10
Zugriff auf Server weg - statische IP Adresse ändert sich im Intranet
Hallo Admins,
ich habe folgendes komisches Problem seit Tagen:
Wir haben von Win 2000 auf ein Windows 2008 Server AD migriert und den alten Win 2000 Server abgeschaltet (mit dcpromo /forceremove aus der Domäne genommen - ging nicht mehr anders).
Das Netzwerk mit einer Domäne läuft unter dem IP Strang 10.2.2.x
Die WinXP Clients hängen automatisch über DHCP und DNS im Netz.
Im Netzwerk ist ein zweiter Server mit statischer IP 10.2.2.160 und Namen Server1 (Beispiel-IP und Name).
Seit einigen Tagen verlieren die Clients wie aus dem nichts die Verbindung zu dem Server.
Wenn man ipconfig /all bei den Clients einträgt, dann sieht alles gut aus.
Wenn man den Server1 vom Client aus anpingt, dann findet der Client diese neue komische IP Adresse: 46.252.18.33
Diese IP gehört nicht in unser Intranet sondern ist eine Adresse im Internet.
Wenn ich auf den Client wieder ipconfig /renew eingebe und anschließen wieder pinge, dann ist die richtige IP des Servers wieder da.
Nach ein paar Stunden oder Tagen ändert sich die Adresse aber wieder.
Fragen:
Warum stellt sich die IP Adresse für die Verbindung beim Client automatisch um? Auf dem Server bleibt Sie aber immer gleich statisch eingestellt.
Im Adminbereich des DHCP und DNS von Win2008 kann ich visuell keine solche Adresse finden.
Kann es sein, dass im AD durch die harte Herunterstufung mit forceremove etwas hängen geblieben ist was dort nicht hingehört und ich jetzt auch nicht sehen kann?
Weitere mögliche Ursachen:
Die IPv4 Adresse der Netzwerkkarte des neuen Win2008 AD Servers ist statisch eingestellt, die IPv6 steht noch auf dynamisch und bei DNS steht ::1.
Kann es sein das diese falsche Einstellung bei IPv6 den Fehler verursacht?
Wie lautet die corresondierende IPv6 Adresse z.B. zu 10.2.2.180 (Beispiel-IP)?
Was bedeutet ::1?
Im Netz gibt es einen Converter unter:
http://www.subnetonline.com/pages/subnet-calculators/ipv4-to-ipv6-conve ...
allerdings mit drei Varianten (IPv6, IPv6 condensed, IPv6 alternative).
Welche ich die Variante die bei Win2008 Server in die Netzwerkkarte eingetragen werden muss?
Eigendlich brauche ich im lokalen Netz auf lange Sicht keine IPv6. Kann ich Sie abschalten?
Ich hab da früher mal was gelesen, dass dann einige Dinge nicht mehr richtig funktionieren, z.B. Exchange Server (wir haben den aber nicht im Einsatz)
Was läuft sonst nicht? Wie kann ich IPv6 abstellen? Macht das überhaupt Sinn?
Im Zuge der Netzwerkumstellung wurde auch der alte Router gegen einen neuen Router ausgetauscht und als Gateway beim DHCP eingetragen.
Kann es sein das der Router komisch dazwischenfunkt? Grundsätzlich kann ich mir das nicht so recht vorstellen, da der alte Router unter Win2000 ebenfalls so eingehängt war.
Am Wochenende habe ich bei den MS Monatsupdates der Clients auf vielen Stationen den Wurm Conficker.c gefunden, der von MS Virus Removal Tool entfernt wurde.
Wie ich gelesen habe, kann dieser Wurm auch andere Programm nachladen.
Kann es sein das dieser Wurm noch immer mein Netzwerk irgendwie stört?
Im Event-Log von Win2008 sehen bezüglich DHCP und DNS keine Fehler.
Kennt jemand diesen Fehler?
Was ist zu tun?
Wie kann ich das Problem näher eingrenzen?
Besten Dank für eure Hilfe und Anregungen.
