Jump to content

judith

Members
  • Gesamte Inhalte

    70
  • Registriert seit

  • Letzter Besuch

Beiträge erstellt von judith

  1. Also,

    ich habe gestern mir noch einmal das event-log angeschaut und habe diesmal etwas gefunden. Dort sind 3 kritische events, 1. DNS Server kann nicht gefunden werden oder existiert nicht, 2. das gleiche wie bei 1 nur mit der Active Directory, 3. Das System kann die angegebene Datei (logon.vbs) nicht finden bzw. ausführen.

    .

    Da scheint mir im eigentlichen Sinne das Ärgernis herzukommen.

    Ja funktioniert denn die Namensauflösung?

    Und es bliebe noch zu bemerken Exec, glaub st du denn, wenn du keine Meldung über Viren mehr bekommst, daß die Viren wirklich weg sind?

    Wo waren die denn drauf? Auf dem Mapping-Laufwerk oder auf den Clients oder gleich überall?

    Mach doch mal eine Diagnose netdiag /dcdiag uns lookup.

    kann davon ein Lied singen.

    judith

  2. Hallo,

    zuerst mal die Fragen.

    1. DNS bei TCP/IP natürlich eingetragen

    2. neuer DC ist als Globaler Katalog und als WINS installiert

    3. Alle clients haben die neuen Einträge

    (dürfte ja aber nicht das Problem sein, denn es geht ja in erster Linie nicht um die Clients sondern darum, dass der neue DC ewig lange nach Netzwerkverbindungen sucht, wenn der alte abgehängt wurde.

    IPCONFIG:

    Windows-IP-Konfiguration

     

     

     

    Hostname . . . . . . . . . . . . : wolf-serv

     

    Primäres DNS-Suffix . . . . . . . : wolf.local

     

    Knotentyp . . . . . . . . . . . . : Hybrid

     

    IP-Routing aktiviert . . . . . . : Nein

     

    WINS-Proxy aktiviert . . . . . . : Nein

     

    DNS-Suffixsuchliste . . . . . . . : wolf.local

     

     

     

    Ethernet-Adapter LAN-Verbindung:

     

     

     

    Verbindungsspezifisches DNS-Suffix:

     

    Beschreibung . . . . . . . . . . : Intel® PRO/1000 MT Network Connection

     

    Physikalische Adresse . . . . . . : 00-15-17-B2-C0-87

     

    DHCP aktiviert . . . . . . . . . : Nein

     

    IP-Adresse. . . . . . . . . . . . : 192.168.0.15

     

    Subnetzmaske . . . . . . . . . . : 255.255.255.0

     

    Standardgateway . . . . . . . . . : 192.168.0.100

     

    DNS-Server . . . . . . . . . . . : 192.168.0.15

     

    192.168.0.10

  3. Grüße euch.

    Hab da mal ne Frage.

    Ich habe da einen Server, der langsam in die Tage gekommen ist.

    Habe den neuen Server (beide "W3k) in die Dom gehoben.

    Dann hochgestuft.

    Rollen auf den neuen übertragen. netdom meldet alle Rollen ok

    Lief alles problemlos.

    Dcdiag und netdiag, sowie nslookup einwandfrei.

    Keine Fehlermeldungen im Event.

    DNS DHCP eingerichtet.

    Alle Updates und SP2 installiert.

    Danach den alten heruntergefahren; habe ih vorsichtshalber

    mal 1 Tag noch dran gelassen.

     

    Wenn ich dann neu starte, dann steht da Minutenlang

    "Netzwerkverbindungen werden gestartet"

    Und es tut sich nichts mehr.

    Mache ich den alten Serer wieder dran, klappt das sofort.

    Was kann die Ursache sein?

    Judith

    edit: Ich habe noch was festgestellt.

    Wenn ich Rechte übertrage/ändere auf die kopierten Verzeichnisse,

    dauert das unendlich lange und manchmal kommt auch "Keine Rückmeldung"

  4. Hi Kiddy,

    so schnell aufgeben?

    Jetzt mal zum SBS.

     

    Ob die "Kiste" korrekt augesetzt ist musst Du erst mal rausfinden.

    Meine Worte beziehen sich jetzt mal auf den 2003er. Einen SBS 2008 hatte ich nocht nicht in den Händen. Ob es da anders ist?

