Cralli
-
Gesamte Inhalte
49 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von Cralli
-
-
Hallo Crallie
weiss zwar nicht, ob es Dein Problem betrifft.
Ich hatte letzte Woche 2 Fälle auf unseren MetaFrame-Servern mit der services.exe. Liebe Benutzer haben ein Mailanhang von einem unbekannten Adressaten mit noch unbekannterem Inhalt geöffnet und prompt einen Trojaner installiert. Wie auch immer ?? Wir haben ja auch einen Virenscanner, sogar mehrere. Trotzdem nicht erkannt worden.
Und dieser Benutzer hat dann eben dieses service.exe installiert.
Kontrolliere mal Das Profil des Benutzers, der sich anmeldet. Im Windows-Verzeichnis (im Profil) hat es ein Verzeichnis, dessen Namen ich nicht mehr weiss, und in diesem befindet sich das services.exe.
Aber wie gesagt, eventuell hat es nichts mit Deinem Problem zu tun.
Gruss
Ritchie
Danke für den Hinweise. An einen Trojaner hab ich auch schon gedacht. Müßte mal
ein anderes Antivirenprogramm drüber rennen lassen. Von meiner Software
(McAfee) wird nichts angezeigt. Ich hab ein verbindliches, servergespeichertes Profil.
Für alle das gleiche. Im Profile-Ordner am Server konnte ich nichts feststellen ...
Grüße
Hannes
-
Danke für die Links, die teilweise schon kenne. Ich werd noch einmal alles genau
durchlesen.
Grundaussagen sind:
Microsoft ist das Problem bekannt, daher gibt es Hotfixes.
Im Servicepack 1 für win2003 sind die Hotfixes enthalten.
Das heißt für mich: trotz Installation von SP1 besteht das Problem weiterhin ...
jedenfalls danke für die Tips. Werde die Seiten noch einmal genau durchlesen.
lb. Grüße
Hannes
-
Ist nur ein kleiner Strohhalm, aber bist du dir sicher, dass der Scanner inaktiv ist. Ich frage nur, weil unser eigener Filescanner, auch wenn man die Dienste beendet, immer noch gwisse *.EXE geladen hat. Nur deaktivieren und neu starten entlädt alle *.EXE und die dazugehörigen DLL's komplett.
Ansonsten kann ich dir nur raten die Eventlogs zu checken, falls noch nicht geschehen, da man mit den Infos aus dem Startpost nicht viel erahnen kann...
Gruss
Velius
Danke für den Hinweis. Aber ich hab all das gemacht: virenrevelante Dienste beendet,
deaktiviert, Rechner neu gestartet ...
Die Ereignisanzeigen geben keinen direkten Hinweis auf das Problem.
Übers Wochende (kein Betrieb, keine Anmeldungen) wars ruhig. Die beiden Dateien veränderten sich nur wenig. Heute sieht es wieder anders aus: services.exe
belegt schon wieder 70000 K im Speicher, gestern um diese Zeit waren es
vielleicht 10000 K.
Hannes
-
OK, auch ne Möglichkeit, wenn auch etwas riskant. Teil uns mit, was draus geworden ist! ;)
Gruss
Velius
Die Antivirussoftware ist nicht schuld. Services.exe und lsass.exe belegen immer
mehr Speicher - auch bei völliger Ausschaltung der Virensoftware.
Hannes
-
Hi Hannes
Stichwort Virenscanner (wir reden hier vom DC, richtig :suspect: ), hast du folgende Schritte befolgt:
Virus scanning recommendations on a Windows 2000 or on a Windows Server 2003 domain controller
Deutsche Übersetzung (schlechte Qualität :( )
Ich habe schon ähnliche Geschichten verfolgt, wo nicht ganz alle Files/Folders ausgeschlossen waren.
Gruss
Velius
Danke für den Tip. Anstatt div. Folder bzw. Dateien auszuschließen werde ich zunächst einmal den Virenscanner eine Zeitlang deaktiveren und schauen was das System macht.
Hannes
-
Liebe Leute,
hab schon seit Monaten folgendes Problem in einem Netzwerk mit Windows 2003-Servern und Clients mit XP.
