Unbekanntem Rechner in der Domäne eine Nachricht zukommen lassen?
Hallo Administratoren,
Wir haben aktuell einen unbekannten Rechner in unserer Domäne. Wir kennen nur die IP-Adresse die dieser Rechner sich aus dem DHCP Pool least. Wir gehen davon aus, dass es sich um ein Fremdgerät handelt, allerdings wissen wir nicht, wo es steht.
Ich versuche gerade via msg * /SERVER:ip-adresse "Bitte in der IT-Abteilung melden!" eine Nachricht zu übermitteln. Testweise hat es bei meinen Kollegen funktioniert, allerdings bekomme ich, wenn ich die IP des unbekannten Rechners eingebe die Fehlermeldung "Fehler 5 beim Abrufen der Sitzungsnamen".
Was kann ich tun?
Danke schon mal!
6 Antworten
Man kann versuchen, sich z.B. per Portscan https://www.heise.de/download/product/portscan-70308 weitere Informationen über das Gerät zu beschaffen.
Ein offener Port 80 könnte z.B. eine http-Interface sein (also einfach mal die IP-Adresse in der Adresszeile des Browsers eingeben)
Die MAC-Adresse des Gerätes (ja, könnte gefälscht sein, ich weiß) sagt vielleicht etwas über den Hersteller des Gerätes aus.
Könnte das z.B. ein unmanaged switch sein, der aber trotzdem ein http-interface mitbringt ?
Oder hat jemand seinen privaten WLAN-AccessPoint mitgebracht ?
Die Fehlermeldung kommt wohl wegen fehlender RemoteRPC.
Muss dann wohl via GPO aktiviert werden
Solution – Use Group Policy Preferences to do it all at once
- Create a new GPO named something that makes sense
- Edit the new GPO
- Expand Computer Configuration / Preferences / Windows Settings
- Click on Registry
- Right-click and select New –> Registry Item
- Select Action: Update, Hive: HKEY_LOCAL_MACHINE
- Key Path: browse to the key shown above
- Select the Value name: AllowRemoteRPC
- Set the Value data: 1, specify type REG_DWORD
- Click OK
If you also want to enable remote Registry editing…
- Expand “Control Panel Settings”
- Select “Services”
- Right-click and select New –> Service
- Startup: Automatic, Service Name “Remote Registry”, Service Action: Start Service
- Click the Recovery tab
- Specify First and Second failure action as “Restart the Service”
- Specify Restart fail count after to 1 day, Restart service after 1 minute
- Click OK
Klappts mit psexec?
Die Lösung habe ich auch bereits gesehen. Auf Grund fehlender Administrator-Rechte (die uns die Kollegen im HQ in Frankreich nicht geben wollen) können wir auch keine GPOs anlegen... eigentlich dürfen wir auf den Servern nur zu gucken <.< ätzend sowas :/ Wir sind quasi Zahnlose Admins in vielen Fällen...
und psexec schmeißt mir den Fehler, dass der Netzwerkname, also die IP, nicht gefunden werden kann. Dabei habe ich es zunächst mit einem Rechner in unserer IT getestet, dem ich zuvor via msg eine Nachricht senden konnte..
nslookup?
Ich würde das an deiner Stelle jetzt schriftlich festhalten und an die Chefität weiterleiten. Ist ja kein Arbeiten so. Die sollen da mal den Vorschriften nachegehn, wenn Hinz und Kunz ihre Privatlaptops ranhängen.
Scheinbar wissen die das und können damit leben.
Ich würde da jetzt mal über eine MAC-Sperre nachdenken....
Wir sind schon seit zwei Jahren dabei denen mitzuteilen, dass es nicht funktioniert, wir mehr Rechte brauchen... aber die Mögen wohl Deutsche einfach nicht *lach*
naja geht aber nicht nur uns so, die Nebenstellen im Rest der Welt versuchen auch schon ewig mehr Rechte zu bekommen...
und MAC-Adresse sperren würden wir ja.. aber wir dürfen halt nicht.. wir können es nicht.. muss alles über das HQ laufen aktuell.. BTW die haben sich seit 10 noch nicht dazu gemeldet...
Ja, da sind euch wohl die Hände gebunden. Ein Domänen-Admin am Standort wäre schon sehr hilfreich.
Wir könnten ja Domänen-Admin sein.. das Know-How ist da... nur werden wir nicht gelassen... Naja wenn irgendwann mal was den Bach runtergeht und uns die Hände gebunden sind, dann ist es mir auch egal ^^
Dauert bei uns in der Firma auch ewig. Ich hab die Admins damals so lange mit "Kennwort bitte" genervt, so das ich relativ schnell "befördert" wurde :)
tjoar wir sind shcon ein paar Jahre dabei... mal schauen ob es jemals soweit sein wird..
Aus der Domäne werfen.
Das Problem ist, dass wir hier nur eine Nebenstelle in Deutschland sind. HQ ist in Frankreich und die Idioten geben uns keine Rechte dazu -.-
Das "gute" ist, dass wir wissen, dass er physisch mit einem Kabel sich im Haus befinden muss. Sprich er muss diverse Sicherheitskontrollen passiert haben. Ich gehe mal davon aus, dass es sich hierbei um ein Privates Notebook von einem unserer Außendienstler handelt.
Die HQ-Leute sind schon informiert.. leider ist seit etwa 6 Stunden nichts passiert... Naja mir ist sowas inzwischen schon ziemlich egal geworden ._. Sollen die uns endlich mal Admin-Rechte auf den Servern geben...