     

    Sind alle Treiber auf dem neuesten Stand?

    Was sagt das Ereignis. Und so weiter.

     

    Dann wäre es gut, auf die Frage von LukasB zu antworten, was denn so alles nicht geht.

     

    Erst mal sehen ob es auch so klappt.

    Kopf nicht hängen lassen.

    judith

  5. Ok, dann liegt hier scheinbar ein kleines "Kommunikationsproblem" vor. Du hast also keinen Mitgliedsserver, sondern einen Stand-Alone-Server in einer Workgroup. Die Formulierung "Mitgliedsserver" intoniert, dass du eine Domäne hast, in der dieser Server Mitglied ist, daher der logische Schluss von Nils, dich auf das A-G-DL-P-Prinzip zu lenken.

     

    Beschreib doch mal ein wenig ausführlicher deinen Aufbau und wie die Nutzer momentan gegen den Server authentifiziert werden.

     

    :shock:

    Au Backe. War wohl zu lange weg aus dem Milieu! Eigentlich die letzten Jahre primär bei der Walldorf-Fraktion tätig in einem anderen Bereich des Unternehmens.

    Bitte um Entschuldigung.

    Zum Aufbau - so etwa aus der Erinnerung:

    Es sind insgesamt 6 Server, 5x 2003R2 und 1 2008R2, alle lediglich Stand-allone. Konstruktion und Entwicklung Maschinenbau.

    Die Benutzer greifen auf die Freigaben zu. Und das auch in unterschiedlichen Subnetzen, also nicht generell auf alle Server sondern nur auf ausgewählte. Das ist eine absolut unmögliche Umgebung hier, keine Logik von A bis Z.

    Es gibt keinerlei Strukturen. Daß das alles "fast" ohne Probleme bisher gelaufen ist, wirkt Wunder.

    Die Einschränkung soll jedoch nur für den 2008er gelten, beim Rest bleibt alles wie gehabt.

    Wollte eine Domäne einrichten und zusammen mit den beiden "Admins" die hier werkeln, das machen. Die haben aber keinerlei Ausbildung. War bisher auch nicht notwendig, weil alle daselbe machen durften.

    Das Werk bleibt auch weiterhin autark und soll nicht in die Gesamtstruktur eingebettet werden. Nicht kopfschütteln, ich kann es nicht ändern.

    Bin derzeit nicht im Unternehmen, will deshalb auch nichts falsches in die Welt setzen.

    Wird mein Problem etwas verständlicher?

    judith

  6. Hi Niels,

    habe da bei Jusuf schon nachgelesen, jedoch bin ich etwas verwirrt, weil da folgendes steht:

    "Zusammenfassend lässt sich sagen, dass A-G-DL-P-Prinzip, arbeitet nicht mit lokalen, sondern mit domänenlokalen Gruppen (solchen, die im Active Directory gespeichert sind) und funktioniert nur im native Mode, da im mixed Mode die domänenlokalen Gruppen nur auf den DCs eingesetzt werden können. Erst im native Mode stehen die DL-Gruppen auf allen Domänenmitgliedern zur Verfügung".

    Es ist aber nur ein normaler Mitgliedsserver, alles ohne Domäne installiert.

    Wo ist mein Denkfehler?

    judith

  7. Hi,

    ich muss da mal nachfragen, wie ihr das machen würdet.

    Habe hier einen 2008R2, der jetzt einige Monate brav als Mitgliedsserver werkelt.

    Darauf sind Verzeichnisse und Unterverzeichnisse wild verschachtelt.

    Das ist leider so übernommen worden vom "gestorbenen 2003er Server".

    Bisher haben da alle Vollzugriff auf Freigabseite und Vollzugriff auf NTFS.

    Jetzt plötzlich sollen in dieser Verschachtelung einzelne Ordner nur bestimmten Personen zugeordnet werden.

    Ich habe vorgeschlagen, die Ordner herauszunehmen und so eine neue Stuktur zu ermöglichen, will ab er der Große Meister nicht. Basta wie einst Schröder und somit Ende der Diskussion.

    Doch was nun?

    Ist es ratsam mit Verweigerungsrechten zu arbeiten?:confused:

    Alles andere wäre bei so vielen Benutzern eine Heidenarbeit.

