zero5liters
05.09.2019
view1488
view8
0
Goto Top

Sonder oder Steuerzeichen im Hostname (DHCP)

FrageMicrosoftWindows Server
Hi,

ich hab da mal ein ganz kurioses Phänomen.
Größere Umgebung (2x DC, 1x DHCP; alle 2K8R2 [jaja kommt gestern neu]).

Seit kurzem (ist es aufgefallen) ist es so das Clientrechner nicht mehr mit Namen angesprochen werden können. Im DNS geschaut, ja kein Eintrag. Von Hand registriert, alles wieder gut.
Kurze Zeit später wieder der Eintrag weg. Keine Alterung, Auto-Aufräumen oder Ähnliches aktiv.
Bei genauerer Analyse fiel dann auf das eben diese Clients, deren Hosteintrag verschwindet, im DHCP seltsame Steuerzeichen vor ihrem Hostnamen haben. Und immer wenn das der fall ist, ist eben auch der Hostname im Ar*** und somit nicht ansprechbar.

Das ganze sieht dann so im Log oder auch in der MMC aus:

Rechner1

im Notepad dann aber so:

VTRechner1

Den Zeichen nach sind es Druck/Steuercodes [FF=form feed, BS=back space, VT=vertical tab, etc alle Steuerzeichen vorhanden face-wink]

Und nun das Kuriose. Zum Wochenende hin verschwindet es und ab ~Dienstag gehts wieder los.

Viren (Schadsoftware im Allgemeinen) wurde nicht gefunden. Patchstand ist up2date. Keine von "uns" gemachten Änderungen bekannt. Auch sonst kann kein ungewöhnlicher Traffic im Netz beobachtet werden.

Ich hoffe ich hab an alle Details gedacht. Falls jemand noch mehr Infos brauch, gerne erwähnen.
Würde mich freuen wenn jemand eine Idee hat, auch wenn es nur eine Idee ist um genauer zu analysieren.

In jedem Fall vielen Dank im Voraus!!!
Cheers!
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 491950

Url: https://administrator.de/contentid/491950

Ausgedruckt am: 23.11.2024 um 07:11 Uhr

8 Kommentare
Neuester Kommentar
Goto Top
Pjordorf
Pjordorf 05.09.2019 um 15:57:32 Uhr
Goto Top
Hallo,

Zitat von @zero5liters:
Das ganze sieht dann so im Log oder auch in der MMC aus:

Rechner1

im Notepad dann aber so:

VTRechner1

Also ich kann nichts sehen was du meinst noch was du siehst. Zu schnell STRG + C und STRG + V verwendet oder die Buttons Links vom Editor-Fenster übersehen?

Gruß,
Peter
chiefteddy
chiefteddy 05.09.2019 um 18:18:05 Uhr
Goto Top
Würde mich freuen wenn jemand eine Idee hat, auch wenn es nur eine Idee ist um genauer zu analysieren.

Hallo,

mit Wireshark gezielt das Anfordern und Ausliefern einer IP über DHCP für einen betroffenen Client mitschneiden. Gegebenenfalls auch mal ein nslookup auf die betroffenen Rechner mitschneiden.

Ausführlichen Protokoll im DHCP- und DNS-Server aktivieren und für die betroffenen Rechner auswerten.

Jürgen
cykes
cykes 06.09.2019 um 06:55:48 Uhr
Goto Top
Hallo,

hast Du schon mal forward und reverse lookup Einträge der betroffenen PCs im DNS verglichen?

Haben die betroffenen PCs/Geräte irgendeine Gemeinsamkeit (Betriebssystem, Abteilung, über WLAN verbunden, bestimmter Hersteller/Modell oder ...)? Oder sind alle Geräte betroffen?

Eventuell könnte auch die DHCP-Datenbank defekt sein, vgl. bspw. https://www.andysblog.de/windows-server-dhcp-datenbank-sichern-und-wiede ...

Gruß

cykes
zero5liters
zero5liters 06.09.2019 um 07:28:40 Uhr
Goto Top
Hi,

danke. Aber das scheint ein Problem in Deinem Browser zu sein. Denn ich kann es sogar in Deinem Zitat sehen.

