Ständige CIFS Verbindungen? Alle 30 bis 60 Sekunden.

[argonmember]

Hallo liebe Synology Gemeinde

Unter den Protokollen fällt mir auf das mein Laptop (192.168.192.14) ständig (ca alle 30 bis 60 Sekunden und das den ganzen Tag)
eine CIFS Abfrage an den MUSIC Ordner auf meiner DS114 macht. Siehe Ausschnitt weiter unten.

Unter MUSIC habe ich meine iTunes Bibliothek inkl. der gesamten Musik liegen haben (ca. 10000 Songs)
Ich greife auf diese Musik einmal per iTunes zu (funktioniert ohne Probleme)
sowie per SONOS Controller Desktop App um meine iTunes Musik auf meine SONOS Boxen zu streamen (funktioniert auch ohne Probleme).

OK. Wenn irgendeiner der beiden Programme offen ist und ich Musik höre/streame, kann ich es verstehen das
ein Zugriff oder so ein Eintrag erzeugt wird aber im Moment z.B. ist iTunes auf meinem PC geschlossen und
der SONOS Controller ist auch geschlossen. Bedeutet ich höre/streame gerade keine Musik.

Trotzdem wird alle 30 bis 60 Sekunden so ein Eintrag erzeugt.

Was passiert da?
Was bedeuten die Einträge? Wird da was gesucht/gemacht, Mediendatenabgleich?
Ist das schlimm oder ungewöhnlich?
Ist das zu viel was da an Verbindungen erzeugt wird?
Muss das so sein und auch in der Häufigkeit?
Kann man das unterdrücken oder sollte man das und wie?

Vielleicht wird da etwas gesucht oder versucht abzugleichen aber es geht nicht und deswegen versucht er es alle 30 Sekunden neu.
Vielleicht kann ich das irgendwie Unterstützen das er das was er da sucht oder macht findet und dann ist alles wider in Ordnung?

Vielen Dank für eure Hilfe


Stufe Protokoll Datum & Zeit Benutzer Ereignis
Information Verbindung 2013/12/29 12:27:34 argonmember CIFS client [argonmember] from [ESSEN(IP:192.168.192.14)] accessed the shared folder [music].
Information Verbindung 2013/12/29 12:26:58 argonmember CIFS client [argonmember] from [ESSEN(IP:192.168.192.14)] accessed the shared folder [music].
Information Verbindung 2013/12/29 12:26:23 argonmember CIFS client [argonmember] from [ESSEN(IP:192.168.192.14)] accessed the shared folder [music].
Information Verbindung 2013/12/29 12:25:47 argonmember CIFS client [argonmember] from [ESSEN(IP:192.168.192.14)] accessed the shared folder [music].
Information Verbindung 2013/12/29 12:25:12 argonmember CIFS client [argonmember] from [ESSEN(IP:192.168.192.14)] accessed the shared folder [music].
Information Verbindung 2013/12/29 12:24:36 argonmember CIFS client [argonmember] from [ESSEN(IP:192.168.192.14)] accessed the shared folder [music].
Information Verbindung 2013/12/29 12:24:01 argonmember CIFS client [argonmember] from [ESSEN(IP:192.168.192.14)] accessed the shared folder [music].
Information Verbindung 2013/12/29 12:23:25 argonmember CIFS client [argonmember] from [ESSEN(IP:192.168.192.14)] accessed the shared folder [music].
.
.
.
.
.

 

[hopeless]

Hättest du einen Mac wäre es eine Möglichkeit mit fs_usage herauszubekommen, welcher Prozess diesen Zugriff veranstaltet.

 

[argonmember]

Moin hopeless

Den habe ich leider noch nicht....steht aber als nächstes auf der Wunschliste.

 

[argonmember]

Keiner der alten Hasen eine Idee?

 

[Merthos]

Der Ressourcenmonitor von Windows zeigt doch mittlerweile relativ gut an, wer was macht. Ansonsten gibt es noch TCPView.

 

[argonmember]

Hallo Merthos

Ich werde heute Nachmittag schauen. Ich hatte schon mal kurz in den Ressourenmonitor von WIN 7 geschaut, konnte aber
auf den ersten Blick nichts "besonderes" feststellen. Hatte auch schon mal per netstat -b zum Beispiel welches Programm gerade eine Verbindung
mit der IP meiner NAS aufbaut. Aber leider nichts.

Ich versuche mal den TCPViewer und melde mich dann noch mal wieder.

Danke

 

[argonmember]

Hallo Merthos

Habe jetzt mal mit TCPView und dem Ressourdenmonitor von WIN7 nachgeschaut.
Es besteht eine ständige Verbindung zwischen dem PC und der NAS über den PORT 139.
Warum und weswegen bleibt mir ein Rätsel.
Ich kann das ganze auch stoppen indem ich auf dem PC oder auf der NAS den PORT 139 sperre per FW.