    Vorschläge nehme ich gerne entgegen.

    judith

    - Jetzt wieder zu Haus -

  8. Hi,

    ich möchte lieber noch das Board befragen, bevor ich mich an die Aufgabe mache, damit nichts in die Hose geht.

    Aufgabe

    Server 2000 Standard mit SP4 (AD usw.) soll einen

    Exchange Server 2003 R2 bekommen.

    Ich habe mal gesucht und gefunden, dass es geht, aber mit Einschränkungen (RPC).

    Gibt es noch etwas zu beachten auf das ihr bei gleicher Fragestellung vielleicht noch gestoßen seid?

    Im Board habe ich lange gesucht aber leider keinen Treffer gelandet.

    Danke mal für die Antworten.

     

    judith

  9. Naja, ich frage mich, wie überhaupt auf einen DC dermaßen viel Malware kommen konnte?

     

    Habt ihr vom DC aus gesurft?!

     

    Mit den 180°:

     

    Manche müssen erst in eine mittlere Katastrophe rutschen, bevor da mal was in die Sicherheit investiert wird...

     

    Christoph

    Hallo Christoph35,

    nein. Gesurft wird mit den Maschinen nicht. Die stehen gut gesichert im Schrank und es gab bisher nur 3 Leute mit Zutritt. Die schließen auf und beim Abgang wieder zu.

    Allerdings kann ich nicht ausschließen, daß von den beiden anderen die Zutritt haben alle reinen Gewissens sind.

    Erklärbar ist es auf keinen Fall. Was auch immer da abgelaufen ist, es gibt in Zukunft nur noch einen einzigen Schlüssel für den Boss und einen für mich. Die beiden anderen Admins wurde "entfernt".

    Dennoch würde ich gerne herausfinden, was abgelaufen ist, wie das kommen konnte. Das ist ja der reinste Horror. Vielleicht hat noch jemand mal so etwas erlebt und erinnert sich. Würde mich jedenfalls freuen.

    Gruß von Judith

  10. Hallo Leute,

    nett daß noch Meldungen gekommen sind.

     

    Das mit Image hätte mir nur dann was gebracht, wenn ich noch Zugriff gehabt hätte, denn es waren ja alle 2 DC weg. Mit dem CSVDE haben wir auch noch geprüft, aber wir konnten keinen Kontakt mehr herstellen. Man könnte sagen die Domäne war zu 100% im Eimer und auch die Bänder waren voll versuchet. Die beiden Hosts waren einfach tot und der Systemstatus auf den Bändern nicht mehr brauchbar.

    Ein Dienstleister hat noch wichtige Daten rücksichern können, damit waren wir vollständig. **** nur mit dem sauberen DC in der Unterdomäne. Den machen wir dann in 4 Wochen.

     

    Das hat jetzt echt Kohle gekostet und unser Chef dreht sich auf einmal um fast 180 Grad (nur fast!).

    Backup Strategie ist inzwischen geändert.

    Ansonsten wird noch stark aufgerüstet, also zusätzliche Spam Software wird installiert usw....

     

    Grüße von Judith an alle.

  11. Hi,

    iNetter Chef, übrigens. Dem scheint nicht viel an seiner Firma zu liegen oder ihr seid nicht sonderlich von EDV abhängig.

     

    Gruß und viel Glück

     

    woiza

    Hallo woiza,

    der ist supergeizig, das kann man sich nicht vorstellen. Da muss man um jede "Diskette" kämpfen bis was kommt.

    Hallo Jungs,

     

    kam gerade von den Experten rein was es genau war und die Erklärung von Sophos dazu.

     

     

    Backdoor.Win32.ServU-based.gen

    Type Malware

    Type Description Malware ("malicious software") consists of software with clearly malicious, hostile, or harmful functionality or behavior and that is used to compromise and endanger individual PCs as well as entire networks.

    Category Backdoor

    Category Description A Backdoor is a software program that gives an attacker unauthorized access to a machine and the means for remotely controlling the machine without the user's knowledge. A Backdoor compromises system integrity by making changes to the system that allow it to by used by the attacker for malicious purposes unknown to the user.

