none
DNS-Client funktioniert nicht. RRS feed

  • Frage

  • Nach einer Conficker-A Infektion auf einem Windows 2003 Server funktioniert die DNS Auflösung mit DNS Cache nicht mehr.

    Wird der DNS Client beendet, dann erfolgt die Namensauflösung ohne Probleme.

    Kennt jemand hierfür eine Lösung?

    Mit besten Grüßen

    Klaus 


    Dienstag, 2. August 2011 11:27

Alle Antworten

  • >Wird der DNS Client beendet, dann erfolgt die Namensauflösung ohne Probleme.

    DNS?
    Oder wird hier anders aufgelöst?

    Dienstag, 2. August 2011 11:34
  • Hi Matthias,

    ja wir haben 2 DNS Server.

    Über netsh diag show dns werden sie auf dem Server auch richtig angezeigt.

     

    Dienstag, 2. August 2011 11:39
  • Redest du von der Auflösung auf dem Server selbst oder von der Auflösung der Clients über diesen DNS Server?

    Funktioniert die Auflösung über nslookup?


    Dienstag, 2. August 2011 11:41
  • Ich meine die lokale DNS Auflösung auf diesem Server.

    Ping auf www.google.de nach net start dnscache geht nicht, nach net stop dnscache wird sauber aufgelöst.

    Nslookup geht in beiden Fällen.

    Dienstag, 2. August 2011 11:47
  • Ok, verstanden.

    Allerdings wird www.google.de ohnehin nicht über deinen DNS Server aufgelöst, sondern über einen
    anderen DNS Server (Stammhinweis / Weiterleitung).

    Es kann natürlich sein, dann im Cache eine fehlerhafter Eintrag vorhanden ist.

    Wie schaut es mit Adressen aus dem Zuständigkeitsbereich des DNS Servers aus?

    Hatte ihr am Server auch einen sfc /scannow laufen lassen nach der Infektion?


    Dienstag, 2. August 2011 11:57
  • Der Server löst grundsätzlich keine Namen auf, wenn der DNS Client gestartet ist.

    Ausnahme ping auf den Netbios Namen über WINS

    Wenn der DNS Client nicht gestartet ist werden alle Anfragen an unsere DNS Server geleitet, die dann natürlich die Anfragen für externe Adressen weiterleiten.

    Ich habe auch schon ipconfig /dnsflush und sfc /scannow gemacht.

    Hat bisher leider nichts gebracht. 

    Dienstag, 2. August 2011 14:13
  • Ist der Server nur DNS-Server oder auch DC?

    Ich persönlich würde nach einer Infektion dem System nicht mehr über den Weg trauen.

    (sollte er auch DC sein, dann scho 10mal nicht!)

    Dienstag, 2. August 2011 20:00
  • Weder noch, es ist ein normaler Server.

    Sicher ist nur ein Registry Eintrag manipuliert.

    Aber das hilft mir leider nicht weiter.

    Mittwoch, 3. August 2011 08:08
  • Benutz Ihr AD-integrierte DNS Zonen?

    Wenn ja, würde ich an deiner Stelle die DNS-Rolle erneut installieren.

    (was natürlich auch bei anderen Zonentypen gemacht werden kann, allerdings bedarf es dann in der Regel etwas mehr Konfiguration).

    Welche Fehler bezügtlich DNS hast du im Eventlog?

    Mittwoch, 3. August 2011 08:53
  • Hi Matthias,

    Ich glaube wir kommen jetzt vom Thema ab.

    Unserem DNS System (mehrere DNS Linux Server und AD integr. DNS) geht es super.

    Nur der eine Server hat ein Problem mit der lokalen Namensauflösung.

    Wenn der DNS Client Dienst nicht gestartet ist funktioniert die Namensauflösung auch.

    Ist halt bloß nicht so schnell wie mit dem DNS Cache. Muß aber in dem Fall auch nicht sein.

    Es hätte es nur gerne wieder so, wie es normal ist (DNS Client Dienst gestartet).

