ccc 10 Posted September 1, 2004 Report Posted September 1, 2004 hallo ein NT 4.0 server versucht immer wieder die verbindung zur destination 192.168.234.235 mit allen möglichen ports via udp aufzubauen . leider kann ich die ursache (application, dll etc.) nicht finden. netstat z.B hilf mir da nicht viel. suche ein program oder ein tool für WIN NT 4.0, das alle verbindungen nach aussen und vor allem, von welcher application, dll, etc. anzeigen kann. gruss ccc Quote
saracs 10 Posted September 1, 2004 Report Posted September 1, 2004 hi! schau dich mal hier um: http://www.sysinternals.com/ntw2k/source/tcpview.shtml bzw. http://www.sysinternals.com/ntw2k/freeware/procexp.shtml gruss saracs Quote
ccc 10 Posted September 4, 2004 Author Report Posted September 4, 2004 danke, die tools habe installiert und angewendet, aber ich kann immer noch nicht die Ursache lokaliesieren. 192.168.234.235 ist eine lokale IP Adresse. ich benutze weder diese IP noch dieses IP Range. vermute fast ein WINS problem. aber wieso nur dieser NT server ? alle anderen NT server suchen diese IP nicht. auf diesem server ist nur MS Exchange 5.5 installiert. hat jemand da eine Idee ? Quote
Headbanger 10 Posted September 4, 2004 Report Posted September 4, 2004 lad dir mal das Programm TCPView herunter (w*w.winload.de) such das da mal und starte es (ist glaub ich noch nicht mal ne installation nötig) dann siehste alle möglichen verbindungen, ob sie grade gebraucht werden und vor allem,welches programm sie nutzt Quote
ccc 10 Posted September 4, 2004 Author Report Posted September 4, 2004 wie ich schon gesagt habe, habe gemacht. leider sehe diese IP adresse mit TCPView nirgends. firewall log meldet aber immer noch verbindungen von dieser maschine. ich verstehe das nicht ! gibt's vielleiche was anderes als TCPView zum ausprobieren ? Quote
Necron 71 Posted September 4, 2004 Report Posted September 4, 2004 Probier mal Active Ports aus: http://www.protect-me.com/freeware.html Quote
blub 115 Posted September 4, 2004 Report Posted September 4, 2004 Hi, Mit XP SP2 ist bei netstat der -b Schalter mit dabei, der die executables anzeigt. Kannst ja mal das sp2 netstat auf deinen nt40 rechner kopieren. vielleicht läufts ja cu blub Quote
Velius 10 Posted September 4, 2004 Report Posted September 4, 2004 Mach doch 'mal ein "Pathping" oder "tracert" auf einem W2K Rechner auf diese IP, dann siehst du vielleicht schon mehr.... Ausserdem, wenn's ein WINS Problem wäre, dann würden die anderen Rechner auch eine "falsche" IP anpeilen! Aber die LMOSTS würde ich auch 'mal checken, ist im selben ordner wie die Host.... Ausserdem, wo siehst du, dass dieser Server diese Verbindungen aufbaut, in den FW logs, oder vom Server aus? Allenfalls sorgt ein "netstat" auf dem Server für Klarheit.... Gruss Velius {EDIT} Vielleicht ist ja auch so'n Spyware Zeugs drauf. Ich weiss, es ist ein Server, "da wird doch normalerweise gar nicht gesurft...", wäre aber nicht das erste 'mal, dass cih sowas sehen würde. Darum -> http://www.mcseboard.de/showthread.php?s=&threadid=30691 Quote
ccc 10 Posted September 5, 2004 Author Report Posted September 5, 2004 tracert oder ping führt zur firewall und geht ins Internet. NEULICH suchen auch andere server die Verbindungen zur dieser IP Adresse. LMOSTS haben keine Einträge. ich sehe dies nur in FW logs. mit netstat von den betroffennen server sehe ich diese Verbindungen leider nicht. adaware und online virus scan kann keine spyware finden. und von diesen server wird nicht gesurft. gruss ccc Quote
saracs 10 Posted September 5, 2004 Report Posted September 5, 2004 Original geschrieben von ccc und von diesen server wird nicht gesurft. nicht? Original geschrieben von ccc adaware und online virus scan kann keine spyware finden. wie macht man dann einen online virus scan? :suspect: hast du evtl. einen dell server in deinem netz? wenn ja tipp mal die ip 192.168.234.235 in google ein und durchforste mal die suchergebnisse! gruss saracs Quote
ccc 10 Posted September 5, 2004 Author Report Posted September 5, 2004 sorry, habe mich nicht klar ausgedrückt. auf den produktiven server nicht gesurft. um online scan von symantec zu durchführen, musste ich natürlich testen, aber nur von einer test maschine, die ebenfalls diese Verbindung sucht. habe mehrere DELL maschinen (server + workstations) im einsatz. werde ausprobieren: http://support.dell.com/support/edocs/software/smdrac3/RAC/en/is/racugab.htm http://support.microsoft.com/default.aspx?scid=kb;EN-US;292822 Quote
saracs 10 Posted September 6, 2004 Report Posted September 6, 2004 ich weiss zwar null was DRAC ist aber die ip taucht nur in diesem zusammenhang bei meinen suchen auf. wenn ich das alles richtig verstanden habe gibts da ne extra karte für im server. ich würd einfach dell auf die füsse treten und nachfragen was das sein könnte ;) gruss saracs Quote
ccc 10 Posted September 23, 2004 Author Report Posted September 23, 2004 das problem kann man scheinbar auf 2 wegen in den griff bekommen: 1. There is now a hotfix available from Microsoft for Windows 2003 that corrects the Netlogon service to properly respect the “register this connection in DNS” checkbox on the network properties. KB 832478. To make this work for the DRAC problem, there's one further trick once the hotfix is installed. You must open the racdun.pbk file (double click it) which has the network properties of the DRAC virtual interface and uncheck the “register this connection in DNS“ checkbox. note that if you don't need the remote VNC connection to the console via the DRAC, you can simply disable the DRAC PPP device in Device Manager 2. The racadm utility from Dell can be used to change the IP address of the DRAC virtual interface. "racadm config -g cfgRacTuning -o cfgRacTuneMnNwIpAddrBase xxx.xxx.xxx.xxx" Set HKU\.DEFAULT\Software\Dell Computer Corporation\OpenManage\RacWinVnc3\HostIPAddress to be the next IP after xxx.xxx.xxx.xxx on the same network (class C) restart the server. gruss ccc Quote
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.