    Level High

    Level Description High risk threats are typically installed without user interaction through security exploits, and can severely compromise system security. Such threats may open illicit network connections, use polymorphic tactics to self-mutate, disable security software, modify system files, and install additional malware. These threats may also collect and transmit personally identifiable information (PII) without your consent and severely degrade the performance and stability of your computer.

    Advice Type Remove

    File Traces

    7beae0cf82301b89cb243f5bf6b0494c.EXE

    iissrvs.exe

    jasfv.dll

    omnithread_rt.dll

    secure.exe

    svchost.exe

    svhost.exe

     

    Ich glaube da gabs wirklich nichts mehr zu retten.

     

    Gruß Judith

  12. Hallo,

    vielen Dank für die noch reichlichen Wortmeldungen und Vorschläge.

    Das Prob war ja, dass wir beim Sichern nicht gemerkt haben, dass die AD absolut futsch gegangen ist.

    Viele Sachen kamen wie ein großer Brocken auf einmal zusammen.

    Als wir merkten daß das System im Eimer war, haben wir uns vorbereitet, die Rollen zu übertragen. Da ging noch alles reibungslos.

    netdiag, dcdiag, frsdiag, DNS Replikation des AD usw. Fehler über Fehler. Rootkits in 10.000 er Mengen in der Rgistry, Mengen an FTP Servern, TFTP-Server, Telnet Server waren drauf, Remote Zugänge haben wir gefunden mit Adressen aus China. Mensch hatten wir geschwitzt und gezittert! Und die Appliance hat nichts bemerkt.

    Just in diesem Moment ereilte uns ein Stomausfall bei der ENBW. Dabei hat sich dann auch gezeigt, dass die APC im Eimer war und der erste DC abgestürzt ist. Danach ging nichts mehr.

    Anmeldungen nicht mehr möglich.

    Verzeichnisse öffnen nicht mehr möglich (auf den beiden laufenden Server selbst)

    Die Bänder haben keinen funktionierenden System State mehr drauf. Das wurde schon geprüft.

     

    2 Externe Dienstleister waren schon da. Ein dritter heute morgen hat auch abgewinkt, da sei nichts mehr zu machen.

    Sag ich doch meint der Chef, das müssen wir dann auch können. Einen vierten Versuch macht er nicht (da war ein ganz großer da mit blendendem Namen)

     

    Einer gab zu, daß ihm die Sache zu heiß sei, wegen dem Produktionsrechner. Der kann auch nur mit Hilfe des Programm Herstellers wieder flott gemacht werden.

    Es werden darauf die Produktionsvorstufen für Hochdruck-Pumpensysteme geplant und produktionstechnisch umgesetzt (PPS). Un noch funktioniert der ruckzuck.

     

    Der Hersteller kommt dann zwischen den Jahren und macht das mit uns zusammen.

    Fatal war noch. Wir haben zwar die Sicherungen überprüft, aber nichts festgestellt bei der Routine. Jetzt muss ein audit her. Mit den bisherigen Vorgaben können wir nicht weiter sofglos weitermachen.

    Die HDD wurden inwzischen zu einem Virenspezialisten geschickt.

     

    Ich danke jedem einzelnen für seinen Einsatz und schließe die Bitte an, wieter Rat suchenden zu helfen wo immer Ihr könnt.

     

    Gruß Judith

  13. Nun ja, dann habt ihr jetzt der Subdomain ihre Forest-Root sozusagen unter dem Hinterteil weggerissen....

     

    Ich denke, ihr solltet euch entweder an den MS-Support wenden, oder in den ziemlich sauren Apfel beissen und den Forest komplett neu aufbauen.

     

    Muss die Applikation auf Domain-Daten zugreifen, bzw. muss sie auf einem DC laufen?

     

    Christoph

    Hallo Christoph35,

    bitte keinen Vorwurf, es ging leider nicht anders. Es war für unsen Boss zu gefährlich, den einzigen noch korrekt arbeitenden Server mit wichtigen Produktionsdaten zu gefährden.

    Gibt es da nicht eine Lösung mit dieser "LDP.EXE"? Nur wie gehe ich damit um?

    Ansonsten vielleicht noch ein Umbennen der Domäne also nicht mehr lager.schleicher.local sondern nur noch lager.loca., ist ja win3K.

