robort
Goto Top

MAC ändert sich willkürlich

wusste nicht richtig in welches Thema es passt, hat etwas von LAN, Netzsicherheit und Hardware

Hallo,

ich habe ein Problem, seit bei uns im Netzwerk eine MAC-Adress basierte Portsecurity eingeführt wird taucht das Problem auf, ich denke mal es war schon immer so aber vorher hat es niemand gemerkt.

Es gibt eine Handvoll PCs von ca. 3000 die willkürlich und nicht periodisch ihre MAC ändern. Dabei unterscheiden sich 2 gruppen die eine hälfte ändert sie in eine komplett andere. Bei der anderen Gruppe verschieben sich die ersten 4 Stellen nach hinten.
Bsp.: aus 00-01-02-F6-D1-C2 wird 02-F6-D1-C2-00-01

Bei einem Rechner, der glücklicherweise direkt neben mir steht ändert sich die MAC wenn er drucken will....

Also wie kann das sein? Übertragungsfehler im Ethernet gibt es immer aber kann sich das so ausweiten das die fehlerhaften Pakete angenommen und ausgewertet werden? Oder an was kann das liegen? Ich hab langsam keine Idee mehr....

Danke für nützliche Hinweise.

Content-ID: 79549

Url: https://administrator.de/forum/mac-aendert-sich-willkuerlich-79549.html

Ausgedruckt am: 24.12.2024 um 02:12 Uhr

Netzheimer
Netzheimer 30.01.2008 um 14:56:38 Uhr
Goto Top
MAC-Adressen, die sich von selber ändern sind seltsam. Normalerweise ist die MAC, außer sie wird gespooft, für jedes Gerät einmalig. Die ersten 6 Stellen sind der Hersteller und die anderen 6 Stellen sind eine Art laufende Nummer.

Wenn mehrere Geräte (z.B. virtuelle Server) die eingebaute NIC als Durchgang benutzen, können sie eingestellt werden, dass sie eine andere Adresse übermitteln. Kommt jedoch auf die Virtualisierungssoftware an.

Ein paar Infos zum Netz, der Hard- und Software wären eventuell hilfreich. Vielleicht könnte man so noch einige Rückschlüsse ziehen.
sysad
sysad 30.01.2008 um 15:03:54 Uhr
Goto Top
Normalerweise geht das nicht, vermutlich ist was defekt, gerne auch die NIC selber.
robort
robort 30.01.2008 um 15:07:36 Uhr
Goto Top
Homogenes 3Com Netzwerk 4400 und 5500 Switche. BS Windows XP und 2000. Werden immer zentral gepacht. PC Netzkarten verschiedene Typen von 3Com und Intel. Fehler tritt bei beiden auf.

Zur Software kann ich nicht viel sagen, haben ca. 200 verschiedene Produkte im Einsatz, sind halt eine öffentliche Verwaltung face-smile

MAC adressen sind nicht so einmalig wie alle denken.
1. hatten wir schon den Fall das 2 Netzkarten die gleiche hatten, es war aber ein serie von Plagiaten.
2. Kann man, selbst unter windows, ganz einfach die MAC, ohne irgendwelche tools, ändern.

In meinem Fall sind die Änderungen ab nicht händisch gemacht wurden...
robort
robort 30.01.2008 um 15:08:42 Uhr
Goto Top
hoffentlich sind bloß die NICs defekt. Wenns das schon wäre, wäre es gut....
60730
60730 30.01.2008 um 15:25:23 Uhr
Goto Top
Hi,

wie findest du das mit den geänderten MACS heraus?

Mit IPconfig -all und da steht dann immer etwas anderes?

Was machst du mit dem Rechner neben dir, wohin will der Drucken?

Ohne angeschlossenes Netz ändert der auch seine Mac Adresse, wenn du "druckst"?

Mit Ethreal oder im DHCP Server oder "meldet" das "nur" die Überwachungssoftware?

Hmm "öffentliche Verwaltung" und Plagiate, bist du sicher, das die Switche "echt" sind???

Sorry, aber dein Problem ist wirklich nicht alltäglich, entschuldige meine "doofen" Fragen...

Zum Thema 3com & Intel NICs- ja da gibt des öfteren Probleme in großen Netzen....

(wir hatten mal mehr 3coms als Intels als ein Schwesterunternehmen, wir hatten die Probleme mit den Intels, unsere "Schwester", die mehr Intels als 3coms hatte - mit den 3Coms) das ist erst verschwunden, als wir komplett auf Broadcom und HP Switche gewechselt haben.

Nachtrag:

Kennst Du den Teil der Registry schon?

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318}\0000]

gibts dort einen den Unterschlüssel "NetworkAddress" - der sollte da nicht drin sein, wenn ja, ist das die MAC, die das System ausgibt....


Nachtrag 2:

Mooooment...

also, wenn die Macs sich wirklich dauernd ändern sollten, dann müßte euer Netz doch extrem Lahm sein, denn nur mit Broadcast würden sich die Systeme dann erkennen können...

Wie funktioniert eure Portsecurity? Mittels Telnet die Switche abfragen und dann in eine Tabelle schreiben?

Was sagt Arp -a auf dem DC oder DHCP? Ändern sich dort wirklich die Daten, oder kommt die Info aus der Portsecurity?
robort
robort 01.02.2008 um 09:18:58 Uhr
Goto Top
Die Portsecurity funktioniert über das ActiveDirectory nach einer Schemaerweiterung kann man jedem PC konto (PC konten müssen dann auch für z.B. für Netzdrucker angelegt werden) eine MAC zuweisen. Dann noch eine Regel ob der Netzwerkzugriff gewährt oder verweigert wird. Die Switche schicken dann einen Event, inclusive MAC, zum Radiusserver. Dieser fragt dann mit das AD ab, ob die MAC darf oder nicht. Dann wird ein Ereignis ins Log der Radiusservers geschrieben, fals ein Fehler kommt (MAC darf nicht) werden mails an die verantwortlichen admins geschickt.

Die MAC Adressen ändern sich nur für einen kurzen Moment und danach ist es wieder die originale der NIC. Es passiert also nicht händisch durch irgendwelche Nutzer.

Bei dem einen PC ist das so wenn er auf einen Netzwerkdrucker druckt dann ändert sich kurz die MAC. Das habe ich ca. 8 mal wiederholt und der Fehler lässt sich reproduzieren.

Mit den Plagiaten war das so, es gab mal gefälschte NICs von 3Com die alle die gleiche MAC hatten. Davon haben wir 2 NICs im Einsatz gehabt. Das ist aber behoben.

Zu Thema 3Com und Intel NICs im gleichen Netz. Wir haben nur Probleme das die Intelkarten auf Auto und die 3Com karten auf 100full eingestellt werden müssen, die Switchports genauso. So laufen keine errors auf den Ports auf und es geht auch sehr schnell.

zum Nachtrag 1: Wert ist nicht gesetzt

zum Nachtrag 2: Die Daten kommen aus der Portsecurity, das Netz ist nicht langsam, Nettoraten von 88Mbit/s vom PC über den Backbone zum Server. (Als Beispiel von meinem PC gemessen mit ipperf.exe)


Nachtrag: das ist wirklich sehr komisch gestern und heute war der Effekt bei noch keinem Rechner....