goldfuchs
Goto Top

DNS Client Dienst Auslastung auf 100 Prozent, arbeit nicht mehr möglich

Moin,

ich habe aus unerfindlichen Gründen seit ca. einer Woche das Problem, dass der besagte Dienst diverse Pc`s so verlangsamt, dass ein arbeiten fast nicht mehr möglich ist.

Ich kann leider nicht sagen was der Auslöser ist, vermute dass es mit dem letzten Funktionsupdate zusammenhängt, sicher bin ich aber nicht.

Es fing erst auf meinem Laptop an, dass der DNS Client Dienst auf 100% ging, nach dem Neustart konnte ich mich nicht mehr einloggen. Gefolgt von meinem PC, selbes Problem. Nachdem ich einer Freundin einen Laptop bei mir daheim zurecht gemacht habe, Installation über eigenen PXE Server, war bei ihr das gleiche Phänomen zu sehen. Es ließ sich dann aber irgendwann aus dem nichts nichts mehr nachvollziehen und das Problem war weg. Gestern habe ich dann meinen Laptop wieder neuinstalliert, über PXE, und ich hatte sofort das selbe Problem wieder. Erst nach stundenlanger Arbeit konnte ich das Problem beheben indem ich den DNS Server auf meiner Client NIC selbst gesetzt habe. Anfangs konnte ich noch nicht mal McAfee installieren.

Ich habe auf allen Servern und meinem Hyper-V ebenfalls Virenscanner laufen lassen, ich habe das PXE .iso file gescannt weil ich dachte, dass vielleicht dort irgendwas drauf ist aber alles ohne erfolg. Dann habe ich gestern mit meinem neuinstallierten Laptop eine Website aufgerufen wo dann ein PopUp kam ".....Bitte WIndows Support Anrufen...bla bla" also Spam, ich musste den Browser komplett per Taskmanager schliessen, VirenScan gemacht und da kam das:

"VirTool:Win32/DefenderTamperingRestore"

Ich habe danach gegoogelt, auf Raten den Virus mit dem MSERT gelöscht.

Was das eine mit dem anderen zu tun hat kann ich nicht sagen und ob ebenso wenig. Was ich weiss ist, dass dieses Phänomen auf 4 verschiedenen Rechnern aufgekommen ist, welche allesamt in meinem Netzwerk betrieben werden. Ich habe auch schon mit Wireshark versucht herauszufinden ob da irgendwelche Verbindungen seltsam sind aber als "semiprofi" fällt mir nichts auf, bzw sehe ich es nicht.

Bei deaktivieren des Internets fällt die CPU Auslastung des DNS Client DIenstes, logisch ich weiss. Wenn ich den Dienst schliesse übernimmt ein anderen Dienst die CPU Auslastung: "LSASS.exe"


Ich bin für jede Hilfe dankbar,

Goldfuchs


PS: Kann sowas mit einem falsch konfigurierten DNS Server/Heimserver zusammenhängen, quasi ein DNS loop of Death...wenn es sowas gibt.

Content-ID: 614755

Url: https://administrator.de/contentid/614755

Ausgedruckt am: 21.11.2024 um 21:11 Uhr

Xerebus
Xerebus 21.10.2020 aktualisiert um 11:48:09 Uhr
Goto Top
Hi Goldfuchs,

du schreibst sehr viel aber nicht nötige daten.
Was hast du für eine DNS konfig. Welcher DNS Server? Pi-Hole oder sonstiges dazwischen.
Was passiert bei einer Clean install ohne PXE....
Verteilst du DNS mit DHCP? Was passiert wenn du hier die 8.8.8.8 einträgst.
Goldfuchs
Goldfuchs 21.10.2020 aktualisiert um 12:07:24 Uhr
Goto Top
Zitat von @Xerebus:

Hi Goldfuchs,

du schreibst sehr viel aber nicht nötige daten.
Was hast du für eine DNS konfig. Welcher DNS Server? Pi-Hole oder sonstiges dazwischen.
Was passiert bei einer Clean install ohne PXE....
Verteilst du DNS mit DHCP? Was passiert wenn du hier die 8.8.8.8 einträgst.