Rene
ich habe folgendes komisches Problem seit Tagen:
Wir haben von Win 2000 auf ein Windows 2008 Server AD migriert und den alten Win 2000 Server abgeschaltet (mit dcpromo /forceremove aus der Domäne genommen - ging nicht mehr anders).
Das Netzwerk mit einer Domäne läuft unter dem IP Strang 10.2.2.x
Die WinXP Clients hängen automatisch über DHCP und DNS im Netz.
Im Netzwerk ist ein zweiter Server mit statischer IP 10.2.2.160 und Namen Server1 (Beispiel-IP und Name).
Seit einigen Tagen verlieren die Clients wie aus dem nichts die Verbindung zu dem Server.
Wenn man ipconfig /all bei den Clients einträgt, dann sieht alles gut aus.
Wenn man den Server1 vom Client aus anpingt, dann findet der Client diese neue komische IP Adresse: 46.252.18.33
Diese IP gehört nicht in unser Intranet sondern ist eine Adresse im Internet.
Wenn ich auf den Client wieder ipconfig /renew eingebe und anschließen wieder pinge, dann ist die richtige IP des Servers wieder da.
Nach ein paar Stunden oder Tagen ändert sich die Adresse aber wieder.
Fragen:
Warum stellt sich die IP Adresse für die Verbindung beim Client automatisch um? Auf dem Server bleibt Sie aber immer gleich statisch eingestellt.
Im Adminbereich des DHCP und DNS von Win2008 kann ich visuell keine solche Adresse finden.
Kann es sein, dass im AD durch die harte Herunterstufung mit forceremove etwas hängen geblieben ist was dort nicht hingehört und ich jetzt auch nicht sehen kann?
Weitere mögliche Ursachen:
Die IPv4 Adresse der Netzwerkkarte des neuen Win2008 AD Servers ist statisch eingestellt, die IPv6 steht noch auf dynamisch und bei DNS steht ::1.
Kann es sein das diese falsche Einstellung bei IPv6 den Fehler verursacht?
Wie lautet die corresondierende IPv6 Adresse z.B. zu 10.2.2.180 (Beispiel-IP)?
Was bedeutet ::1?
Im Netz gibt es einen Converter unter:
http://www.subnetonline.com/pages/subnet-calculators/ipv4-to-ipv6-conve ...
allerdings mit drei Varianten (IPv6, IPv6 condensed, IPv6 alternative).
Welche ich die Variante die bei Win2008 Server in die Netzwerkkarte eingetragen werden muss?
Eigendlich brauche ich im lokalen Netz auf lange Sicht keine IPv6. Kann ich Sie abschalten?
Ich hab da früher mal was gelesen, dass dann einige Dinge nicht mehr richtig funktionieren, z.B. Exchange Server (wir haben den aber nicht im Einsatz)
Was läuft sonst nicht? Wie kann ich IPv6 abstellen? Macht das überhaupt Sinn?
Im Zuge der Netzwerkumstellung wurde auch der alte Router gegen einen neuen Router ausgetauscht und als Gateway beim DHCP eingetragen.
Kann es sein das der Router komisch dazwischenfunkt? Grundsätzlich kann ich mir das nicht so recht vorstellen, da der alte Router unter Win2000 ebenfalls so eingehängt war.
Am Wochenende habe ich bei den MS Monatsupdates der Clients auf vielen Stationen den Wurm Conficker.c gefunden, der von MS Virus Removal Tool entfernt wurde.
Wie ich gelesen habe, kann dieser Wurm auch andere Programm nachladen.
Kann es sein das dieser Wurm noch immer mein Netzwerk irgendwie stört?
Im Event-Log von Win2008 sehen bezüglich DHCP und DNS keine Fehler.
Kennt jemand diesen Fehler?
Was ist zu tun?
Wie kann ich das Problem näher eingrenzen?
Besten Dank für eure Hilfe und Anregungen.
Rene
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 179067
Url: https://administrator.de/contentid/179067
Printed on: April 24, 2024 at 15:04 o'clock
10 Comments
Latest comment
Hallo,
hast du dir die Public IP mal angesehen?
46.252.18.33
Habt ihr eventuell ein Problem mit eurer Domain?
brammer
hast du dir die Public IP mal angesehen?
