HILFE gesucht!
Haben einen Windows 2000 Server mit 7 W2000 Clients und einem Zyxel Prestige Router. Folgendes Problem: die Clients öffnen ohne Grund die Internetverbindung, nach längerem Nachforschen mit einer Desktop Firewall kam heraus das der Dienst service.exe immer anfragen auf die 2 Tiscali-Server macht,die im Router definert sind. Das Protokoll dass diese Abfrage auslöst ist UDP mit verschiedenen Source-Ports und immer zu den zwei Ziel-Servern, logischerweise auf Port 53 (DNS). Da ich unmöglich alle Ports filtern kann die mir diese Verbindung öffnen, vorallem immer verschiedene Clients, muss irgendwie eine andere Lösung her ???
Wer weiss z.B. wie man diese Service.exe (Anwendung für Dienste und Controller) oder überhaupt die Clients oder der Server so konfiguren kann das die Verbindung nicht mehr automatisch geöffnet wird sofern nicht gewollt (IE und Outlook).
Port 53 kann ich ja nicht konstant sperren da sonst die ganze Internetgeschichte überhaupt nich mehr läuft.
DNS Fehlkonfiguration
Vermutlich hast Du es mit einer Fehlkonfiguration des lokalen DNS zu tun. Ich hab leider keine Win2k Domäne hier zu Hause und kann Dir deshalb nicht die genauen Wege nennen, aber auf dem PDC kannst Du unter Arbeitsplatz -> Eigenschaften -> Netzwerkirgendwas ein Name Suffix für die lokale Domäne einstellen. Der DNS-Server muß natürlich auch so konfiguriert sein (üblicherweise nennst Du Deine Domäne irgendwas.local).
Momentan scheint jeder Rechner bei der (normal häufigen) Namensauflösung aufgrund eben dieser Fehlkonfiguration den Nameserver des Providers oder irgendwelche Root-Server im Netz abzufragen.
Wenn Du irgendwelche Einstellungen veränderst, check das immer sofort mit nem nslookup von mehreren Rechnern aus!
Genauer kann ich’s leider momentan nicht erklären - vielleicht jemand anders?
Gruß,
Doc.
…
was hat das mit it-sicherheit zu tun ?
das win2k forum waere dafuer wohl besser geeignet …
was hat das mit it-sicherheit zu tun ?
das win2k forum waere dafuer wohl besser geeignet …
Das ist korrekt. Zumal es wohl ein Doppelposting ist (ich hab das zweite aber beim flüchtigen suchen nicht gefunden).
Einen Zusammenhang gibt es aber doch: Genau dieser spezielle Fall wird häufig zunächst als Trojaner-Befall interpretiert, schließlich ist DNS-Tunneling eine bekannte Möglichkeit und die Verbindungsversuche scheinen unvermittelt aufzutreten. Tatsächlich ist das sogar eine Möglichkeit, in den allermeisten Fällen stellt es sich jedoch als eine DNS-Miskonfiguration heraus.
Also, an den Ursprungsposter:
Überprüf die Möglichkeit der fehlerhaften DNS-Konfiguration mal und wende Dich mit weiteren Fragen an das Win2k-Brett!
Gruß,
Doc.
was hat das mit it-sicherheit zu tun ?
das win2k forum waere dafuer wohl besser geeignet …
Das ist korrekt. Zumal es wohl ein Doppelposting ist (ich hab
das zweite aber beim flüchtigen suchen nicht gefunden).
Die Diskussion aus dem Windows NT/2k/XP-Brett ist schon einige Tage alt und daher bereits im Archiv gelandet:
http://www.wer-weiss-was.de/cgi-bin/forum/showarchiv…
Einen Zusammenhang gibt es aber doch: Genau dieser spezielle
Fall wird häufig zunächst als Trojaner-Befall interpretiert,
Ich denke auch, dass dies eine Frage im Brett IT-Sicherheit rechtfertigt, und habe den Artikel daher nicht verschoben.
CU
Markus
(Moderator des Brettes IT-Sicherheit)