    LG Klaus

    Mittwoch, 3. August 2011 09:47
  • Ping ist kein Test der Namensauflösung... Und was genau meinst Du mit
    "geht nicht" - Fehlermeldung? Timeout? Keine Antwort?
     
    BTW: Ist der DNS-Cache auch tatsächlich noch der DNS-Cache? (Image Path:
    %SystemRoot%\system32\svchost.exe -k NetworkService,
    Parameters\ServiceDll: %SystemRoot%\System32\dnsrslvr.dll)
     
    mfg Martin
     

    A bissle "Experience", a bissle GMV...
    Mittwoch, 3. August 2011 10:30
  • Hallo Martin,

    ich habe mal die Consolenmeldungen umgeleitet:

    Als erstes habe ich den DNS-Client gestartet net start dnscache >

    DNS-Client wird gestartet.
    DNS-Client wurde erfolgreich gestartet.

    Danach wird der FQDN beim Ping nicht mehr aufgelöst >

    Ping-Anforderung konnte Host "www.google.de" nicht finden. überprüfen Sie den Namen, und versuchen Sie es erneut.

    Dann habe ich den DNS-Client wieder gestoppt net stop dnscache >

    DNS-Client wurde erfolgreich beendet.


    Die Namensauflösung beim Ping funktioniert nun sauber >

    Ping wird ausgeführt für www.l.google.com [209.85.148.106] mit 32 Bytes Daten:

    Antwort von 209.85.148.106: Bytes=32 Zeit=11ms TTL=55
    Antwort von 209.85.148.106: Bytes=32 Zeit=13ms TTL=55
    Antwort von 209.85.148.106: Bytes=32 Zeit=11ms TTL=55
    Antwort von 209.85.148.106: Bytes=32 Zeit=11ms TTL=55

    ??? BTW: Ist der DNS-Cache auch tatsächlich noch der DNS-Cache? (Image Path:
    %SystemRoot%\system32\svchost.exe -k NetworkService,
    Parameters\ServiceDll: %SystemRoot%\System32\dnsrslvr.dll)
    Die Frage verstehe ich leider nicht.

    mfg Klaus

    Mittwoch, 3. August 2011 11:33
  • > Parameters\ServiceDll: %SystemRoot%\System32\dnsrslvr.dll)
    > Die Frage verstehe ich leider nicht.
     
    Poste mal den Output von
     
    reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Dnscache /s
     
    mfg Martin
     

    A bissle "Experience", a bissle GMV...
    Mittwoch, 3. August 2011 11:38

  • Das ist der Output >

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Dnscache
        Type    REG_DWORD    0x20
        Start    REG_DWORD    0x3
        ErrorControl    REG_DWORD    0x1
        ImagePath    REG_SZ    C:\WINDOWS\system32\svchost.exe -k NetworkService
        DisplayName    REG_SZ    DNS-Client
        Group    REG_SZ    TDI
        DependOnService    REG_MULTI_SZ    Tcpip
        ObjectName    REG_SZ    NT AUTHORITY\NetworkService
        Description    REG_SZ    Wertet DNS-Namen (Domain Name System) fr diesen Computer aus und speichert sie zwischen. Falls dieser Dienst beendet wird, kann der Computer keine DNS-Namen aufl”sen und Active Directory-Dom„nencontroller ermitteln. Falls dieser Dienst deaktiviert wird, k”nnen die Dienste, die von diesem Dienst ausschlieálich abh„ngig sind, nicht mehr gestartet werden.