46.252.18.33
Habt ihr eventuell ein Problem mit eurer Domain?
brammer
Die Public IP gehört laut tracert Befehl beta.ispgateway.de
Laut Google gehört der Server zum Provider DomainFactory.
Wir haben noch nie etwas mit dem zu tun gehabt.
Unsere Website läuft bei einem anderen Provider.
Danke für die schnelle erste Antwort.
Rene
Laut Google gehört der Server zum Provider DomainFactory.
Wir haben noch nie etwas mit dem zu tun gehabt.
Unsere Website läuft bei einem anderen Provider.
Danke für die schnelle erste Antwort.
Rene
Hi
wie heißt den deine Windows Domain ?? ggf. ispgateway.de oder so ????
Ist irgendwas in deinem DNS falsch gesetzt ?
Oder schonmal bei den Clients, die nicht vom conficker betroffen waren geschaut ob das Verhalten da auch auftritt.
Würde dir raten die Clients neu aufzusetzen...
Mfg Nemesis
wie heißt den deine Windows Domain ?? ggf. ispgateway.de oder so ????
Ist irgendwas in deinem DNS falsch gesetzt ?
Oder schonmal bei den Clients, die nicht vom conficker betroffen waren geschaut ob das Verhalten da auch auftritt.
Würde dir raten die Clients neu aufzusetzen...
Mfg Nemesis
Wenn man den Server1 vom Client aus anpingt, dann findet der Client diese neue komische IP Adresse: 46.252.18.33
Dann ist dein DNS im Eimer.
Was ist bei den Clients als DNS-Server eingetragen? (Es darf NUR der Server sein)
Wie sieht es in der DNS-Konsole selbst aus?
Was ist auf dem Server unter DNS-Weiterleitungen konfiguriert?
Hallo,
Überprüfe doch mal bei der denic, ob eure domain noch euch gehört.
Brammer
Überprüfe doch mal bei der denic, ob eure domain noch euch gehört.
Brammer
Hi,
erst mal wieder danke für die Anregungen.
Bei mir handelt es sich um ein Intranet, dass mit ispgateway.de und DomainFacotry nichts zu tun hat.
In der MMC vom DNS steht auch nichts drin was darauf hinweist.
Wie kan ich das in der DNS Console prüfen? Hab sie bis jetzt noch nicht gebraucht.
Bei den Clients habe ich den DNS expliziert eingetragen.
Beim DNS ist als Weiterleitung der Router eingetragen.
Bei denic brauch ich nicht nachschauen, da es sich hier um ein Intranet handelt.
Die Domäne kann mir hier nicht geklaut werden.
Ich konzentiere mich erst einmal auf den Conficker.C Wurm.
Dieser hat mittlerweile das ganze Netz befallen inkl. der Server.
Im Moment scheint das eine ganz harte Nummer zu sein.
Der Virus kam trotz Firewall, Virenscanner, Deaktivierung der USB Eingänge etc. ins Intranet.
Wie weiß ich nicht.
Wie könnte man das herausfinden?????
Wie kann ich herausfinden auf welchem PC der Virus zuerst auftrat und über welchen Kanal er ins Netz kam?
Warum bekomme ich einen alten Virus von 2009?
Ist er ggf. mutiert?
Zur Info:
Das macht Conficker.C alias Downadup alia Kito:
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx ...
Hab auf meinen Servern im Task Scheduler Einträge gefunden, die das Ding anscheinend immer wieder neu verteilen.
Die Tasks lauten AT1 bis n.
Gestern hat keine Maßnahme von keinem Virenscanner gegriffen.
Alle Scanner haben gemeldet, dass sie den Virus gelöscht haben, nach spätestens zwei Neustarts des PC´s war er wieder drauf.
Hab es auch mit der Desinfec´t CD unter Linux von der c´t Zeitschrift und mit der DE-Cleaner CD probiert. Hat nichts geholfen.
Ggf. hat sich der Client PC gleich wieder über das Netz angesteckt????
