Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

2 Netzwerkkarten - Anfragen werden über falsche Karte gesendet

Mitglied: leuaner

leuaner (Level 1) - Jetzt verbinden

23.09.2011, aktualisiert 18.10.2012, 6751 Aufrufe, 6 Kommentare

Wir verzeichnen auf unserer Firewall Zugriffe der Domainencontroller auf IP-Adressen, die eigentlich über eine 2.Netzwerkkarte sofort erreicht werden könnten.

Hallo zusammen,

Wir haben folgende Netzwerk-Konstellation:


Internet --- Router+Firewall --- Hausnetz (PCs, Drucker) --- mehrere Server, u.a. DC --- Backbone
(10.0.0.31) (10.0.0.0/16) (haben je 2 Ethernet-Karten) (192.168.6.0/24)

Es gibt also 2 Netze (10er und 192er abgekürzt). Im 10er Netz hängt der Router, der ebenfalls Firewall spielt,
sowie alle Arbeitsstation, Drucker und Server. Alle Server haben noch eine 2.Netzwerkkarte, über die diese
nochmal in einem schnelleren Backbone untereinander verbunden sind. Wir nutzen z.B. viele Terminalserver
und Datenbankserver. So können die Anwendungen auf den TSen schneller auf die Datenbanken üder das
Backbone zugreifen. Alle Server routen nicht, d.h. man kommt nicht von einem Netz in das andere.
Nur die Server können sich gegenseitig untereinander über beide Wege erreichen.
Der DNS-Server läuft auf unseren beiden DCs, dort gibt es zwei forward-Zonen (firma.de und backbone), in denen
jeweils die Server mit den jeweiligen IPs eingetragen sind.

Nun haben wir in dem Protokoll auf der Firewall beobachtet, dass ständig Anfragen unserer beiden Domänencontroller
blockiert werden. Der Haupt-DC hat z.B. die IPs (10.0.0.43 und 192.168.6.43). Das komische ist, dass die Anfragen,
die blockiert werden, eigentlich Ziel-IPs haben, die in unserem Backbone liegen, z.B. zur IP 192.168.6.42 (ein TS).
Meist ist Port 137 betroffen. Die Meldungen sehen etwa so aus:

Deny 10.0.0.43 (Port 137) -> 192.168.6.42 (Port 137) netbios-ns/udp

Die Frage ist, wieso versucht der DC den Terminalserver mit seiner Backbone-Adresse über die falsche Netzwerk-
Karte zu erreichen? Er hat eine 2.Netzwerkkarte, die direkt in dem gesuchten Netz liegt. Die Server sind auch
tatsächlich ohne Probleme über ihre Backbone-Adressen vom DC zu erreichen (z.B. über ping). Durchschnittlich
1 mal in der Sekunde kommt eine Anrfage vom DC zu einem anderen Server über die falsche Karte bei der Firewall
an und wird dort blockiert.

Wir benutzen nur Win2008R2-Server (DCs und TS) und haben eine 2008er Domäne. Die DCs und einige andere Server
sind unter VMWare virtualisiert, so dass die Netzwerkkarten virtuell sind, aber der VMWare-Server hat 2 physikalische
Netzwerkkarten in beide Netze.

Ein Auszug der Config vom DC:

01.
D:\>ipconfig /all
02.

03.
Windows-IP-Konfiguration
04.

05.
   Hostname  . . . . . . . . . . . . : W2KDC
06.
   Primäres DNS-Suffix . . . . . . . : firma.de
07.
   Knotentyp . . . . . . . . . . . . : Hybrid
08.
   IP-Routing aktiviert  . . . . . . : Nein
09.
   WINS-Proxy aktiviert  . . . . . . : Nein
10.
   DNS-Suffixsuchliste . . . . . . . : backbone
11.
                                                firma.de
12.

13.
Ethernet-Adapter Public-LAN:
14.

15.
   Verbindungsspezifisches DNS-Suffix: firma.de
16.
   Beschreibung. . . . . . . . . . . : VMware PCI Ethernet Adapter #4
17.
   Physikalische Adresse . . . . . . : 00-50-56-A0-55-6F
18.
   DHCP aktiviert. . . . . . . . . . : Nein
19.
   Autokonfiguration aktiviert . . . : Ja
20.
   IPv4-Adresse  . . . . . . . . . . : 10.0.0.43(Bevorzugt)
21.
   Subnetzmaske  . . . . . . . . . . : 255.255.0.0
22.
   Standardgateway . . . . . . . . . : 10.0.0.31
23.
   DNS-Server  . . . . . . . . . . . : 10.0.0.43
24.
                                                 10.0.0.41
25.
   Primärer WINS-Server. . . . . . . : 10.0.0.43
26.
   NetBIOS über TCP/IP . . . . . . . : Aktiviert
27.

