Microsoft Web Seite nicht erreichbar

[Herby70 10]

Hallo Leute

 

Ich hoffe ich habe meine Anfrage im richtigen Forum gemacht.. ;o)

 

Habe da ein ganz komisches Problem...

 

Unsere Firma hat ca. 50 Server an 5 Niederlassungen im Einstatz. Alle

Niederlassungen sind mit mindestens 4 MBit Leitungen verbunden.

Auf den Servern ist Win2003 Standart und z.T. Exchange 2003 Enterprise

installiert.

Auf allen Servern sind die aktuellen Service Pack's und Updates installiert.

Virenschutz ist Norman ab einem (1) Verteilserver.

 

Seit dem 28. Dez. 2008 kann ich mit keinem Server mehr auf z.B.

www.microsoft.com oder www.norman.ch / www.norman.no oder www.mcafee.com / www.norton.de surfen. Alle anderen Webseiten scheinen zu funktionieren, also google, blick, 20min, etc.

Macht den Eindruck als seien die Virenscanner Seiten und Microsoft geblockt.

Ebenso funktioniert logischerweise seit diesem Datum der Update von Norman

nicht mehr, da dieser zu niuone.norman.no bis niueight.norman.no verbinden

will was ja aber nicht geht.

Erstaunlicher weise besteht das Problem auch auf einer (1) Vista Maschine,

alle 120 anderen XP und Vista Clients in unserem Netzwerk haben das Problem

NICHT!

 

Bereits versuchte Massnahmen ohne Erfolg:

 

- Norman deinstalliert (Ist unterdessen wieder installiert ab CD, in einer etwas älteren Version welche sich nun logischerweise auch nicht mehr updaten lässt)

- Internet Explorer zurückgesetzt sowie Cache und gegebenenfalls Plugins gelöscht (Kann aber nicht am IE liegen, da auf der Vista Maschine auch Firefox installier ist und sich der genau gleich verhält)

- In der Registry unter HKLM tcpip interfaces den MTU Wert 1450 und versuchsweise 1452 gesetzt - unterdessen wieder entfernt da keine besserung

- Eigene DNS Server neu konfiguriert

- Fremden DNS Server verwendet

- Alle Hardware neu gestartet, inkl Firewall, Router und Switch's

- Alternative Namen im IE verwendet, also anstelle http://www.microsoft.com nur microsoft.com etc.

- Ping auf www.microsoft.com geht nicht - Ping Anforderung konnte Host www.microsoft.com nicht finden......

- tracert auf www.microsoft.com - Der Zielname www.microsoft.com konnte nicht aufgelöst werden.

- nslookup auf www.microsoft.com - gibt mir u.A die IP 65.55.12.249 raus. - gebe ich dann diese IP im IE ein, so erscheint die Webseite von Microsoft, aber OHNE Bilder!

- NetChek auf Site Analysis auf die URL www.microsoft.com - URLDownloadToFile returned Unknown error (0x800c0005) - Der angeforderte Namen ist ungültig

- Artikel ID 926431 http://support.microsoft.com/kb/926431/de durchgespielt - ohne Erfolg - Wie bereits erwähnt kann das Problem eigentlich gar nicht am IE liegen da Firefox auch nicht funktioniert.

- Host und LmHost dateien geprüft - sind wie sie müssen

 

An unserem System wurden seit dem 22. Dez. 2008 keinerlei Updates

eingespielt und das komische Verhalten trat erstmalig am 28. Dez. 2008 auf.

Dafür aber auf allen Servern gleichzeitig sowie einer (1) Vista

Maschine! Alle anderen Arbeitstationen sind davon NICHT betroffen....

 

Erstaunlich ist ja, dass wenn ich im IE eingebe www.microsoft.com "rädelt"

er kurz rum und bringt dann die Seite Live Search in welcher steht; Meinten

Sie www.microsoft.com?

Klickt man dann auf den Link von www.microsoft.com erscheint die Meldung;

Diese Seite kann nicht angezeigt werden.

 

Noch irgendjemand da der eine Idee hat an was das liegen kann?

 

Besten Dank für Eure Hilfe und ein gutes neues Jahr!

Herby

[Jim di Griz 13]

hallo,

ist ja schon viel getestet worden,

evtl. noch ipconfig /flushdns auf lokalem dns server und einem client der diesen dns server eingetragen hat.

 

habt ihr einen lokalen dns server?

leitet der anfragen an den router weiter oder loest der dns server selber externe adressen auf?

[Herby70 10]

Hallo Jim di Griz

 

ipconfig /flushdns hab ich selbstverständlich auch probiert nach dem ich den DNS neu konfiguriert hatte sowie beim Versuch einen externen DNS zu verwenden.