Lade dir PsTools herunter: https://docs.microsoft.com/en-us/sysinternals/downloads/pstools
Danach startest du in cmd folgenden Command:
Pfad\Zu\psexec.exe \\IPdesPCs -u domain\Adminacc -p passwortAdminAccount -h -d powershell.exe "enable-psremoting -force"
Dann kannst du ihm eine Nachricht zukommen lassen:
Pfad\Zu\psexec.exe \\IPdesPCs msg * "Deine Nachricht"
Hab das ganze mal mit einem Rechner bei uns in der IT ausprobiert, bevor ich das direkt mit dem kritischen System teste.
leider bekomme ich folgende Meldung: "Couldn't access ip-address" - "Der Netzwerkname wurde nicht gefunden"
Natürlich funktioniert das nicht 'mal eben so'. Du musst schon ein (Administrator-)Konto auf dem Zielsystem haben.
Deswegen ja 'Adminacc' und 'passwortAdminAccount' in der Kommandozeile.
Wäre ja noch schöner, wenn man auf einem beliebigen Windows-Zielsystem mal eben ein 'format c:' ausführen könnte. ;-)
Wenn das unbekannte System überhaupt ein 'normales' Windows ist.
Ich habe bereits versucht mit dem ein oder anderen Lokalen Admin, den wir auf unseren Geräten installieren dort Zugriff zu bekommen. Leider ohne Erfolg.
Ich bin aber ehrlich gesagt auch nicht davon ausgegangen, dass dort eines unserer lokalen Konten installiert ist... schließlich ist uns das Gerät nicht bekannt
schließlich ist uns das Gerät nicht bekannt
Eben. Deshalb ja der Versuch das Gerät zu identifizieren. Den Hersteller haben wir ja jetzt und somit ist kein 'gewöhnliches' Gerät.
Wenn es dringend ist, dann muss man - während der Ping läuft - halt der Reihe nach nacheineander einen ETH-Stecker nach dem anderen aus dem/den Switches ziehen. Zumindest dort, wo einem die managed-switches nicht veraten, an welchem ihrer Ports die IP verwendet wird).
Muss man halt von der Wurzel (Server) bis hin zum letzten Blatt (Client) machen.
Ich verstehe dich schon, allerdings können wir auch nicht auf die Switche schauen... ich weiß bescheuert.. aber ist halt so.. ich wünschte auch, dass es anders wäre, das würde so vieles erleichtern.
aber ich bin beruhigt, dass ich nicht ganz dumm bin und vieles schon bedacht habe. Und danke, dass ihr mir auch noch andere Ideen gegeben habt. Nun hab ich noch mehr Argumentationsgrundlagen, damit wir hier endlich Domänen-Admins werden... so geht das echt nicht weiter ^^
Könnt ihr wenigstens den DHCP administrieren? Wenn ja dann blockiert die MAC Adresse des Rechners, wenn derjenige dann unbedingt Internet will wird er schon kommen und schreien.
Ich geh jetzt auch mal davon aus, dass das du meinst der Rechner ist in eurem physischen Netzwerk, ein unbekannter Rechner in der Domäne wäre schon etwas seltsam, oder siehst du ihn im ADUC als Mitglied der Domäne(dann wäre er aber wiederum nicht unbekannt).
Nein leider nicht, das ist ja das Problem. sonst hätten wir genau das getan ^^
Wir können ihn aber auf dem DHCP sehen, dass der ne IP-Adresse geleast hat (inzwischen wurde der Lease verlängert). Allerdings bekommen wir keine Namensauflösung. Wir gehen aktuell davon aus, dass es sich um ein Fremdgerät, also nicht Domänen-Gerät handelt.
Wie groß ist das Büro bzw das Gelände? Je nach Größe wäre noch die Variante auf den Switchen zu schauen auf welchem Port der Rechner hängt und dann im Patchpanel zu schauen wo die andere Seite der Dose endet. Ist aber an sich nur im kleineren Umfeld mit vertretbarem Aufwand zu managen.
Ich würde eueren französischen Kollegen mal PortSecurity auf MAC Basis vorschlagen, nur bekannte Geräte bekommen eine entsprechende IP Adresse unbekannte Geräte entweder keine oder in ein GastVLAN mit vorgeschalteter Portalseite.
Naja das geht ja an sich ganz einfach mit einem reverselookup, bei einem Domänenrechner sollte der an sich sauber aufgelöst werden, wenn der DNS sauber konfiguriert ist.
Ist er aber anscheinend nicht.. und da wir keine Rechte haben irgendwas zu ändern, wird das vermutlich auch so bleiben.. wir schlagen uns hier tagtäglich die Händer überm Kopf zusammen...
Mal schauen, wie lange das noch so läuft.. hier ist so vieles Historisch gewachsen, was man eigentlich mal überholen müsste
Admin ohne Adminrechte oder zumindest Rechtedelegation, irgendwie passt das zu den Franzosen *g* und ich wollte mich doch glatt bei nem französischen Konzern bewerben.
(Hab ein paar Jahre mit Franzosen zusammengearbeitet, daher darf ich mir den Spruch erlauben)
hab mal gescannt sieht eigentlich soweit ganz gut aus
MAC-Adresse verrät mir den Hersteller der Netzwrekkarte (Flytech) aber sagt mir nichts zum Gerät
hmm dass ein unmanaaged switch so plötzlich auftaucht? meinst du? Glaube ich nicht dran :/
wenn jemand nen privaten WLAN-AccessPoint mitgebracht hat, dann gibt es direkt ne Abmahnung ^^ aber auch davon hab ich nichts gefunden (zu Fuß über den gesamten Campus gelaufen