14
Windows XP DNS Namensauflösung fehlerhaft
Hallo.
Ich habe folgendes Problem:
Auf einem Laptop mit WinXP TabletPC Edition (SP3) werden meine lokalen Hostnamen (Win2003 Domäne) über einen falschen Server aufgelöst.
Bei mir funktioniert die Netzwerkeinstellung via DHCP, die richtigen Nameserver werden zugewiesen und nslookup verwendet sie auch korrekt.
Alle anderen Programme (z.B. Ping) lösen aber über einen völlig anderen Server auf der bei mir nirgends konfiguriert ist: IP 85.255.112.146
Das ist laut ripe eine Dynamische IP von einem französischen ISP... (Das verhalten hab ich mit Microsoft Network Monitor festgestellt)
Ich kann mir allerdings nicht erklären, wo diese Einstellung festgelegt ist. In den Netzwerkeinstellungen tauchen sie nicht auf. Bei "ipconfig /all" oder mit netsh auch nicht. In der Registrierung unter dem Tcpip Service sind sie dann natürlich auch nicht zu finden.
Ein Virenscan (mit Avira) hat unter einem Firefox Ordner iamfamous.dll gefunden und als Rootkit TDss.eyj identifiziert. Eine Systemdatei SetCrSr.exe hat er als Trojaner gefunden - hat Windows Defender aber auch schon gemacht. Was da dran ist, weiß ich nicht - Avira ist ja nicht das professionellste Tool. Meines Wissens nach ist die SetCrSr.exe eine Datei von der TabletPC erweiterung und hat irgendwas mit dem Stift zu tun. Die Dateien hab ich trotzdem löschen lassen, weil sie eh nicht relevant waren. Ich habe auch nochmal mit HijackThis einen Scan durchgeführt. Dort wurde aber nichts gefunden. Auch eine manuelle Prüfung der Dienste und laufenden Prozesse mit dem ProcessExplorer ergab nichts weiter.
Achso. Wenn ich den DNSClient Dienst (dnscache) beende, werden die Hostnamen nur noch über die besagte IP aufgelöst.
Ein "netsh int ip reset" hat auch kein Erfolg gebracht.
Außerdem habe ich auch die hosts und lmhosts Dateien durchgesehen, aber dort ist auch alles normal. Nach der IP habe ich in der Registry gesucht (String und Dezimalform) - kein Treffer. Übrigens, alle anderen Computer im Netzwerk lösen ganz normal auf... ich dachte erst, das evtl. was mit den Weiterleitungen nicht stimmt - aber daran liegt es nicht.
Wo kann diese Einstellung noch festgelegt sein?
Welche Dateien/Dienste/Programme verwendet Windows noch zu Namensauflösung? - damit ich prüfen kann ob diese Original sind.
Greets,
Martin.
Ich habe folgendes Problem:
Auf einem Laptop mit WinXP TabletPC Edition (SP3) werden meine lokalen Hostnamen (Win2003 Domäne) über einen falschen Server aufgelöst.
Bei mir funktioniert die Netzwerkeinstellung via DHCP, die richtigen Nameserver werden zugewiesen und nslookup verwendet sie auch korrekt.
Alle anderen Programme (z.B. Ping) lösen aber über einen völlig anderen Server auf der bei mir nirgends konfiguriert ist: IP 85.255.112.146
Das ist laut ripe eine Dynamische IP von einem französischen ISP... (Das verhalten hab ich mit Microsoft Network Monitor festgestellt)
Ich kann mir allerdings nicht erklären, wo diese Einstellung festgelegt ist. In den Netzwerkeinstellungen tauchen sie nicht auf. Bei "ipconfig /all" oder mit netsh auch nicht. In der Registrierung unter dem Tcpip Service sind sie dann natürlich auch nicht zu finden.
