BlackBoard (http://www.black-board.net/index.php)
- Computerecke (http://www.black-board.net/board.php?boardid=30)
-- Betriebssysteme (http://www.black-board.net/board.php?boardid=11)
--- WinXP Namensauflösung funktioniert nicht mehr (http://www.black-board.net/thread.php?threadid=23566)

Geschrieben von Wenso am 27.11.2008 um 10:07:

  Namensauflösung funktioniert nicht mehr

Guten Morgen BB,

ich hab momentan ein Problem mit der Namensauflösung unter Windows XP (inkl. SP3 und allen Updates bis Dienstag). Am Setting meiner Hardware wurde nichts verwendet, unter Linux läuft alles einwandfrei - inklusive Namensauflösung.

Hintergrund: Ich habe meine Grafikkarten-Treiber deinstalliert und damit wahrscheinlich auch meine Netzwerkkarten-Treiber (beides von nVidia). Ich habe dann neue Grafikkarten-Treiber installiert und bemerkte danach, dass ich nicht mehr ins Internet kam. Der Gerätemanager zeigte mir dann, dass keine Treiber für meine Netzwerkkarte vorhanden waren. Ich habe unter Linux mir dann die neuesten Treiber von der Asus-Seite besorgt und wieder unter Windows diese installiert.
So weit, so gut. Nur löst mein Windows keine Domain-Namen mehr auf.

Die IP meines Windows XP habe ich händisch vergeben, genauso habe ich die DNS-Server eingetragen. Die Server funktionieren für mich unter Linux, also schliesse ich da eine falsche IP aus. Die Möglichkeit, dass ich die Server anpinge habe ich probiert und das funktioniert, auch kann ich per IP-Adresse auf Internetseiten zugreifen. Praktisch habe ich also Zugriff aufs Internet. Das Problem ist nur, dass ich keine Namen aufgelöst bekomme.

Nächster Schritt von mir war ein Capture mit Wireshark (zu finden unter http://nik0.de/files/dns.pcap), dabei fallen mir DNS-Response-Pakete auf, die eine Refused-Flag gesetzt haben.

code: 
1:
2:
3:
4:
5:
6:
7:
8:
9:
10:

Flags: 0x8105 (Standard query response, Refused)
1... .... .... .... = Response: Message is a response
.000 0... .... .... = Opcode: Standard query (0)
.... .0.. .... .... = Authoritative: Server is not an authority for domain
.... ..0. .... .... = Truncated: Message is not truncated
.... ...1 .... .... = Recursion desired: Do query recursively
.... .... 0... .... = Recursion available: Server can't do recursive queries
.... .... .0.. .... = Z: reserved (0)
.... .... ..0. .... = Answer authenticated: Answer/authority portion was not authenticated by the server
.... .... .... 0101 = Reply code: Refused (5)

Womit ich nichts anfangen kann, ist die vorletzte Zeile: Answer authenticated: Answer/authority portion was not authenticated by the server.
Was will mir diese Zeile sagen?


Weiterhin fallen mir ICMP-Packages auf, die mir sagen, dass der Port 53 nicht erreichbar ist. Ich habe gerade eben getestet: ich kann den Server 62.154.16.242 zumindest anpingen. Ich weiss nicht, ob das hier von Relevanz ist, ein wenig komisch finde ich diese Meldungen dennoch.


Kann mir hier jemand sagen, was ich machen könnte, damit die Namensauflösung unter meinen Windows XP wieder funktioniert? Ich würde momentan nur sehr ungern mein Windows wieder neu aufsetzen.

Falls weitere Informationen benötigt werden, sagt einfach bescheid!

Für jegliche Tipps, Hinweise und Anregungen bin ich dankbar!


MfG Wenso


Geschrieben von Zyrus am 27.11.2008 um 17:12:

 

Es wäre ganz hilfreich zu wissen was die Befehle:

Start -> Ausführen -> CMD -> [ENTER]

1. ipconfig /all

2. tracert Ziel-Host

3. nslookup Ziel-Host

so für Ergebnisse bringen.

