Identificare il computer che possiede un indirizzo IP il cui record DNS è "preso in prestito" da un vecchio computer

0

Sto eliminando gli account di computer vecchi da un dominio di Active Directory di cui ho ereditato la responsabilità.

In questo ambiente i record non aggiornati non vengono rimossi dal DNS, quindi ci sono molti casi in cui una macchina o un dispositivo ha finito con un record DNS di qualcosa che ha lasciato la rete anni fa.

Ciò significa che un dispositivo che appare come "computer442" quando eseguo nslookup non è necessariamente computer442. E ho bisogno di sapere quale sia effettivamente il dispositivo prima di sapere che è sicuro eliminare l'account computer 'computer442' da AD.

Per chiunque risponda a un ping con "risposta dall'host di destinazione [mio ip] non raggiungibile" presumo che non ci sia nulla, quindi li elimino. Ma alcuni di loro rispondono a un ping, quindi so che c'è qualcosa lì.

Finora ho provato questi ...

  • Prova a cercarlo - \\computer442\c$
  • Prova a connetterti ad esso - mstsc /v:computer442
  • Verifica se si tratta di un server web = http://computer442
  • Utilizzare portqry.exe per eseguire query sulle porte comuni.

In alcuni casi nessuna di queste cose aiuta, ma c'è sicuramente qualcosa che risponde al ping. Quindi c'è un modo per identificarlo?

domain-name-system  active-directory  ip-address  hostname 
MrVimes
fonte
1
Elimina i record A (e i record PTR se presenti) per i computer in questione. I computer si registreranno nuovamente in DNS, il che dovrebbe lasciarti con un elenco accurato.
joeqwerty,

Risposte:

2

Non sono qui per innescare un dibattito su Windows Vs Linux, ma esiste un'utilità chiamata nmap che trovo preziosa per tali occasioni. Fortunatamente è disponibile anche per Windows: http://nmap.org/book/inst-windows.html

Ad esempio, questo è in esecuzione dalla mia stazione di lavoro Linux alla mia macchina virtuale Windows XP:

 ~ $ sudo nmap -O 192.168.2.116
Starting Nmap 6.25 ( http://nmap.org ) at 2013-08-29 20:08 BST
Nmap scan report for 192.168.2.116
Host is up (0.00032s latency).
Not shown: 997 closed ports
PORT    STATE SERVICE
135/tcp open  msrpc
139/tcp open  netbios-ssn
445/tcp open  microsoft-ds
MAC Address: 08:00:27:48:3A:2E (Cadmus Computer Systems)
Device type: general purpose
Running: Microsoft Windows XP
OS CPE: cpe:/o:microsoft:windows_xp::sp2 cpe:/o:microsoft:windows_xp::sp3
OS details: Microsoft Windows XP SP2 or SP3
Network Distance: 1 hop
OS detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 3.11 seconds

Come puoi vedere Può (tentare) di utilizzare l'indirizzo MAC per identificare la marca della scheda di rete, o talvolta il dispositivo stesso, anche se in questo caso particolare non ha avuto particolare successo! È una VM VirtualBox! : D

Tuttavia, controlla la sezione delle porte dell'output e questo rende abbastanza chiaro che si tratta di una scatola M $ ... ok, potrebbe essere una scatola linux che finge di essere una scatola di Windows, ma suppongo tu sappia quale sistema operativo sei tu avere sulla tua rete.

GeoSword
fonte
+1 per nmap. La linea Running: Microsoft Windows XPè un modo preciso per determinare il sistema operativo - nmap utilizza "fingerprinting" dello stack di rete di destinazione per determinare il sistema operativo. BTW Cadmus Computer Systems era un produttore di hardware che ha cessato l'attività molti anni fa, le macchine virtuali VirtualBox utilizzano sempre gli indirizzi MAC loro assegnati.
Colin Pickard,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.