Interner DNS Server (10.73.55.xx) wird von eigenem DHCP Server (10.73.55.xx) verteilt. Der erste betroffene Rechner ist eine Installation ohne PXE. Ich werde das mit 9.9.9.9 testen und diesen als DNS eintragen, mag einfach den 8er DNS nicht.

Bisher ist die FritzBox mein Router und dahinter steht mein HomeHyper-V Server samt DHCP, DNS, AD, FS + ADCS.

Alle anfragen werden an den internen weitergeleitet und bei unbekannter IP wird an die Fritze weitergeleitet welche den 9er DNS eingetragen hat.


NACHTRAG:

Wenn ich web.de eingebe kommt da bei euch https://web.de oder https://www.web.de? Ich macht seit einer Woche weder Online Banking noch andere dinge aus meinem Heimnetz raus weil ich bedenken habe, dass irgendwas nicht stimmt...
Xerebus
Xerebus 21.10.2020 um 13:37:50 Uhr
Goto Top
erikro
Lösung erikro 21.10.2020 um 20:21:24 Uhr
Goto Top
Zitat von @Goldfuchs:

Moin,

Moin,

ich habe aus unerfindlichen Gründen seit ca. einer Woche das Problem, dass der besagte Dienst diverse Pc`s so verlangsamt, dass ein arbeiten fast nicht mehr möglich ist.

Das ist schlecht.

Ich kann leider nicht sagen was der Auslöser ist, vermute dass es mit dem letzten Funktionsupdate zusammenhängt, sicher bin ich aber nicht.

Das glaube ich eher nicht.

Es fing erst auf meinem Laptop an, dass der DNS Client Dienst auf 100% ging, nach dem Neustart konnte ich mich nicht mehr einloggen. Gefolgt von meinem PC, selbes Problem. Nachdem ich einer Freundin einen Laptop bei mir daheim zurecht gemacht habe, Installation über eigenen PXE Server, war bei ihr das gleiche Phänomen zu sehen. Es ließ sich dann aber irgendwann aus dem nichts nichts mehr nachvollziehen und das Problem war weg. Gestern habe ich dann meinen Laptop wieder neuinstalliert, über PXE, und ich hatte sofort das selbe Problem wieder.

Du hast also drei Rechner, die alle drei in Deinem Netz waren und alle drei hatten unerklärliche Symptome? Hmmmm, sind die noch am Netz? Wenn ja, würde ich die als erstes einmal davon trennen. Sowas darf nicht ans Netz.

BTW: Was für einen Server nutzt Du für das PXE boot and install? Ich will sowas haben. face-wink

Erst nach stundenlanger Arbeit konnte ich das Problem beheben indem ich den DNS Server auf meiner Client NIC selbst gesetzt habe. Anfangs konnte ich noch nicht mal McAfee installieren.

Na dann hatte das ja auch sein Gutes. *eg*

Ich habe auf allen Servern und meinem Hyper-V ebenfalls Virenscanner laufen lassen, ich habe das PXE .iso file gescannt weil ich dachte, dass vielleicht dort irgendwas drauf ist aber alles ohne erfolg.

Wie kommst Du darauf, dass das Erfolg haben könnte. Seit in den Neunzigern die Stealth-Viren erfunden wurden, ist das vorbei, dass man auf Systemen, auf denen Schadsoftware läuft, nach der verantwortlichen Software scannen konnte. Heute weiß jedes 14jährige Skript Kid, wie man das macht und wie man Software aus dem Netz nachlädt, hat man den Rechner einmal gekapert.

Dann habe ich gestern mit meinem neuinstallierten Laptop eine Website aufgerufen wo dann ein PopUp kam ".....Bitte WIndows Support Anrufen...bla bla" also Spam, ich musste den Browser komplett per Taskmanager schliessen, VirenScan gemacht und da kam das:

"VirTool:Win32/DefenderTamperingRestore"

Und Du fragst Dich ernsthaft immer noch, woran dieses komische Verhalten der Rechner liegen könnte?

Ich habe danach gegoogelt, auf Raten den Virus mit dem MSERT gelöscht.

