Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Windows XP DNS Namensauflösung fehlerhaft

Frage Microsoft Windows Netzwerk

Mitglied: martin2002

martin2002 (Level 1) - Jetzt verbinden

10.02.2009, aktualisiert 14:15 Uhr, 7551 Aufrufe, 14 Kommentare

Hallo.

Ich habe folgendes Problem:
Auf einem Laptop mit WinXP TabletPC Edition (SP3) werden meine lokalen Hostnamen (Win2003 Domäne) über einen falschen Server aufgelöst.
Bei mir funktioniert die Netzwerkeinstellung via DHCP, die richtigen Nameserver werden zugewiesen und nslookup verwendet sie auch korrekt.

Alle anderen Programme (z.B. Ping) lösen aber über einen völlig anderen Server auf der bei mir nirgends konfiguriert ist: IP 85.255.112.146
Das ist laut ripe eine Dynamische IP von einem französischen ISP... (Das verhalten hab ich mit Microsoft Network Monitor festgestellt)
Ich kann mir allerdings nicht erklären, wo diese Einstellung festgelegt ist. In den Netzwerkeinstellungen tauchen sie nicht auf. Bei "ipconfig /all" oder mit netsh auch nicht. In der Registrierung unter dem Tcpip Service sind sie dann natürlich auch nicht zu finden.

Ein Virenscan (mit Avira) hat unter einem Firefox Ordner iamfamous.dll gefunden und als Rootkit TDss.eyj identifiziert. Eine Systemdatei SetCrSr.exe hat er als Trojaner gefunden - hat Windows Defender aber auch schon gemacht. Was da dran ist, weiß ich nicht - Avira ist ja nicht das professionellste Tool. Meines Wissens nach ist die SetCrSr.exe eine Datei von der TabletPC erweiterung und hat irgendwas mit dem Stift zu tun. Die Dateien hab ich trotzdem löschen lassen, weil sie eh nicht relevant waren. Ich habe auch nochmal mit HijackThis einen Scan durchgeführt. Dort wurde aber nichts gefunden. Auch eine manuelle Prüfung der Dienste und laufenden Prozesse mit dem ProcessExplorer ergab nichts weiter.

Achso. Wenn ich den DNSClient Dienst (dnscache) beende, werden die Hostnamen nur noch über die besagte IP aufgelöst.
Ein "netsh int ip reset" hat auch kein Erfolg gebracht.

Außerdem habe ich auch die hosts und lmhosts Dateien durchgesehen, aber dort ist auch alles normal. Nach der IP habe ich in der Registry gesucht (String und Dezimalform) - kein Treffer. Übrigens, alle anderen Computer im Netzwerk lösen ganz normal auf... ich dachte erst, das evtl. was mit den Weiterleitungen nicht stimmt - aber daran liegt es nicht.

Wo kann diese Einstellung noch festgelegt sein?
Welche Dateien/Dienste/Programme verwendet Windows noch zu Namensauflösung? - damit ich prüfen kann ob diese Original sind.

Greets,
Martin.
Mitglied: NetWolf
10.02.2009 um 14:48 Uhr
Hallo Martin,

vergebe eine feste IP für IP-Notebook, Gateway und DNS-Server.

Ich vermute, deine DNS-Auflösung läuft über den ISP der Internetverbindung.
Schau mal in den Router, welche IPs dort vergeben sind.

Vermutlich läuft der W2003-Server und der Router mit eingeschaltetem DHCP-Server!?


Grüße aus Schönberg (Lübeck)
Wolfgang
(Netwolf)
Bitte warten ..
Mitglied: xm-bit
10.02.2009 um 15:00 Uhr
Hi,

was mienst du denn mit "alle anderen Programme" lösen über einen anderen DNS-Server auf????

Wie sieht denn deine NEtzwerk konfiguration aus???

Teil uns die doch bitte mal mit...

Mit freundlichen Grüßen
Sascha
Bitte warten ..
Mitglied: sjuerges
10.02.2009 um 15:26 Uhr
Rechner verseucht. Formatieren und gut is.

Alles andere wird so gut wie zwecklos sein.
Bitte warten ..
Mitglied: martin2002
10.02.2009 um 15:28 Uhr
Sorry hätt ich gleich schreiben sollen:

Der W2003 Server macht Domäne, DNS, DHCP usw....
Der Router ins Internet ist ein Linux Server. Die Internetverbindung läuft über Kabeldeutschland (KD).

Ich hatte bereits eine feste IP probiert. Leider auch kein Erfolg.

Der Primäre DNS Server ist 192.168.10.1, Sekundär 192.168.10.253 (Router)
Die Auflösung wird von 192.168.10.1 an den anderen weitergeleitet. Dieser leitet sie dann an die KD Nameserver.

