none
Problema di accesso a Windows Server 2003 RRS feed

 > 

  • Domanda

  • Question
    Registrati per votare
    0
    Registrati per votare

    Buongiorno a tutti,

    Ho un grosso problema con un vetusto server che ha ancora Windows Server 2003 e che al momento mi devo tenere ancora per via di programmi che girano solo con questo sistema operativo

    Il problema è che non riesco più ad accedere con la mia login e password da Amministratore e nemmeno gli utenti che accedono via terminal server.
    Quando metto nome utente e password appare:

    "Impossibile accedere. Assicurarsi che il nome utente e il dominio siano corretti, quindi digitare nuovamente la password. Digitare la password rispettando i caratteri maiuscoli o minuscoli"

    Quando Server 2003 si riavvia invece appare il seguente errore: 

    "Impossibile avviare uno o più servizi o driver. Controllare il registro eventi per ulteriori informazioni"

    Ho provato a seguire questa procedura:

    1. Restart the domain controller.
    2. When the screen for selecting an operating system appears, press F8.
    3. On the Windows Advanced Options menu, select Directory Services Restore Mode.

    Accedo al server, ma quando vado in Amministrazione server e clicco su Gestisci domin e trust mi appare il seguente errore: " Le informazioni di configurazione relative all'organizzazione specificata non sono disponibile. Il driver della workstation non è installato. 

    Ho provato a seguire quanto qui riportato https://social.technet.microsoft.com/Forums/it-IT/3453a443-ee7f-4d07-bc01-34dd8eb914bf/windows-server-2003-sbe-errore-il-driver-della-workstation-non-installato?forum=windowsserverit ma non riesco ad accedere alla Network Adapter properties. 

    Il server in questione gira con VMware.
    Chiedo umilmente il vostro aiuto, vi ringrazio moltissimo per l'aiuto che potrete darmi!


    P.s. dal servizio assistenza presso cui è ospitato il server ho avuto questa risposta ai miei interrogativi su quello che era successo:

    Gentile cliente 
    dalle analisi dei nostri tecnici viene riferito quanto segue: 

    Sembra sia avvenuto un cambio password a vostra insaputa. 

    Il sistema operativo e¿ talmente obsoleto da essere oramai considerato insicuro e fuori supporto ufficiale, le consigliamo pertanto la migrazione verso un OS supportato. 

    Lei ha accesso alla macchina in console, quindi puo', purtroppo a suo rischio, seguire una delle numerose guide presenti su internet per il cambio password di un domain administrator . 

    Per questa attività' noi purtroppo non possiamo supportarla 



    • Modificato mitchcoc giovedì 7 marzo 2019 14:09
    giovedì 7 marzo 2019 11:28
    |

Risposte

  • Question
    Registrati per votare
    0
    Registrati per votare

    Il supporto tecnico del datacenter che ospita il server ha ragione: un Windows Server 2003 con terminal server e magari esposto direttamente in internet (connessioni RDP senza VPN) è un rischio elevatissimo per la sicurezza, quindi molto probabilmente il server è stato effettivamente compromesso da un attacco. Ormai, a mio parere, l'unico modo per uscirne è provare ad eseguire un recupero dati e reinstallare.
    Non è possibile dare supporto in alcuna operazione di ripristino della password: 
    https://answers.microsoft.com/en-us/windows/forum/windows_7-security/keeping-passwords-secure-microsoft-policy-on/39f56ef0-5d68-41ad-9daa-6e6019c25d37

    Qualche consiglio per la nuova installazione:
    - Utilizza un sistema operativo Windows Server recente, almeno 2012 R2 o successivi
    - Configura una VPN o almeno un RD gateway (se hai VMWare come host puoi creare una seconda macchina virtuale per lo scopo)
    - Imposta il servizio RDP su una porta non standard e non esposto in internet
    - Imposta dei criteri password sicuri (blocchi account automatici dopo un numero limitato di tentativi, criteri di complessità, ecc...)

    In caso ti consiglio di rivolgerti anche ad un consulente.




    giovedì 7 marzo 2019 14:27
    |
    Moderatore

Tutte le risposte

  • Question
    Registrati per votare
    0
    Registrati per votare

    Il supporto tecnico del datacenter che ospita il server ha ragione: un Windows Server 2003 con terminal server e magari esposto direttamente in internet (connessioni RDP senza VPN) è un rischio elevatissimo per la sicurezza, quindi molto probabilmente il server è stato effettivamente compromesso da un attacco. Ormai, a mio parere, l'unico modo per uscirne è provare ad eseguire un recupero dati e reinstallare.
    Non è possibile dare supporto in alcuna operazione di ripristino della password: 
    https://answers.microsoft.com/en-us/windows/forum/windows_7-security/keeping-passwords-secure-microsoft-policy-on/39f56ef0-5d68-41ad-9daa-6e6019c25d37

    Qualche consiglio per la nuova installazione:
    - Utilizza un sistema operativo Windows Server recente, almeno 2012 R2 o successivi
    - Configura una VPN o almeno un RD gateway (se hai VMWare come host puoi creare una seconda macchina virtuale per lo scopo)
    - Imposta il servizio RDP su una porta non standard e non esposto in internet
    - Imposta dei criteri password sicuri (blocchi account automatici dopo un numero limitato di tentativi, criteri di complessità, ecc...)

    In caso ti consiglio di rivolgerti anche ad un consulente.




    giovedì 7 marzo 2019 14:27
    |
    Moderatore
  • Question
    Registrati per votare
    0
    Registrati per votare

    Ti ringrazio per la risposta. Purtroppo mi devo servire di Windows 2003 per qualche mese ancora. Ho ancora degli applicativi sul server che funzionano ancora purtroppo con questo sistema.

    Ma non capisco perché quando riavvio il server mi appare "Impossibile avviare uno o più servizi o driver. Controllare il registro eventi per ulteriori informazioni". Come mai non riesco ad accedere alla gestione di Active directory? E' quindi una conseguenza del possibile attacco?

    Dove quindi per forza richiedere la reinstallazione del server?



    giovedì 7 marzo 2019 15:14
    |
  • Question
    Registrati per votare
    0
    Registrati per votare
    E' molto probabile ma, se riesci ancora ad accedere in qualche modo al server, dovresti comunque controllare i log per confermare l'attacco. Ad esempio sono presenti numerosi eventi di accessi falliti?
    giovedì 7 marzo 2019 15:21
    |
    Moderatore
  • Question
    Registrati per votare
    0
    Registrati per votare

    Si riesco ad entrare in modalità provvisoria e "Directory Services Restore Mode" ma come già scritto sopra quando vado in Amministrazione server e clicco su Gestisci domini e trust mi appare il seguente errore: "Le informazioni di configurazione relative all'organizzazione specificata non sono disponibili. Il driver della workstation non è installato." e non riesco purtroppo a riconfigurare il Controller di dominio. 

    Si comunque ti confermo dal Visualizzatore eventi nelle sezione Protezione ci sono parecchi accessi "strani" da una decina di giorni.


    giovedì 7 marzo 2019 20:50
    |
  • Question
    Registrati per votare
    0
    Registrati per votare
    Il server era addirittura un DC? Gli accessi anomali erano stati registrati già 10 giorni fa?
    A questo punto è chiaro che è necessario reinstallare il server, ma rivedi attentamente la configurazione.
    Se reimposti tutto così com'è rischi di ritrovarti nuovamente in questa situazione dopo poco tempo...
    giovedì 7 marzo 2019 22:32
    |
    Moderatore