Falsch. Ein infiziertes System wird nicht "bereinigt". Wenn dieses Virus wirklich aktiv war, was ich eher bezweifle, dann ist das auch nicht weg. Vor allem dann, wenn weil ich das weiß:

VirTool:Win32/DefenderTamperingRestore is a type of malware which is programmed to stop your security software from working correctly
(zweiter Treffer bei Tante Google: https://www.2-spyware.com/remove-virtoolwin32defendertamperingrestore.ht ... )

Was das eine mit dem anderen zu tun hat kann ich nicht sagen und ob ebenso wenig.

Das brauchst Du auch nicht. Die einzig richtige Reaktion ist: Alles neu installieren oder dem letzten bekannten funktionierenden Backup wiederherstellen inkl. aller Server und der Images für's PXE install. Nicht darüber nachdenken! Machen!

Was ich weiss ist, dass dieses Phänomen auf 4 verschiedenen Rechnern aufgekommen ist,

Oh, es sind sogar vier.

Bei deaktivieren des Internets fällt die CPU Auslastung des DNS Client DIenstes, logisch ich weiss.

Wieso sollte das logisch sein? Wenn sich so ein Dienst weghängt, weil er in eine Dauerschleife gerät, die nach und nach die CPU auslastet, dann hört das eher nicht auf, wenn man die Netzverbindung kappt. Es ist eher logisch, dass das, was da werkelt, merkt, dass sie gekappt wurde, und deshalb nicht weiterwerkelt.

Wenn ich den Dienst schliesse übernimmt ein anderen Dienst die CPU Auslastung: "LSASS.exe"

Spätestens jetzt: Nicht nachdenken, neu machen.

Ich bin für jede Hilfe dankbar,

Dann hoffe ich mal, dass das hilft, auch wenn es nicht das ist, was Du hören wolltest. face-wink

Liebe Grüße

Erik
Goldfuchs
Goldfuchs 22.10.2020 aktualisiert um 11:14:58 Uhr
Goto Top
Du hast also drei Rechner, die alle drei in Deinem Netz waren und alle drei hatten unerklärliche Symptome? Hmmmm, sind die noch am Netz? Wenn ja, würde ich die als erstes einmal davon trennen. Sowas darf nicht ans Netz.

Sind alle vom Netz

BTW: Was für einen Server nutzt Du für das PXE boot and install? Ich will sowas haben. face-wink

Ist Windows Server2019 Essentials mit Windows Deployment Services. Macht richtig spaß und mit einem selbst erstellten .iso und der unatttended Installation muss man nichts mehr machen. Wollte da auch mal ein Tutorial hier schreiben um der Community was zurück zu geben aber das muss nun leider warten...

Wie kommst Du darauf, dass das Erfolg haben könnte. Seit in den Neunzigern die Stealth-Viren erfunden wurden, ist das vorbei, dass man auf Systemen, auf denen Schadsoftware läuft, nach der verantwortlichen Software scannen konnte. Heute weiß jedes 14jährige Skript Kid, wie man das macht und wie man Software aus dem Netz nachlädt, hat man den Rechner einmal gekapert.

Ich hatte seit 15 Jahren keinen Virus mehr von daher weiß ich sowas nicht. Ich habe auch den Laptop meiner bekannten zurück geordert. Auch diesen muss ich neu installieren, denn ich weiß nicht ob er bei ihr auch "noch" drauf ist.

Und Du fragst Dich ernsthaft immer noch, woran dieses komische Verhalten der Rechner liegen könnte?

Ich habe den Virus nur auf einem meiner Systeme gefunden.

Falsch. Ein infiziertes System wird nicht "bereinigt". Wenn dieses Virus wirklich aktiv war, was ich eher bezweifle, dann ist das auch nicht weg. Vor allem dann, wenn weil ich das weiß:

Ich hatte auch gegoggelt und eine ähnliche Seite gefunden.

Das brauchst Du auch nicht. Die einzig richtige Reaktion ist: Alles neu installieren oder dem letzten bekannten funktionierenden Backup wiederherstellen inkl. aller Server und der Images für's PXE install. Nicht darüber nachdenken! Machen!

Ja mache ich, ich habe gestern mein Lenovo Laptop gestartet und schon im UEFI hat er mir gesagt, dass Tamper Detection deaktiviert wurde. In Windows konnte ich dann auch die Tamper Detection Seite nicht mehr öffnen. Begründung: Diese eite ist von Ihrem Administrator deaktivert worden. Unter rsop.msc konnte ich aber keine entsprechende GPO finden die das veranlasst haben könnte.