Aber dennoch hier mal noch wie es tatsächlich aussieht. (Weißer Hintergrund = MMC, schwarz=Notepad++).
2019-09-06 07_23_11-_ipv4_bereich [192.168.4.0] b
2019-09-06 07_21_12-_new 16 - notepad++
2019-09-06 07_22_19-_new 16 - notepad++
2019-09-06 07_23_56_ipv4_bereich [192.168.4.0] b
zero5liters
zero5liters 06.09.2019 um 07:32:44 Uhr
Goto Top
Wireshark auf dem Client war unauffällig. Da scheint alles korrekt zu laufen.
NSLOOKUP muss ich mir mal anschauen.

Die Protokolle hab ich shcon hochgedreht. Aber auch hier ist nichts zu finden wer es verursacht.
zero5liters
zero5liters 06.09.2019 um 07:36:09 Uhr
Goto Top
@cykes
Ein Vergleich so jetzt eigentlich nicht direkt. Muss ich mir wohl auch noch genauer anschauen.
Gemeinsamkeiten eher nicht. Unterschiedliche Hardware, Win7 oder Win10, Lan & WLAN, auch Standort o.ä. ist unterschiedlich. Also man kann keine Gruppen bilden bzw. Schnittmengen ...

DHCP DB war auch auf meinem Radar. Aber bislang noch nicht nachgesehen. Ich schaue mir mal den Link an. Danke
cykes
cykes 06.09.2019, aktualisiert am 09.09.2019 um 07:39:22 Uhr
Goto Top
Zitat von @zero5liters:

Gemeinsamkeiten eher nicht. Unterschiedliche Hardware, Win7 oder Win10, Lan & WLAN, auch Standort o.ä. ist unterschiedlich. Also man kann keine Gruppen bilden bzw. Schnittmengen ...
Das ist natürlich ungünstig face-wink Könnte bspw. auch auftreten, wenn ein Laptop gleichzeitig per LAN und WLAN im Netz ist. Alternativ wenn testweise eine IP aus dem DHCP-Bereich auf statisch umgestellt wurde. Oder es irgendwann mal einen Adresskonflikt gab.
DHCP DB war auch auf meinem Radar. Aber bislang noch nicht nachgesehen. Ich schaue mir mal den Link an. Danke
Ggf. einfach mal die DB neu aufsetzen, eine Reparatur kann ggf. nicht mehr möglich sein.

Sonst wäre noch eine Idee: Sind die Geräte eventuell zum Sparen von Netzwerkdosen über ein IP-Telefon angeschlossen?
zero5liters
zero5liters 09.09.2019 um 07:33:42 Uhr
Goto Top
Nochmal vielen Dank @cykes.
Aber auch da war nix zu holen.
Habe aber nun doch noch ne Schnittmenge "gefunden" (eher übersehen oder vernachlässigt).
Der Paketmanager hat mit allen zu tun, zwar auch weitaus mit mehr Maschinen. Aber ich werde mal weiter in die Richtung suchen. Falls ich etwas finde werde ich es zumindest hier kund tun.
FrageMicrosoftWindows Server
Mehr von zero5literszero5litersOfflinedateien und Starmenüsuchezero5liters - 3 Kommentarezero5litersFatClient und servergespeicherte Profilezero5liters - 8 Kommentarezero5litersGeeignete bzw. beste Scriptsprache?!zero5liters - 6 Kommentarezero5litersCAL oder Wechsel zu 2012zero5liters - 8 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 24 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareaufdemmarsHP Z620 USB hat kein Strom beim Startenaufdemmars - 17 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 15 KommentareUnluckyProccess1999Creo 4.0 Lizenz Server (LMTOOLS)UnluckyProccess1999 - 13 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 13 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareadmtechEntwicklertagebuch: Release 6.4 - Filteradmtech - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 12 KommentareZZaaiiggaaEDIFACT - Keins vorhanden ?ZZaaiiggaa - 11 Kommentare