Situation:
zwei Domänen-Controller, die sich replizieren.
Einige weitere Windows-2003-Server, zB einer mit Exchange 2003 und
einer mit ISA-Server.
Am Hauptserver (= Anmeldeserver und Fileserver mit Homeverzeichnissen von
ca. 1500 Usern, sowie DHCP, DNS) hab ich folgendes Problem:
die beiden Systemprogramme lsass.exe und services.exe belegen im Lauf der Zeit
immer mehr Speicher; vor allem die services.exe (derzeit ca. 120 MByte, nach Neustart ca. 15 MB). Der belegte Speicher wird nicht mehr freigegeben ... kann imTaskmanager
gut überprüft werden.
das geht so lange bis sich das System aufhängt und ein Neustart durchgeführt
werden muß. Derzeit lasse sich zeitgesteuert zwei Neustarts pro Tag durchführen.
Das ist aber keine Dauerlösung.
Ursprünglich dachte ich an einen Virus. Hab McAfee Viruscanner laufen (über
E-policy Orchestrator-Server). Virus wird keiner angezeigt ...
Nach Installation von Servicepack 1 am Server blieb auch alles beim alten.
Denke jetzt wieder an einen Virus ... vielleicht ein Trojaner?
Kennt jemand dieses Problem und kann mir einen Tip geben?
Vielen Dank für den kleinsten Hinweis.
Hannes
-
Hallo,
könnt ihr mir bitte beim Befehl netstat weiterhelfen?
Das -a Argument zeigt alle geöffneten Verbindungen auf der workstation an. Es zeigt den Host und die Port der Rechner an, mit dem der Host verbunden ist und ebenfalls, welchers Protokoll verwendet wird.
Meine Workstation heißt musterA; der Rechner (windows XP) befindet sich in einer
Domäne mit Windows 2003-Servern. Verbindung zum Internet über den ISA-Server.
Bei Eingabe von netstat -a wird folgendes angezeigt (siehe unten).
Bis zur Leerzeile sind die Rechner unter der Spalte lokale Adresse und Remoteadresse
die selben, nämlich MusterA. Wie ist das zu verstehen? Außerdem steht beim Remote-
rechner die Domäne dabei mit Port 0. Gibt es Port 0? Wenn ja, was tut sich dort?
Nach der Leerzeile ist die Remote-adresse jene eines Microsoft-Servers, dann
Adressen von internen Servern.
Was bedeuten die Sterne im letzten Drittel?
Vielen Dank für eine Aufklärung.
Cralli
Microsoft Windows XP [Version 5.1.2600]
© Copyright 1985-2001 Microsoft Corp.
C:\>netstat -a
Aktive Verbindungen
Proto Lokale Adresse Remoteadresse Status
TCP musterA:epmap musterA.ibc.ac.at:0 ABHÖREN
TCP musterA:microsoft-ds musterA.ibc.ac.at:0 ABHÖREN
TCP musterA:1025 musterA.ibc.ac.at:0 ABHÖREN
TCP musterA:1077 musterA.ibc.ac.at:0 ABHÖREN
TCP musterA:2625 musterA.ibc.ac.at:0 ABHÖREN
TCP musterA:2626 musterA.ibc.ac.at:0 ABHÖREN
TCP musterA:5000 musterA.ibc.ac.at:0 ABHÖREN
TCP musterA:9091 musterA.ibc.ac.at:0 ABHÖREN
TCP musterA:ms-sql-s musterA.ibc.ac.at:0 ABHÖREN
TCP musterA:netbios-ssn musterA.ibc.ac.at:0 ABHÖREN
TCP musterA:1107 musterA.ibc.ac.at:0 ABHÖREN
TCP musterA:ms-sql-s musterA.ibc.ac.at:0 ABHÖREN
TCP musterA:2625 207.46.156.121:http SCHLIESSEN_WARTEN
TCP musterA:2996 musterA.ibc.ac.at:0 ABHÖREN
TCP musterA:2996 sw-1201.ibc.ac.at:netbios-ssn HERGESTELLT
TCP musterA:3086 sw-1204.ibc.ac.at:90 WARTEND
TCP musterA:14367 musterA.ibc.ac.at:0 ABHÖREN