Scheint auch keinen, im Moment, negativen Einfluss zu haben. Streaming, Dateizugriff etc. funktioniert trotzdem.
Das eine mal musste ich den PORT auch sperren, weil auf einmal ca. 3,5 bis 4MB/s Traffic von der NAS in Richtung PC war.

Ich hatte weder neue Mediadateien oder andere Dateien auf die NAS gespeichert.
Ich hatte nur kurz zuvor einen Film angeschaut der auf der NAS war, sowie ein paar Lieder an meine SONOS Boxen gestreamt.

OK. Das dann vielleicht danach ein paar Daten fließen zwecks INDEX Abgleich vielleicht, OK.
Aber nach dem beenden des streamings noch weitere Stunden so einen hohen Traffic?!.

Ich hatte dann den PORT 139 auf meinem PC geblockt und auf einmal war Ruhe.
Danach habe ich den PORT wieder geöffnet und es bleibt ruhig.

Aus irgendeinem Grund veranlasst irgendetwas auf meinem PC (aber auch ein anderes DLNA Gerät, meine HORIZON Box)
meine DS114 dazu irgendwann fröhlich XXMB/s zu versenden.

Wie gesagt, man kann jetzt sagen, dann sperr die PORT doch dauerhaft etc. aber es wurmt halt trotzdem :-(

 

[stefan_lx]

das ist der Port für das Netbios-Zeug.. das ist eigentlich so was ähnliches wie ein Broadcast ("ich brüll mal ins Netz und schaue wer mir antwortet"), ein Überbleibsel aus alten Zeiten... und wird eigentlich nicht mehr benötigt
Ich glaub bei den WINS-Einstellungen von Windows kann man nbt über tcp deaktivieren.
Die Frage ist, ob man das bei den Sonos-Boxen auch deaktivieren kann...

Stefan

 

[argonmember]

Hallo Stefan

Danke für den Tip. Habe es gleich mal probiert.
Habe in den Adaptereinstellungen meiner aktiven Verbindung am PC "NetBIOS über TCP/IP deaktiviert" ausgewählt
und gleich getestet.

Leider ohne Erfolg.
Meine DS114 zeigt trotzdem immer noch an unter Protokolle

Stufe Protokoll Datum & Zeit Benutzer Ereignis
Information Verbindung 2014/01/02 15:01:09 argonmember CIFS client [argonmember] from [ESSEN(IP:192.168.192.14)] accessed the shared folder [music].
Information Verbindung 2014/01/02 15:00:33 argonmember CIFS client [argonmember] from [ESSEN(IP:192.168.192.14)] accessed the shared folder [music].
Information Verbindung 2014/01/02 14:59:58 argonmember CIFS client [argonmember] from [ESSEN(IP:192.168.192.14)] accessed the shared folder [music].
.
.
.
Ich muss wirklich einzeln den PORT 139 TCP in der Firewall der DS114 verweigern.
Dann wird auch kein Protokoll wie oben zu sehen erzeugt.
:-(

 

[Puppetmaster]

Kannst du ausschließen, dass, obwohl die Anwendungen auf deinem PC im Vordergrund geschlossen sind, nicht doch noch im Hintergrund Scan-Dienste laufen?

 

[stefan_lx]

und das ist der PC, der sich da meldet? hast du schon einen Reboot des PCs gemacht?
Naja, nur einmal den Port 139 für alle sperren .. damit wärest du einer der wenigen, bei dem die Nutzung der syno-Firewall sinnvoll ist
Ist das aber wirklich noch der Port 139? 445 wäre der eigentlich richtige bzw. der aktuellere für smb/cifs.

Stefan

 

[argonmember]

Hallo Puppetmaster

Also ich möchte hier jetzt nicht auf mein "Augenlicht" schwören aber ich würde trotzdem sagen ja.
Der PC ist nur "hochgefahren". Keine "aktiven" Anwendungen sind geöffnet.
Prozesse die im Hintergrund laufen sind natürlich vorhanden.

GoogleDrive Sync z.B. oder Dropbox Sync oder der MusicPlayer Dienst von Google.
Solche Dinge wie der JAVA oder FLASH Updater sind bei mir immer deaktiviert und aktualisiere manuell.

Bei den Dingen von Dropbox/Google und Co. habe ich auch nachgesehen per netstat Befehl.
Die bauen aktive Verbindungen auf, aber zu den entsprechenden Diensten im Internet und nicht zur DS114.