 

Unser DNS Server (intern) löst die Namen selber auf. Was er nicht findet geht an eine der Stamm DNS Server weiter.

 

Ein DNS Problem schliesse ich aus, das alle anderen Clients das Problem NICHT haben, diese aber über DHCP unter anderem die IP des internen DNS Servers erhalten.

 

Besten Dank für den Ansatz!

Noch eine weiter Idee?

 

Big THX fpr Help!

Herby

[tpk 10]

Haben die Niederlassungen die Internetanbindung alle vom gleichen Provider?

[Herby70 10]

Hallo Leute

 

Hier noch ein kleiner Nachtrag.

 

Ich habe natürlich auf einem betroffenen Server Norman deinstalliert und lass den auch weg.

Habe dafür auf einer anderen Station die nicht betroffen ist, AntiVir Server mit einer 30 Tage Lizenz heruntergeladen und dann auf den Server installiert und rattern lassen - mit den Definitionen vom 6.1.2009.

"Leider" aber hat der nichts gefunden..

 

Besten Dank für Eure Hilfe!

Herby

–

Hallo tpk

 

Nope, 3 Niederlassungen sind bei Translumina und 2 bei Cablecom.

Von den 3 Translumina Leitungen sind 2 Glasanbindungen und eine Kupfer.

Bei den 2 Cablecom Leitungen ist eine Glas und die andere auch Kupfer.

 

Danke für Hilfe

Herby

[djmaker 95]

Hallo,

 

rufe mal im IE bitte 207.46.197.32 (Microsoft.de) auf. Und kontrolliere die hosts-Datei auf den Servern auf fremde Einträge..

[Herby70 10]

Hallo Djmaker

 

Hab ich gemacht. Aber wie bereits beschrieben:

 

- nslookup auf www.microsoft.com - gibt mir u.A die IP 65.55.12.249 raus. - gebe ich dann diese IP im IE ein, so erscheint die Webseite von Microsoft, aber OHNE Bilder!

- Host und LmHost dateien geprüft - sind wie sie müssen

 

Der Unterschied nun aber zu microsoft.com (65.55.12.249) wo ich doch die Webseite ohne Bilder erhalten habe ist, dass bei microsoft.de also 207.46.197.32 die Meldung erscheint: Diese Webseite kann nicht angezeigt werden.

 

Mach ich ein nslookup auf die 207.46.197.32, so bekomme ich microsoft.de als Antwort.

 

Ping und tracert auf die IP Adresse gehen NICHT, nslookup mit meinem internen DNS Server hingegen funktioniert!

 

Besten Dank für Hilfe

Herby

[Alveran 10]

Hallo,

bin gerade auf diesen Thread gestoßen und habe mich auch gleich hier im Forum angemeldet.

Kurz zur Sache.

Bei mir tritt das selbe Problem seit Montag den 5 Januar 2009 auf. Habe auch schon mehr als sechs stunden nach dem Problem gegoogelt, ohne Erfolg.

 

Unabhängig von diesem Thead habe ich die selben Ansätze wie oben beschrieben probiert, ohne Erfolg.

 

Ich gehe mitlerweile stark davon aus das es sich um einen neuen Virus handelt.

 

Ich hoffe es kann bald jemand helfen.

 

mfg

Alveran

[zahni 554]

Vielleicht hat Euer Provider einfach nur alte Adressen in seinem Cache, weil er die Server falsch konfiguriert hat.

 

Verwendet doch mal zum Test (!) einen anderen DNS im Internet, z.B. T-Online:

 

Adressen der lokalen DNS-Server von T-Online

 

Bei mir liefert in Ping auf Microsoft Corporation zur Zeit die Adresse 65.55.21.250 . PS: Eine Eingabe der IP-Adresse im Browser funktioniert i.d.R. nicht. Das hat was mit dem Webserver zu tun.

 

Zum Online-Prüfen:

 

Domain - reports and all about ips, networks and dns

 

-Zahni

[Herby70 10]

Hallo Zahni

 

Hab ich doch gemacht...

Hatte testeshalber den DNS Server von Sunrise (bin aus der Schweiz) verwendet - ohne Erfolg..

Habe sogar die DNS Einträge auf der Firewall / Router auf externe DNS Server umgestellt - ohne Erfolg..

 

Unser Provider.. Hmm, da haben wir ja eigentlich zwei.

Es ist tatsächlich so dass der Internetzugang bei uns Zentral geregelt wird, also nur ein Povider diesbezüglich in Frage kommt.

ABER:

Habe einen kollegen der beim selben Provider ist, der hat keine Probleme..

 

Was mir allerdings nun aufgefallen ist.

