erg veel eventid's 5152 en 5157

Status
Niet open voor verdere reacties.

hoogteijling

Terugkerende gebruiker
Lid geworden
12 aug 2005
Berichten
4.261
Hallo allemaal,

Onlangs zag ik op onze server (Windows2008R2) duizenden eventid's 5152 en 5157.

Ik heb al op internet lopen zoeken wat de oorzaak is.
Genoeg links te vinden om het te stoppen maar ik wil natuurlijk weten wat de oorzaak is en dan de oorzaak verhelpen.

Ik ontdekte via Google dat Protocol 17 UDP is maar daar kom ik nog niet echt verder mee.

Er zijn een aantal client PC's die dit veroorzaken, 192.168.66.48 is er 1 van.
Ze gebruiken verschillende destination poortnummers zoals: 17500, 51450, 52066 en 52680, maar allemaal protocol 17.
Wanneer het Destination poortnummer 17500 is dan is het source poortnummer 17500
Wanneer het Destination poortnummer 51540 is dan is het source poortnummer 1947
Wanneer het Destination poortnummer 52066 is dan is het source poortnummer 1947
Wanneer het Destination poortnummer 52680 is dan is het source poortnummer 53

Iemand enig idee waardoor dit veroorzaakt wordt?

Ben er inmiddels wel achter dat poort 17500 met Dropbox te maken heeft.

Eventid 5152
Code:
The Windows Filtering Platform blocked a packet.

Application Information:
	Process ID:		436
	Application Name:	\device\harddiskvolume2\windows\system32\svchost.exe

Network Information:
	Direction:		Inbound
	Source Address:		192.168.66.255
	Source Port:		17500
	Destination Address:	192.168.66.48
	Destination Port:		17500
	Protocol:		17

Filter Information:
	Filter Run-Time ID:	537169
	Layer Name:		Receive/Accept
	Layer Run-Time ID:	44
Eventid 5157
Code:
The Windows Filtering Platform has blocked a connection.

Application Information:
	Process ID:		436
	Application Name:	\device\harddiskvolume2\windows\system32\svchost.exe

Network Information:
	Direction:		Inbound
	Source Address:		255.255.255.255
	Source Port:		17500
	Destination Address:	192.168.66.48
	Destination Port:		17500
	Protocol:		0

Filter Information:
	Filter Run-Time ID:	537169
	Layer Name:		Receive/Accept
	Layer Run-Time ID:	44

Groeten Marcel
 
Laatst bewerkt:
En (natuurlijk) heb je de moeite genomen de gezamenlijke noemer tussen die werkstations te vinden en wat het verschil dan is met de andere werkstations? :rolleyes:
Ik bedoel hier op het gebied van geïnstalleerde software.

Babbelige software kan (bijv.) Bonjour zijn (Apple/iTunes), maar in dit geval is het (bijna) zeker DropBox (en dan specifiek daarvan: DropBox LAN Sync als het om UDP poort 17500 gaat).

Tijs.
 
Er staan zoveel programma's op die de gezamenlijke noemer kunnen zijn.
Maar die met poort 17500 is zeker Dropbox.

Moet ik dan in de firewall een inbound rule aanmaken die poort 17500 toestaat?

Zeggen die andere poorten je nog iets?

Groeten Marcel
 
Dat lijkt me alleen zinvol als op de server zélf ook DropBox staat. Indien niet, dan heeft contact vanaf Dropbox LAN Sync met de server geen waarde/zin (lees: Er wordt dan niet geluisterd op die UDP poort door de server).
Natuurlijk zou je het alsnog kunnen doen om de meldingen die je beschrijft in je startposting te verminderen.

Tijs.
 
Laatst bewerkt:
Uiteraard staat er geen dropbox op de server.
Hoe kan het dan dat de meldingen op de server staan?

Groeten Marcel
 
Zoek eens uit wat dat Dropbox LAN Sync allemaal broadcast, dan heb je je antwoord.
Let op/google het woord broadcast...........

Tijs.
 
Goeie hint dnties.
Via GPO ga ik een firewall rule maken die op alle pc's poort 17500 blokkeert.
Volgens de help van Dropbox zou de Dropbox LAN Sync dan vanzelf utgeschakeld worden.

Groeten Marcel
 
Laatst bewerkt:
Ik heb nu op alle clients uitgaande poort 17500 TCP en UDP geblokkeerd maar LANsync blijft nog steeds gewoon ingeschakeld staan op alle clients.

Dropbox heeft zelf (bij installatie) een aantal inkomende firewall rules gemaakt waarvan ik niet weet of ik deze uit kan/mag schakelen.
Ik ben bang dat dropbox dan helemaal niet meer werkt.
Deze regels laten alle inkomend verkeer toe over alle poorten.

Groeten Marcel
 
Laatst bewerkt:
Misschien eerst eens nadenken of je Dropbox wel op werkstations wil toestaan.
Bij ons staan we het niet toe, per slot hebben we een fileserver waar we backups etc. van maken, dus opslag 'in de cloud' is niet toegestaan (veiligheid, data-diefstal etc.)

Overigens is LAN Sync (als ik het goed begrijp, zie deze link) bedoeld om over het lokale netwerk (dus niet "over Internet") Dropbox folders synchroon te houden. Als iedereen zijn eigen Dropbox heeft (dus niet deelt met meerderen binnen jouw organisatie) heeft LAN Sync dus geen nut, en mogelijk kun je dat onderdeel uitschakelen. Zie deze link.

Tijs.
 
Laatst bewerkt:
Bij ons is dropbox wel toegestaan (zelfs vereist) omdat verschillende externe partijen (architecten e.d.) met ons tekening bestanden uitwisselen via dropbox.

Ik had gelezen dat je LANsync uit kunt schakelen door poort 17500 te blokkeren, wanneer dropbox detecteert dat die poort gesloten is zou die LANsync automatisch disablen.
Ik wil dus dat het op het gehele netwerk uitgeschakeld wordt (centraal).
Middels een GPO heb ik die firewall rule toegevoegd maar LANsync blijft gewoon geselecteerd staan.

Misschien schakelt ie LANsync alleen uit wanneer bij de installatie gedetecteerd wordt dat poort17500 dicht is.

Groeten Marcel
 
a. Al geprobeerd om Dropbox (mét de uitgaande firewall regel ingeschakeld) eens te herstarten? Mogelijk gaat dan dat LAN Sync alsnog uit.
b. Als a. niet helpt: Er is geen GPO die je kunt gebruiken, want (naar ik gelezen heb) schrijft Dropbox zijn instellingen niet in de registry maar in een (SQLite) database-bestand.
Ik zou gewoon alle werkstations even langslopen en dat LAN Sync uitzetten. Ik neem aan dat het aantal werkstations te overzien is én dat er niet veel mutaties op plaatsvinden.

Tijs.
 
a. had ik al geprobeerd zonder het gewenste resultaat.
Ik denk dat het optie b. gaat worden.

Bedankt voor het meedenken zover in ieder geval.

Groeten Marcel
 
Status
Niet open voor verdere reacties.
Terug
Bovenaan Onderaan