Wieso sollte das logisch sein? Wenn sich so ein Dienst weghängt, weil er in eine Dauerschleife gerät, die nach und nach die CPU auslastet, dann hört das eher nicht auf, wenn man die Netzverbindung kappt. Es ist eher logisch, dass das, was da werkelt, merkt, dass sie gekappt wurde, und deshalb nicht weiterwerkelt.

Ich habe mittlerweile mehrere bekannte die ähnliche Symptomatik vorweisen und nicht mit meinem System in Berührung kamen.

Spätestens jetzt: Nicht nachdenken, neu machen.

Ist in Bearbeitung, ich hole mir einen USB Stick eines bekannten und setze alles neu auf. Ich muss mir überlegen was ich mit den Servern mache. Zum Glück habe ich ein tägliches Backup erstellt aber die Frage ist jetzt auf welches ich ihn zurückspiele und ob der Virus, wenn er denn auf dem Blech existent ist, dort schon vorhanden ist.

Dann hoffe ich mal, dass das hilft, auch wenn es nicht das ist, was Du hören wolltest. face-wink

Genau sowas möchte ich hören, denn deswegen bin ich hier. Aber ich werde mir in Zukunft abgewöhnen hier spezifische Fragen zur Netzwerkstruktur zu stellen denn es ist schon seltsam , dass ich über ein Jahrzehnt Virenfrei war und dann plötzlich mein gesamtes Netzwerk befallen ist.

Liebe Grüße

Grüße zurück

Erik

Goldfuchs

Nachtrag:

Das Beispiel hat mir aber gezeigt, dass eben der Defender NICHT ausreichend Schutz bietet. Ich hoffe mal, dass McAfee ein guter Kauf war.

McAfee stand heute:
mc
Goldfuchs
Goldfuchs 22.10.2020 aktualisiert um 13:05:37 Uhr
Goto Top
Die ### wird immer kurioser:

OOB ist als Administrator angelegt und löschen kann ich nicht, er ist in der Gruppe Admins.

Windows ist am 13.09 installiert und am 18.09 der OOB Benutzer angelegt.
Goldfuchs
Goldfuchs 22.10.2020 um 13:49:29 Uhr
Goto Top
So ich kann die Sache nachverfolgen:

Einer meiner Laptops war vom 17.9 eine Woche bei einer Freundin. Am 18.9 ist der User OOB angelegt worden. Sie sagt dass sie nur Mails gecheckt hat.
erikro
erikro 22.10.2020 um 22:35:12 Uhr
Goto Top
Moin,

Zitat von @Goldfuchs:

Du hast also drei Rechner, die alle drei in Deinem Netz waren und alle drei hatten unerklärliche Symptome? Hmmmm, sind die noch am Netz? Wenn ja, würde ich die als erstes einmal davon trennen. Sowas darf nicht ans Netz.

Sind alle vom Netz

Gute Maßnahme. face-wink


BTW: Was für einen Server nutzt Du für das PXE boot and install? Ich will sowas haben. face-wink

Ist Windows Server2019 Essentials mit Windows Deployment Services. Macht richtig spaß und mit einem selbst erstellten .iso und der unatttended Installation muss man nichts mehr machen. Wollte da auch mal ein Tutorial hier schreiben um der Community was zurück zu geben aber das muss nun leider warten...

Das wäre ganz großartig. Ich habe gerade sowas mit FAI unter Linux zusammen mit einem Kollegen gebastelt. Ja, Spaß macht das. Aber leider gehen da nur Unixoide und kein Windows. Ich träume von sowas: Rechner beim Kollegen hinstellen, anschließen, hochfahren und sagen: "So, in zwei Stunden können Sie sich anmelden." Und dann beruhigt wegfahren und wichtigeren Dingen nachgehen. face-wink

Wie kommst Du darauf, dass das Erfolg haben könnte. Seit in den Neunzigern die Stealth-Viren erfunden wurden, ist das vorbei, dass man auf Systemen, auf denen Schadsoftware läuft, nach der verantwortlichen Software scannen konnte. Heute weiß jedes 14jährige Skript Kid, wie man das macht und wie man Software aus dem Netz nachlädt, hat man den Rechner einmal gekapert.