UDP musterA:epmap *:*
UDP musterA:microsoft-ds *:*
UDP musterA:isakmp *:*
UDP musterA:1026 *:*
UDP musterA:1027 *:*
UDP musterA:1038 *:*
UDP musterA:1053 *:*
UDP musterA:1140 *:*
UDP musterA:ms-sql-m *:*
UDP musterA:9091 *:*
UDP musterA:9092 *:*
UDP musterA:ntp *:*
UDP musterA:1900 *:*
UDP musterA:ntp *:*
UDP musterA:netbios-ns *:*
UDP musterA:netbios-dgm *:*
UDP musterA:1900 *:*
UDP musterA:14283 *:*
UDP musterA:49068 *:*
-
Hallo liebe Leute,
Ich bin Netzwerkadmin in ein großen Schule (1500 Accounts, Server: Windows 2003,
Exchange 2003, Workstations: Windows XP) und stehe von einer bes. kniffligen
Aufgabe:
ein Schüler hat Verwendung eines fremden Accounts (wahrscheinlich hat sich ein
vorhergender User nicht abgemeldet oder sein Passwort ist allgemein bekannt)
einen extrem obszönen Text an alle 1500 User versendet. Es soll nun festgestellt
werden, wer diese Mail versendet hat. Ich glaube eigentlich nicht, dass dies
möglich ist, da er ja einen fremden Account verwendet hat.
Wenn jedoch festgestellt werden könnte, von welchem Rechner (Rechnername) die Mail abgesendet wurde, könnte der User vielleicht identifiziert (wer ist an diesem
Rechtner zu einer bestimmten Uhrzeit gesessen?) werden.
Frage 1:
gibt es eine Möglichkeit, den Rechner festzustellen - über eine Log-Datei am Exchange?
Oder gibt es auf den Workstations eine Log-Datei, die etwas aussagt zB wer, wann
eine Mail an wen versendet hat?
Frage 2:
gibt es eine Möglichkeit, diese Mail von allen Empfängern zurückzurufen?
Mir scheint beides kaum möglich. Andererseits gibt es technisch ja fast nichts was nicht möglich ist ...
Jedenfalls danke für jeden Tip.
Cralli
-
Hallo,
Ich habe ein kleines Heimnetzwerk mit einem Netgear Router.
ich möchte die IP des Routers, die vom Provider dynamisch zugewiesen wird, mit einem einfachen Befehl feststellen.
Gibt es einen solchen?
danke für eure hilfe
-
ich verwende den ISA Server 2000.
Auf der angegebene Web-Adresse fand ich leider nichts über
den Ping-Befehl ...
-
Hallo,
kann mir jemand sagen, welche Konfig. Schritte ich am ISA-Server durchführen
muß, damit ich von Windows-XP-Clients aus, Rechner im Internet anpingen
kann, zB ping http://www.microsoft.com
Vielen Dank für Eure Hilfe.
Cralli
-
Hallo!
Wer kann mir bei folgendem Problem helfen?
Windows 2003 Server mit ADS / Clients Windows XP
Die clients sind in der Domäne eingebunden, User können sich am Server
anmelden und H-Laufwerk und sonstige Freigaben nutzen.
Im Grunde genommen funktioniert alles.
Nur: wenn der user am Arbeitsplatz über Netzwwerkumgebung auf die Domäne
klickt, gbit eine Fehlermeldung: "auf xxx (=Domäne) kann nicht zugegriffen
werden. Sie haben eventuelle keine Berechtigung, diese Netzwerkressource
zu verwenden ..."
Danke für Antworten.
Cralli
-
Hallo!
Win2003/ Active Directory / Objekte:
haben Benutzer- und Gruppenkonten einen SID und Computerkonten einen GUID?
Oder stimmt dies nicht ganz? Oder haben auch Computerkonten einen SID?
Vielleicht weiß jemand Bescheid.
Danke für Rückmeldungen.