     

    Gruß Judith

  14. Oh,

     

    ihr habt beide Root-DCs geplättet? Gibts kein Backup. Dass auch die beiden Forestrollen in der Subdomäne sind, ist ungewöhnlich, aber nicht verboten.

     

    Gruß

     

    woiza

    Hallo wiza,

    das ist ja das Übel. Auf den Bändern ist alles noch so versuecht, daß wir die weg geworfen haben, weil es keine Möglichkeit gab, außer einigen wichtigen Daten (Briefe, verträge usw.)

    den Rest mit dem Backup neu zu machen war uns zu riskant.

    Den Versuch haben wir schon erst nicht unternommen. Das war die Emfpehlung die uns gegenüber ausgesprochen wurde.

    Gruß Judith

  15. Hallo Woiza,

    ich fange lieber noch mal von vorne an, weil in der Aufregung einiges falsch lief.

    Also.

    In der Domäne "Schleicher.local" gab es 2 DC und einen DC als Unterdomäne "lager.schleicher.local"

     

    Die Dinger liefen einwandfrei, bis ein Trojaner auf dem 1 DC komplette Verwüstung angerichtet hat.

    Die Übertragung der Rollen auf den zweiten DC ging nicht mehr - Meldung Kein Katalog und Sysvol war weg

    NTFRSUTIL könnte keine Verbindung mehr herstellen

    ADSIEDIT ebenfalls - Meldung Sanpin konnte nicht initialisiert werden

     

    Der DC der Unterdomäne lager.schleicher.local hingegen hat alle 5 Rollen (Ausgabe über netdom), weshalb

    und warum - Keine Ahnung!

     

    Die beiden DC wurden mit neuen HD versehen und neu installiert.

    Jetzt kann ich aber den DC der Unterdomäne nicht einfach demoten, weil darauf Software läuft, die in der

    Produktion eingesezt wird. Das wäre fatal.

    Aber die ständigen Fehlermeldungen "Netlogon" gehen mir auf die Nerven.

    Die Firma die das mal gemacht hat, gibt es nicht mehr, denn ich hätte das anders geregelt, aber es ist halt so.

    Wie kriege ich denn die Informationen zur alten Domäne vom Server lager.schleicher.local runter.

    NTFRSUTIL und ADSIEDIT klappt nicht.

     

     

    Gruß Judith

  16. Hallo Leute,

    ich muß euch leider bemühen. "Schluchz"

    Ich habe hier eine Umgebung aus 2 DC gehabt.

    Dann ist der 1. DC gestorben und die Rollen konnten nicht mehr übertragen werden, weil das AD im Eimer war, kein Sysvol und jedem Menge NTFS meldungen und globaler Katalog weg usw....

    Habe aber noch eine Unterdomäne, die weiter funktioniert und auch alle 5 Rollen intakt sind.

     

    Die beiden ersten DC wurden für die Domäne Schleicher.local wieder hergestellt.

    Aber die Unterdomäne Schleicher.Lager.local versucht jetzt natürlich dauernd mit der alten Domäne zu korrespondieren.

    1. ntfrsutil keinen Kontakt

    2. adsiedit Meldung Snap-in konnte nicht initialisiert werden - unbekannter Anwender und dann eine CLSID Nummer

     

    Ich suche mir den ganzen Tag schon den Wolf und finde nichts, wie ich vorgehen kann.

    Ich bin aber sicher irgendwo mal eine Anleitung zu lpd.exe gefunden zu haben.

    lpd.exe traue ich mich nicht so richtig dran, das verwirrt mich gerade extrem.

    Hat jemand eine Idee, wo ich eine Anleitung für "ldp.exe" her bekomme, die ich verstehen kann?

     

    Grüße von Judith

  17. @IThome,

    ist schon richtig was du sagst. Wer nicht eine so mächtige Kiste hat sollte mit einer einfachen für den Internetzugang vorlegen. So war das auch gemeint, wenn auch nicht schlüssig ausgedrückt. Ich habe das hier nur auf die Frage selbst bezogen. Die Astaro kann natürlich genug (dahinter sitzen mehr als 500 Leute) und als reine Appliance zu laufen wäre doch zu schade.

     

    Grüße von Judith

×
×
  • Neu erstellen...