Toon posts:

[NT4/2000] client internet explorer connect port 445 server*

Pagina: 1
Acties:

vrijdag 20 augustus 2004 12:21

Acties:
  • ajslaghu
  • Registratie: Oktober 2000
  • Laatst online: 01-01 16:41

ajslaghu

Topicstarter
we hebben een dc gemigreerd naar een andere servernaam en ip-adres. Echter de clients die verder prima in het domain hangen:
-proberen bij OPSTARTEN van internet explorer (dus een 2e venster is een nieuwe applicatie) een connectie te leggen met de oude server op port 445.

vraag 1: waarom legt IE een 445 connectie met de DC?

vraag 2:waar staan de instellingen die bepalen welke server hij hiervoor contact?

Oja, het is geen virus of worm ofzo, ik zie hier veel threads over maar dat is het niet!

de workstations zijn w2k en winnt 4, geen dhcp, louter harde ipconfig's aangezien we met hardwired externe ip adressen werken. In dns staan slechts dns servers, die absoluut geen dc's zijn maar echte dns servers. (ad heeft dus dns integration disabled)

Het ligt niet aan de autodetectie van de proxysettings.

[ Voor 26% gewijzigd door ajslaghu op 24-08-2004 13:11 ]

Als je het absurde aanneemt, kan je het tegenover gestelde bewijzen ??

vrijdag 20 augustus 2004 12:28

Acties:
  • Pinyin
  • Registratie: September 2002
  • Laatst online: 30-06-2025

Pinyin

http://ntsecurity.nu/papers/port445/ over port 445 en waar die voor word gebruikt
Waar de client zoekt voor een DC hangt voor een groot deel van je DNS-configuratie af, en heb je ook je DHCP-configuratie aangepast naar de nieuwe ip-nummering(ivm DNS)

(zomaar wat dingetjes die je kan checken)

vrijdag 20 augustus 2004 12:33

Acties:
  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Welk windows versie draaien je clients, dan kan ik dat in je topic titel zetten cfr. de Windows Operating Systems Policy :)

maandag 23 augustus 2004 12:44

Acties:
  • ajslaghu
  • Registratie: Oktober 2000
  • Laatst online: 01-01 16:41

ajslaghu

Topicstarter
schopje. Mijn vragen zijn nog steeds onbeantwoord.

Volgens mij ligt het of aan de AD (nie zo waarschijnlijk, maar misschien in de hidden system objects) dan wel aan de WS instellingen waar vervolgens de vraag is waar de WS de NBT server vast legt.

Als je het absurde aanneemt, kan je het tegenover gestelde bewijzen ??

maandag 23 augustus 2004 13:52

Acties:
  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Connecite naar oude server - heb je toevallig 'auto detect proxy settings' aanstaan? Heb je al eens geprobeerd een netwerk trace te maken om te zien waar die pakketjes uit bestaan? :)

dinsdag 24 augustus 2004 09:58

Acties:
  • ajslaghu
  • Registratie: Oktober 2000
  • Laatst online: 01-01 16:41

ajslaghu

Topicstarter
Nee het internet an sich doet het! (dus ook in IE)

Alleen ALS je IE opstart dan denkt IE "wat tof laat ik maar eens de OUDE domein controller gaan bellen op port 445 (NBT protocol micorsoft-ds) om te kijken of ...... (Ja wat eigenlijk????? of wat ?????)

vervolgens timed de server out en mount IE de NBT connectie aan het local loopback device , zo van als het niet lukt dan maar lokaal... want NBT is helemaal niet nodig voor IE...

Als je het absurde aanneemt, kan je het tegenover gestelde bewijzen ??

dinsdag 24 augustus 2004 10:08

Acties:
  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Heb je het gecontroleerd wat ik vroeg? Zoek eens op hoe het autodetectieproces van proxysettings werkt - iirc hoort daar ook een mogelijke AD lookup bij (en IE cached iig de 'gevonden' proxyserver).

Verder 'mount IE de NBT connectie aan het local loopback device'? Wat bedoel je daar nou mee?

dinsdag 24 augustus 2004 13:11

Acties:
  • ajslaghu
  • Registratie: Oktober 2000
  • Laatst online: 01-01 16:41

ajslaghu

Topicstarter
het heeft niet met de autodetect proxy settings te maken, die staat uit. (LAN aangevinkt)

wat betreft het mounten:
alhoewel hij eerst een connectie probeert te leggen met de server welke faalt legt hij vervolgens een connectie met zichzelf:

netstat -n (overgetyped de eerste is het)

Active Connections

Proto Local Address Foreign Address State
TCP 127.0.0.1:2732 127.0.0.1:445 ESTAB

[ Voor 67% gewijzigd door ajslaghu op 24-08-2004 13:16 ]

Als je het absurde aanneemt, kan je het tegenover gestelde bewijzen ??

dinsdag 24 augustus 2004 15:26

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

*kuch*

das gewoon een loopback van je workstation service.

Hoe kom je erbij dat dat IE is?
Doe jezelf eens een groot plezier en gebruik eens TCPview om te kijken welk proces (wedden dat het system is?) dat doet?

