Nlasvc служба сведений о подключенных сетях

Microsoft NCSI на службе или как мы искали забытый нетбук

Nlasvc служба сведений о подключенных сетях

Казалось бы, обычная история — однокурсник забыл нетбук в университете, однако стечение обстоятельств дало идею использования стандартной функции Windows для возможности определения последнего мест выхода устройства в сеть.

Microsoft NCSI или Network Connectivity Status Indicator — функция проверки работоспособности соединения с интернетом в Windows Vista/7/8.

Это она показывает желтый восклицательный знак на значке сетевых подключений при отсутствии подключения к интернету, или же выдает предупреждение о возможной необходимости аутентификации в сети через браузер.

Подробнее можно почитать на Technet, я же опишу кратко суть работы:

При подключении к сети Windows пытается (для IPv4):

1) Зайти по адресу www.msftncsi.com/ncsi.txt и ожидает ответа 200 OK с телом «Microsoft NCSI»

2) Определить IP dns.msftncsi.com и ожидает ответа 131.107.255.255 Если оба пункта выдают ожидаемый результат — считается что сеть имеет доступ в интернет Если файл недоступен, а IP определяется правильно — отображается уведомление о возможной необходимости аутентификации в сети через браузер. Если оба шага не выдают ожидаемые результаты — считается что сеть не имеет доступа в интернет. Адреса, ожидаемые ответы и собственно работу этой функции настроить в реестре по адресу

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceslaSvcParametersInternet

Предыстория

Когда я узнал о принципе работы NCSI, у меня появилась идея изменить параметры на свой сервер (как из-за параноидального настроения, так и из интереса). Подумав, я решил использовать существующую логику для удобства проверки при проблемах с интернетом дома.

Традиционными состояниями были «все работает нормально», «нет связи вообще (даже до серверов провайдера)» и «доступ только до локальной сети провайдера». В итоге я настроил проверку DNS на один из ресурсов провайдера (доступного в том числе снаружи), а проверку получения файла — на свою VPS.

Таким образом, если при проблемах с интернетом мне отображалось сообщение что нужно авторизоваться — значит скорее всего проблема у провайдера на выходе, и смысла звонить разбираться нет, т.к. интернет отсутствует как минимум у микрорайона.

Такая система конечно изредка давала сбои — при ковырянии VPSки или проблемах у домашнего провайдера при подключении извне выдавался ложный статус, но такие проблемы были редкими. Узнав о моей идее, друг, сидящий на этом же провайдере, сделал себе аналогичные настройки на своих домашних устройствах, настроив проверку доступности файла на мою VPS. Думаю многие уже догадались о принципе поиска…

День X

Вечером дня X при разговоре знакомый пишет, что судя по всему забыл нетбук в университете. Ехать практически через весь город, да и насколько помнит, забыл в кабинете скорее всего, т.е. не критично. Только не помнит в каком именно из тех, где были пары — доставал ли он его после первой пары или нет.

Статьи бы не было, если бы в этот день я не экспериментировал после разговора с веб-сервером на той самой VPS.

Ища нужный лог-файл в списке по названиям доменов, глаз зацепился на лог поддомена NCSI и вспомнил о том, что у знакомого ведь настроен NCSI на мой сервер! Таким образом, можно было догадаться приблизительно о последнем месте включения нетбука по последнему IP и времени, т.к.

в университете несколько точек WiFi с разными внешними IP и все были сохранены для автоподключения. Посмотрев лог и задав пару наводящих вопросов знакомому, я сказал ему где скорее всего он забыл нетбук. На следующий день знакомый сразу нашел нетбук в предполагаемой аудитории.

Вывод

В итоге получилась интересная идея — настроить у каждого устройства запрос файла со своего сервера, указав разные имена файлов для каждого устройства и настроив хранение отдельного лога на сервере.

При подключении к сети IP появится в логах, что может помочь в поиске, если подобное вдруг случится.

Конечно по IP не во всех ситуациях можно что-либо сказать, но в некоторых ситуациях можно быть уверенным, что забыли вы его все-таки скажем на работе или в университете, а не где-то еще.

Правда под вопросом остается случай «Кто-то включил ноутбук, но на пользователя стоит пароль» — подключится ли при этом ноутбук к сохраненной сети без входа в систему или же нет? Идея дает и негативные варианты использования — можно ведь следить за подключениями компьютера и с другими целями, но думаю что их не стоит здесь обсуждать.

Не теряйте ваши гаджеты!