Sei so gut und poste mal bitte die Ergebnisse, sowie Deine IP-Konfiguration.

Es ist eigentlich unwarscheinlich, dass durch eine deinstallation der Netzwerkkartentreiber die Namensauflösung nicht mehr funktioniert.

Dazu wäre noch interessant, ob Du einen Server am laufen hast und ob Du die statischen IP - Adressen mit MAC-Adressen verknüpft hast.

code: 
1:
2:
3:

Authoritative: Server is not an authority for domain

Das deutet darauf hin, das der DNS nicht autorisiert ist, Anfragen (rekursion durch Windows XP-Client) entgegen zu nehmen und somit keine (iterativen) Abfragen an übergeordnete DNS - Server weiterleiten kann (siehe Den 2. Fehler)
code: 
1:
2:
3:

Recursion available: Server can't do recursive queries


Zum 3. Fehler und Deine diesbezgl. Frage dazu:
code: 
1:
2:

Answer authenticated: Answer/authority portion was not authenticated by the server


Für mich deutet das auf ein Authentifizierungsproblem beim Server oder aber bei der Authentifizierung beim Client hin. Der Server versucht wohl eine Antwort an den Client zu senden, das seine Abfrage für ungültig erklärt wurde, aber der Client die Antwort nicht entgegen nimmt, da Authentifizierungsprobleme bestehen.

Schwer zu sagen sowas durch Ferndiagnose. Ich habe jetzt hauptsächlich vermutungen aufgestellt und versucht hilfestellung zu geben. Wäre schön wenn Du meine Fragen noch beantworten würdest. Sollte Dein Problem schon gelöst sein, wäre nett wenn Du schreibst woran es lag.

Greetz

Zyrus

..::EDIT::.. Habe gerade zufällig das gefunden:

http://www.heise.de/security/Vergiftetes-DNS--/artikel/58275/5


Geschrieben von Wenso am 27.11.2008 um 17:49:

 

Hi Zyrus,

hier meine Ergebnisse:
ipconfig /all
code: 
1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
13:
14:
15:
16:
17:
18:
19:
20:
21:
22:
23:
24:
25:
26:
27:
28:
29:
30:
31:
32:
33:
34:
35:
36:
37:
38:
39:
40:
41:
42:

Windows-IP-Konfiguration

        Hostname. . . . . . . . . . . . . : narzissxp
        Primäres DNS-Suffix . . . . . . . : 
        Knotentyp . . . . . . . . . . . . : Unbekannt
        IP-Routing aktiviert. . . . . . . : Nein
        WINS-Proxy aktiviert. . . . . . . : Nein

Ethernetadapter LAN-Verbindung:
        Verbindungsspezifisches DNS-Suffix: 
        Beschreibung. . . . . . . . . . . : NVIDIA nForce Networking Controller
        Physikalische Adresse . . . . . . : XX-XX-XX-XX-XX-XX
        DHCP aktiviert. . . . . . . . . . : Nein
        IP-Adresse. . . . . . . . . . . . : 192.168.0.11
        Subnetzmaske. . . . . . . . . . . : 255.255.255.0
        Standardgateway . . . . . . . . . : 192.168.0.1
        DNS-Server. . . . . . . . . . . . : 194.25.0.129
                                            192.76.134.3


Tunneladapter Teredo Tunneling Pseudo-Interface:

        Verbindungsspezifisches DNS-Suffix: 
        Beschreibung. . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
        Physikalische Adresse . . . . . . : FF-FF-FF-FF-FF-FF-FF-FF
        DHCP aktiviert. . . . . . . . . . : Nein
        IP-Adresse. . . . . . . . . . . . : fe80::ffff:ffff:fffd%4
        Standardgateway . . . . . . . . . : 
        NetBIOS über TCP/IP . . . . . . . : Deaktiviert

