MAC ändert sich willkürlich
wusste nicht richtig in welches Thema es passt, hat etwas von LAN, Netzsicherheit und Hardware
Hallo,
ich habe ein Problem, seit bei uns im Netzwerk eine MAC-Adress basierte Portsecurity eingeführt wird taucht das Problem auf, ich denke mal es war schon immer so aber vorher hat es niemand gemerkt.
Es gibt eine Handvoll PCs von ca. 3000 die willkürlich und nicht periodisch ihre MAC ändern. Dabei unterscheiden sich 2 gruppen die eine hälfte ändert sie in eine komplett andere. Bei der anderen Gruppe verschieben sich die ersten 4 Stellen nach hinten.
Bsp.: aus 00-01-02-F6-D1-C2 wird 02-F6-D1-C2-00-01
Bei einem Rechner, der glücklicherweise direkt neben mir steht ändert sich die MAC wenn er drucken will....
Also wie kann das sein? Übertragungsfehler im Ethernet gibt es immer aber kann sich das so ausweiten das die fehlerhaften Pakete angenommen und ausgewertet werden? Oder an was kann das liegen? Ich hab langsam keine Idee mehr....
Danke für nützliche Hinweise.
Hallo,
ich habe ein Problem, seit bei uns im Netzwerk eine MAC-Adress basierte Portsecurity eingeführt wird taucht das Problem auf, ich denke mal es war schon immer so aber vorher hat es niemand gemerkt.
Es gibt eine Handvoll PCs von ca. 3000 die willkürlich und nicht periodisch ihre MAC ändern. Dabei unterscheiden sich 2 gruppen die eine hälfte ändert sie in eine komplett andere. Bei der anderen Gruppe verschieben sich die ersten 4 Stellen nach hinten.
Bsp.: aus 00-01-02-F6-D1-C2 wird 02-F6-D1-C2-00-01
Bei einem Rechner, der glücklicherweise direkt neben mir steht ändert sich die MAC wenn er drucken will....
Also wie kann das sein? Übertragungsfehler im Ethernet gibt es immer aber kann sich das so ausweiten das die fehlerhaften Pakete angenommen und ausgewertet werden? Oder an was kann das liegen? Ich hab langsam keine Idee mehr....
Danke für nützliche Hinweise.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 79549
Url: https://administrator.de/forum/mac-aendert-sich-willkuerlich-79549.html
Ausgedruckt am: 24.12.2024 um 02:12 Uhr
6 Kommentare
Neuester Kommentar
MAC-Adressen, die sich von selber ändern sind seltsam. Normalerweise ist die MAC, außer sie wird gespooft, für jedes Gerät einmalig. Die ersten 6 Stellen sind der Hersteller und die anderen 6 Stellen sind eine Art laufende Nummer.
Wenn mehrere Geräte (z.B. virtuelle Server) die eingebaute NIC als Durchgang benutzen, können sie eingestellt werden, dass sie eine andere Adresse übermitteln. Kommt jedoch auf die Virtualisierungssoftware an.
Ein paar Infos zum Netz, der Hard- und Software wären eventuell hilfreich. Vielleicht könnte man so noch einige Rückschlüsse ziehen.
Wenn mehrere Geräte (z.B. virtuelle Server) die eingebaute NIC als Durchgang benutzen, können sie eingestellt werden, dass sie eine andere Adresse übermitteln. Kommt jedoch auf die Virtualisierungssoftware an.
Ein paar Infos zum Netz, der Hard- und Software wären eventuell hilfreich. Vielleicht könnte man so noch einige Rückschlüsse ziehen.
Hi,
wie findest du das mit den geänderten MACS heraus?
Mit IPconfig -all und da steht dann immer etwas anderes?
Was machst du mit dem Rechner neben dir, wohin will der Drucken?
Ohne angeschlossenes Netz ändert der auch seine Mac Adresse, wenn du "druckst"?
Mit Ethreal oder im DHCP Server oder "meldet" das "nur" die Überwachungssoftware?
Hmm "öffentliche Verwaltung" und Plagiate, bist du sicher, das die Switche "echt" sind???
Sorry, aber dein Problem ist wirklich nicht alltäglich, entschuldige meine "doofen" Fragen...
Zum Thema 3com & Intel NICs- ja da gibt des öfteren Probleme in großen Netzen....
(wir hatten mal mehr 3coms als Intels als ein Schwesterunternehmen, wir hatten die Probleme mit den Intels, unsere "Schwester", die mehr Intels als 3coms hatte - mit den 3Coms) das ist erst verschwunden, als wir komplett auf Broadcom und HP Switche gewechselt haben.
Nachtrag:
Kennst Du den Teil der Registry schon?
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318}\0000]
gibts dort einen den Unterschlüssel "NetworkAddress" - der sollte da nicht drin sein, wenn ja, ist das die MAC, die das System ausgibt....
Nachtrag 2:
Mooooment...
also, wenn die Macs sich wirklich dauernd ändern sollten, dann müßte euer Netz doch extrem Lahm sein, denn nur mit Broadcast würden sich die Systeme dann erkennen können...
Wie funktioniert eure Portsecurity? Mittels Telnet die Switche abfragen und dann in eine Tabelle schreiben?
Was sagt Arp -a auf dem DC oder DHCP? Ändern sich dort wirklich die Daten, oder kommt die Info aus der Portsecurity?
wie findest du das mit den geänderten MACS heraus?
Mit IPconfig -all und da steht dann immer etwas anderes?
Was machst du mit dem Rechner neben dir, wohin will der Drucken?
Ohne angeschlossenes Netz ändert der auch seine Mac Adresse, wenn du "druckst"?
Mit Ethreal oder im DHCP Server oder "meldet" das "nur" die Überwachungssoftware?
Hmm "öffentliche Verwaltung" und Plagiate, bist du sicher, das die Switche "echt" sind???
Sorry, aber dein Problem ist wirklich nicht alltäglich, entschuldige meine "doofen" Fragen...
Zum Thema 3com & Intel NICs- ja da gibt des öfteren Probleme in großen Netzen....
(wir hatten mal mehr 3coms als Intels als ein Schwesterunternehmen, wir hatten die Probleme mit den Intels, unsere "Schwester", die mehr Intels als 3coms hatte - mit den 3Coms) das ist erst verschwunden, als wir komplett auf Broadcom und HP Switche gewechselt haben.
Nachtrag:
Kennst Du den Teil der Registry schon?
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318}\0000]
gibts dort einen den Unterschlüssel "NetworkAddress" - der sollte da nicht drin sein, wenn ja, ist das die MAC, die das System ausgibt....
Nachtrag 2:
Mooooment...
also, wenn die Macs sich wirklich dauernd ändern sollten, dann müßte euer Netz doch extrem Lahm sein, denn nur mit Broadcast würden sich die Systeme dann erkennen können...
Wie funktioniert eure Portsecurity? Mittels Telnet die Switche abfragen und dann in eine Tabelle schreiben?
Was sagt Arp -a auf dem DC oder DHCP? Ändern sich dort wirklich die Daten, oder kommt die Info aus der Portsecurity?