  • NCSI
  • Microsoft NCSI
  • Windows
  • случай из жизни

Служба «Обозреватель Компьютеров» и ошибка MrxSmb 8003

Nlasvc служба сведений о подключенных сетях

В этой статье мы немного поговорим о службе Windows под названием Computer Browser (Обозреватель компьютеров). Итак, вспомним азы. Служба Обозревателя компьютеров появилась в сетях Microsoft для совместимости со старыми версиями ОС Microsoft: Windows 3.

x, Windows 95/98, Millennium и т.д. Нужна она для того, чтобы два компьютера в сети могли найти друг друга. Реализуется эта функция с помощью широковещательных запросов. Т.к.

широковещательные запросы не ретранслируются через маршрутизаторы, это означает, что служба Computer Browser нужна для локальных (LAN) сетей.

Как работает служба Обозреватель компьютеров

Согласно архитектуре Microsoft  все хосты в сети делятся на: Master Browser (главный обозреватель), Backup Browser (резервный обозреватель) и всех остальных, считающихся клиентами.

При разворачивании сети между хостами происходят выборы за звание Master Browser, обычно в домене его получает контроллер домена, если же используется рабочая группа – то компьютер со старшей версией ОС.

Обязанность главного обозревателя – создание списка резервных обозревателей (backup browser), обновление, хранение и передача списка компьютеров в сети серверам backup browser.

Резервные обозреватели в свою очередь могут передавать список хостов в сети клиентам.

При первом включении в сети нового компьютера, служба «Браузера компьютеров» рассылает широковещательный, позволяющий найти в сети Master-Browser, и после его обнаружения просит добавить себя в список компьютеров сети.

В свою очередь Master-browser должен принять этот запрос, добавить информацию о новом хосте в свой список и передать новому компьютеру список доступных серверов Backup-browser, с которыми он будет взаимодействовать в дальнейшем, если ему понадобиться получить список хостов в сети.

Мы вкратце описали архитектуру службы Обозревателя компьютеров в сети  MS.

Все это к чему? Достаточно часто в логах компьютеров в сети Microsoft можно встретить ошибку MrxSMB с ID 8003:

The master browser has received a server announcement from the computer [Имя_компьютера] that believes that it is the master browser for the domain on transport NetBT_Tcpip_{#######-####-####-#. The master browser is stopping or an election is being forced

К каким бы то не было видимым неполадкам ошибка не приводит, но сама по себе она раздражает, появляясь в журнале каждые N часов. Судя по ошибке, компьютер претендует на роль Master-browser.

Настройка службы «Computer Browser»

Параметры службы «Обозреватель компьютеров» хранятся в ветке реестре:
HKLM/System/CurrentControlSet/Services/Browser/Parameters

Интересуют нас параметры:

  • IsDomainMaster – по названию догадаться, что параметр определяет может ли компьютер быть Master-Browser (значения: «TRUE» и «FALSE»)
  • MaintainServerList – определяет будет ли компьютер участвовать в выборах Главного и резервных обозревателей. Возможные значения:
    1. «YES» (участвует в выборах на Master-Browser-а)
    2. «NO»(не участвует в выборах)
    3. «AUTO»(клиент может участвовать в выборах, на роль Master-Browser так и на роль клиента)

Соответственно, наша задача – настроить службу так, чтобы никто из клиентов не мог стать главным обозревателем в сети и не участвовал в выборах (для этого у нас есть контроллер домена).

Указанную задачу можно решить простой модификацией реестра на клиенте. В случае необходимости массового распространения данных настроек, нам помогут групповые политики.

Для этого можно воспользоваться технологией Group Policy Preferences (если клиенты новые), или же административными шаблонами.

Для создания нового административного шаблона создадим текстовый файл с расширением .adm с текстом.
CLASS MACHINECATEGORY «Browser»POLICY «Computer browser configuration»KEYNAME «SYSTEMCurrentControlSetservicesBrowserParameters»EXPLAIN !!BrowserParametersPART «IsDomainMaster» EDITTEXTVALUENAME «IsDomainMaster»DEFAULT «FALSE»

END PART

PART «MaintainServerList» EDITTEXT VALUENAME «MaintainServerList»DEFAULT «AUTO»END PARTEND POLICY

END CATEGORY

[strings]
BrowserParameters=»Theese parameters specify behavior of Windows host in network»

Подключаем данный административный шаблон в новую политику в консоле Group Policy Management (не забудьте снять галку «Only show group policy setting that can be fully managed» во View -> Filtering.). Вешаем политику на нужную OU, делаем на клиенте

gpupdate /force

и проверяем значение ключей реестра.

Отключаем службу CDPUserSvc в Windows 10

Nlasvc служба сведений о подключенных сетях

Продвинутые пользователи Windows часто обращают внимание на службу CDPUserSvc. Подозрение вызывает её название, которое может меняться за счёт добавления пяти случайно сгенерированных символов, например, «CDPUserSvc_30ebf». Так же многих настораживает отсутствие описания этой службы. Вместо него в диспетчере содержится ошибка «Error Code: 15100».