Ein Virenscan (mit Avira) hat unter einem Firefox Ordner iamfamous.dll gefunden und als Rootkit TDss.eyj identifiziert. Eine Systemdatei SetCrSr.exe hat er als Trojaner gefunden - hat Windows Defender aber auch schon gemacht. Was da dran ist, weiß ich nicht - Avira ist ja nicht das professionellste Tool. Meines Wissens nach ist die SetCrSr.exe eine Datei von der TabletPC erweiterung und hat irgendwas mit dem Stift zu tun. Die Dateien hab ich trotzdem löschen lassen, weil sie eh nicht relevant waren. Ich habe auch nochmal mit HijackThis einen Scan durchgeführt. Dort wurde aber nichts gefunden. Auch eine manuelle Prüfung der Dienste und laufenden Prozesse mit dem ProcessExplorer ergab nichts weiter.
Achso. Wenn ich den DNSClient Dienst (dnscache) beende, werden die Hostnamen nur noch über die besagte IP aufgelöst.
Ein "netsh int ip reset" hat auch kein Erfolg gebracht.
Außerdem habe ich auch die hosts und lmhosts Dateien durchgesehen, aber dort ist auch alles normal. Nach der IP habe ich in der Registry gesucht (String und Dezimalform) - kein Treffer. Übrigens, alle anderen Computer im Netzwerk lösen ganz normal auf... ich dachte erst, das evtl. was mit den Weiterleitungen nicht stimmt - aber daran liegt es nicht.
Wo kann diese Einstellung noch festgelegt sein?
Welche Dateien/Dienste/Programme verwendet Windows noch zu Namensauflösung? - damit ich prüfen kann ob diese Original sind.
Greets,
Martin.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 108579
Url: https://administrator.de/contentid/108579
Ausgedruckt am: 26.11.2024 um 10:11 Uhr
14 Kommentare
Neuester Kommentar
Hallo Martin,
vergebe eine feste IP für IP-Notebook, Gateway und DNS-Server.
Ich vermute, deine DNS-Auflösung läuft über den ISP der Internetverbindung.
Schau mal in den Router, welche IPs dort vergeben sind.
Vermutlich läuft der W2003-Server und der Router mit eingeschaltetem DHCP-Server!?
Grüße aus Schönberg (Lübeck)
Wolfgang
(Netwolf)
vergebe eine feste IP für IP-Notebook, Gateway und DNS-Server.
Ich vermute, deine DNS-Auflösung läuft über den ISP der Internetverbindung.
Schau mal in den Router, welche IPs dort vergeben sind.
Vermutlich läuft der W2003-Server und der Router mit eingeschaltetem DHCP-Server!?
Grüße aus Schönberg (Lübeck)
Wolfgang
(Netwolf)
Hi,
was mienst du denn mit "alle anderen Programme" lösen über einen anderen DNS-Server auf????
Wie sieht denn deine NEtzwerk konfiguration aus???
Teil uns die doch bitte mal mit...
mfg
Sascha
was mienst du denn mit "alle anderen Programme" lösen über einen anderen DNS-Server auf????
Wie sieht denn deine NEtzwerk konfiguration aus???
Teil uns die doch bitte mal mit...
mfg
Sascha
Rechner verseucht. Formatieren und gut is.
Alles andere wird so gut wie zwecklos sein.
Alles andere wird so gut wie zwecklos sein.
Sorry hätt ich gleich schreiben sollen:
Der W2003 Server macht Domäne, DNS, DHCP usw....
Der Router ins Internet ist ein Linux Server. Die Internetverbindung läuft über Kabeldeutschland (KD).
Ich hatte bereits eine feste IP probiert. Leider auch kein Erfolg.
Der Primäre DNS Server ist 192.168.10.1, Sekundär 192.168.10.253 (Router)
Die Auflösung wird von 192.168.10.1 an den anderen weitergeleitet. Dieser leitet sie dann an die KD Nameserver.
Ich meine folgendes:
Starte ich nslookup und gebe z.B. "orion.krellmann.net" als Query ein (der Win2003 Server) löst es auf 192.168.10.1 auf. Also richtig...
Mache ich aber "ping orion.krellmann.net" wird auf 88.84.150.45 aufgelöst (das ist unser Webserver, der www.krellmann.net hostet). Das passiert deshalb, weil bei der Namensauflösung die von "ping" durchgeführt wird direkt dieser am Anfang genannte Nameserver kontaktiert wird (kann ich aus dem NM Capture entnehmen) und "orion.krellmann.net" ist im Internet nicht bekannt und nur ein Alias auf "www.krellmann.net"
Das gleiche passiert beim Anmelden an der Domäne, also beim Laden des Profils, übernahme der Gruppenrichtlinien usw.