28.
Ethernet-Adapter Gigabit:
29.

30.
   Verbindungsspezifisches DNS-Suffix: backbone
31.
   Beschreibung. . . . . . . . . . . : VMware PCI Ethernet Adapter #3
32.
   Physikalische Adresse . . . . . . : 00-50-56-A0-09-91
33.
   DHCP aktiviert. . . . . . . . . . : Nein
34.
   Autokonfiguration aktiviert . . . : Ja
35.
   IPv4-Adresse  . . . . . . . . . . : 192.168.6.43(Bevorzugt)
36.
   Subnetzmaske  . . . . . . . . . . : 255.255.255.0
37.
   Standardgateway . . . . . . . . . :
38.
   DNS-Server  . . . . . . . . . . . : 192.168.6.43
39.
                                                192.168.6.41
40.
   Primärer WINS-Server. . . . . . . : 192.168.6.43
41.
   NetBIOS über TCP/IP . . . . . . . : Aktiviert
42.

43.
Tunneladapter LAN-Verbindung* 8:
44.

45.
   Medienstatus. . . . . . . . . . . : Medium getrennt
46.
   Verbindungsspezifisches DNS-Suffix: backbone
47.
   Beschreibung. . . . . . . . . . . : isatap.backbone
48.
   Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0
49.
   DHCP aktiviert. . . . . . . . . . : Nein
50.
   Autokonfiguration aktiviert . . . : Ja
51.

52.
Tunneladapter LAN-Verbindung* 11:
53.

54.
   Medienstatus. . . . . . . . . . . : Medium getrennt
55.
   Verbindungsspezifisches DNS-Suffix: firma.de
56.
   Beschreibung. . . . . . . . . . . : isatap.firma.de
57.
   Physikalische Adresse . . . . . . : 00-00-00-00-00-00-00-E0
58.
   DHCP aktiviert. . . . . . . . . . : Nein
59.
   Autokonfiguration aktiviert . . . : Ja
60.

61.
D:\>route print
62.
===========================================================================
63.
Schnittstellenliste
64.
 13 ...00 50 56 a0 55 6f ...... VMware PCI Ethernet Adapter #4
65.
 12 ...00 50 56 a0 09 91 ...... VMware PCI Ethernet Adapter #3
66.
  1 ........................... Software Loopback Interface 1
67.
 15 ...00 00 00 00 00 00 00 e0  isatap.backbone
68.
 14 ...00 00 00 00 00 00 00 e0  isatap.firma.de
69.
===========================================================================
70.

71.
IPv4-Routentabelle
72.
===========================================================================
73.
Aktive Routen:
74.
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
75.
          0.0.0.0          0.0.0.0        10.0.0.31        10.0.0.43    266
76.
         10.0.0.0      255.255.0.0   Auf Verbindung         10.0.0.43    266
77.
        10.0.0.43  255.255.255.255   Auf Verbindung         10.0.0.43    266
78.
     10.0.255.255  255.255.255.255   Auf Verbindung         10.0.0.43    266
79.
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    306
80.
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    306
81.
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
82.
      192.168.6.0    255.255.255.0   Auf Verbindung      192.168.6.43    266
83.
     192.168.6.43  255.255.255.255   Auf Verbindung      192.168.6.43    266
84.
    192.168.6.255  255.255.255.255   Auf Verbindung      192.168.6.43    266
85.
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    306
86.
        224.0.0.0        240.0.0.0   Auf Verbindung         10.0.0.43    266
87.
        224.0.0.0        240.0.0.0   Auf Verbindung      192.168.6.43    266
88.
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
89.
  255.255.255.255  255.255.255.255   Auf Verbindung         10.0.0.43    266
90.
  255.255.255.255  255.255.255.255   Auf Verbindung      192.168.6.43    266
91.
===========================================================================
92.
Ständige Routen:
93.
  Netzwerkadresse          Netzmaske  Gatewayadresse  Metrik
94.
          0.0.0.0          0.0.0.0        10.0.0.31  Standard
95.
          0.0.0.0          0.0.0.0        10.0.0.31  Standard
96.
===========================================================================
97.

