martin2002
Goto Top

Windows XP DNS Namensauflösung fehlerhaft

Hallo.

Ich habe folgendes Problem:
Auf einem Laptop mit WinXP TabletPC Edition (SP3) werden meine lokalen Hostnamen (Win2003 Domäne) über einen falschen Server aufgelöst.
Bei mir funktioniert die Netzwerkeinstellung via DHCP, die richtigen Nameserver werden zugewiesen und nslookup verwendet sie auch korrekt.

Alle anderen Programme (z.B. Ping) lösen aber über einen völlig anderen Server auf der bei mir nirgends konfiguriert ist: IP 85.255.112.146
Das ist laut ripe eine Dynamische IP von einem französischen ISP... (Das verhalten hab ich mit Microsoft Network Monitor festgestellt)
Ich kann mir allerdings nicht erklären, wo diese Einstellung festgelegt ist. In den Netzwerkeinstellungen tauchen sie nicht auf. Bei "ipconfig /all" oder mit netsh auch nicht. In der Registrierung unter dem Tcpip Service sind sie dann natürlich auch nicht zu finden.

Ein Virenscan (mit Avira) hat unter einem Firefox Ordner iamfamous.dll gefunden und als Rootkit TDss.eyj identifiziert. Eine Systemdatei SetCrSr.exe hat er als Trojaner gefunden - hat Windows Defender aber auch schon gemacht. Was da dran ist, weiß ich nicht - Avira ist ja nicht das professionellste Tool. Meines Wissens nach ist die SetCrSr.exe eine Datei von der TabletPC erweiterung und hat irgendwas mit dem Stift zu tun. Die Dateien hab ich trotzdem löschen lassen, weil sie eh nicht relevant waren. Ich habe auch nochmal mit HijackThis einen Scan durchgeführt. Dort wurde aber nichts gefunden. Auch eine manuelle Prüfung der Dienste und laufenden Prozesse mit dem ProcessExplorer ergab nichts weiter.

Achso. Wenn ich den DNSClient Dienst (dnscache) beende, werden die Hostnamen nur noch über die besagte IP aufgelöst.
Ein "netsh int ip reset" hat auch kein Erfolg gebracht.

Außerdem habe ich auch die hosts und lmhosts Dateien durchgesehen, aber dort ist auch alles normal. Nach der IP habe ich in der Registry gesucht (String und Dezimalform) - kein Treffer. Übrigens, alle anderen Computer im Netzwerk lösen ganz normal auf... ich dachte erst, das evtl. was mit den Weiterleitungen nicht stimmt - aber daran liegt es nicht.

Wo kann diese Einstellung noch festgelegt sein?
Welche Dateien/Dienste/Programme verwendet Windows noch zu Namensauflösung? - damit ich prüfen kann ob diese Original sind.

Greets,
Martin.

Content-Key: 108579

Url: https://administrator.de/contentid/108579

Ausgedruckt am: 29.03.2024 um 09:03 Uhr

Mitglied: NetWolf
NetWolf 10.02.2009 um 14:48:32 Uhr
Goto Top
Hallo Martin,

vergebe eine feste IP für IP-Notebook, Gateway und DNS-Server.

Ich vermute, deine DNS-Auflösung läuft über den ISP der Internetverbindung.
Schau mal in den Router, welche IPs dort vergeben sind.

Vermutlich läuft der W2003-Server und der Router mit eingeschaltetem DHCP-Server!?


Grüße aus Schönberg (Lübeck)
Wolfgang
(Netwolf)
Mitglied: xm-bit
xm-bit 10.02.2009 um 15:00:38 Uhr
Goto Top
Hi,

was mienst du denn mit "alle anderen Programme" lösen über einen anderen DNS-Server auf????

Wie sieht denn deine NEtzwerk konfiguration aus???

Teil uns die doch bitte mal mit...

mfg
Sascha
Mitglied: sjuerges
sjuerges 10.02.2009 um 15:26:27 Uhr
Goto Top
Rechner verseucht. Formatieren und gut is.

Alles andere wird so gut wie zwecklos sein.
Mitglied: martin2002
martin2002 10.02.2009 um 15:28:11 Uhr
Goto Top
Sorry hätt ich gleich schreiben sollen:

Der W2003 Server macht Domäne, DNS, DHCP usw....
Der Router ins Internet ist ein Linux Server. Die Internetverbindung läuft über Kabeldeutschland (KD).

Ich hatte bereits eine feste IP probiert. Leider auch kein Erfolg.

Der Primäre DNS Server ist 192.168.10.1, Sekundär 192.168.10.253 (Router)
Die Auflösung wird von 192.168.10.1 an den anderen weitergeleitet. Dieser leitet sie dann an die KD Nameserver.