Разберемся с названием службы. Это частичная аббревиатура, которая расшифровывается как Connected Devices Platform User Service или по русски — служба платформы подключенных пользовательских устройств.

Пусть перевод Вас не смущает, на деле название не совпадает с реальным назначением. В некоторых версиях Windows служба запускается при старте системы, а в некоторых — только когда пользователь, приложение или сервис требуют этого от системы.

Кроме этого, есть следующая информация:

  • Исполняемый файл:
    %SystemRoot%System32CDPSvc.dll.
  • Ключ системного реестра:
    HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCDPUserSvc.
  • Запуск осуществляется через:
    %SystemRoot%system32svchost.exe -k UnistackSvcGroup.

Теперь о том, почему в описании ошибка «Failed to Read Description. Error Code: 15100». Официального ответа на этот вопрос от Microsoft нет, но есть мнение что они просто не захотели честно разглашать назначение службы. Как Вы понимаете, это не с проста.

Что же делает служба CDPUserSvc

Название службы меняется и имеет вид CDPUserSvc_xxxxx. Обычно так ведут себя вредоносные программы, но Microsoft сообщает что это всё же системный процесс. При этом разъяснений по поводу назначения не дают. Для чего же системному процессу изменять название? Скорее всего это мера для предотвращения автоматического завершения и удаления службы из системы.

Изучив детально процесс, можно выяснить что он получает доступ к пользовательским данным и ведёт обмен информацией в зашифрованном виде с серверами Microsoft. Что это за информация выяснить не удалось, но возможно, это персональные данные пользователя Windows. И вот с какими службами взаимодействует CDPUserSvc:

  • OneSyncSvc — синхронизирует почту, контакты, календарь и другие пользовательские данные.
  • PimIndexMaintenanceSvc — индексирует поиск по контактам на мобильных устройствах.
  • UnistoreSvc — отвечает за хранение пользовательских данных, таких как контакты, календари, сообщения.
  • UserDataSvc — предоставляет приложениям доступ к структурированным данным пользователя.

Другими словами, Connected Devices Platform User Service имеет доступ к любым пользовательским данным, обменивается какой-то информацией с серверами и никак не влияет на работу операционной системы и приложений.

Отключаем CDPUserSvc

Никакой ответственности за данные действия я не несу! Вы все делаете на свой страх и риск!

Чтобы отключить CDPUserSvc сначала узнаём точное название службы. Нажимаем кнопку «Пуск» и в строке поиска вводим «services.msc». Клик по Enter и откроется окно в котором ищем CDPUserSvc_xxxxx, где xxxxx — 5 сгенерированных случайным образом символов. Эти символы потребуются при вводе команд удаления.

Команды удаления пишем в консоль Windows. Запустить её необходимо от имени администратора, иначе попытка удаления приведёт к ошибке «Отказано в доступе». Поэтому заходим в системный каталог %SystemRoot%system32 (C:Windowssystem32) и ищем «cmd.exe».

Для запуска с полными правами вызываем контекстное меню и выбираем команду «Запуск от имени администратора». Вводим команды отключения и удаления. Кроме самой службы CDPUserSvc так же приходится отключать связанные с ней процессы, иначе после перезагрузки можем получить синий экран.

Операционная система при этом запустит восстановление и ничего не удалится.

sc delete DiagTrack sc delete dmwappushservice sc delete WerSvc sc delete CDPUserSvc sc delete CDPUserSvc_xxxxx sc delete OneSyncSvc sc delete OneSyncSvc_xxxxx sc delete MessagingService sc delete MessagingService_xxxxx

Перезагрузите компьютер, после чего в редакторе реестра найдите ветку HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices и удалите в ней следующие ключи:

PimIndexMaintenanceSvc PimIndexMaintenanceSvc_xxxxx UserDataSvc UserDataSvc_xxxxx UnistoreSvc UnistoreSvc_xxxxx

Внимание! Слышал о том что у некоторых после удаления службы Windows уходит в синий экран. Прошу Вас перед проделыванием данной операции создавать резервную точку восстановления!

Никакой ответственности за данные действия я не несу! Вы все делаете на свой страх и риск!

Windows, Операционные системы • windows, службы

Дорогие читатели, если вы увидели ошибку или опечатку в статье «Nlasvc служба сведений о подключенных сетях», помогите нам ее исправить! Выделите ошибку и нажмите одновременно клавиши «Ctrl» и «Enter». Мы получим ваше сообщение и внесём исправления в ближайшее время.

Рейтинг
( Пока оценок нет )
Понравилась статья? Поделиться с друзьями: