorganisation und ein 'Kensington LoopBack' wäre keine schlechte Idee. Aber wie soll ich das meinem Kunden verklickern? Oder soll ich ich es tatsächlich versuchen, meinem Kunden zu verklickern, wenn er mich doch dafür bezahlen würde, wenn ihm meine Software seine Fehler in der Arbeitsorganistation zeigt? Aber das ist schon beinahe philosophisch.

Die Erklärung von Codehunter klingt ziemlich logisch. Wenn mir jetzt noch jemand einen Typ geben könnte, wie man ein solches ICMP erzeugt, resp. ausliest, wäre ich Euch dankbar. So auf die Schnelle habe ich wenigstens bei Indy nichts gefunden. Und von Whireshark weiss ich nur gerade soviel, dass es sich dabei um ein Netzwerk-Analyse-Tool handelt.

AW: Wurde ein Rechner verschoben?
 

Bei Indy heißt die entsprechende Komponente TIdICMPClient. Eine kleine Anleitung gibt es hier.

Allerdings ist das Auslesen der Peer-MAC gar nicht so einfach. Das ist Low-Level-Networking. Daher mein Hinweis auf Wireshark, um sich erstmal schlau zu machen ob man bei Windows überhaupt die MAC-Adresse vom Switchport bekommt. Allerdings habe ich sowas auch noch nicht gemacht, alles nur graue Theorie.

AW: Wurde ein Rechner verschoben?
 

.. soweit ich das weiß, ist im IP Packet welches der Rechner bekommt die Mac-Adresse des letzten Gateways(Routers) enthalten und nicht die Mac-Adresse des letzten Layer-2 Switches.

Grüße
Klaus

AW: Wurde ein Rechner verschoben?
 

Stimmt! Hab grad mal ein bisschen nachgelesen. Layer 2 Switches haben keine eigenen MAC-Adressen an den einzelnen Ports. Layer 3 Switches haben eventuell welche, aber auch nicht unbedingt. Also scheints nix zu werden mit einer Software. Es sei denn, man würde jeden Netzwerkport über einen Router schicken. Lohnt sich der Aufwand???

Man könnte aber auf ein analoges Programm zurückgreifen: Nur noch Managed-Switches verwenden und die PC-MAC-Adressen fest einstellen. Wenn dann beim Admin das Telefon klingelt weiß man dass ein "Rechner verschoben" wurde :-D

AW: Wurde ein Rechner verschoben?
 

Wie macht es denn Windows selber?

Ich habe ja oben schonmal aufgezeigt, dass Windows selber auch Layer-2-Switches in der Netzwerkstruktur anzeigen kann. Wobei da unklar ist, wieviel Informationen es hat (also nur die Existenz der Switches und ihre Struktur, oder auch eindeutige Daten, die zur Identifizierung ausreichen).

AW: Wurde ein Rechner verschoben?
 

Ich konnte die besagte Funktion auf zwei Rechnern nicht nachvollziehen. Der eine hängt per WLAN am Netz und sagt schlicht, es wäre keine Gesamtübersicht verfügbar. Der andere Rechner hängt in der Domäne und sagt, die Netzwerkübersicht ist in Domänennetzwerken standardmäßig deaktiviert.

Ich würde sagen, das was da angezeigt würde ist UPnP in Verbindung mit NetBIOS oder SMB. Daraus läßt sich aber noch lange keine reale Struktur ableiten und welcher PC an welchem Switchport hängt.

AW: Wurde ein Rechner verschoben?
 

Wie schön dass Du das sagen würdest, obwohl Du nicht hier bist :)
Ich dagegen habe einen Blick darauf und würde das in Maßen durchaus sagen. Auf den drei Rechnern, auf die ich jetzt geschaut habe, passt das Bild.

Ich hänge mal einen Screenshot an... es sind bei weitem nicht alle Rechner im Netz, und nur Windows-Workstations - aber die beiden Gruppierungen von Geräten am gleichen Switch stimmen und auch der einzelne stimmt. Bei den anderen bin ich mir zumindest recht sicher, dass die Tiefe (Entfernung zum Gateway) stimmen sollte.

Übrigens: die nächsten zwei Switche Richtung Gateway sind bei mir LevelOne GSW-0506 und Zyxel GS-108B. Nicht mit UPnP, NetBIOS oder SMB-Support auf so Billiggeräten...