Um Cachingprobleme zwischen den beiden Nameservern auszuschließen - weil die Konfiguration zugegebenermaßen etwas Suboptimal ist - habe ich die Caches auf beiden geleert.
Aber wie gesagt, alle anderen PC lösen die Namen komplett richtig auf.
Den Lokalen DNS Cache habe ich auch schon geleert.
Greets,
Martin.
Der W2003 Server macht Domäne, DNS, DHCP usw....
Der Router ins Internet ist ein Linux Server. Die Internetverbindung läuft über Kabeldeutschland (KD).
Ich hatte bereits eine feste IP probiert. Leider auch kein Erfolg.
Der Primäre DNS Server ist 192.168.10.1, Sekundär 192.168.10.253 (Router)
Die Auflösung wird von 192.168.10.1 an den anderen weitergeleitet. Dieser leitet sie dann an die KD Nameserver.
Ich meine folgendes:
Starte ich nslookup und gebe z.B. "orion.krellmann.net" als Query ein (der Win2003 Server) löst es auf 192.168.10.1 auf. Also richtig...
Mache ich aber "ping orion.krellmann.net" wird auf 88.84.150.45 aufgelöst (das ist unser Webserver, der www.krellmann.net hostet). Das passiert deshalb, weil bei der Namensauflösung die von "ping" durchgeführt wird direkt dieser am Anfang genannte Nameserver kontaktiert wird (kann ich aus dem NM Capture entnehmen) und "orion.krellmann.net" ist im Internet nicht bekannt und nur ein Alias auf "www.krellmann.net"
Das gleiche passiert beim Anmelden an der Domäne, also beim Laden des Profils, übernahme der Gruppenrichtlinien usw.
Um Cachingprobleme zwischen den beiden Nameservern auszuschließen - weil die Konfiguration zugegebenermaßen etwas Suboptimal ist - habe ich die Caches auf beiden geleert.
Aber wie gesagt, alle anderen PC lösen die Namen komplett richtig auf.
Den Lokalen DNS Cache habe ich auch schon geleert.
Greets,
Martin.
Editiert,
um den Thread kürzer zu machen und das Problem mit dem "FAKE" DNS 85.255.112.146 später leichter auffindbar zu machen.
Gruß
um den Thread kürzer zu machen und das Problem mit dem "FAKE" DNS 85.255.112.146 später leichter auffindbar zu machen.
Gruß
Hi,
was ganz simples, hast du auch mal in den Eigenschaften von der LAN-Verbindung auf erweitert geklickt und dann in der Registerkarte DNS die Einstellungen angeschaut, nicht das er sich da mit reingeschrieben hat....?
Gruß
Alex
was ganz simples, hast du auch mal in den Eigenschaften von der LAN-Verbindung auf erweitert geklickt und dann in der Registerkarte DNS die Einstellungen angeschaut, nicht das er sich da mit reingeschrieben hat....?
Gruß
Alex
naja - als 2. DNS gehört eigentlich ein zweiter interner rein,
aber lassen wir das mal.
aber lassen wir das mal.
Es ist ein zweiter interner DNS Server. Mit (Router) wollte ich nur die Primärfunktion mitteilen.
*häh bitte?* der interne soll doch bitte gleich an den
"echten" externen weiterschicken, nicht an irgendeine
Fritz&Franzbos whatever...
"echten" externen weiterschicken, nicht an irgendeine
Fritz&Franzbos whatever...
Es hat seinen Sinn, dass das so konfiguriert ist. Nix Fritz&Franzbos...
Es handelt sich dabei um einen öffentlichen sekundären Nameserver für eine unserer Domains.
Weitere Domains sollen da demnächst auch mit drauf. Primärer Nameserver hierfür ist dann besagter Webserver. Wir haben bei KD eine feste IP.