Tunneladapter Automatic Tunneling Pseudo-Interface:

        Verbindungsspezifisches DNS-Suffix: 
        Beschreibung. . . . . . . . . . . : Automatic Tunneling Pseudo-Interface
        Physikalische Adresse . . . . . . : C0-A8-00-0B
        DHCP aktiviert. . . . . . . . . . : Nein
        IP-Adresse. . . . . . . . . . . . : fe80::5efe:192.168.0.11%2
        Standardgateway . . . . . . . . . : 
        DNS-Server. . . . . . . . . . . . : fec0:0:0:ffff::1%1
                                            fec0:0:0:ffff::2%1
                                            fec0:0:0:ffff::3%1
        NetBIOS über TCP/IP . . . . . . . : Deaktiviert


Die Tunneladapter gehören zu OpenVPN, sind in den Netzwerkeinstellungen deaktiviert.

tracert www.google.de und nslookup www.google.de
code: 
1:
2:
3:
4:
5:
6:
7:

Der Zielname www.google.de konnte nicht aufgel”st werden.

Server:  UnKnown
Address:  194.25.0.129

DNS request timed out.
    timeout was 2 seconds.


tracert 209.85.129.147 (aka. Google)
code: 
1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
13:
14:

Routenverfolgung zu 209.85.129.147 über maximal 30 Abschnitte

  1    <1 ms    <1 ms    <1 ms  192.168.0.1 
  2    20 ms    20 ms    21 ms  213.191.89.20 
  3    20 ms    20 ms    20 ms  62.109.109.240 
  4    20 ms    20 ms    19 ms  89.221.34.25 
  5    20 ms    21 ms    21 ms  195.22.211.223 
  6    21 ms    21 ms    20 ms  72.14.198.129 
  7    21 ms    20 ms    20 ms  209.85.255.172 
  8    21 ms    22 ms    21 ms  72.14.232.167 
  9    28 ms    33 ms    20 ms  72.14.233.210 
 10    21 ms    21 ms    21 ms  209.85.129.147 

Ablaufverfolgung beendet.


Mein Netzwerk hat keinen Server, nur einen Router (192.168.0.1) und einen PC (immer mit der IP 192.168.0.11). Die Mac-Adresse ist nicht mit der IP verknüpft, selbst wenn es so wäre, dürfte es doch keine Auswirkungen haben, da ich unter Windows wie Linux die gleiche IP-Adresse verwende.


Auf den heise-Artikel bin ich auch gestossen, viel weitergeholfen hat er mir nicht. Aber es wäre natürlich nicht so toll, wenn man Opfer einer solchen Attacke geworden ist.

Einer der von mir eingetragenen DNS-Server gehört laut meinem Kenntnisstand (mittlerweile 3 Monate alt) der Telekom.
Aber ich werde mir gleich nochmal aktuelle Adressen von DNS-Servern raussuchen und diese probieren!

Schonmal danke!

MfG Wenso

EDIT:
Ich fand gerade hier einen Hinweis darauf, dass anscheinend nur noch Telekom-Kunden deren DNS-Server nutzen können. Eventuell liegt es daran...

EDIT 2:
Okay, Problem solved. Die Verwendung anderer DNS-Server hat mich zum Ziel gebracht! Da habe ich wohl aus meiner resolv.conf zufälligerweise 2 Telekom-DNS-Server erwischt, leider haben die fröhlich zurückgepingt und ich ging davon aus, dass sie ihren Dienst verrichten werden!


Geschrieben von Zyrus am 27.11.2008 um 18:55:

 

Hallo Wenso,

na, dann hatte ich doch garnicht soo unrecht was die Interpretation Deines Posts bzgl. DNS war smile

Viele Wege führen eben nach Rom, freut mich das es wieder bei Dir klappt.

Greetz

Zyrus


Forensoftware: Burning Board 2.3.6, entwickelt von WoltLab GmbH