So wie es aussieht, kann der Conficker.C von den Virenprogrammen erkannt und gelöscht werden,
allerdings gibt es da sicherlich noch ein von den Scannern unerkanntes Ladeprogramm, der das Ding wieder neu installiert z.B. mit dem Task Scheduler.
Auf den Clients mit WinXP hab ich übrigens keine sichtbaren Einträge im Task Scheduler gefunden.
Wer hat in letzter Zeit schon mal mit der 2011er / 2012er Varinate vom Conficker.C zu tun gehabt?
Kennt jemand eine Anleitung zum entfernen?
Sorry, dass Thema des Threads hat sich leider durch die Probleme ein wenig Richtung Virus geändert.
Wenn ich nach Beseitugung des Virus noch Probleme habe, nehme ich das ursprüngliche Thema gerne wieder auf.
P.S.: Ich weiß immer noch nicht, ob ich den DNS Server für IPv6 einstellen muss und wenn ja wie?
Die IPv6 "::1" scheint die localhost Adresse zu sein, richtig? So wie 127.0.0.1.
Bis dann,
Rene
erst mal wieder danke für die Anregungen.
Bei mir handelt es sich um ein Intranet, dass mit ispgateway.de und DomainFacotry nichts zu tun hat.
In der MMC vom DNS steht auch nichts drin was darauf hinweist.
Wie kan ich das in der DNS Console prüfen? Hab sie bis jetzt noch nicht gebraucht.
Bei den Clients habe ich den DNS expliziert eingetragen.
Beim DNS ist als Weiterleitung der Router eingetragen.
Bei denic brauch ich nicht nachschauen, da es sich hier um ein Intranet handelt.
Die Domäne kann mir hier nicht geklaut werden.
Ich konzentiere mich erst einmal auf den Conficker.C Wurm.
Dieser hat mittlerweile das ganze Netz befallen inkl. der Server.
Im Moment scheint das eine ganz harte Nummer zu sein.
Der Virus kam trotz Firewall, Virenscanner, Deaktivierung der USB Eingänge etc. ins Intranet.
Wie weiß ich nicht.
Wie könnte man das herausfinden?????
Wie kann ich herausfinden auf welchem PC der Virus zuerst auftrat und über welchen Kanal er ins Netz kam?
Warum bekomme ich einen alten Virus von 2009?
Ist er ggf. mutiert?
Zur Info:
Das macht Conficker.C alias Downadup alia Kito:
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx ...
Hab auf meinen Servern im Task Scheduler Einträge gefunden, die das Ding anscheinend immer wieder neu verteilen.
Die Tasks lauten AT1 bis n.
Gestern hat keine Maßnahme von keinem Virenscanner gegriffen.
Alle Scanner haben gemeldet, dass sie den Virus gelöscht haben, nach spätestens zwei Neustarts des PC´s war er wieder drauf.
Hab es auch mit der Desinfec´t CD unter Linux von der c´t Zeitschrift und mit der DE-Cleaner CD probiert. Hat nichts geholfen.
Ggf. hat sich der Client PC gleich wieder über das Netz angesteckt????
So wie es aussieht, kann der Conficker.C von den Virenprogrammen erkannt und gelöscht werden,
allerdings gibt es da sicherlich noch ein von den Scannern unerkanntes Ladeprogramm, der das Ding wieder neu installiert z.B. mit dem Task Scheduler.
Auf den Clients mit WinXP hab ich übrigens keine sichtbaren Einträge im Task Scheduler gefunden.
Wer hat in letzter Zeit schon mal mit der 2011er / 2012er Varinate vom Conficker.C zu tun gehabt?
Kennt jemand eine Anleitung zum entfernen?
Sorry, dass Thema des Threads hat sich leider durch die Probleme ein wenig Richtung Virus geändert.
Wenn ich nach Beseitugung des Virus noch Probleme habe, nehme ich das ursprüngliche Thema gerne wieder auf.
P.S.: Ich weiß immer noch nicht, ob ich den DNS Server für IPv6 einstellen muss und wenn ja wie?
Die IPv6 "::1" scheint die localhost Adresse zu sein, richtig? So wie 127.0.0.1.
