SQL-SQL 10 Geschrieben 28. Januar 2005 Melden Teilen Geschrieben 28. Januar 2005 Hallo Boarders! Ich habe in einer W2K3-Domain ein mittleres bis katastrophales Problem: PDC ausgefallen, GlobalCatalog im Eimer, DNS liegt neben dem GC.. Nach Reanimierungsversuchen, die bislang genau nicht viel gebracht haben, wurde der 2. DC an 1. Stelle befördert und versieht nun brav seinen Dienst. Der ursprüngliche DC vegetiert im Netz weiter und leistet zum Glück noch seine Dienste im Zusammenhang mit Exchange. Ich gehe von einer geplanten Attacke aus und suche nun die Ursache bzw. den Verursacher des Problems. Bei meinen Recherchen ist mir eine DNS-LOG-Datei untergekommen, die ich nicht ganz interpretieren kann. Meine Bitte an die Spezialisten unter Euch: Wer kann mit der Kopie der Datei (unten) was anfangen - bzw wer kann die Einträge so interpretieren, dass auch ich sie verstehen kann?? Ersuche dringend um Eure Hilfe! lg SQL-SQL domain.local.dns.log ----- Beginn $SOURCE ADMIN $VERSION 1917 $ADD _gc._tcp SRV 0 100 3268 . A 192.168.35.3 $SOURCE PACKET 172.17.96.50 $VERSION 1915 $ADD ksrvc103 1200 A 172.17.96.50 $SOURCE PACKET 172.17.96.30 $VERSION 1911 $DELETE ksrvc102 1200 A 172.17.96.30 1200 A 192.168.30.254 $ADD 1200 A 192.168.30.254 $SOURCE PACKET 172.17.96.30 $VERSION 1912 $ADD ksrvc102 1200 A 172.17.96.30 $SOURCE PACKET 172.17.96.50 $VERSION 1913 $DELETE ksrvc103 1200 A 192.168.50.254 1200 A 172.17.96.50 $ADD 1200 A 192.168.50.254 1200 A 172.17.96.35 $ADD 1200 A 192.168.35.254 $SOURCE PACKET 172.17.96.35 $VERSION 1904 $ADD ksrvc003inf 1200 A 172.17.96.35 domaine.local.dns.log ----- Ende Zitieren Link zu diesem Kommentar
rablu 10 Geschrieben 28. Januar 2005 Melden Teilen Geschrieben 28. Januar 2005 Das Logfile musst Du nach $Version sortieren. Anscheinend wurden in Deinem Netzwerk Aenderungen an IP-Adressen vorgenommen und der GC nicht richtig registriert. Hier meine Interpretation: $SOURCE PACKET 172.17.96.35 $VERSION 1904 $ADD ksrvc003inf 1200 A 172.17.96.353. DDNS-Eintrag: Quelle 172.17.96.35 Hinzufuegen der IP-Adresse 172.17.96.353 (???) zum Host-Eintrag krsvc003inf $SOURCE PACKET 172.17.96.30 $VERSION 1911 $DELETE ksrvc102 1200 A 172.17.96.30 1200 A 192.168.30.254 $ADD 1200 A 192.168.30.254 DDNS-Eintrag: Quelle 172.19.96.30 - Entfernung des Hosteintrages ksrvc102 mit der IP 172.17.96.30 - Neueintrag 192.168.30.254 $SOURCE PACKET 172.17.96.30 $VERSION 1912 $ADD ksrvc102 1200 A 172.17.96.30 DDNS-Eintrag: Hinzufuegen der IP 172.17.96.30 fuer ksrvc102 $SOURCE PACKET 172.17.96.50 $VERSION 1913 $DELETE ksrvc103 1200 A 192.168.50.254 1200 A 172.17.96.50 $ADD 1200 A 192.168.50.254 1200 A 172.17.96.35 $ADD 1200 A 192.168.35.254 DDNS-Eintrag: Quelle 172.17.96.50 Entfernung des Host-Eintrages krsvc103 mit der IP 192.168.50.254 Hinzufuegen der Hosteintraege fuer krsvc103 mit den IP Adressen 192.168.50.254 und 192.168.35.254 $SOURCE PACKET 172.17.96.50 $VERSION 1915 $ADD ksrvc103 1200 A 172.17.96.50 DDNS-Eintrag: Aktualisierung des DNS-Eintrages fuer ksrvc103 mit der IP 172.17.96.50 $SOURCE ADMIN $VERSION 1917 $ADD _gc._tcp SRV 0 100 3268 . A 192.168.35.3 - Aenderung des SRV-Eintrages fuer den GC. Der GC wurde mit der IP 192.168.35.3 registriert. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.