Manchmal muss man einfach genauer hinsehen was so alles im Netzwerk passiert. Gerade auch im SharePoint Umfeld gibt es bestimmte Situationen, wo man einfach einmal genau wissen muss, was für Daten gerade über die Leitung gehen. Das spätestens ist immer dann der Fall, wenn man mit Authentifizierung zu tun hat. Solche Situationen sind immer schwer zu diagnostizieren.
Klassisch würde man also hingehen und auf dem Server ein Traffic Capture Tool installieren – z.B. Microsoft Network Monitor. Anschließend kann man dann mit dem Netmon den gesamten Netzwerk-Traffic aufzeichnen und später analysieren. Dazu kann man das Capture durchaus auf einen anderen Rechner übertragen um die gesammelten Daten ganz in Ruhe im Büro zu untersuchen.
Aber man muss zunächst ein entsprechendes Capture-Tool haben.
Aber das geht inzwischen auch “eleganter”. Mit dem Event-Tracing in Windows gibt es einen Mechanismus mit dem man mit Windows Bordmitteln auch solche Daten aufzeichnen kann. Voraussetzung dafür ist Windows 2008 R2 oder neuer.
Mit folgenden Befehl wird der komplette Netzwerkverkehr auf einem Server aufgezeichnet:
netsh trace start persistent=yes capture=yes tracefile=c:\temp\mytrace.etl
Nun kann man alles das machen, was man aufzeichnen will. Anschließen kann man die Aufzeichnung mit
netsh trace stop
beenden.
Die Aufgezeichneten Daten kann man sowohl mit Netmon als auch mit dem neuen Tool Microsoft Message Analyzer untersuchen. Dazu lässt sich der Trace ganz einfach öffnen.
Der Vorteil bei diesem Vorgehen ist, dass man auf dem Server, dessen Traffic man untersuchen möchte, keinerlei Komponenten installieren muss. Das macht es einfacher auch bei einem Kundensystem etwas tiefer ins System zu schauen und Fehler zu untersuchen.
Wenn man z.B. nur Kerberos-Traffic sehen will, weil es Probleme mit der Authentifizierung gibt, so kann man die Einträge auf Kerberos Filtern und die Datenpakete gezielt untersuchen.