Ich meine folgendes:
Starte ich nslookup und gebe z.B. "orion.krellmann.net" als Query ein (der Win2003 Server) löst es auf 192.168.10.1 auf. Also richtig...
Mache ich aber "ping orion.krellmann.net" wird auf 88.84.150.45 aufgelöst (das ist unser Webserver, der www.krellmann.net hostet). Das passiert deshalb, weil bei der Namensauflösung die von "ping" durchgeführt wird direkt dieser am Anfang genannte Nameserver kontaktiert wird (kann ich aus dem NM Capture entnehmen) und "orion.krellmann.net" ist im Internet nicht bekannt und nur ein Alias auf "www.krellmann.net"
Das gleiche passiert beim Anmelden an der Domäne, also beim Laden des Profils, übernahme der Gruppenrichtlinien usw.

Um Cachingprobleme zwischen den beiden Nameservern auszuschließen - weil die Konfiguration zugegebenermaßen etwas Suboptimal ist - habe ich die Caches auf beiden geleert.
Aber wie gesagt, alle anderen PC lösen die Namen komplett richtig auf.

Den Lokalen DNS Cache habe ich auch schon geleert.

Greets,
Martin.
Bitte warten ..
Mitglied: 60730
10.02.2009 um 15:47 Uhr
Editiert,
um den Thread kürzer zu machen und das Problem mit dem "FAKE" DNS 85.255.112.146 später leichter auffindbar zu machen.

Gruß
Bitte warten ..
Mitglied: alex234
10.02.2009 um 16:05 Uhr
Hi,

was ganz simples, hast du auch mal in den Eigenschaften von der LAN-Verbindung auf erweitert geklickt und dann in der Registerkarte DNS die Einstellungen angeschaut, nicht das er sich da mit reingeschrieben hat....?

Gruß
Alex
Bitte warten ..
Mitglied: martin2002
10.02.2009 um 16:23 Uhr
naja - als 2. DNS gehört eigentlich ein zweiter interner rein,
aber lassen wir das mal.

Es ist ein zweiter interner DNS Server. Mit (Router) wollte ich nur die Primärfunktion mitteilen.

*häh bitte?* der interne soll doch bitte gleich an den
"echten" externen weiterschicken, nicht an irgendeine
Fritz&Franzbos whatever...

Es hat seinen Sinn, dass das so konfiguriert ist. Nix Fritz&Franzbos...
Es handelt sich dabei um einen öffentlichen sekundären Nameserver für eine unserer Domains.
Weitere Domains sollen da demnächst auch mit drauf. Primärer Nameserver hierfür ist dann besagter Webserver. Wir haben bei KD eine feste IP.

> Mache ich aber "ping orion.krellmann.net" wird auf
88.84.150.45 aufgelöst (das ist unser Webserver, der
www.krellmann.net hostet).
Soweit logisch
Das passiert deshalb, weil der "www" eben auf diesem Server
verlinkt ist.
Und das hat auch seinen Sinn - du verwechselt da einiges.

Die funktion ist mir durchaus bekannt... Ich verwechsle hier garnichts. Seinen sinn hat das natürlich.
Das Problem hierbei besteht darin, dass der erste interne DNS auch krellmann.net verwaltet. Hier sind alle lokalen Hosts eingestellt plus die Hostnamen und Funktionen des Webservers. Der Nameserver von Windows und Bind (läuft auf dem Webserver) lassen Zonentransfers untereinander nur schwer zu. Das meine ich auch mit Suboptimaler konfiguration...

Ein Query nach "orion.krellmann.net" (so heißt der Domäneserver) an einen falschen Nameserver führt halt dazu, dass danach auf dem Nameservern unseres Hosters gesucht wird. Dort existiert der Name nicht, aber ein Default-Eintrag nach "www.krellmann.net" - 88.84.150.45
Fragt also der PC hier nicht unseren lokalen DNS Server nach dem Hostnamen, sondern einen externen - was genau das Problem ist - kommt die "falsche" IP.


So und nun mal tacheless, ganz knapp in Worten, wo ist das Problem?
Viren sind es ganz sicher nicht, formatieren unnötig.


Da wir jetzt aufgrund von Kommunikationsproblemen völlig aneinander vorbeigeredet haben, schreibe ich dafür nochmal einen extra Eintrag.

Greets.
Bitte warten ..
Mitglied: martin2002
10.02.2009 um 16:25 Uhr
Nein der Server steht da nicht mit drin.
ipconfig /all führt nur unsere lokalen DNS Server auf.
Bitte warten ..
Mitglied: 60730
10.02.2009 um 16:31 Uhr
Da wir jetzt aufgrund von Kommunikationsproblemen völlig aneinander vorbeigeredet haben
schreibe ich dafür nochmal einen extra Eintrag.