Ich hatte seit 15 Jahren keinen Virus mehr von daher weiß ich sowas nicht. Ich habe auch den Laptop meiner bekannten zurück geordert. Auch diesen muss ich neu installieren, denn ich weiß nicht ob er bei ihr auch "noch" drauf ist.

Hmmmm, was steht da: "Seit in den Neunzigern ..." Lass mich kurz rechnen 2020-15=2005. Das war nach den Neunzigern. face-wink Da war das schon lange so. Mein Schlüsselerlebnis war, dass ich bei einem Verdacht des Befalls den Rechner von außen gescannt habe und einen Virus, der sich über mehrere Verzeichnisse verbreitet hatte unter verschiedensten Namen, gefunden habe. Also habe ich den Rechner versucht mit den damals üblichen Mitteln zu desinfizieren. Das Schlangenöl meldete, dass alles ok wäre. Dann habe ich den Rechner wieder von außen gescannt und siehe da: Er fand mehr Dateien, die infiziert waren als vorher. Seitdem wird ein Client neu installiert und beim Server und speziellen Clients das Backup gesucht, das noch clean ist. Ich habe nie wieder versucht, einen Rechner zu desinfizieren.

Das ist wie bei einer Hydra. Einen Kopf schlägt man ab und zwei wachsen nach. Wenn ich es dann noch ganz geschickt mache, dann habe ich mich auf Prozessebene getarnt und beobachte von dort aus den Scanner. Ich sehe voraus, wo er als nächstes scannt und sorge dafür, dass dort nichts zu finden ist, während ich mir es in Bereichen, die gerade nicht gescannt wird, gemütlich mache. Dagegen ist jedes Schlangenöl machtlos. Er wird nie etwas finden. Du musst bei einem vermuteten Befall immer von außen scannen und, wenn da was ist, alles neu machen. Der Patient ist nicht krank. Der Patient ist tot.

Und Du fragst Dich ernsthaft immer noch, woran dieses komische Verhalten der Rechner liegen könnte?

Ich habe den Virus nur auf einem meiner Systeme gefunden.

Hast Du denn alle von außen gescannt?

Ja mache ich, ich habe gestern mein Lenovo Laptop gestartet und schon im UEFI hat er mir gesagt, dass Tamper Detection deaktiviert wurde.

In den Bootmeldungen? Im UEFI-Interface? Oder wie meinst Du das?

In Windows konnte ich dann auch die Tamper Detection Seite nicht mehr öffnen. Begründung: Diese eite ist von Ihrem Administrator deaktivert worden.

Ja, so ist das. Die Schadsoftware ist die neue Administratorin auf Deinem System. Und sie ist die einzige. Und diese Administratorin hört nur noch auf einen, auf den, der sie programmiert hat. Du musst davon ausgehen, dass Du über das System vollkommen die Kontrolle verloren hast.

Unter rsop.msc konnte ich aber keine entsprechende GPO finden die das veranlasst haben könnte.

Du hast vollkomme die Kontrolle verloren, falls da eine Schadsoftware virulent ist. Selbst wenn sie es nötig hätte, sich mittels GPO durchzusetzen, kann sie dann immer noch dafür sorgen, dass Du das nicht siehst. Ich würde das gerne noch weiter illustrieren. Aber dann verstoße ich gegen die Forumsregeln. face-wink Die Aussage, dass sie die einzige Administratorin ist auf Deinem System und dass sie mit Dir macht, was sie will, muss reichen. Den Rest phantasiere Dir selbst. Glaube mir: Alles, was Dir an perfiden Ideen einfällte, wurde mit ziemlicher Sicherheit auch schon umgesetzt. face-wink

Wieso sollte das logisch sein? Wenn sich so ein Dienst weghängt, weil er in eine Dauerschleife gerät, die nach und nach die CPU auslastet, dann hört das eher nicht auf, wenn man die Netzverbindung kappt. Es ist eher logisch, dass das, was da werkelt, merkt, dass sie gekappt wurde, und deshalb nicht weiterwerkelt.