Cralli
-
Danke für den Hinweis, der einleuchtet.
Noch eine ergänzende Frage: Wenn ich ein Computerkonto am Domain-Controller
einrichte, muß ich den GUID wissen (20 Nullen + MAC-Adresse). Wenn ich ihn
nicht angebe, wird das Konto zwar eingerichtet und ich kann den Rechner in die
Domäne bringen, aber ich kann ihn nicht vom Server aus verwalten, zB einen
lokalen User ( auf dem Client) anlegen.
Wenn ich ein Computerkonto aber von der Clientseite aus anlege, wird der GUID offensichtlich automatisch dem Konto zugeordnet. Ich muß ihn nicht irgendwo ablesen bzw.
eingeben. Außerdem kann ich in diesem Fall immer den Rechner vom Server
aus verwalten.
Sind diese Feststellungen (hab einiges ausprobiert) richtig? Bitte um Bestätigung bzw.
Korrektur.
Danke.
Cralli
Noch eine ergänzende Frage:
haben Benutzer- und Gruppenkonto einen SID und Computerkonten einen GUID?
Oder stimmt dies nicht ganz?
Cralli
-
Z.B. deshalb, damit dass Computerkonto dort in einer bestimmten OU vorinstalliert ist, und wenn der Computer in die Domäne aufgenommen wird, er gleich in der richtigen OU ist.
Falls man vergessen sollte, ihn aus Computers in seine OU zu verschieben, in die er gehört, dann bekommt er u.U. nicht gleich die nötigen Gruppenrichtlinien ab, und wenn da wichtige Sicherheitseinstellungen definiert waren :rolleyes:
Mit einem so vordefinierten Konto kann das nicht passieren.
grizzly999
Danke für den Hinweis, der einleuchtet.
Noch eine ergänzende Frage: Wenn ich ein Computerkonto am Domain-Controller
einrichte, muß ich den GUID wissen (20 Nullen + MAC-Adresse). Wenn ich ihn
nicht angebe, wird das Konto zwar eingerichtet und ich kann den Rechner in die
Domäne bringen, aber ich kann ihn nicht vom Server aus verwalten, zB einen
lokalen User ( auf dem Client) anlegen.
Wenn ich ein Computerkonto aber von der Clientseite aus anlege, wird der GUID offensichtlich automatisch dem Konto zugeordnet. Ich muß ihn nicht irgendwo ablesen bzw.
eingeben. Außerdem kann ich in diesem Fall immer den Rechner vom Server
aus verwalten.
Sind diese Feststellungen (hab einiges ausprobiert) richtig? Bitte um Bestätigung bzw.
Korrektur.
Danke.
Cralli
-
Danke für den Hinweis, der einleuchtet.
Noch eine ergänzende Frage: Wenn ich ein Computerkonto am Domain-Controller
einrichte, muß ich den GUID wissen (20 Nullen + MAC-Adresse). Wenn ich ihn
nicht angebe, wird das Konto zwar eingerichtet und ich kann den Rechner in die
Domäne bringen, aber ich kann ihn nicht vom Server aus verwalten, zB einen
lokalen User ( auf dem Client) anlegen.
Wenn ich ein Computerkonto aber von der Clientseite aus anlege, wird der GUID offensichtlich automatisch dem Konto zugeordnet. Ich muß ihn nicht irgendwo ablesen bzw.
eingeben. Außerdem kann ich in diesem Fall immer den Rechner vom Server
aus verwalten.
Sind diese Feststellungen (hab einiges ausprobiert) richtig? Bitte um Bestätigung bzw.
Korrektur.
Danke.
Cralli
-
Hallo!
ich verwalte ein Windows-Netzwerk mit ca. 300 XP-Rechnern. Wenn ich einen
Rechner in die Domäne (Windows 2003 Server, ADS) einbinde, tue ich dies
auf Clientseite in der Systemsteuerung/System/Computername/Ändern ...
Im Active Directory gibt es den Container Computers, wo jeder Rechner nach
erfolgreicher Einbindung aufscheint.