> Mache ich aber "ping orion.krellmann.net" wird auf
88.84.150.45 aufgelöst (das ist unser Webserver, der
www.krellmann.net hostet).
Soweit logisch
Das passiert deshalb, weil der "www" eben auf diesem Server
verlinkt ist.
Und das hat auch seinen Sinn - du verwechselt da einiges.
88.84.150.45 aufgelöst (das ist unser Webserver, der
www.krellmann.net hostet).
Soweit logisch
Das passiert deshalb, weil der "www" eben auf diesem Server
verlinkt ist.
Und das hat auch seinen Sinn - du verwechselt da einiges.
Die funktion ist mir durchaus bekannt... Ich verwechsle hier garnichts. Seinen sinn hat das natürlich.
Das Problem hierbei besteht darin, dass der erste interne DNS auch krellmann.net verwaltet. Hier sind alle lokalen Hosts eingestellt plus die Hostnamen und Funktionen des Webservers. Der Nameserver von Windows und Bind (läuft auf dem Webserver) lassen Zonentransfers untereinander nur schwer zu. Das meine ich auch mit Suboptimaler konfiguration...
Ein Query nach "orion.krellmann.net" (so heißt der Domäneserver) an einen falschen Nameserver führt halt dazu, dass danach auf dem Nameservern unseres Hosters gesucht wird. Dort existiert der Name nicht, aber ein Default-Eintrag nach "www.krellmann.net" - 88.84.150.45
Fragt also der PC hier nicht unseren lokalen DNS Server nach dem Hostnamen, sondern einen externen - was genau das Problem ist - kommt die "falsche" IP.
So und nun mal tacheless, ganz knapp in Worten, wo ist das Problem?
Viren sind es ganz sicher nicht, formatieren unnötig.
Da wir jetzt aufgrund von Kommunikationsproblemen völlig aneinander vorbeigeredet haben, schreibe ich dafür nochmal einen extra Eintrag.
Greets.
Nein der Server steht da nicht mit drin.
ipconfig /all führt nur unsere lokalen DNS Server auf.
ipconfig /all führt nur unsere lokalen DNS Server auf.
Da wir jetzt aufgrund von Kommunikationsproblemen völlig aneinander vorbeigeredet haben
schreibe ich dafür nochmal einen extra Eintrag.
schreibe ich dafür nochmal einen extra Eintrag.
*hohi - ich würde eher sagen, Wald vor lauter Bäumen und je komplexer, desto mehr Info (was ja auch gewollt ist) aber mich hats einfach "erschlagen"
Also ich - wenn ich dich jetzt richtig verstehe - würde eine W2k3 Kiste als primären benutzen und wenn du keinen Abgleich zwischen M$ und Bind hinbekommst auch einen zweiten M$ als internen.
Gruß
Ich habe es ja eben schon mit einfließen lassen.
Wenn ich den DNS-Client Diens von Windows aktiviert habe werden DNS Anfragen vom Computer nicht an den Primären oder Sekundären Nameserver gesendet, sondern an einen völlig anderen mit einer merkwürdigen IP: 85.255.112.146. Ein Captuer mit dem Netzwerkmonitor offenbart das.
Das trifft zu auf z.B. Ping, Firefox, Internetexplorer... usw.
nslookup kontaktiert aber die richtigen Nameserver, die auch in der Netzwerkverbindung konfiguriert sind:
Standardserver: orion.krellmann.net
Address: 192.168.10.1
Address: 192.168.10.1
Name: www.krellmann.net
Address: 88.84.150.45
Das kuriose ist jetzt zum einen, dass die IP 85.255.112.146 nirgends in meiner gesamten Netzwerkkonfiguration auftaucht - geschweige denn als Nameserver eingestellt ist.
Zum anderen ist es so, dass wenn ich den DNS-Client Dienst deaktiviere alles ordnungsgemäß funktioniert.
Alle Anfragen gehen an 192.168.10.1. Mich wundert zudem das es dann überhaupt noch Namen auflöst.
Greets
Martin
Wenn ich den DNS-Client Diens von Windows aktiviert habe werden DNS Anfragen vom Computer nicht an den Primären oder Sekundären Nameserver gesendet, sondern an einen völlig anderen mit einer merkwürdigen IP: 85.255.112.146. Ein Captuer mit dem Netzwerkmonitor offenbart das.