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Dnscache\Parameters
        ServiceDll    REG_SZ    C:\WINDOWS\System32\dnsrslvr.dll

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Dnscache\Security
        Security    REG_BINARY    01001480A8000000B4000000140000003000000002001C000100000002801400FF010F000101000000000001000000000200780005000000000014008D01020001010000000000050B000000000018009D0102000102000000000005200000002302000000001800FD0102000102000000000005200000002C02000000001800FF010F000102000000000005200000002002000000001400FD010200010100000000000512000000010100000000000512000000010100000000000512000000

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Dnscache\Enum
        0    REG_SZ    Root\LEGACY_DNSCACHE\0000
        Count    REG_DWORD    0x1
        NextInstance    REG_DWORD    0x1

     

    Mittwoch, 3. August 2011 12:00
  • > HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Dnscache\Parameters
    > ServiceDll REG_SZ C:\WINDOWS\System32\dnsrslvr.dll
     
    Das ist nicht "original", das sieht - zumindest bei mir - deutlich
    anders aus. Insbesondere fehlen bei Dir unter "Parameters" 2 zusätzliche
    Einträge... Gleiche das mal mit nem funktionsfähigen Server ab (mein
    Output ist nicht unbedingt repräsentativ).
     
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Dnscache
        DisplayName    REG_SZ    @%SystemRoot%\System32\dnsapi.dll,-101
        Group    REG_SZ    TDI
        ImagePath    REG_EXPAND_SZ    %SystemRoot%\system32\svchost.exe -k
    NetworkService
        Description    REG_SZ    @%SystemRoot%\System32\dnsapi.dll,-102
        ObjectName    REG_SZ    NT AUTHORITY\NetworkService
        ErrorControl    REG_DWORD    0x1
        Start    REG_DWORD    0x2
        Type    REG_DWORD    0x20
        DependOnService    REG_MULTI_SZ    Tdx\0nsi
        ServiceSidType    REG_DWORD    0x1
        RequiredPrivileges    REG_MULTI_SZ
    SeChangeNotifyPrivilege\0SeCreateGlobalPrivilege
        FailureActions    REG_BINARY
    805101000000000000000000030000001400000001000000C0D4010001000000E09304000000000000000000
     
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Dnscache\Parameters
        ServiceDll    REG_EXPAND_SZ    %SystemRoot%\System32\dnsrslvr.dll
        ServiceDllUnloadOnStop    REG_DWORD    0x1
        extension    REG_EXPAND_SZ    %SystemRoot%\System32\dnsext.dll
     
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Dnscache\Parameters\DnsCache
        ShutdownOnIdle    REG_DWORD    0x0
     
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Dnscache\Security
        Security    REG_BINARY
    01001480900000009C000000140000003000000002001C000100000002801400FF010F000101000000000001000000000200600004000000000014008D01020001010000000000050B00000000001800FD0102000102000000000005200000002C02000000001800FF010F000102000000000005200000002002000000001400FD010200010100000000000512000000010100000000000512000000010100000000000512000000
     
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Dnscache\TriggerInfo
     
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Dnscache\TriggerInfo\0
        Type    REG_DWORD    0x4
        Action    REG_DWORD    0x1
        GUID    REG_BINARY    079E56B72184E04EAD1086915AFDAD09
        Data0    REG_BINARY    3500330035003500000055004400500000000000
        DataType0    REG_DWORD    0x2
     
    mfg Martin
     

    A bissle "Experience", a bissle GMV...
    Mittwoch, 3. August 2011 12:41
  • Ich hab es mal mit einem sauberen Server verglichen.

    Das ist identisch bis auf den Start Wert 0x2 natürlich, weil ich den auf manuell gesetzt habe.

    Mittwoch, 3. August 2011 12:55
  • > Das ist identisch bis auf den Start Wert 0x2 natürlich, weil ich den auf
    > manuell gesetzt habe.
     
    Stimmt - das ist ein 2003 Server, kein 2008. Sorry, dann hab ich keine
    wirklich gute Idee mehr...
     
    mfg Martin
     

    A bissle "Experience", a bissle GMV...
    Mittwoch, 3. August 2011 14:38
  • Schade, trotzdem vielen Dank.

    mfg Klaus

    Mittwoch, 3. August 2011 14:52
  • * KP-693 (Wed, 3 Aug 2011 11:33:48 +0000)

    Als erstes habe ich den DNS-Client gestartet net start dnscache >

    DNS-Client wird gestartet.
    DNS-Client wurde erfolgreich gestartet.

