Aloha,
Gisteren heb ik toch iets weirds meegemaakt. Op een gegeven moment werden de primary dns adressen van elke client verandert van het juiste interne adres 192.168.x.x naar 198.6.1.1
Ik begon natuurlijk direct te zoeken naar spyware en virussen e.d. maar de pc's bleken volledig clean te zijn (symantec, trend micro, webroot vonden allemaal niets). Verder hebben we het netwerk afgezocht naar meerdere dhcp servers (dhcploc), maar geen resultaat. Vervolgens de group policy nagepluist op entries waar DNS server adressen aan users werd meegegeven, maar ook hier geen resultaat, de desbetreffende entry in de GPO stond op "Not defined". Het enige wat tijdelijk een oplossing boodt, was het uitvoeren van een ipconfig /release en ipconfig /renew. Dit veranderde de primary dns adressen weer naar de juiste interne dns server. Maar na enige tijd bleken sommige werkstations zich weer om te zetten naar 198.6.1.1
Het meest frapante aan dit verhaal is wel het adres waar de client naar gechanged wordt, 198.6.1.1 blijkt namelijk gewoon een useable public dns server te zijn, die voor iedereen werkt. Maar aangezien onze clients door de firewall geblocked worden op port 53 outbound, kreeg onze PIX veel requests te verduren, waardoor deze om de zoveel tijd ook eruit vloog. iemand die dit ooit al eens heeft meegemaakt, dat primaire dns adressen zomaar worden veranderd?
We hebben ook de DHCP scope nagelopen, maar ook deze stond (nog steeds) correct ingesteld. We hebben sommige werkstations nu voorzien van statische dns adres, zodat we rustig naar de oorzaak kunnen zoeken, maar ik ben op dit moment een beetje radeloos. Iemand tips, of die dit misschien al eens heeft meegemaakt?
Gisteren heb ik toch iets weirds meegemaakt. Op een gegeven moment werden de primary dns adressen van elke client verandert van het juiste interne adres 192.168.x.x naar 198.6.1.1
Ik begon natuurlijk direct te zoeken naar spyware en virussen e.d. maar de pc's bleken volledig clean te zijn (symantec, trend micro, webroot vonden allemaal niets). Verder hebben we het netwerk afgezocht naar meerdere dhcp servers (dhcploc), maar geen resultaat. Vervolgens de group policy nagepluist op entries waar DNS server adressen aan users werd meegegeven, maar ook hier geen resultaat, de desbetreffende entry in de GPO stond op "Not defined". Het enige wat tijdelijk een oplossing boodt, was het uitvoeren van een ipconfig /release en ipconfig /renew. Dit veranderde de primary dns adressen weer naar de juiste interne dns server. Maar na enige tijd bleken sommige werkstations zich weer om te zetten naar 198.6.1.1
Het meest frapante aan dit verhaal is wel het adres waar de client naar gechanged wordt, 198.6.1.1 blijkt namelijk gewoon een useable public dns server te zijn, die voor iedereen werkt. Maar aangezien onze clients door de firewall geblocked worden op port 53 outbound, kreeg onze PIX veel requests te verduren, waardoor deze om de zoveel tijd ook eruit vloog. iemand die dit ooit al eens heeft meegemaakt, dat primaire dns adressen zomaar worden veranderd?
We hebben ook de DHCP scope nagelopen, maar ook deze stond (nog steeds) correct ingesteld. We hebben sommige werkstations nu voorzien van statische dns adres, zodat we rustig naar de oorzaak kunnen zoeken, maar ik ben op dit moment een beetje radeloos. Iemand tips, of die dit misschien al eens heeft meegemaakt?
:strip_exif()/u/35573/0sm.gif?f=community)
/u/11437/wandcontactdoos.png?f=community)
/u/18025/tape2.JPG?f=community)
:strip_exif()/u/19219/crop59c974fa74bb3.gif?f=community)