Ich behaupte auch nicht, dass damit eine vollständige Netzwerkkarte möglich ist. Aber wer hinter dem gleichen Switch hängt und scheinbar auch wie weit ein Switch hier etwa vom Gateway entfernt ist, lässt sich daraus ablesen, weswegen ich durchaus vermute, dass die Switches irgendwie eindeutig erkannt werden.

Hmm.... Wireshark auf ein Refresh der Karte wäre vermutlich interessant, wenn diese Infos nicht gecacht sind :)

AW: Wurde ein Rechner verschoben?
 

Router und Switches beherrschen das Protokoll SNMP.
Damit kann man z.B. alle Ports eines Switches abfragen (Link state, MAC Adr. des Partners,...) und weiss damit welche PCs wo dranhängen (wenn man die MAC-Adresse jedes PC vorher erfasst).

Man braucht eine entsprechende Software (z.B. Nagios) und Systemadmins, die Zeit und Lust haben sich in das Thema einzuarbeiten.

AW: Wurde ein Rechner verschoben?
 

Wireshark sei dank: LLTD ist das Protokoll, das Windows dafür verwendet. Arbeitet auf Layer 2.

AW: Wurde ein Rechner verschoben?
 

Hehe ich weiß schon warum ich das Teil so mag :-D Wieder was dazu gelernt.

Mir bleiben da ein paar Fragen offen: Funktioniert das mit jedem denkbaren Switch oder müssen die besondere Eigenschaften haben? Granuliert LLTD fein genug um auch einzelne PORTS am Switch zu erkennen? Muss man Lizenzgebühren an Microsoft zahlen wenn man LLTD implementiert? (ich hab jetzt nicht die 10-seitige englischsprachige Lizenz durchgeackert)

Mal eine ganz andere Frage: Angenommen, man bekäme für das Problem eine Softwarelösung hin, wie sähen die Konsequenzen aus? Es gäbe dann doch sicher eine Art Map, wo für jeden PC sein "Soll-Switch-Port" vermerkt ist. Wenn sich dann mal ein PC an einem anderen Port wiederfindet, was soll dann passieren? Ertönt dann aus dem Admin-Keller eine U-Boot-Sirene und der Abteilungsleiter geht auf PC-Fahndung?

Spaß beiseite, praktikabel wäre sowas nur in einer (theoretischen) Hochsicherheits-Umgebung, wo sämtliche Switches managed wären und per SMNP kontrolliert würden. Würde ein PC "auf Wanderschaft" entdeckt, müßte ein Automatismus Maßnahmen ergreifen (Aussperren vom Netzwerk, eMail an den Admin/Chef usw.). Bis auf Mitarbeiterebene kann man das wahrscheinlich gar nicht ermitteln da nicht sichergestellt ist dass der Mitarbeiter welcher den PC bewegt hat auch derjenige ist, der sich an der Arbeitsstation anmeldet.

Was ist am Ende mit Laptops, deren Bestimmung es ja gerade ist mobil zu sein. Werden die dann per Whitelist außen vor gelassen?

Alles so Fragen...

AW: Wurde ein Rechner verschoben?
 

... die der TE nicht unbedingt beantworten muss, wenn er es in seine Netzwerk-Verwaltungssoftware einbaut. Das bestimmt die Firmapolitik seines Kunden.

Ich persönlich glaube nicht, das dieses Problem nur für Hochsicherheitslösungen relevant ist. In dem Fall könnte man die Rechner auch festschrauben und verblomben. Wer nen Schraubenzieher mit zu den PCs nimmt, lernt von Sicherheitsman neue Verwendungsmöglichkeiten für Kabelbinder.

Eher löst es Probleme wie: Wo hat der vergessliche Herr Maier aus Abteilung 39A seinen PC schon wieder hingestellt.

AW: Wurde ein Rechner verschoben?
 

Funktioniert in einer Domäne nur wenn dieses per GPO auf ALLEN Rechnern aktiviert wird.
http://blogs.msdn.com/b/wndp/archive..._5f00_map.aspx


Man kann tatsächlich bei Managed Switchen auf die MAC-Tabelles zugreifen.
Geht dann meist via Telnet oder wie bereits erwähnt worden ist via snmp.

Von der Mac, kannst du die IP via Arp bekommen. Mit einen ReverseLookup theoretisch den Rechnernamen.