mcdaniels 29 Geschrieben Sonntag um 13:24 Autor Melden Teilen Geschrieben Sonntag um 13:24 Gerade eben schrieb NorbertFe: Jupp, kommt aus einem Projekt, wo man nix auf dem DC installieren durfte ;) so gehört sich das ja auch Zitieren Link zu diesem Kommentar
mcdaniels 29 Geschrieben Gestern um 07:58 Autor Melden Teilen Geschrieben Gestern um 07:58 Hallo, ich habe jetzt LLMNR per GPO abgedreht, per RSOP geprüft, ob die Richtlinie auf meinem Client ankommt und dann via \\PC-IRGENDWAS im Explorer auf meinem PC eine Namensauflösung nach einem PC Namen angestoßen, den es nicht gibt. Und... siehe da... Mein PC fragt noch immer per LLMNR nach dem Hostnamen. Folgende Richtlinie hab ich verwendet: Computer Configuration -> Administrative Templates -> Network -> DNS Client Turn Off Multicast Name Resolution auf enabled gestellt. Ich liebe es Zitieren Link zu diesem Kommentar
testperson 1.680 Geschrieben Gestern um 08:15 Melden Teilen Geschrieben Gestern um 08:15 Moin, die "Turn Off Multicast Name Resolution" gibt es (im deutschen) zweimal: Multicastnamensauflösung deaktivieren - Active Directory Forum - MCSEboard.de (Schalte einfach beide ab. Und dann ggfs. auch direkt mDNS.) Gruß Jan Zitieren Link zu diesem Kommentar
NorbertFe 2.035 Geschrieben Gestern um 08:29 Melden Teilen Geschrieben Gestern um 08:29 (bearbeitet) Nicht einfach beide abschalten, sondern das richtige (siehe obigen Thread). Bin ich bei zwei Kunden schon auf die Nase gefallen, weil die VPN Lösung von Cisco das nutzte. ;) bearbeitet Gestern um 08:29 von NorbertFe Zitieren Link zu diesem Kommentar
mcdaniels 29 Geschrieben Gestern um 08:29 Autor Melden Teilen Geschrieben Gestern um 08:29 @testperson @NorbertFe und auch alle anderen. DANKE ihr seid halt einfach ein Hammer. Jetzt ist zumindest mal LLMNR still und ich kann mich diesem HOME_DS widmen. Ich vermute das steht deshalb doppelt da drin, weil MS die Aufmerksamkeit der Admins prüfen will... sehen sie es, oder sehen sie es nicht. Ich bin jedenfalls durchgefallen und kann deshalb wohl nie bei MS anfangen. Zitieren Link zu diesem Kommentar
testperson 1.680 Geschrieben Gestern um 08:37 Melden Teilen Geschrieben Gestern um 08:37 vor 5 Minuten schrieb NorbertFe: weil die VPN Lösung von Cisco das nutzte. ;) Niemand nutzt VPN. :-P 1 Zitieren Link zu diesem Kommentar
mcdaniels 29 Geschrieben Gestern um 08:50 Autor Melden Teilen Geschrieben Gestern um 08:50 (bearbeitet) Habt ihr eventuell noch einen Tipp für mich wie man die Traces (.etl) öffnen kann. Das Programm das im Artikel von @NorbertFe erwähnt wurde gibt es nicht mehr (habs dann aus anderen Quellen geholt und läuft in einen Fehler). Ich konvertiers mir mit Releases · microsoft/etl2pcapng vor 26 Minuten schrieb NorbertFe: Nicht einfach beide abschalten, sondern das richtige (siehe obigen Thread). Bin ich bei zwei Kunden schon auf die Nase gefallen, weil die VPN Lösung von Cisco das nutzte. ;) Cisco haben wir nicht... :-P Aber ok, dann schalte ich den oberen Eintrag mit dem Namen auf nicht konfiguriert. Mann, Mann, Mann... das ist irgendwie alles ******* bearbeitet Gestern um 08:56 von mcdaniels Zitieren Link zu diesem Kommentar
mcdaniels 29 Geschrieben vor 23 Stunden Autor Melden Teilen Geschrieben vor 23 Stunden (bearbeitet) Habe jetzt via Netsh protokolliert, danach das File in Pcap umgewandelt und im Wireshark angeschaut. Ich finde den String HOME_DS nirgends. Dennoch protokolliert der DC fröhlich weiter fehlgeschlagene Anmeldungen von dort. Jetzt muss ich mich mal sammeln und überlegen, was ich noch machen könnte... Interessant, aber mühsam. bearbeitet vor 23 Stunden von mcdaniels Zitieren Link zu diesem Kommentar
