Jump to content

GC / DNS Problem mit W2K3 - DC - dringend!


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

Hallo Boarders!

 

Ich habe in einer W2K3-Domain ein mittleres bis katastrophales Problem:

 

PDC ausgefallen, GlobalCatalog im Eimer, DNS liegt neben dem GC..

 

Nach Reanimierungsversuchen, die bislang genau nicht viel gebracht haben, wurde der 2. DC an 1. Stelle befördert und versieht nun brav seinen Dienst. Der ursprüngliche DC vegetiert im Netz weiter und leistet zum Glück noch seine Dienste im Zusammenhang mit Exchange.

 

Ich gehe von einer geplanten Attacke aus und suche nun die Ursache bzw. den Verursacher des Problems.

Bei meinen Recherchen ist mir eine DNS-LOG-Datei untergekommen, die ich nicht ganz interpretieren kann.

Meine Bitte an die Spezialisten unter Euch:

Wer kann mit der Kopie der Datei (unten) was anfangen - bzw wer kann die Einträge so interpretieren, dass auch ich sie verstehen kann??

 

Ersuche dringend um Eure Hilfe!

 

lg

 

SQL-SQL

 

 

domain.local.dns.log ----- Beginn

 

$SOURCE ADMIN

$VERSION 1917

$ADD

_gc._tcp SRV 0 100 3268 .

A 192.168.35.3

 

 

$SOURCE PACKET 172.17.96.50

$VERSION 1915

$ADD

ksrvc103 1200 A 172.17.96.50

 

 

$SOURCE PACKET 172.17.96.30

$VERSION 1911

$DELETE

ksrvc102 1200 A 172.17.96.30

1200 A 192.168.30.254

$ADD

1200 A 192.168.30.254

 

$SOURCE PACKET 172.17.96.30

$VERSION 1912

$ADD

ksrvc102 1200 A 172.17.96.30

 

$SOURCE PACKET 172.17.96.50

$VERSION 1913

$DELETE

ksrvc103 1200 A 192.168.50.254

1200 A 172.17.96.50

$ADD

1200 A 192.168.50.254

 

1200 A 172.17.96.35

$ADD

1200 A 192.168.35.254

 

$SOURCE PACKET 172.17.96.35

$VERSION 1904

$ADD

ksrvc003inf 1200 A 172.17.96.35

 

domaine.local.dns.log ----- Ende

Link to comment

Das Logfile musst Du nach $Version sortieren.

 

Anscheinend wurden in Deinem Netzwerk Aenderungen an IP-Adressen vorgenommen und der GC nicht richtig registriert.

 

Hier meine Interpretation:

 

$SOURCE PACKET 172.17.96.35

$VERSION 1904

$ADD

ksrvc003inf 1200 A 172.17.96.353.

DDNS-Eintrag: Quelle 172.17.96.35

Hinzufuegen der IP-Adresse 172.17.96.353 (???) zum Host-Eintrag krsvc003inf

 

$SOURCE PACKET 172.17.96.30

$VERSION 1911

$DELETE

ksrvc102 1200 A 172.17.96.30

1200 A 192.168.30.254

$ADD

1200 A 192.168.30.254

DDNS-Eintrag: Quelle 172.19.96.30

- Entfernung des Hosteintrages ksrvc102 mit der IP 172.17.96.30

- Neueintrag 192.168.30.254

 

$SOURCE PACKET 172.17.96.30

$VERSION 1912

$ADD

ksrvc102 1200 A 172.17.96.30

DDNS-Eintrag: Hinzufuegen der IP 172.17.96.30 fuer ksrvc102

 

$SOURCE PACKET 172.17.96.50

$VERSION 1913

$DELETE

ksrvc103 1200 A 192.168.50.254

1200 A 172.17.96.50

$ADD

1200 A 192.168.50.254

 

1200 A 172.17.96.35

$ADD

1200 A 192.168.35.254

DDNS-Eintrag: Quelle 172.17.96.50

Entfernung des Host-Eintrages krsvc103 mit der IP 192.168.50.254

Hinzufuegen der Hosteintraege fuer krsvc103 mit den IP Adressen 192.168.50.254 und 192.168.35.254

 

 

$SOURCE PACKET 172.17.96.50

$VERSION 1915

$ADD

ksrvc103 1200 A 172.17.96.50

DDNS-Eintrag: Aktualisierung des DNS-Eintrages fuer ksrvc103 mit der IP 172.17.96.50

 

$SOURCE ADMIN

$VERSION 1917

$ADD

_gc._tcp SRV 0 100 3268 .

A 192.168.35.3

- Aenderung des SRV-Eintrages fuer den GC. Der GC wurde mit der IP 192.168.35.3 registriert.

Link to comment
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...