    Danach wird der FQDN beim Ping nicht mehr aufgelöst >

    Ping-Anforderung konnte Host "http://www.google.de/" nicht finden. überprüfen Sie den Namen, und versuchen Sie es erneut.

    Dann habe ich den DNS-Client wieder gestoppt net stop dnscache >

    DNS-Client wurde erfolgreich beendet.


    Die Namensauflösung beim Ping funktioniert nun sauber >

    Das klingt nicht nach einem Problem mit dem DNS Client sondern mit Ping.
    Was sagt nslookup? Was ist mit telnet, tracert, etc., etc.? Warum machst du nicht einen Process Monitor-Trace im Erfolgs- und Fehlerfall und vergleichst die beiden? Was ist mit der Conficker-Infektion? Wie wurde die festgestellt und wie beseitigt?

    Thorsten

    Mittwoch, 3. August 2011 18:36
  • Hallo Thorsten,

    Bei nslookup funktioniert die Auflösung.

    Bei telnet und tracert kommt auch die Meldung z.Bsp. "Der Zielname www.google.de konnte nicht aufgelöst werden".

    Mit dem Process Monitor habe ich noch nicht gearbeitet. Das müßte ich mir erst ansehen.

    Der Conficker-A wurde von Sophos erkannt und auch bereinigt. Mehrere folgende Scans, auch mit anderen Produkten, zeigten keine Infektion mehr.

    mfg Klaus


    Donnerstag, 4. August 2011 07:13
  • * KP-693 (Thu, 4 Aug 2011 07:13:15 +0000)

    Mit dem Process Monitor habe ich noch nicht gearbeitet. Das müßte ich
    mir erst ansehen.

    Ich kann hier ping.exe HKLM\System\CCS\services\Dnscache öffnen sehen und danach UDP Send/Receive von "svchost.exe -k NetworkService" an den externen DNS. Anstatt das defekte System mit und ohne DNS Client zu tracen, ist es wahrscheinlich sinnvoller, ein funktionierendes System mit laufendem DNS Client und das nicht-funktionierende mit laufendem DNS-Client zu vergleichen.

    "Advanced Output" aktivieren (bin nicht sicher, ob das nötig ist). Systeme sollten den gleichen, externen (nicht localhost) DNS haben und ipconfig /flushdns und DNS Client restart direkt vor dem Trace.

    Thorsten

    Donnerstag, 4. August 2011 13:53
  • Ich habe mal mit dem PM die Traces gemacht.

    Mit den Ergebnissen kann ich aber nichts anfangen. So tief auf Prozessebene fehlt mir die Erfahrung.

    mfg Klaus

    Donnerstag, 4. August 2011 15:32

  • KP-693 meinte:

    Mit den Ergebnissen kann ich aber nichts anfangen. So tief auf Prozessebene fehlt mir die Erfahrung.

    Ich habe die Diskussion hier jetzt nur lesend verfolgt, aber ich persönlich
    würde nach der Infektion dem ganzen System nicht mehr trauen, erst recht
    nicht bei einem Server. Zur Erinnerung der entsprechende TechNet-Artikel,
    mittlerweile auch ganz brauchbar ins Deutsche übersetzt:

    http://www.microsoft.com/germany/technet/datenbank/articles/600574.mspx

    Du sagtest:

    Mehrere folgende Scans, auch mit anderen Produkten, zeigten keine Infektion mehr

    Wie wurden diese Scans gemacht? Aus dem laufenden System? Dann wären sie
    nämlich wertlos.

    Christoph Sternberg */\

    Donnerstag, 4. August 2011 15:51
  • Hallo Christoph,

    Die Scans wurden natürlich auch mit einem Life-Stick durchgeführt.

    Der Server war auch auf dem aktuellen MS Patchlevel (WSUS Integation) und der on-access Virenscanner war aktiv.

    Eigentlich sollte der Virus keine Möglichkeit gehabt haben das System zu manipulieren.

    Vielleicht steht das DNS Problem auch garnicht im Zusammenhang damit, sondern es ist nur erst jetzt aufgefallen.

    mfg Klaus 

    Freitag, 5. August 2011 08:34