NorbertFe 2.035 Geschrieben vor 21 Stunden Melden Teilen Geschrieben vor 21 Stunden vor 2 Stunden schrieb mcdaniels: Dennoch protokolliert der DC fröhlich weiter fehlgeschlagene Anmeldungen von dort Wie sieht so eine Meldung im Eventlog denn aus? Zitieren Link zu diesem Kommentar
mcdaniels 29 Geschrieben vor 20 Stunden Autor Melden Teilen Geschrieben vor 20 Stunden (bearbeitet) vor einer Stunde schrieb NorbertFe: Wie sieht so eine Meldung im Eventlog denn aus? Inhalt: Es wurde versucht, die Anmeldeinformationen für ein Konto zu überprüfen. Authentifizierungspaket: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 Anmeldekonto: (ist leer) Arbeitsstation: \\HOME_DS Fehlercode: 0x0000064 Jetzt kommt aber der Gag... ich habe jetzt mal aufgrund des Hinweises von @daabm eine DiskStation, die via IPSEC VPN Tunnel an uns angebunden ist, neu gestartet. Und jetzt ist der Eintrag verschwunden. Auf der Diskstation selbst finde ich aber nirgends den Eintrag \\HOME_DS. Ich kann mir keinen Reim drauf machen.... Entweder war das jetzt ein Riesenzufall, dass das Gerät das hier reinfunkt exakt zu dem Zeitpunkt als ich die Diskstation neu startete aufhörte den DC zuzuballern, oder es war tatsächlich die Synology Diskstation...... Ich muss mich korrigieren... Dachte grade, ich schau mal auf den zweiten DC nachdem der betroffene (DC3) das nicht mehr protokolliert... siehe da... jetzt ist die Meldung auf dem zweiten DC im Eventlog.... ich werd nicht mehr.... bearbeitet vor 19 Stunden von mcdaniels Zitieren Link zu diesem Kommentar
NorbertFe 2.035 Geschrieben vor 19 Stunden Melden Teilen Geschrieben vor 19 Stunden Schalte doch mal netlogon logging aktiv und schau da nach. Hat mir schon einige Male geholfen in solchen Fällen. Zitieren Link zu diesem Kommentar
mcdaniels 29 Geschrieben vor 19 Stunden Autor Melden Teilen Geschrieben vor 19 Stunden vor 6 Minuten schrieb NorbertFe: Schalte doch mal netlogon logging aktiv und schau da nach. Hat mir schon einige Male geholfen in solchen Fällen. ok werde ich mir anschauen. Es scheint aber definitiv von der Diskstation zu kommen. Diskstation ausgeschaltet: Ruhe. Auf der Diskstation aber nix von \\HOME_DS zu finden. Zitieren Link zu diesem Kommentar
NorbertFe 2.035 Geschrieben vor 19 Stunden Melden Teilen Geschrieben vor 19 Stunden Wäre ja auch eher interessant, welcher Prozess von der Diskstation sich irgendwie auf Ressourcen deiner Domain zugreifen will. Fallen mir ja nur andere SMB Shares oder LDAP usw. ein. Zitieren Link zu diesem Kommentar
mcdaniels 29 Geschrieben vor 18 Stunden Autor Melden Teilen Geschrieben vor 18 Stunden (bearbeitet) vor 52 Minuten schrieb NorbertFe: Wäre ja auch eher interessant, welcher Prozess von der Diskstation sich irgendwie auf Ressourcen deiner Domain zugreifen will. Fallen mir ja nur andere SMB Shares oder LDAP usw. ein. das kann ich dir beantworten: Die DS hängt mit AD-Authentifizierung für die Shares (Als Domänenmember) in der Domain. Dennoch erklärt das (für mich) nicht, wo dieses verda**** \\HOME_DS herkommt. Auf dem Ding läuft an sich (bis auf die nicht deinstallierbaren) Standardapps nur SMB bzgl. Shares und erwähntes \\HOME_DS sehe ich nirgends. Aber vielleicht komm ich da ja noch dahinter. Das ist wenigstens mal etwas anderes, wie "ich kann mich nicht anmelden" ... wieso brauchen wir dieses komplizierte sinnlose 2FA, Ich hab meinen Authenticator gelöscht, weil ich dachte ich brauch ihn nicht mehr, mein PC ist aus... / kann es sein dass du ihn ausgesteckt hast? / nein, ich hab nur meinen Wasserkocher angesteckt... usw. Zeug... bearbeitet vor 18 Stunden von mcdaniels Zitieren Link zu diesem Kommentar
NorbertFe 2.035 Geschrieben vor 18 Stunden Melden Teilen Geschrieben vor 18 Stunden Tjo.... mal synology anrufen ;) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.