Was ich in Verbindung bringen könnte, wäre

1: Irgendetwas von SONOS. Das Programm ist aber geschlossen.
Ich vermute das deswegen, weil ich ja dem Sonos Contoller Programm gesagt habe wo meine Musikbibliothek liegt "//DS114/music"
Dann müsste das aber ein "versteckter" Dienst sein, der auch arbeitet wenn das SONOS Programm geschlossen ist und
alle 30 Sekunden prüft ob der Ordner Music auch noch auf der DS114 vorhanden ist.

2: Irgendetwas von iTunes
Die Bibliothek von iTunes sowie die Daten selber sind alle auf der DS114 jedoch das Programm selber
ist ja noch auf meinem PC installiert. Vielleicht schaut irgendetwas von iTunes (obwohl es geschlossen ist)
alle 30 Sekunden nach ob die Bibliothe oder die Daten noch auf der NAS liegen.

Es wird ja auch immer gesagt im Protokoll das etwas auf den Shared Folder Music zugreift
...... from [ESSEN(IP:192.168.192.14)] accessed the shared folder [music].

 

[Puppetmaster]

Eben.
Hast du denn mal die Windows-Dienste angesehen? Darunter findet man schon etwas, das durch ein installiertes Programm eingepflanzt wurde.

 

[argonmember]

und das ist der PC, der sich da meldet? hast du schon einen Reboot des PCs gemacht?
Naja, nur einmal den Port 139 für alle sperren .. damit wärest du einer der wenigen, bei dem die Nutzung der syno-Firewall sinnvoll ist
Ist das aber wirklich noch der Port 139? 445 wäre der eigentlich richtige bzw. der aktuellere für smb/cifs.

Stefan

Ja das ist der PC 192.168.192.14 ist "mein" PC der schön alle 30 Sekunden den ganzen Tag diese CIFS Anfrage an die DS114 sendet.
Das mit PORT 445 habe ich auch gesehen.

Im Ressourenmonitor von WIN7 kann man das ja schön verfolgen.
Es ist immer die ProzessID PID 4 und zwar die svhost.exe (so heißt die doch?)
Man sieht immer den PORT 139 aber zwischendurch wird auch mal PORT 445 angezeigt.
Es fließen auch Daten. Das kann man ja auch schön sehen im Ressourenmonitor.

Wenn ich aber TCP PORT 139 sperre, dann ist wirklich Ruhe im Karton.

 

[Merthos]

Über die PID kannst Du dann im Taskmanager - Dienste sehen, welcher das ist.

 

[argonmember]

Über die PID kannst Du dann im Taskmanager - Dienste sehen, welcher das ist.

Hallo Merthos.
Das Stimmt. Die Idee hatte ich gerade

Der Ressourenmonitor sagt mir Abbild= System, PID=4, Lokale Adresse= IP meines PC, Remoteadresse= IP meiner NAS, Remoteport= 139

Gehe ich in den Taskmanager auf den TAB Prozesse zeigt er mir an
das die PID 4 vom SYSTEM ist, Benutzuer= System und als Beschreibung = NT Kernel & System

 

[Puppetmaster]

Da muss doch noch etwas mehr sein. Das geloggte CIFS/SMB Protokoll läuft nicht über Port 139...

 

[argonmember]

Der Meinung bin ich auch Puppetmaster
Aber wo?
Ich kann nur sagen, solange der PORT 139 offen ist erscheint bei mir im DSM Verbindungsprotokoll unter Systemprotokolle
im Abstand von 30 bis 40 Sekunden immer ein neuer Eintrag wie dieser hier:
Information Verbindung 2014/01/02 14:59:58 argonmember CIFS client [argonmember] from [ESSEN(IP:192.168.192.14)] accessed the shared folder [music].

 

[goetz]

Hallo,
wenn Du anstatt //DS114/ die IP der DS angibst sollte zumindest auf Port 139 Ruhe sein da der Name nicht aufgelöst werden muß.
Schau mal unter Systemsteuerung System und Sicherheit Verwaltung Dienste ob Du dort was von iTunes und/oder Sonos findest, wenn ja Dienst stoppen und beobachten.

Gruß Götz

 

[argonmember]

wenn Du anstatt //DS114/ die IP der DS angibst sollte zumindest auf Port 139 Ruhe sein da der Name nicht aufgelöst werden muß.
Gruß Götz

Hallo Goetz

Wo meinst du das genau? Meinst du den Sonos Controller auf meinem PC?

Also meine Diskstation heißt "newyork" IP=192.168.192.5

In meinem Sonos Controller steht das sich die Bibliothek unter 192.168.192.5/music befindet und nicht newyork/music.

Das mit den Diensten kann ich gleich erst prüfen. Kann gerade nur per Teamviewer auf meinen Rechner zu greifen und auf einem Smartphone
geht das zwar mal für was einfaches zum nachschauen aber für so etwas sitze ich gerne am großen Bildschirm