98.
IPv6-Routentabelle
99.
===========================================================================
100.
Aktive Routen:
101.
 If Metrik Netzwerkziel             Gateway
102.
  1    306 ::1/128                  Auf Verbindung
103.
  1    306 ff00::/8                 Auf Verbindung
104.
===========================================================================
105.
Ständige Routen:
106.
  Keine
107.
Kann mir da jemand weiterhelfen, oder hat zumindest eine Idee, wie man das Problem eingrenzen
kann?

Danke
Mitglied: Hubert.N
23.09.2011, aktualisiert 18.10.2012
Moin

Klar habe ich ein Idee: Indem du zuallererst einmal den vortrefflichen Artikel von dog zum Thema Multihomed DCs durchliest und auch abarbeitest.

Das, was du da konfiguriert hast ist nicht ganz so trivial, wie es auf den ersten Blick erscheint...


Gruß

Hubert
Bitte warten ..
Mitglied: leuaner
23.09.2011 um 12:18 Uhr
Hallo Hubert,

Danke für den interessanten Link. Ich habe ihn durchgelesen und auf unseren beiden DCs kontrolliert.
Die Einstellungen stimmten weitestgehend mit der Anleitung überein.

Ich glaube aber nicht, dass ein DNS-Problem vorliegt. Der DC hat ja die korrekt IP des TS ermittelt,
jedoch versucht er (manchmal?) diesen über die falsche Ntzwerkkarte zu erreichen.

Gruß
Bitte warten ..
Mitglied: aqui
23.09.2011, aktualisiert 18.10.2012
Hast du Routing aktiviert auf den NICs oder bedienen sie getrennt diese beiden Segmente ??
https://www.administrator.de/wissen/routing-mit-2-netzwerkkarten-unter-w ...
Falls ja, auf allen Servern (Gefahr der Backdoor Route !) oder nur auf einem ?
Bitte warten ..
Mitglied: leuaner
23.09.2011 um 17:41 Uhr
Nein, es ist kein Routing auf den Servern konfiguriert. Man kommt nicht von einem Netz ins andere.
Beide Netze sind daher nur von den Servern selbst gleichzeitig zu erreichen, da sie jeweils zwei
NICs haben.
Das Problem ist aber genau auf zweien dieser Serve, nämlich den beiden DCs. Obwohl alles
funktioniert, kommt aud der Firewall, die nur im 10er-Netz hängt, Anfragen von den beiden DCs für
das 192er-Netz an.
Bitte warten ..
Mitglied: aqui
23.09.2011 um 18:43 Uhr
Folglich hast du also irgendwo im Netz eine "wilde" Backdoor Bridge (Layer 2 Verbindung) die Pakete aus diesem Netz illegalerweise forwardet. Das ist natürlich tödlich für die IP Kommunikation und für die Sicherheit.
Finde also heraus WO diese Löcher sind !! Das ist ganz einfach indem du dir mit dem Wireshark Sniffer oder dem MS NetMonitor einmal diese Pakete ganz genau ansiehst die dort ankommen.
Anhand deren Layer 2 Adresse sprich also der Mac Adresse bekommst du in Minutenschnelle raus WO diese Pakete herkommen bzw. WER sie sendet.
Dann kannst du diese Loch stopfen und das sollte dein Problem im Handumdrehen lösen !!
Bitte warten ..
Mitglied: leuaner
28.09.2011 um 16:23 Uhr
Ich habe Wireshark mal auf einem der Server installiert, von denen die falschen Pakete ausgehen.
Auf dem Server mit den IPs 10.0.0.43 bzw. 192.168.6.43 habe ich beide NICs mal separat getracet.
Die 192er NIC schient in Ordnung zu sein, Dort gibt es nur Datenpakete aus dem eigenen 192er Netz.

Das Problem scheint aber auf der 10er NIC zu liegen. Dort werden manchmal Pakete rausgeschickt,
die eigentlich in das 192er-Netz gehören. Sende- und Empfangsport ist immer 137 (NetBios).

Beispiel eines solchen Datenpakets:

Source Dest Protocol Length Info
10.0.0.43 192.168.6.140 NBNS 98 Name query response, Requested name does not exist

Diese Pakete kommen bei unserer Firewall an und werden dort blockiert. Sie stammen also direkt vom
Absender und kommen nicht durch eine Backdoor-Bridge. Der sendende Server schickt die NetBios-Anfrage
einfach fälschlicherweise über das falsche Interface raus (10.0.0.43) und nicht über das Interface (192.168.6.43).

Ich habe gerade durch Tests festgestellt, dass die WINS-Einstellungen in den Eigenschaften der NICs eine
Rolle spielen:

Wenn ich die NetBIOS-Einstellungen dort ändere auf "NetBIOS über TCP/IP deaktivieren", dann erscheinen die
Pakete nicht mehr. Sicherlich liegt dies daran, dass ich damit NetBIOS ganz ausschalte. Hat vielleicht jemand
eine Lösung bei eingeschaltetem NetBIOS?
Bitte warten ..
Ähnliche Inhalte
Administrator.de Feedback
Messagetimestamp falsch?
gelöst Frage von nepixlAdministrator.de Feedback4 Kommentare

Guten Morgen, irgendetwas stimmt mit den Uhrzeiten nicht. Eben eine Message von einem Admin.de-Kollegen erhalten mit dem Timestamp um ...

DNS
DNS Antworten falsch
Frage von MasterSchlumpfDNS12 Kommentare

Hallo Community, ich habe ein schwieriges DNS-Problem. Wenn ich einen PC mit Namen PC-Meyer anpinge erhalte ich eine Antwort ...

Webbrowser
Hyperlink arbeitet falsch
Frage von 129914Webbrowser16 Kommentare

Hallo, Mein Betr.system ist Win.7 Ich habe eine PPT mit PowerPoint mit Office 2003 erstellt und als PPS abgespeichert. ...

Batch & Shell
Powershell rechnet falsch?
gelöst Frage von functionstrutBatch & Shell3 Kommentare

Hallo, ich bin schon seit Stunden am verzweifeln :-( ich habe mir ein Script geschrieben was von mehreren Festplatten ...

Neue Wissensbeiträge
Windows Server

Zähe Update-Installation auf Windows Server 2016

Information von kgborn vor 1 TagWindows Server4 Kommentare

Mir sind in der Vergangenheit immer wieder Beschwerden von Admins unter die Augen gekommen, die sich über die doch ...

Humor (lol)
Turnschuhe per Firmware lahmlegen
Information von Henere vor 1 TagHumor (lol)8 Kommentare

Und was kommt demnächst ? Bekomme ich kein Klopapier mehr, weil der Spender einem DDOS unterliegt ? :-) Ich ...

Sicherheit

Sicherheitsrisiko in WinRAR und Co. durch Schwachstelle in UNACEV2.DLL

Information von kgborn vor 1 TagSicherheit

In der seit 2005 nicht mehr aktualisierten Bibliothek UNACEV2.DLL gibt es eine Path-Traversal-Schwachstelle. Diese ermöglicht es, bei ACE-Archiven Dateien ...

Internet

CDU Propaganda: Urheberschutz im Internet - Ende des digitalen Wild-West

Information von Frank vor 2 TagenInternet6 Kommentare

Hallo Administratoren, aus einem Kommentar heraus habe ich folgenden Beiträge von Herr Sven Schulze und Axel Voss (beide CDU ...

Heiß diskutierte Inhalte
Windows Tools
Dateiname Automatisch auf PDF Klartext oder als Barcode abdrucken
Frage von spongebob24Windows Tools29 Kommentare

Hallo Zusammen, habe eine tolle Anforderung bekommen. Ich sollte auf mehrere PDF Dateien Automatisch einen Stempel anbringen lassen. Toll ...

Internet
SDSL oder ADSL - Preis-Leistungs-Verhältnis
Frage von ZeppelinInternet22 Kommentare

Wehrte Community, der Unterschied dieser beiden Techniken ist recht einfach erklärt. Das S, steht für Synchron (Gleich) und das ...

Microsoft Office
MicroSoft und seine Lizenzen
Frage von ZeppelinMicrosoft Office19 Kommentare

Wehrte Community, ich wende mich an die Community weil MicroSoft dazu keine Stellung nehmen möchte. Ich öffne mein Web-Browser ...

Batch & Shell
Batchdatei für das Erstellen eines Unterordner bei Vorhandensein eines bestimmten Ordnernamens
Frage von KarstenPaBatch & Shell15 Kommentare

Hallo zusammen , ich suche nach einer Möglichkeit, ein freigegebenes Laufwerk nach einem bestimmten Ordnernamen ("Schriftverkehr") zu durchsuchen, und ...