zero5liters
Sep 05, 2019
view1338
view8
0
Goto Top

Sonder oder Steuerzeichen im Hostname (DHCP)

GermanQuestionWindows ServerMicrosoft
Hi,

ich hab da mal ein ganz kurioses Phänomen.
Größere Umgebung (2x DC, 1x DHCP; alle 2K8R2 [jaja kommt gestern neu]).

Seit kurzem (ist es aufgefallen) ist es so das Clientrechner nicht mehr mit Namen angesprochen werden können. Im DNS geschaut, ja kein Eintrag. Von Hand registriert, alles wieder gut.
Kurze Zeit später wieder der Eintrag weg. Keine Alterung, Auto-Aufräumen oder Ähnliches aktiv.
Bei genauerer Analyse fiel dann auf das eben diese Clients, deren Hosteintrag verschwindet, im DHCP seltsame Steuerzeichen vor ihrem Hostnamen haben. Und immer wenn das der fall ist, ist eben auch der Hostname im Ar*** und somit nicht ansprechbar.

Das ganze sieht dann so im Log oder auch in der MMC aus:

Rechner1

im Notepad dann aber so:

VTRechner1

Den Zeichen nach sind es Druck/Steuercodes [FF=form feed, BS=back space, VT=vertical tab, etc alle Steuerzeichen vorhanden face-wink]

Und nun das Kuriose. Zum Wochenende hin verschwindet es und ab ~Dienstag gehts wieder los.

Viren (Schadsoftware im Allgemeinen) wurde nicht gefunden. Patchstand ist up2date. Keine von "uns" gemachten Änderungen bekannt. Auch sonst kann kein ungewöhnlicher Traffic im Netz beobachtet werden.

Ich hoffe ich hab an alle Details gedacht. Falls jemand noch mehr Infos brauch, gerne erwähnen.
Würde mich freuen wenn jemand eine Idee hat, auch wenn es nur eine Idee ist um genauer zu analysieren.

In jedem Fall vielen Dank im Voraus!!!
Cheers!
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 491950

Url: https://administrator.de/contentid/491950

Printed on: April 27, 2024 at 06:04 o'clock

8 Comments
Latest comment
Goto Top
Member: Pjordorf
Pjordorf Sep 05, 2019 at 13:57:32 (UTC)
Goto Top
Hallo,

Zitat von @zero5liters:
Das ganze sieht dann so im Log oder auch in der MMC aus:

Rechner1

im Notepad dann aber so:

VTRechner1

Also ich kann nichts sehen was du meinst noch was du siehst. Zu schnell STRG + C und STRG + V verwendet oder die Buttons Links vom Editor-Fenster übersehen?

Gruß,
Peter
Member: chiefteddy
chiefteddy Sep 05, 2019 at 16:18:05 (UTC)
Goto Top
Würde mich freuen wenn jemand eine Idee hat, auch wenn es nur eine Idee ist um genauer zu analysieren.

Hallo,

mit Wireshark gezielt das Anfordern und Ausliefern einer IP über DHCP für einen betroffenen Client mitschneiden. Gegebenenfalls auch mal ein nslookup auf die betroffenen Rechner mitschneiden.

Ausführlichen Protokoll im DHCP- und DNS-Server aktivieren und für die betroffenen Rechner auswerten.

Jürgen
Member: cykes
cykes Sep 06, 2019 at 04:55:48 (UTC)
Goto Top
Hallo,

hast Du schon mal forward und reverse lookup Einträge der betroffenen PCs im DNS verglichen?

Haben die betroffenen PCs/Geräte irgendeine Gemeinsamkeit (Betriebssystem, Abteilung, über WLAN verbunden, bestimmter Hersteller/Modell oder ...)? Oder sind alle Geräte betroffen?

Eventuell könnte auch die DHCP-Datenbank defekt sein, vgl. bspw. https://www.andysblog.de/windows-server-dhcp-datenbank-sichern-und-wiede ...

Gruß

cykes
Member: zero5liters
zero5liters Sep 06, 2019 at 05:28:40 (UTC)
Goto Top
Hi,

danke. Aber das scheint ein Problem in Deinem Browser zu sein. Denn ich kann es sogar in Deinem Zitat sehen.

Aber dennoch hier mal noch wie es tatsächlich aussieht. (Weißer Hintergrund = MMC, schwarz=Notepad++).
2019-09-06 07_23_11-_ipv4_bereich [192.168.4.0] b
2019-09-06 07_21_12-_new 16 - notepad++
2019-09-06 07_22_19-_new 16 - notepad++
2019-09-06 07_23_56_ipv4_bereich [192.168.4.0] b
Member: zero5liters
zero5liters Sep 06, 2019 at 05:32:44 (UTC)
Goto Top
Wireshark auf dem Client war unauffällig. Da scheint alles korrekt zu laufen.
NSLOOKUP muss ich mir mal anschauen.

Die Protokolle hab ich shcon hochgedreht. Aber auch hier ist nichts zu finden wer es verursacht.
Member: zero5liters
zero5liters Sep 06, 2019 at 05:36:09 (UTC)
Goto Top
@cykes
Ein Vergleich so jetzt eigentlich nicht direkt. Muss ich mir wohl auch noch genauer anschauen.
Gemeinsamkeiten eher nicht. Unterschiedliche Hardware, Win7 oder Win10, Lan & WLAN, auch Standort o.ä. ist unterschiedlich. Also man kann keine Gruppen bilden bzw. Schnittmengen ...

DHCP DB war auch auf meinem Radar. Aber bislang noch nicht nachgesehen. Ich schaue mir mal den Link an. Danke
Member: cykes
cykes Sep 06, 2019, updated at Sep 09, 2019 at 05:39:22 (UTC)
Goto Top
Zitat von @zero5liters:

Gemeinsamkeiten eher nicht. Unterschiedliche Hardware, Win7 oder Win10, Lan & WLAN, auch Standort o.ä. ist unterschiedlich. Also man kann keine Gruppen bilden bzw. Schnittmengen ...
Das ist natürlich ungünstig face-wink Könnte bspw. auch auftreten, wenn ein Laptop gleichzeitig per LAN und WLAN im Netz ist. Alternativ wenn testweise eine IP aus dem DHCP-Bereich auf statisch umgestellt wurde. Oder es irgendwann mal einen Adresskonflikt gab.
DHCP DB war auch auf meinem Radar. Aber bislang noch nicht nachgesehen. Ich schaue mir mal den Link an. Danke
Ggf. einfach mal die DB neu aufsetzen, eine Reparatur kann ggf. nicht mehr möglich sein.

Sonst wäre noch eine Idee: Sind die Geräte eventuell zum Sparen von Netzwerkdosen über ein IP-Telefon angeschlossen?
Member: zero5liters
zero5liters Sep 09, 2019 at 05:33:42 (UTC)
Goto Top
Nochmal vielen Dank @cykes.
Aber auch da war nix zu holen.
Habe aber nun doch noch ne Schnittmenge "gefunden" (eher übersehen oder vernachlässigt).
Der Paketmanager hat mit allen zu tun, zwar auch weitaus mit mehr Maschinen. Aber ich werde mal weiter in die Richtung suchen. Falls ich etwas finde werde ich es zumindest hier kund tun.
GermanQuestionWindows ServerMicrosoft