Ich habe mittlerweile mehrere bekannte die ähnliche Symptomatik vorweisen und nicht mit meinem System in Berührung kamen.

Tja, Schadsoftware hat die unangenehme Eigenschaft, sich zu verbreiten. face-wink

Ist in Bearbeitung, ich hole mir einen USB Stick eines bekannten und setze alles neu auf.

Und wieso lädst Du Dir das nicht bei Microsoft direkt runter? Oder, wenn es Linux-Systeme sind, aus dem entsprechenden Repos?

Ich muss mir überlegen was ich mit den Servern mache.

Na entweder hast Du gute Backups oder ein Problem. face-wink

Zum Glück habe ich ein tägliches Backup erstellt aber die Frage ist jetzt auf welches ich ihn zurückspiele

Na auf das jüngste saubere. face-wink

und ob der Virus, wenn er denn auf dem Blech existent ist, dort schon vorhanden ist.

Du meinst jetzt im BIOS/UEFI?

Dann hoffe ich mal, dass das hilft, auch wenn es nicht das ist, was Du hören wolltest. face-wink

Genau sowas möchte ich hören, denn deswegen bin ich hier.

Das freut mich. face-smile

Aber ich werde mir in Zukunft abgewöhnen hier spezifische Fragen zur Netzwerkstruktur zu stellen denn es ist schon seltsam , dass ich über ein Jahrzehnt Virenfrei war und dann plötzlich mein gesamtes Netzwerk befallen ist.

Das verstehe ich nicht wirklich. Die Netzwerkstruktur hat allenfalls was damit zu tun, wie groß der Schaden ist, der angerichtet werden kann. Aus Deiner Beschreibung lese ist, dass das eher ein kleines SOHO-Netz ist. Da muss man nicht unbedingt mit VLANs & Co.-Kanonen auf kleine Spatzen schießen. face-wink

Das Beispiel hat mir aber gezeigt, dass eben der Defender NICHT ausreichend Schutz bietet. Ich hoffe mal, dass McAfee ein guter Kauf war.

Der hat imho die besten Zeiten weit hinter sich. Aber es ist eigentlich egal. Du wirst nie einen 100%igen Schutz erreichen.

McAfee stand heute: [...]

Das macht mein Hirn jeden Tag. face-wink Der beste Schutz ist immer noch das Hirn zu nutzen und die User in die Lage zu versetzen, das zu tun. Ein kleines Beispiel: Mich rief mal ein User aus der Leitungsebene mit ziemlich vielen Rechten an und sagte, er habe wohl etwas sehr Dummes getan. Die Email habe so echt gewirkt. Er hat darufgeklickt und es ging los. Ich fragte, was er denn gemacht habe. Er antwortete, er habe erst das Netzwerkkabel gezogen und das WLAN ausgeschaltet und dann den Rechner kalt heruntergefahren. Ich war sehr stolz auf unsere Abteilung und unseren Datenschützer. Wir haben es offenbar geschafft, dass die User richtig reagieren. Sein Rechner war tot. Im Netz war Emotet noch nicht angekommen.

Und ganz ehrlich. Als Emotet umging, hatte ich gerade in meiner jetzigen Firma angefangen. Da kam eine Email im Namen meines neuen Teamleiters:

Hallo,

kannst Du das mal bitte prüfen.

Grüße

Dein neuer Teamleiter

Im Anhang war eine *.doc. Da fuhr dann die Maus unwillkürlich auf den Anhang. face-wink Glücklicherweise setzte der Verstand rechtzeitig ein und unterband das unsinnige Handeln des Imperativs "Du darfst Dich nicht vor Deinem neuen Teamleiter blamieren!" face-wink Aber selbst das wäre keine Katastrophe gewesen (wenn auch kein guter Einstand face-wink ). Der User, mit dem ich Mails lese, hat recht wenig Rechte. Und das ist manchmal lästig aber ansonsten gut so.

