killtec
Goto Top

LAA MAC Adresse wird von Software gesetzt

Hallo zusammen,
ich hatte in diesem Beitrag das Problem schon mal beschrieben:
Lokal Verwaltete Adresse (MAC-Adresse) wird immer wieder gesetzt

Es geht darum, dass die MAC Adresse am Client überschrieben wird. Sprich die Lokal Verwaltete Adresse.

Ich kann auch in der LAA die originale MAC eintragen. Dauert dann nicht lange und die andere ist wieder drin.

Was ich festgestellt habe. Wenn ich im laufendem Betrieb die MAC auf nicht verwaltet stelle. deaktiviert sich die NIC, ist kurz mit der richtigen MAC am Netz, dann wird sie wieder deaktiviert und kommt mit der "falschen" bzw. überschriebenen MAC zurück.

Die Frage wäre jetzt, wie kann ich raus bekommen, welche Software dieses Verhalten erzeugt und die MAC überschreibt.

Gruß

Content-Key: 1621787419

Url: https://administrator.de/contentid/1621787419

Printed on: February 25, 2024 at 04:02 o'clock

Member: manuel-r
manuel-r Dec 15, 2021 at 08:20:41 (UTC)
Goto Top
Die Frage wäre jetzt, wie kann ich raus bekommen, welche Software dieses Verhalten erzeugt und die MAC überschreibt.

Ob sowas (also die Änderung der MAC) im Eventlog protokolliert wird weiß ich nicht. Wenn es aber passiert, ohne dass ein Programm gestartet ist kann das Verhalten ja eigentlich nur von einem Dienst oder Task kommen. Ich würde also dort mal nach entsprechenden Kandidaten Ausschau halten.

Manuel
Member: killtec
killtec Dec 15, 2021 updated at 08:47:58 (UTC)
Goto Top
Hi,
der einzige Eintrag im Eventlog ist:
- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> 
- <System>
  <Provider Name="e1dexpress" />  
  <EventID Qualifiers="40964">27</EventID>  
  <Version>0</Version> 
  <Level>3</Level> 
  <Task>0</Task> 
  <Opcode>0</Opcode> 
  <Keywords>0x80000000000000</Keywords> 
  <TimeCreated SystemTime="2021-12-15T08:34:26.2141207Z" />  
  <EventRecordID>199421</EventRecordID> 
  <Correlation /> 
  <Execution ProcessID="4" ThreadID="23064" />  
  <Channel>System</Channel> 
  <Computer>Computername</Computer> 
  <Security /> 
  </System>
- <EventData>
  <Data /> 
  <Data>Intel(R) Ethernet Connection (4) I219-V</Data> 
  <Binary>0000040002003000000000001B0004A00000000000000000000000000000000000000000000000001B0004A0</Binary> 
  </EventData>
  </Event>
Intel(R) Ethernet Connection (4) I219-V
 Netzwerkverbindung wurde unterbrochen.

darauf folgt dann:
- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> 
- <System>
  <Provider Name="e1dexpress" />  
  <EventID Qualifiers="24580">32</EventID>  
  <Version>0</Version> 
  <Level>4</Level> 
  <Task>0</Task> 
  <Opcode>0</Opcode> 
  <Keywords>0x80000000000000</Keywords> 
  <TimeCreated SystemTime="2021-12-15T08:34:30.6439006Z" />  
  <EventRecordID>199422</EventRecordID> 
  <Correlation /> 
  <Execution ProcessID="4" ThreadID="16652" />  
  <Channel>System</Channel> 
  <Computer>Computername</Computer> 
  <Security /> 
  </System>
- <EventData>
  <Data /> 
  <Data>Intel(R) Ethernet Connection (4) I219-V</Data> 
  <Binary>0000040002003000000000002000046000000000000000000000000000000000000000000000000020000460</Binary> 
  </EventData>
  </Event>
Intel(R) Ethernet Connection (4) I219-V
 Die Netzwerkverbindung wurde mit 1 Gbit/s Vollduplex hergestellt.

Zusätzlich noch die Info vom Hyper-V-Switch
Die Hyper-V Rolle ist installiert, wird aber nicht aktiv genutzt. Habe die jetzt nochmal deinstalliert.
Dies brachte leider nicht den Erfolg.
Mitglied: 149569
Solution 149569 Dec 15, 2021 at 09:14:16 (UTC)
Goto Top
Schau mal im EFI des Notebooks nach der Einstellung MAC Address Passthrough
Member: killtec
killtec Dec 15, 2021 at 10:12:15 (UTC)
Goto Top
Hi,
BIOS war der entscheidende Tipp.
Bei dem Laptop ist im BIOS Host Based Mac Address wählbar.
Hier habe ich das auf System umgestellt und "HBMA Embedded MAC Address support" aktiviert.
Er zeigte mir im BIOS dann auch direkt wieder die korrekte MAC an.
Interessant war dann nur, dass sich Bitlocker gemeldet hat und den Key haben wollte... Den musste ich mir erstmal im AD raussuchen.
Läuft aber jetzt face-smile

Gruß