LAA MAC Adresse wird von Software gesetzt

Hallo zusammen,
ich hatte in diesem Beitrag das Problem schon mal beschrieben:
Lokal Verwaltete Adresse (MAC-Adresse) wird immer wieder gesetzt

Es geht darum, dass die MAC Adresse am Client überschrieben wird. Sprich die Lokal Verwaltete Adresse.

Ich kann auch in der LAA die originale MAC eintragen. Dauert dann nicht lange und die andere ist wieder drin.

Was ich festgestellt habe. Wenn ich im laufendem Betrieb die MAC auf nicht verwaltet stelle. deaktiviert sich die NIC, ist kurz mit der richtigen MAC am Netz, dann wird sie wieder deaktiviert und kommt mit der "falschen" bzw. überschriebenen MAC zurück.

Die Frage wäre jetzt, wie kann ich raus bekommen, welche Software dieses Verhalten erzeugt und die MAC überschreibt.

Gruß

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 1621787419

Url: https://administrator.de/contentid/1621787419

Ausgedruckt am: 22.11.2024 um 20:11 Uhr

4 Kommentare

Neuester Kommentar

Die Frage wäre jetzt, wie kann ich raus bekommen, welche Software dieses Verhalten erzeugt und die MAC überschreibt.

Ob sowas (also die Änderung der MAC) im Eventlog protokolliert wird weiß ich nicht. Wenn es aber passiert, ohne dass ein Programm gestartet ist kann das Verhalten ja eigentlich nur von einem Dienst oder Task kommen. Ich würde also dort mal nach entsprechenden Kandidaten Ausschau halten.

Manuel

Hi,
der einzige Eintrag im Eventlog ist:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> 
- <System>
  <Provider Name="e1dexpress" />  
  <EventID Qualifiers="40964">27</EventID>  
  <Version>0</Version> 
  <Level>3</Level> 
  <Task>0</Task> 
  <Opcode>0</Opcode> 
  <Keywords>0x80000000000000</Keywords> 
  <TimeCreated SystemTime="2021-12-15T08:34:26.2141207Z" />  
  <EventRecordID>199421</EventRecordID> 
  <Correlation /> 
  <Execution ProcessID="4" ThreadID="23064" />  
  <Channel>System</Channel> 
  <Computer>Computername</Computer> 
  <Security /> 
  </System>
- <EventData>
  <Data /> 
  <Data>Intel(R) Ethernet Connection (4) I219-V</Data> 
  <Binary>0000040002003000000000001B0004A00000000000000000000000000000000000000000000000001B0004A0</Binary> 
  </EventData>
  </Event>

Intel(R) Ethernet Connection (4) I219-V
 Netzwerkverbindung wurde unterbrochen.

darauf folgt dann:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"> 
- <System>
  <Provider Name="e1dexpress" />  
  <EventID Qualifiers="24580">32</EventID>  
  <Version>0</Version> 
  <Level>4</Level> 
  <Task>0</Task> 
  <Opcode>0</Opcode> 
  <Keywords>0x80000000000000</Keywords> 
  <TimeCreated SystemTime="2021-12-15T08:34:30.6439006Z" />  
  <EventRecordID>199422</EventRecordID> 
  <Correlation /> 
  <Execution ProcessID="4" ThreadID="16652" />  
  <Channel>System</Channel> 
  <Computer>Computername</Computer> 
  <Security /> 
  </System>
- <EventData>
  <Data /> 
  <Data>Intel(R) Ethernet Connection (4) I219-V</Data> 
  <Binary>0000040002003000000000002000046000000000000000000000000000000000000000000000000020000460</Binary> 
  </EventData>
  </Event>

Intel(R) Ethernet Connection (4) I219-V
 Die Netzwerkverbindung wurde mit 1 Gbit/s Vollduplex hergestellt.

Zusätzlich noch die Info vom Hyper-V-Switch
Die Hyper-V Rolle ist installiert, wird aber nicht aktiv genutzt. Habe die jetzt nochmal deinstalliert.
Dies brachte leider nicht den Erfolg.

Schau mal im EFI des Notebooks nach der Einstellung MAC Address Passthrough

Hi,
BIOS war der entscheidende Tipp.
Bei dem Laptop ist im BIOS Host Based Mac Address wählbar.
Hier habe ich das auf System umgestellt und "HBMA Embedded MAC Address support" aktiviert.
Er zeigte mir im BIOS dann auch direkt wieder die korrekte MAC an.
Interessant war dann nur, dass sich Bitlocker gemeldet hat und den Key haben wollte... Den musste ich mir erstmal im AD raussuchen.
Läuft aber jetzt