Liebe Grüße

Erik
Goldfuchs
Goldfuchs 24.10.2020 um 11:34:31 Uhr
Goto Top
Das wäre ganz großartig. Ich habe gerade sowas mit FAI unter Linux zusammen mit einem Kollegen gebastelt. Ja, Spaß macht das. Aber leider gehen da nur Unixoide und kein Windows. Ich träume von sowas: Rechner beim Kollegen hinstellen, anschließen, hochfahren und sagen: "So, in zwei Stunden können Sie sich anmelden." Und dann beruhigt wegfahren und wichtigeren Dingen nachgehen. face-wink

Ist ganz easy:

  • Einfach die Rolle WDS oder WBD (en oder de) installieren
  • vorher legst du dir auf einer Festplatte einen Ordner an (pxe, RemoteInstall what ever)
  • dann öffnest du WDS, konfigurierst den Server schnell. Wichtig ist, dass wenn der Server gleichzeitig DHCP ist, dass du unter DHCP die beiden Haken reinnimmst ansonsten lädt der Client das iso nicht.
  • unter den Punkten Installationsmedium /Bootmedium musst du aus einer .iso File die boot.wim /install.wim laden. WIchtig ist dabei zu wissen, dass das Mediacreation Tool keine boot.wim anlegt, bedeutet du musst dir eine .iso selber erstellen oder runterladen (MS-Seite)
  • wenn du das gemacht hast, kannst du quasi schon einen Client an das RJ45 anschliessen und loslegen.
  • wenn du unattended möchtest wirds komplizierter und würde den Post hier sprengen aber dazu gibts von MS ein Tool mit welchem du die Installation ziemlich punktuell anpassen kannst.
  • die .iso selber kannst du mit wimwitch anpassen (Welche Tools sind installiert, welches Update 1909, 2004 usw, cortana drauf oder nicht...and so on)
die letzen beiden Punkte ist das was zeit frisst. Aber lohnt sich. Ich steck den rj45 rein und bin in 2 stunden wieder da und alles ist fertig, muss nur noch den Usernamen des Nutzers eingeben und er kann loslegen. face-smile i love it

Hast Du denn alle von außen gescannt?

Nein habe ich nicht. Werde aber einfach nochmal alles platt machen und dann bin ich safe face-smile

In den Bootmeldungen? Im UEFI-Interface? Oder wie meinst Du das?

DIe Lenovo Business Reihe hat diverse FUnktionen in Bios: TPM Chip, Tamper protection usw. Wenn eines dieser Funktionen gekapert wird bekomme ich schon während des Starts eine Warnmeldung, also bevor das WIndows Logo kommt. Und das war da der Fall face-sad

Du hast vollkomme die Kontrolle verloren, falls da eine Schadsoftware virulent ist. Selbst wenn sie es nötig hätte, sich mittels GPO durchzusetzen, kann sie dann immer noch dafür sorgen, dass Du das nicht siehst. Ich würde das gerne noch weiter illustrieren. Aber dann verstoße ich gegen die Forumsregeln. face-wink Die Aussage, dass sie die einzige Administratorin ist auf Deinem System und dass sie mit Dir macht, was sie will, muss reichen. Den Rest phantasiere Dir selbst. Glaube mir: Alles, was Dir an perfiden Ideen einfällte, wurde mit ziemlicher Sicherheit auch schon umgesetzt. face-wink

Ja ich will das glaube garnicht wissen was man alles machen kann.

Ich muss mir überlegen was ich mit den Servern mache.

Na entweder hast Du gute Backups oder ein Problem. face-wink

Das habe ich zum GLück ;)

und ob der Virus, wenn er denn auf dem Blech existent ist, dort schon vorhanden ist.

Du meinst jetzt im BIOS/UEFI?

Ich wollte auch mal Blech schreiben :D ne ich meine ob er schon auf dem Server selbst ist.

Das verstehe ich nicht wirklich. Die Netzwerkstruktur hat allenfalls was damit zu tun, wie groß der Schaden ist, der angerichtet werden kann. Aus Deiner Beschreibung lese ist, dass das eher ein kleines SOHO-Netz ist. Da muss man nicht unbedingt mit VLANs & Co.-Kanonen auf kleine Spatzen schießen. face-wink

Naja wenn man in einem öffentlichen Forum sein Netzwerk preis gibt ist das sicherlich nicht so helle

Liebe Grüße

Grüße zurück und vielen dank für deine Zeit!

Erik

Goldfuchs