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

dinsdag 24 augustus 2004 15:32

Acties:
  • Vdub
  • Registratie: April 2001
  • Laatst online: 01-07-2025

Vdub

Wie anders?

volgens een website gegoogled op port 445
The SMB (Server Message Block) protocol is used among other things for file sharing in Windows NT/2000/XP. In Windows NT it ran on top of NetBT (NetBIOS over TCP/IP), which used the famous ports 137, 138 (UDP) and 139 (TCP). In Windows 2000/XP/2003, Microsoft added the possibility to run SMB directly over TCP/IP, without the extra layer of NetBT. For this they use TCP port 445.
nog ff wat info toegevoegd
edit:
What is SMB?
SMB, which stands for Server Message Block, is a protocol for sharing files, printers, serial ports, and communications abstractions such as named pipes and mail slots between computers.

[ Voor 22% gewijzigd door Vdub op 24-08-2004 15:33 ]

dinsdag 24 augustus 2004 16:46

Acties:
  • ajslaghu
  • Registratie: Oktober 2000
  • Laatst online: 01-01 16:41

ajslaghu

Topicstarter
Ik merk dat IE een timeout (traag paginaladen) krijgt en zie tevens in de tcp stack (dat er een connectie gestart wordt die blijft hangen in een synsent tcp status).

Firebird heeft er geen last van.

Nog een puntje: het feit dat de workstation een ip adres resolved ligt aan een foutieve externe DNS server (die moet nog geupdated worden, die denkt dat de oude server nog bestaat).

Maar de vraag waarom IE in hemelsnaam DIE server belt?

joost mag het weten.

[ Voor 40% gewijzigd door ajslaghu op 24-08-2004 16:49 ]

Als je het absurde aanneemt, kan je het tegenover gestelde bewijzen ??

dinsdag 24 augustus 2004 19:52

Acties:
  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Ik heb het Joost even gevraagd ( :+ ) en die wist het ook niet.

Je kan in de tussenliggende periode natuurlijk wel dat resolving probleempje eens ondervangen door een fixed DNS op te geven die wél de juiste zonefile heeft; kun je zien of dat verschil maakt.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

dinsdag 24 augustus 2004 22:12

Acties:
  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Ik heb zo op het eerste gezicht ook niet echt een idee.

Heb je het met een nieuwe user (iig een zonder roaming profile) ook?
Heb je het met een nieuwe PC (clean install) die je in het domain hangt ook?

Daarmee zou je het probleem wat nader kunnen inzoomen op de oorzaak misschien :)

dinsdag 24 augustus 2004 22:20

Acties:
  • TAMW
  • Registratie: Augustus 2000
  • Laatst online: 04-05 17:59

TAMW

ajslaghu schreef op 20 augustus 2004 @ 12:21:
we hebben een dc gemigreerd naar een andere servernaam en ip-adres. Echter de clients die verder prima in het domain hangen:
-proberen bij OPSTARTEN van internet explorer (dus een 2e venster is een nieuwe applicatie) een connectie te leggen met de oude server op port 445.

vraag 1: waarom legt IE een 445 connectie met de DC?

vraag 2:waar staan de instellingen die bepalen welke server hij hiervoor contact?

Oja, het is geen virus of worm ofzo, ik zie hier veel threads over maar dat is het niet!

de workstations zijn w2k en winnt 4, geen dhcp, louter harde ipconfig's aangezien we met hardwired externe ip adressen werken. In dns staan slechts dns servers, die absoluut geen dc's zijn maar echte dns servers. (ad heeft dus dns integration disabled)

Het ligt niet aan de autodetectie van de proxysettings.
Vraag 1: Zoek maar eens ook challenge response / NTLM authenticatie dit kun je in IE aan of uitzetten
Vraag 2: zie 1 :P
ajslaghu schreef op 24 augustus 2004 @ 16:46:

Firebird heeft er geen last van.

Maar de vraag waarom IE in hemelsnaam DIE server belt?

joost mag het weten.
Firebird kan geen "echte" Challenge response zoals IE dat doet.

[ Voor 19% gewijzigd door TAMW op 24-08-2004 22:33 ]

woensdag 25 augustus 2004 20:34

Acties:
  • ajslaghu
  • Registratie: Oktober 2000
  • Laatst online: 01-01 16:41

ajslaghu

Topicstarter
trek de champagne open!

er schijnt zo iets als een internet explorer extension te zijn en die moeten niet naar de oude server staan te verwijzen (in de registry!)

Maar waarom die maffe extensions een dns resolution uitvoeren? Ach natuurlijk ! omdat lelijke "print handleiding pictogrammetje"te laden. DAMN!
Zucht collega's die niet documenteren / communiceren....
Bedankt voor iedereen die geholpen heeft.

[ Voor 10% gewijzigd door ajslaghu op 25-08-2004 20:34 ]

Als je het absurde aanneemt, kan je het tegenover gestelde bewijzen ??

Pagina: 1
Reageer