Das trifft zu auf z.B. Ping, Firefox, Internetexplorer... usw.
nslookup kontaktiert aber die richtigen Nameserver, die auch in der Netzwerkverbindung konfiguriert sind:
Standardserver: orion.krellmann.net
Address: 192.168.10.1
www.krellmann.net
Server: orion.krellmann.netAddress: 192.168.10.1
Name: www.krellmann.net
Address: 88.84.150.45
Das kuriose ist jetzt zum einen, dass die IP 85.255.112.146 nirgends in meiner gesamten Netzwerkkonfiguration auftaucht - geschweige denn als Nameserver eingestellt ist.
Zum anderen ist es so, dass wenn ich den DNS-Client Dienst deaktiviere alles ordnungsgemäß funktioniert.
Alle Anfragen gehen an 192.168.10.1. Mich wundert zudem das es dann überhaupt noch Namen auflöst.
Greets
Martin
Nein das ist es auch nicht ;)
Siehe einen Eintrag weiter unten...
Siehe einen Eintrag weiter unten...
Zitat von @sjuerges:
Rechner verseucht. Formatieren und gut is.
Alles andere wird so gut wie zwecklos sein
Rechner verseucht. Formatieren und gut is.
Alles andere wird so gut wie zwecklos sein
und nachdem ich "kleingeist" nun auch einzelne Bäumen erkenne - merke ich..
Der vorhin noch "gescholtene Tipp" ist gar nicht mal so schlecht..
Mea Culpa ;-9
Siehe Very persistant trojan - please help!
man beachte sowohl "notebook" hier in der Frage als auch den zweig
HKLM\System\CCS\Services\Tcpip\..\{19076F50-B923-4198-80F1-F382415B7826}: NameServer = 85.255.112.151;85.255.112.146 in der verlinkten Seite.
Gruß
Zitat von @60730:
> Zitat von @sjuerges:
> ----
> Rechner verseucht. Formatieren und gut is.
> Alles andere wird so gut wie zwecklos sein
und nachdem ich "kleingeist" nun auch einzelne Bäumen
erkenne - merke ich..
Der vorhin noch "gescholtene Tipp" ist gar nicht mal so
schlecht..
Mea Culpa ;-9
Siehe
[http://www.pchelpforum.com/fixed-hijackthis-logs/55696-very-persistant-trojan-please-help.html
Very persistant trojan - please help!]
man beachte sowohl "notebook" hier in der Frage als auch
den zweig
HKLM\System\CCS\Services\Tcpip\..\{19076F50-B923-4198-80F1-F382415B7826}:
NameServer = 85.255.112.151;85.255.112.146 in der
verlinkten Seite.
Gruß
> Zitat von @sjuerges:
> ----
> Rechner verseucht. Formatieren und gut is.
> Alles andere wird so gut wie zwecklos sein
und nachdem ich "kleingeist" nun auch einzelne Bäumen
erkenne - merke ich..
Der vorhin noch "gescholtene Tipp" ist gar nicht mal so
schlecht..
Mea Culpa ;-9
Siehe
[http://www.pchelpforum.com/fixed-hijackthis-logs/55696-very-persistant-trojan-please-help.html
Very persistant trojan - please help!]
man beachte sowohl "notebook" hier in der Frage als auch
den zweig
HKLM\System\CCS\Services\Tcpip\..\{19076F50-B923-4198-80F1-F382415B7826}:
NameServer = 85.255.112.151;85.255.112.146 in der
verlinkten Seite.
Gruß
Naja, ich hätte ein wenig ausführlicher werden sollen. Hatte so ein ähnliches Problem mit einem Aussendienstlaptop. War nix mehr zu machen. Hab nach 2 Tagen aufgegeben und neu installiert.
Deshalb vorhin auch meine Aussage. Aber sowas sollte man immer qualifizieren, sorry.
Ok ich werds so machen. Das ist eh die sicherere Variante.
Danke,
Martin.
Danke,
Martin.