Nun kann ich aber im Active Directory selbst Computerkonten einrichten. Rechtsklick /
Neu / computer etc. Wozu dies, wenn ich ohnehin vom Client aus die Einrichtung
vornehmen kann? Außerdem: wenn ich auch direkt im AD ein Computerkonto ein-
richte, muß ja dennoch für die Einbindung in die Domäne sorgen; und das kann
ich ja nur vom Client aus machen. Oder liege ich da falsch?
Meine Frage: wozu gibt es die Möglichkeit Computerkonten direkt im AD anzulegen,
wenn ich das ganze (Computerkonten anlegen + Einbindung in die Domäne) ja
vom Client aus machen kann?
DAnke für baldige Antworten.
Hannes
-
ich arbeite bei der installation von Windows-Clients mit
RIS. Hab auf einem Win2000 Server RIS laufen.
Hab nun auf einem anderen Win2000 RIS erneut installiert
und dort auch ein Image angelegt (weil mehr Platz). Verwendete
riprep.
Im DHCP hab ich den neuen RIS-Server autorisiert.
Wenn ich nun die Installation auf einer Workstation
beginnen will, erreiche ich immer nur den alten RIS-Server
mit den dort vorhandenen Images.
Frage:
wie kann ich vom Client aus (drücken der F12-Taste)
auf den zweiten RIS und das dort abgelegte Image kommen?
Vielen Dank für Hinweise.
Cralli
-
IP-Adressen
Villeicht kann mir jemand folgende Fragen beantworten:
Bin via Telekabel im Internet.
Meine IP beginnt mit 62.
die Subnet-Maske lautet: 255.255.255.0
Mit diesen Daten bin ich ja Teilnehmer im Provider-Netz.
Die 62 deutet eigentlich auf ein Klasse-A-Netz hin, die
Subnet-Mask auf ein Klasse-C-Netz. Muß es da nicht
eine Übereinstimmung geben???
Danke für eine Antwort.
Hannes
-
Danke für die Infos.
Ich bin (noch) kein TCP/IP-Könner. Daher versuche ich, das was ich jetzt weiß zusammenzufassen und ev. zu ergänzen.
1. Der Sendehost (A) macht einen ARP-Request an den Zielhost (B) - um die MAC-Adresse dieses Rechners zu ermitteln. Dieser antwortet mit einem ARP-Reply.
Erst wenn die Destination-MAC-Adresse bekannt ist, dann ist es dem sendenden Host moeglich die Datenframes (OSI-Layer 2) fuer den Versand der Datenpakete bereitzustellen.
2. die Adresse des Zielhosts befindet sich n i c h t im eigenen Subnetz --> der sendende Host bildet Datenframes mit der Destination MAC-Adresse des Defaultgateways
Das Defaultgetway erhaelt den Frame und stellt fest, dass er an ihn gesendet wurde (MAC-Adresse), er entpackt den Datenframe bis zur Schicht 3 des OSI-Modells und schaut im IP-Header die logischen Adressen an. Da das Datenpaket nicht an ihn geschickt wurde, sondern eine andere Ziel IP-Adresse besitzt, versucht es
das Paket weiterzurouten. Erst hier dürfte die Routingtabelle ins Spiel kommen, da festzustellen ist, in welches Subnetz das Daten-
paket weitergeleitet wird ? ´
Oder schaut der Sende-Host sofort in einer Routing-Tabelle nach
(ev. in der eigenen?)? und sendet den Request sofort zum Router,
der dann in seiner Routing-Tabelle nachsieht?
Gibt es einen Zusammenhang zwischen Routingtabelle und
subnetmask (zB. 11111111 11111111 11111111 11000000)
und wenn ja, welchen?
Herzliche Grüße
Cralli
-
Hallo Grizzly,
wahrscheinlich kann ich heute nicht mehr denken ...
Ich kann aus Deinen Ausführungen nicht entnehmen,
wie ein Datenpaket zum Rechner 220 kommt.
Im Protokolloverhead eines abgeschickten Pakets ist ja auch die IP des Zielrechners enthalten. Wie entsteht aus Subnet-Mask
und IP des Zielrechners die vollständige und richtige
Host-ID (220). Ich wäre doch sehr froh, wenn ich das
wü0te. In Fachbüchern steht alles mögliche. Eine
Antwort auf diese Frage fand ich aber noch nicht ...
