none
importazione database active directory da DC non avviabile RRS feed

  • Domanda

  • Ciao a tutti

    ho win server 2008 r2 che non si avvia più

    È possibile importare il database active directory su un nuovo SO appena installato ?

    Grazie

    lunedì 9 aprile 2018 09:16

Risposte

  • no purtroppo, nella situazione che descrivi non hai alcuna possibilità perchè, anche ammesso che tu riesca a riavviare il server per tentare una replica di active directory con un altro server, il cryptolocker non sarà certo "ibernato" o rimosso pertanto ripartirà a criptare altri files del disco inoltre sarebbe comunque sconsigliabile recuperare qualcosa da un server compromesso.

    l'unica strada che ti rimane è quella di fare un nuovo dominio, ridefinire gli utenti e riagganciare i clients.

    ciao


    Edoardo Benussi
    Microsoft MVP - Cloud and Datacenter Management
    e[dot]benussi[at]outlook[dot]it

    martedì 10 aprile 2018 07:00
    Moderatore

Tutte le risposte

  • Ciao gabrirusti,

    Ci spieghi come è fatta la tua topologia AD? Il server era backuppato?

    Simon


    If you find that my post has answered your question, please mark it as the answer. If you find my post to be helpful in anyway, please click vote as helpful. Regards Simon Disclaimer: This posting is provided AS IS with no warranties or guarantees, and confers no rights.

    lunedì 9 aprile 2018 09:39
  • premesso che lìimportazione non si può fare come tu presumi, è necessario chiarire le domanda qui sotto:

    hai un dominio con un solo domain controller, quello che non si avvia ?

    disponi di backup recente di questo domain controller ?

    quanti sono gli utenti e i clients di questo dominio?

    hai un'idea del motivo per cui questo server non si riavvia ?


    Edoardo Benussi
    Microsoft MVP - Cloud and Datacenter Management
    e[dot]benussi[at]outlook[dot]it

    lunedì 9 aprile 2018 10:20
    Moderatore
  • Si scusate

    E' un domain controller di un singolo dominio

    con 10 utenti e 10 pc agganciati

    è stato colpito da un cripto che ha danneggiato la cartella "program files" ma per fortuna non le altre

    il backup di sistema purtroppo non è accessibile

     c'e' possibilita di importazione della vecchia configurazione active directory con questo scenario ?


    lunedì 9 aprile 2018 17:28
  • no purtroppo, nella situazione che descrivi non hai alcuna possibilità perchè, anche ammesso che tu riesca a riavviare il server per tentare una replica di active directory con un altro server, il cryptolocker non sarà certo "ibernato" o rimosso pertanto ripartirà a criptare altri files del disco inoltre sarebbe comunque sconsigliabile recuperare qualcosa da un server compromesso.

    l'unica strada che ti rimane è quella di fare un nuovo dominio, ridefinire gli utenti e riagganciare i clients.

    ciao


    Edoardo Benussi
    Microsoft MVP - Cloud and Datacenter Management
    e[dot]benussi[at]outlook[dot]it

    martedì 10 aprile 2018 07:00
    Moderatore
  • Importare in modo automatizzato file e/o configurazioni da un server e/o client che ha ricevuto tale attacco, non è per nulla consigliabile. Ciò comporterebbe sicuramente il "trascinamento" di file/software compromessi o addirittura di portarsi dietro qualche script del software malevolo.

    Personalmente mi sono trovato nella tua stessa situazione proprio pochi mesi fa con e, considerando l'obsolescenza dei sistemi e l'inesistenza di alcun backup, se n'è approfittato per aggiornare il server e l'intera infrastruttura. Ti scrivo i punti su come ti consiglio di muoverti:

    CONFIGURAZIONI:

    Replicale manualmente (so che è un lavoraccio, ma esportarle aumenta solo il rischio di portarsi dietro qualcosa "di brutto" considerando che già dovrai portarti dietro i dati)

    DATI:

    1. Sposta tutti i dati su un disco esterno (assicurati che questo disco non contenga dati di tuo interesse)
    2. Su un PC fuori rete e che dopo resetterai, permetti di visualizzare file/cartelle nascoste
    3. Esegui un find sia con explorer.exe sia con software di terze parti tipo CCleaner, di tutte le estensioni esistenti e popolari nel disco esterno ed eventualmente rimuovi manualmente (.pec .encrypted .enc .crypted .abc .aaa .ccc .ecc .exx .ezz .vvv .zzz .xxx .ttt .micro .locky .zzzzz .zepto .odin .locked .mp3 .notepad  .__airacropencrypted .fun .crypt .cryp1 .crypz .cerber .cerber2 .cerber3 .dharma . wallet .enc e Lock) e SVUOTA IL CESTINO
    4. Rimuovi anche i file.html e file.txt che ti spiegano come recuperare i file (nell'infrastruttura che ho visitato c'erano i file denominati COME_RECUPERARE_I_FILE.txt o COME_RECUPERARE_I_FILE.html) e SVUOTA IL CESTINO
    5. Scansiona con l'antivirus
    6. Scandaglia con i tuoi occhi per vedere se ci sono file e/o software strani che si trovano nel disco (lavoraccio bruttissimo)
    7. Riavvia il PC e consiglio di eseguire nuovamente dal punto 3 al punto 6.
    8. Resetta il PC
    9. Resetta il Server

    Spero di esserti stato d'aiuto.

    Ciao e Buona Giornata!

    martedì 10 aprile 2018 07:40