Ich meine folgendes:
Starte ich nslookup und gebe z.B. "orion.krellmann.net" als Query ein (der Win2003 Server) löst es auf 192.168.10.1 auf. Also richtig...
Mache ich aber "ping orion.krellmann.net" wird auf 88.84.150.45 aufgelöst (das ist unser Webserver, der www.krellmann.net hostet). Das passiert deshalb, weil bei der Namensauflösung die von "ping" durchgeführt wird direkt dieser am Anfang genannte Nameserver kontaktiert wird (kann ich aus dem NM Capture entnehmen) und "orion.krellmann.net" ist im Internet nicht bekannt und nur ein Alias auf "www.krellmann.net"
Das gleiche passiert beim Anmelden an der Domäne, also beim Laden des Profils, übernahme der Gruppenrichtlinien usw.

Um Cachingprobleme zwischen den beiden Nameservern auszuschließen - weil die Konfiguration zugegebenermaßen etwas Suboptimal ist - habe ich die Caches auf beiden geleert.
Aber wie gesagt, alle anderen PC lösen die Namen komplett richtig auf.

Den Lokalen DNS Cache habe ich auch schon geleert.

Greets,
Martin.
Mitglied: 60730
60730 10.02.2009 um 15:47:24 Uhr
Goto Top
Editiert,
um den Thread kürzer zu machen und das Problem mit dem "FAKE" DNS 85.255.112.146 später leichter auffindbar zu machen.

Gruß
Mitglied: alex234
alex234 10.02.2009 um 16:05:06 Uhr
Goto Top
Hi,

was ganz simples, hast du auch mal in den Eigenschaften von der LAN-Verbindung auf erweitert geklickt und dann in der Registerkarte DNS die Einstellungen angeschaut, nicht das er sich da mit reingeschrieben hat....?

Gruß
Alex
Mitglied: martin2002
martin2002 10.02.2009 um 16:23:57 Uhr
Goto Top
naja - als 2. DNS gehört eigentlich ein zweiter interner rein,
aber lassen wir das mal.

Es ist ein zweiter interner DNS Server. Mit (Router) wollte ich nur die Primärfunktion mitteilen.

*häh bitte?* der interne soll doch bitte gleich an den
"echten" externen weiterschicken, nicht an irgendeine
Fritz&Franzbos whatever...

Es hat seinen Sinn, dass das so konfiguriert ist. Nix Fritz&Franzbos...
Es handelt sich dabei um einen öffentlichen sekundären Nameserver für eine unserer Domains.
Weitere Domains sollen da demnächst auch mit drauf. Primärer Nameserver hierfür ist dann besagter Webserver. Wir haben bei KD eine feste IP.

> Mache ich aber "ping orion.krellmann.net" wird auf
88.84.150.45 aufgelöst (das ist unser Webserver, der
www.krellmann.net hostet).
Soweit logisch face-wink
Das passiert deshalb, weil der "www" eben auf diesem Server
verlinkt ist.
Und das hat auch seinen Sinn - du verwechselt da einiges.

Die funktion ist mir durchaus bekannt... Ich verwechsle hier garnichts. Seinen sinn hat das natürlich.
Das Problem hierbei besteht darin, dass der erste interne DNS auch krellmann.net verwaltet. Hier sind alle lokalen Hosts eingestellt plus die Hostnamen und Funktionen des Webservers. Der Nameserver von Windows und Bind (läuft auf dem Webserver) lassen Zonentransfers untereinander nur schwer zu. Das meine ich auch mit Suboptimaler konfiguration...

Ein Query nach "orion.krellmann.net" (so heißt der Domäneserver) an einen falschen Nameserver führt halt dazu, dass danach auf dem Nameservern unseres Hosters gesucht wird. Dort existiert der Name nicht, aber ein Default-Eintrag nach "www.krellmann.net" - 88.84.150.45
Fragt also der PC hier nicht unseren lokalen DNS Server nach dem Hostnamen, sondern einen externen - was genau das Problem ist - kommt die "falsche" IP.


So und nun mal tacheless, ganz knapp in Worten, wo ist das Problem?
Viren sind es ganz sicher nicht, formatieren unnötig.


Da wir jetzt aufgrund von Kommunikationsproblemen völlig aneinander vorbeigeredet haben, schreibe ich dafür nochmal einen extra Eintrag.