 

Habe auf einem betroffenen Server ipconfig /displaydns gemacht.

Der hat nun jenste Fehler gemeldet, z.B:

 

qwderftg.info

swederf.org

wsdfrtg.ws

 

usw..

 

bei einigen von diesen Einträgen hatte er sogar eine IP Adresse hinterher welche laut nslookup zu mailrelay.website.ws gehört.

Interessanterweise habe ich auf unserem DNS Server selber keinerlei dieser Einträge gefunden.

Der vervollständigkeits halber habe ich natürlich noch einmal die Host und LmHost Datei angekuckt. Die sind aber immer noch so wie sie sein müssen..

 

Serversniff probiere ich morgen aus (Bin nicht mehr im Büro) - Danke für den Link!

 

Besten Dank für Eure Ansätze, auch wenn ich das schon alles durchprobiert habe..

 

Sollte noch jemand eine gute Idee haben; Nur zu, schreibt sie mir!

 

Besten Dank für Eure Mithilfe!

Herby

–

@Alveran

 

Das mit dem Virus dachte ich auch schon, aber beachte den Eintrag #5 von mir..

http://www.mcseboard.de/post5-895748.html

 

Ich werde heute Abend wenn niemand mehr am arbeiten ist noch einen Anti Spam / Malware scan durchführen; Vielleicht findet das ja was..

 

Nochmal Danke für alle die versuchen zu Helfen!

Herby

[LukasB 10]

Ich würde mal Offline (also ab CD o.ä.) einen Viren- und Rootkit-Scan durchführen.

 

Und auch Online mal folgende Tools probieren:

RootkitRevealer

McAfee Threat Center

Trend Micro

 

Ich würde auch mal mit Wireshark/Network Monitor und einem dazwischengeschalteten Hub und telnet probieren herauszufinden ob jemals irgendwelche Packets die Maschine überhaupt verlassen.

[djmaker 95]

Rufe mal im IE

 

liveupdate.symatec.com

ca.com

updates1.kaspersky-labs.com

 

 

auf. Wenn diese Seiten alle nicht gehen hast Du einen Virus.

[Herby70 10]

Olla Folks

 

Hab nun den McAfee RootKit Beta am laufen..

 

Eigentlich schliesse ich einen Virus ja aus. WEIL:

 

- Es betrifft nur die 2003 Server und 1 Vista Client

- 120 XP und Vista Client's im Netzwerk haben keinerlei Probleme, ob Notebook oder PC, is egal, alle Tip Top

- Die 3 2008 Server habe das Problem auch nicht!

- Habe auf einem betroffenen Server Norman, AntiVir, a-squared antispy 4, SpyBot Search & Destroy und nun im Augenblick McAfee RootKit Beta am laufen - alle ohne Fund!

 

allerdings funktionieren,- war ja anzunehmen - die Webseiten von Djmaker nicht. Auf den Servern! Auf den Arbeitstationen funktionieren sie!!

 

Für weiter Hilfe bedank ich mich!

Herby

[Alveran 10]

Hallo,

kurzer zwischenstand, noch keinen Schritt weiter.

Werde jetzt gleich mal hijackthis durchlaufen lassen, mal sehen was dabei rauskommt.

Bei Mir sind alle Maschienen betroffen die über das Wochenende vom 2.1.2009 zum 5.1.2009 an waren. Darunter die Windows 2003 Server, ein Vista rechner und ca 12 XP Rechner.

Ist noch jemand anderes davon betroffen?

 

mfg

Alveran

 

//edit

Hijackthis hat auch nichts gefunden ;-[

[Herby70 10]

Zwischenstand meiner Seits..

 

- McAfee Root Kit Beta hat NICHTS gefunden!

- McAfee Stinger hat NICHTS gefunden!

- Die Vista Maschine die nicht tut, direkt am Glasrouter angeschlossen, externe IP Adresse des Providers vergeben, flushdns ausgeführt - hat NICHTS gebracht!

- Netzwerkkarten Treiber auf einer betroffenen Maschine durch älteren ersetzt (Könnte ja sein, durch einen update ein falscher Treiber installiert..) - hat NICHTS gebracht

- Weitere "rumspielereien" mit dem MTU Wert (langsam mit Ping an den richtigen MTU antasten) - Bringt NICHTS

 

@LukasB

 

Wireshark hab ich natürlich auch schon installiert. Grundsätzlich kommunizieren die Server ja! Exchange Replikation funktioniert, Internet und Mail zugang funktioniert, eben nur die microsoft und Virenscanner anbieter Webseiten gehen NICHT!

 

Langsam gehen mir aber nun wirklich die Ideeen aus, was soll das??

 

Für konstruktive Hilfe bin ich dankbar!!

Herby