*hohi - ich würde eher sagen, Wald vor lauter Bäumen und je komplexer, desto mehr Info (was ja auch gewollt ist) aber mich hats einfach "erschlagen"

Also ich - wenn ich dich jetzt richtig verstehe - würde eine W2k3 Kiste als primären benutzen und wenn du keinen Abgleich zwischen M$ und Bind hinbekommst auch einen zweiten M$ als internen.

Gruß
Bitte warten ..
Mitglied: martin2002
10.02.2009 um 16:33 Uhr
Ich habe es ja eben schon mit einfließen lassen.

Wenn ich den DNS-Client Diens von Windows aktiviert habe werden DNS Anfragen vom Computer nicht an den Primären oder Sekundären Nameserver gesendet, sondern an einen völlig anderen mit einer merkwürdigen IP: 85.255.112.146. Ein Captuer mit dem Netzwerkmonitor offenbart das.
Das trifft zu auf z.B. Ping, Firefox, Internetexplorer... usw.
nslookup kontaktiert aber die richtigen Nameserver, die auch in der Netzwerkverbindung konfiguriert sind:
Standardserver: orion.krellmann.net
Address: 192.168.10.1

www.krellmann.net
Server: orion.krellmann.net
Address: 192.168.10.1

Name: www.krellmann.net
Address: 88.84.150.45
Das kuriose ist jetzt zum einen, dass die IP 85.255.112.146 nirgends in meiner gesamten Netzwerkkonfiguration auftaucht - geschweige denn als Nameserver eingestellt ist.
Zum anderen ist es so, dass wenn ich den DNS-Client Dienst deaktiviere alles ordnungsgemäß funktioniert.
Alle Anfragen gehen an 192.168.10.1. Mich wundert zudem das es dann überhaupt noch Namen auflöst.

Greets
Martin
Bitte warten ..
Mitglied: martin2002
10.02.2009 um 16:47 Uhr
Nein das ist es auch nicht ;)
Siehe einen Eintrag weiter unten...
Bitte warten ..
Mitglied: 60730
10.02.2009 um 17:29 Uhr
Zitat von sjuerges:
Rechner verseucht. Formatieren und gut is.
Alles andere wird so gut wie zwecklos sein

und nachdem ich "kleingeist" nun auch einzelne Bäumen erkenne - merke ich..
Der vorhin noch "gescholtene Tipp" ist gar nicht mal so schlecht..

Mea Culpa ;-9

Siehe Very persistant trojan - please help!
man beachte sowohl "notebook" hier in der Frage als auch den zweig
HKLM\System\CCS\Services\Tcpip\..\{19076F50-B923-4198-80F1-F382415B7826}: NameServer = 85.255.112.151;85.255.112.146 in der verlinkten Seite.

Gruß
Bitte warten ..
Mitglied: sjuerges
10.02.2009 um 17:43 Uhr
Zitat von 60730:
> Zitat von sjuerges:
> ----
> Rechner verseucht. Formatieren und gut is.
> Alles andere wird so gut wie zwecklos sein

und nachdem ich "kleingeist" nun auch einzelne Bäumen
erkenne - merke ich..
Der vorhin noch "gescholtene Tipp" ist gar nicht mal so
schlecht..

Mea Culpa ;-9

Siehe
[http://www.pchelpforum.com/fixed-hijackthis-logs/55696-very-persistant-trojan-please-help.html
Very persistant trojan - please help!]
man beachte sowohl "notebook" hier in der Frage als auch
den zweig
HKLM\System\CCS\Services\Tcpip\..\{19076F50-B923-4198-80F1-F382415B7826}:
NameServer = 85.255.112.151;85.255.112.146
in der
verlinkten Seite.

Gruß

Naja, ich hätte ein wenig ausführlicher werden sollen. Hatte so ein ähnliches Problem mit einem Aussendienstlaptop. War nix mehr zu machen. Hab nach 2 Tagen aufgegeben und neu installiert.

Deshalb vorhin auch meine Aussage. Aber sowas sollte man immer qualifizieren, sorry.
Bitte warten ..
Mitglied: martin2002
10.02.2009 um 19:59 Uhr
Ok ich werds so machen. Das ist eh die sicherere Variante.
Danke,
Martin.
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Windows XP
gelöst WPA2 unter Windows XP SP1 nutzen? (10)

Frage von bestelitt zum Thema Windows XP ...

Windows XP
Kann man noch neue Notebooks für Windows XP kaufen ? (9)

Frage von DieterJansen zum Thema Windows XP ...

Windows Netzwerk
SMBv2 in Windows 7 - Windows XP - Windows Server 2003 Domäne deaktivieren (4)

Frage von Mario.Steinberg zum Thema Windows Netzwerk ...

Windows XP
gelöst Windows XP SP 3 System Clonen (19)

Frage von zeroblue2005 zum Thema Windows XP ...

Heiß diskutierte Inhalte
Router & Routing
gelöst Ipv4 mieten (22)

Frage von homermg zum Thema Router & Routing ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...