Greets.
Mitglied: martin2002
martin2002 10.02.2009 um 16:25:22 Uhr
Goto Top
Nein der Server steht da nicht mit drin.
ipconfig /all führt nur unsere lokalen DNS Server auf.
Mitglied: 60730
60730 10.02.2009 um 16:31:16 Uhr
Goto Top
Da wir jetzt aufgrund von Kommunikationsproblemen völlig aneinander vorbeigeredet haben
schreibe ich dafür nochmal einen extra Eintrag.

*hohi - ich würde eher sagen, Wald vor lauter Bäumen und je komplexer, desto mehr Info (was ja auch gewollt ist) aber mich hats einfach "erschlagen"

Also ich - wenn ich dich jetzt richtig verstehe - würde eine W2k3 Kiste als primären benutzen und wenn du keinen Abgleich zwischen M$ und Bind hinbekommst auch einen zweiten M$ als internen.

Gruß
Mitglied: martin2002
martin2002 10.02.2009 um 16:33:00 Uhr
Goto Top
Ich habe es ja eben schon mit einfließen lassen.

Wenn ich den DNS-Client Diens von Windows aktiviert habe werden DNS Anfragen vom Computer nicht an den Primären oder Sekundären Nameserver gesendet, sondern an einen völlig anderen mit einer merkwürdigen IP: 85.255.112.146. Ein Captuer mit dem Netzwerkmonitor offenbart das.
Das trifft zu auf z.B. Ping, Firefox, Internetexplorer... usw.
nslookup kontaktiert aber die richtigen Nameserver, die auch in der Netzwerkverbindung konfiguriert sind:
Standardserver: orion.krellmann.net
Address: 192.168.10.1

www.krellmann.net
Server: orion.krellmann.net
Address: 192.168.10.1

Name: www.krellmann.net
Address: 88.84.150.45

Das kuriose ist jetzt zum einen, dass die IP 85.255.112.146 nirgends in meiner gesamten Netzwerkkonfiguration auftaucht - geschweige denn als Nameserver eingestellt ist.
Zum anderen ist es so, dass wenn ich den DNS-Client Dienst deaktiviere alles ordnungsgemäß funktioniert.
Alle Anfragen gehen an 192.168.10.1. Mich wundert zudem das es dann überhaupt noch Namen auflöst.

Greets
Martin
Mitglied: martin2002
martin2002 10.02.2009 um 16:47:16 Uhr
Goto Top
Nein das ist es auch nicht ;)
Siehe einen Eintrag weiter unten...
Mitglied: 60730
60730 10.02.2009 um 17:29:01 Uhr
Goto Top
Zitat von @sjuerges:
Rechner verseucht. Formatieren und gut is.
Alles andere wird so gut wie zwecklos sein

und nachdem ich "kleingeist" nun auch einzelne Bäumen erkenne - merke ich..
Der vorhin noch "gescholtene Tipp" ist gar nicht mal so schlecht..

Mea Culpa ;-9

Siehe Very persistant trojan - please help!
man beachte sowohl "notebook" hier in der Frage als auch den zweig
HKLM\System\CCS\Services\Tcpip\..\{19076F50-B923-4198-80F1-F382415B7826}: NameServer = 85.255.112.151;85.255.112.146 in der verlinkten Seite.

Gruß
Mitglied: sjuerges
sjuerges 10.02.2009 um 17:43:59 Uhr
Goto Top
Zitat von @60730:
> Zitat von @sjuerges:
> ----
> Rechner verseucht. Formatieren und gut is.
> Alles andere wird so gut wie zwecklos sein

und nachdem ich "kleingeist" nun auch einzelne Bäumen
erkenne - merke ich..
Der vorhin noch "gescholtene Tipp" ist gar nicht mal so
schlecht..

Mea Culpa ;-9

Siehe
[http://www.pchelpforum.com/fixed-hijackthis-logs/55696-very-persistant-trojan-please-help.html
Very persistant trojan - please help!]
man beachte sowohl "notebook" hier in der Frage als auch
den zweig
HKLM\System\CCS\Services\Tcpip\..\{19076F50-B923-4198-80F1-F382415B7826}:
NameServer = 85.255.112.151;85.255.112.146
in der
verlinkten Seite.

Gruß

Naja, ich hätte ein wenig ausführlicher werden sollen. Hatte so ein ähnliches Problem mit einem Aussendienstlaptop. War nix mehr zu machen. Hab nach 2 Tagen aufgegeben und neu installiert.

Deshalb vorhin auch meine Aussage. Aber sowas sollte man immer qualifizieren, sorry.
Mitglied: martin2002
martin2002 10.02.2009 um 19:59:38 Uhr
Goto Top
Ok ich werds so machen. Das ist eh die sicherere Variante.
Danke,
Martin.