Grüße
Cralli
-
Hi Grizzly!
Villeicht kannst Du, obwohl es heute schon spät ist, noch
einmal etwas weiter ausholen.
Zunächst sagt mir der Begriff klassenlose Adiressierung nichts.
Es gibt doch noch Klasse A, B,. C ...
Nun noch einmal das Problem:
Die Subnetmask lautet:
11111111 11111111 11111111 11000000
Host A
11000000 10101000 01111011 00010000 (192.168.123.16)
Host B
11000000 10101000 01111011 11011100 (192.168.123.220)
Ich (am Host B, statische IP: siehe oben) soll Daten von Host A erhalten. Da sich Computer B im Teilnetz 11 befindet, müssen
die Pakete mit Hilfe eines Routers in dieses Netz geroutet
werden.
Wie wird die IP des Zielrechners B mit dem Hostanteil 220 gebildet?
Diese Zahl dürfte aus dem Host-anteil des letzten Oktetts sowie
aus der SubnetzID des letzten Oktetts gebildet werden?
Damit werden für die Host-ID alle 8 Bits des letzten Oktetts
herangezogen. Die beiden ersten Bits dienen zusätzlich
noch als Subnet-ID? Ist es so?
Die Zahl 220 muß ja konkret vorliegen, da der Zielrechner ja
genau dieses Host-Adresse aufweist.
Danke für Deine Antwort noch zu so später Stunde.
Grüße
Cralli
-
Hi,
Mich plagt auch eine Frage. Hab bis jetzt noch keine Lösung
gefunden.
Klasse C-Netz, mit Subnet-Mask 255.255.255.0
Ich möchte das Netz in 4 Subnetze teilen, verwende als
Mask 255.255.255.192 (ohne Berücksichtigung von RFC 950).
Ich erhalte also mit 4 Bits im vierten Oktett vier Teil-
netze (2^4).
Maske:
11111111 11111111 11111111 11000000
Netzwerkadresse: 192.168.123.0
Die Hostadressen der 4 Teilnetze lauten demnach:
a. 192.168.123.1-62
b. 192.168.123.65-126
c. 192.168.123.129-190
d. 192.168.123.193-254
(abzügl. Hostadressen, die nur aus Nullen oder Einsen bestehen).
Meine Frage lautet nun:
Eine Hostadresse lautet z.B.
11000000 10101000 01111011 00010000 (192.168.123.16) - liegt im 1. Teilnetz
ein anderer Host hat die Adresse
11000000 10101000 01111011 11011100 (192.168.123.220) - muß im 4. Teilnetz liegen
Wenn nun in der Mask 2 Bits von der Host-ID für die Subnet-ID verwendet werden,
(siehe Mask oben), bleiben für die Host-Ids nur mehr 6 Bits übrig. Mit 2^6 lassen
sich theoret. 64 Adressen erzeugen. Das heißt: in jedem Teilnetz 64 Adressen.
Wie kann ein Host aber z.B. die Adresse 220 erhalten, wenn nur 6 Bits für die
Host-ID zur Verfügung stehen. Oder zählen die zwei Einser im letzten Oktett
(siehe oben), die ja die Subnet-ID sind, auch zur Host-ID? Wenn nicht, wie
ist es möglich, mit dem Bits den Wert zB 220 darzustellen?
Danke für eine Antwort.
zeitgesteuerte Message an alle User
in Windows Server Forum
Geschrieben
Hallo Leute,
kann mir einer helfen, folgende Aufgabe zu lösen.
Ich möchte in einem Windows-Netz, (server 2003, ADs, Clients XP) an alle
User zu bestimmten Uhrzeiten eine Nachricht automatisch übermitteln
lassen, so wie mit net send * "Hallo ...". Gibt es so etwas mit Windows-
boardmitteln (ev. Gruppenrichtlinie?) oder brauche ich für so etwas Fremdtools.
Danke für Eure Tips.
Cralli