Bis dann,
Rene
Alle Scanner haben gemeldet, dass sie den Virus gelöscht haben, nach spätestens zwei Neustarts des PC´s war er wieder drauf.
Weil er sich wohl über dein Netzwerk verbreitet.
Trenn die Server von den Clients und fang mit denen an und starte die erst wieder wenn alle gesäubert sind.
Für die Clients gilt das selbe.
Die IPv6 "::1" scheint die localhost Adresse zu sein, richtig? So wie 127.0.0.1.
Ja
P.S.: Ich weiß immer noch nicht, ob ich den DNS Server für IPv6 einstellen muss und wenn ja wie?
Wenn du IPv6 nicht benutzt solltest du es unbedingt auf Clients und Servern deaktivieren (und zwar in der Registry den IPv6-Stack ausschalten!).
Hallo dog,
wir selber in unserem Netz brauchen auf absehbare Zeit sicherlich kein IP v6.
Die Frage ist, welche Programme jetzt oder in Zukunft darauf aufbauen.
Ich hab glaube ich mal gelesen, dass der Exchange IPv6 benutzt.
Was passiert im AD?
Nutzt Microsoft irgendwo intern IPv6?
Wo in der Registry kann ich das genau ausschalten?
Was passiert mit DHCP und DNS?
Bei meinem Win 2008 DHCP ich alles unter IPv4 konfiguriert, aber nicht automatisch im Bereich IPv6.
Dieser ist relativ leer und ich hab ihn noch nicht angerührt.
Frage:
Muss ich den IPv6 Bereich des DHCP expliziert konfigurieren?
Wir haben meist noch WinXP Clients, die damit eh nicht umgehen können.
Und die anderen Win7 Clients funktionieren auch so.
Grüße,
Rene
wir selber in unserem Netz brauchen auf absehbare Zeit sicherlich kein IP v6.
Die Frage ist, welche Programme jetzt oder in Zukunft darauf aufbauen.
Ich hab glaube ich mal gelesen, dass der Exchange IPv6 benutzt.
Was passiert im AD?
Nutzt Microsoft irgendwo intern IPv6?
Wo in der Registry kann ich das genau ausschalten?
Was passiert mit DHCP und DNS?
Bei meinem Win 2008 DHCP ich alles unter IPv4 konfiguriert, aber nicht automatisch im Bereich IPv6.
Dieser ist relativ leer und ich hab ihn noch nicht angerührt.
Frage:
Muss ich den IPv6 Bereich des DHCP expliziert konfigurieren?
Wir haben meist noch WinXP Clients, die damit eh nicht umgehen können.
Und die anderen Win7 Clients funktionieren auch so.
Grüße,
Rene
Ich hab glaube ich mal gelesen, dass der Exchange IPv6 benutzt.
Ja, aber bisher kann man IPv6 noch deaktivieren, auch wenn es nicht empfohlen ist.
Was passiert im AD?
Das stört es nicht.
Wo in der Registry kann ich das genau ausschalten?
http://support.microsoft.com/kb/929852/en-us
Nur der Punkt unter "Let me fix it myself" ist wirklich interessant.
Was passiert mit DHCP und DNS?
Den MS DHCP benutze ich nicht und DNS stört es nicht.
Microsoft schreibt übrigens das man "IPv6 doch bitte aktiviert lassen soll, weil es stört ja nicht wenn man es nicht benutzt".
Das ist absoluter Quark. Durch die vielen Autokonfigurations-Mechanismen und weil Windows teilweise IPv6 IPv4 gegenüber bevorzugt lässt sich ein Netzwerk ganz Prima manipulieren, wenn es nicht konfiguriert wird!
Die Präsentation erklärt viele der Risiken sehr schön:
http://www.si6networks.com/presentations/deepsec2011/fgont-deepsec2011- ...
Hi Dog,
danke erst mal für die Tipps.
Ich werde Sie nach meinem Urlaub ausprobieren.
Bis dann,
Rene
danke erst mal für die Tipps.
Ich werde Sie nach meinem Urlaub ausprobieren.
Bis dann,
Rene
