Rechner in Domäne fährt hoch und meldet sich mit Domänenuser an
Hallo zusammen,
ich habe zurzeit ein Problem, bei dem ich absolut ratlos bin, evtl kann mir jemand von euch weiterhelfen.
Ein MA rief mich an, dass sein Rechner jeden Montag, wenn er ins Büro kommt, eingeschaltet sei. Um sicherzugehen ob es am Rechner oder Netzwerk liegt empfahl ich ihm das Netzwerkkabel zu entfernen. Rechner wurde nicht eingeschaltet, also kommt der Bootbefehl über das Netzwerk. Das einfachste wäre nun natürlich einfach WOL im BIOS abzuschalten, aber dies würde meine Administratorenehre vereltzen ;P
Die Frage die ich mir zuerst stellte war natürlich wo der Befehl genau herkommt. Da wir eine Softwareverteilung einsetzen liegt es nahe, dass diese etwas zu installieren versucht. Habe jedoch gegengecheckt und festgestellt, dass alle Softwarepakete installiert sind, keine Updates ausstehen usw.
In der Aufgabenplanung ist auch nichts enthalten was zum boot führen könnte. Laut Eventlog fährt der Rechner zu unterschiedlichen Zeiten hoch. Mal mittags gegen 5 mal in der Nacht. Jobs der Softwareverteilung laufen nur zwischen 9-15 Uhr.
Jetzt kommt jedoch das kurioseste an der ganzen Sache: Der MA hat soeben angerufen, dass nun nach dem WE der Rechner gebootet wurde und er angemeldet sei. Er ist also schon direkt auf dem Desktop (mit seinem Profil) und kann theoretisch anfangen zu arbeiten. Nach einem Neustart bekommt er dann wieder die Standard-Windows 7 Anmeldemaske.
Hat vielleicht jemand einen Ansatz wo ich weitersuchen kann? Drehe mich zurzeit ziemlich im Kreis bei diesem Problem...
Freundlicher Gruß
ich habe zurzeit ein Problem, bei dem ich absolut ratlos bin, evtl kann mir jemand von euch weiterhelfen.
Ein MA rief mich an, dass sein Rechner jeden Montag, wenn er ins Büro kommt, eingeschaltet sei. Um sicherzugehen ob es am Rechner oder Netzwerk liegt empfahl ich ihm das Netzwerkkabel zu entfernen. Rechner wurde nicht eingeschaltet, also kommt der Bootbefehl über das Netzwerk. Das einfachste wäre nun natürlich einfach WOL im BIOS abzuschalten, aber dies würde meine Administratorenehre vereltzen ;P
Die Frage die ich mir zuerst stellte war natürlich wo der Befehl genau herkommt. Da wir eine Softwareverteilung einsetzen liegt es nahe, dass diese etwas zu installieren versucht. Habe jedoch gegengecheckt und festgestellt, dass alle Softwarepakete installiert sind, keine Updates ausstehen usw.
In der Aufgabenplanung ist auch nichts enthalten was zum boot führen könnte. Laut Eventlog fährt der Rechner zu unterschiedlichen Zeiten hoch. Mal mittags gegen 5 mal in der Nacht. Jobs der Softwareverteilung laufen nur zwischen 9-15 Uhr.
Jetzt kommt jedoch das kurioseste an der ganzen Sache: Der MA hat soeben angerufen, dass nun nach dem WE der Rechner gebootet wurde und er angemeldet sei. Er ist also schon direkt auf dem Desktop (mit seinem Profil) und kann theoretisch anfangen zu arbeiten. Nach einem Neustart bekommt er dann wieder die Standard-Windows 7 Anmeldemaske.
Hat vielleicht jemand einen Ansatz wo ich weitersuchen kann? Drehe mich zurzeit ziemlich im Kreis bei diesem Problem...
Freundlicher Gruß
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 232814
Url: https://administrator.de/contentid/232814
Ausgedruckt am: 25.11.2024 um 18:11 Uhr
5 Kommentare
Neuester Kommentar
Hi
Das hört sich an als würde der PC ein eigenleben entwickeln.
Da das Problem nicht auftaucht wenn das Netzwerk nicht angeschlossen ist würde ich nach den standard Aufgaben wie Virenprüfung, Automatische Tasks kontrollieren usw. einen kleinen HUB oder Switch(mit Managment) zwischen den Rechner und das Netzwerk hängen und den Trafik des PCs mit einem Sniffer wie zb. Wireshark mitschneiden. Wenn du dann ins eventlog schaust und siehst das sich den PC um 23:14 Uhr eingeschaltet hat musst du nur noch im Log von Wireshark nachschauen welcher Trafik da gelaufen ist und von wo die Packete kommen.
Wenn man die Quelle des bösen kennt kann man dann weitersuchen.
LG Andy
Das hört sich an als würde der PC ein eigenleben entwickeln.
Da das Problem nicht auftaucht wenn das Netzwerk nicht angeschlossen ist würde ich nach den standard Aufgaben wie Virenprüfung, Automatische Tasks kontrollieren usw. einen kleinen HUB oder Switch(mit Managment) zwischen den Rechner und das Netzwerk hängen und den Trafik des PCs mit einem Sniffer wie zb. Wireshark mitschneiden. Wenn du dann ins eventlog schaust und siehst das sich den PC um 23:14 Uhr eingeschaltet hat musst du nur noch im Log von Wireshark nachschauen welcher Trafik da gelaufen ist und von wo die Packete kommen.
Wenn man die Quelle des bösen kennt kann man dann weitersuchen.
LG Andy
:D :D :D
Das mit der automatischen Anmeldung finde ich gerade sehr amüsant :D
Sry.
Also ich schließe mich "Lochkartenstanzer" an.
Auch wenn es mit der automatischen Anmeldung sehr kurios und beängstigend ist, würde
ich zunächst prüfen, woher der Befehl überhaupt kommt.
Das kannst du, wie Lochkartenstanzer auch schon mitgeteilt hat, über einen Netzwerksniffer machen.
• Wake on Lan Monitor
• WireShark
Wenn das geklärt ist, wird sich evtl. auch die Frage klären, weshalb der Benutzer bereits angemeldet war.
Hoffe du teilst deine Erkenntnis nachher mit uns :D
Beste Grüße & viel Erfolg :p
Das mit der automatischen Anmeldung finde ich gerade sehr amüsant :D
Sry.
Also ich schließe mich "Lochkartenstanzer" an.
Auch wenn es mit der automatischen Anmeldung sehr kurios und beängstigend ist, würde
ich zunächst prüfen, woher der Befehl überhaupt kommt.
Das kannst du, wie Lochkartenstanzer auch schon mitgeteilt hat, über einen Netzwerksniffer machen.
• Wake on Lan Monitor
• WireShark
Wenn das geklärt ist, wird sich evtl. auch die Frage klären, weshalb der Benutzer bereits angemeldet war.
Hoffe du teilst deine Erkenntnis nachher mit uns :D
Beste Grüße & viel Erfolg :p