Remove From My Forums

域控中了勒索病毒，安装备用域控的问题

问题
0

登录进行投票

如题，某客户有两台域控，都是windows 2012操作系统。最近中了勒索病毒导致文件被加密。

目前的问题是用户仍然可以登录，客户端可以入域退域，组策略加载失败

今天安装了辅助域控，安装域控正常，AD账号和DNS可以正常传输，但是netlog和sysylog无法生成，老域控syslog下的文件也都被加密了

新域控没有生成netlog和syslog的情况下，也不能正常工作请协助给一个解决问题的思路，谢谢

2018年11月9日 4:31

回复

|

引用

答案

0

登录进行投票
您好，

目前来说，我们不推荐您直接在新域控上新建系统文件。

请在DC01上检查以下注册表值。

路径：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

请查看SysvolReady这个注册表值是否为1，如果是0请将其修改为1。

然后请检查sysvol下面policy和script文件夹是否存在。请截图分享给我们。

如果存在，请运行命令net share查看sysvol 和netlogon有没有共享出来。如果没有，运行命令重启netlogon，然后再检查有没有共享出来。

重启netlogon的命令为：net stop netlogon

net start netlogon

另外，请您在sysvol下新建文件夹测试复制是否有问题。

请手动访问\\ipi.com.cn\sysvol\ipi.com.cn\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9} ，查看下面是否有machine、user 和gpt.ini这三个。

希望以上信息有所帮助。

Best regards,

Kallen
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.
- 已标记为答案杜卫华 2018年11月14日 10:37
2018年11月14日 6:30

回复

|

引用

版主

全部回复

0

登录进行投票

D4/D2，或者通过ADSI修改强制复制，都不行了，老域控的管理工具全部被加密，AD数据库估计有自己的加密机制，所以辅助域控仍然可以从老域控复制AD账户和DNS记录

2018年11月9日 4:47

回复

|

引用
0

登录进行投票

您好，

感谢您在我们论坛发帖。

根据您的描述，AD复制暂是没有问题的。

另外我们有一些情况和您确认一下：

1.您的用户登陆时组策略加载失败，是否有报错信息呢？麻烦您将报错信息截图分享给我们。

2.您的环境中SYSVOL复制是否正常呢？您可以在SYSVOL文件夹下创建一个空文件夹，然后查看是否可以复制到另一个域控上来检查。

3.您的环境中使用的是FRS还是DFS呢？我们可以使用以下这个命令来检查。

dfsrmig /getglobalstate

Best regards,

Kallen
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

2018年11月9日 7:27

回复

|

引用

版主
0

登录进行投票

DFS 复制服务在本地路径 C:\Windows\SYSVOL\domain 上启动了 SYSVOL，并且正在等待执行初始复制。复制的文件夹在与其伙伴 sun.ipi.com.cn 进行复制之前，将保持初始同步状态。如果服务器正在升级为域控制器，则在解决该问题之前，域控制器将不会进行播发，也不会发挥如同域控制器的功能。如果指定的伙伴也处于此初始同步状态，或者如果此服务器或同步伙伴遇到共享冲突，则可能发生这种情况。如果在从文件复制服务(RFS)到 DFS 复制的 SYSVOL 迁移过程中发生此事件，则在解决此问题之前，将不复制更改。这可能导致该服务器上的 SYSVOL 文件夹与其他域控制器不同步。

其他信息:
已复制文件夹名: SYSVOL Share
已复制文件夹 ID: 21841128-669B-4700-B17F-01D151427EA2
复制组名: Domain System Volume
复制组 ID: 9F06EED1-14D0-4066-9FB4-25BEBB509883
成员 ID: 00FF5F63-4E3C-4040-823E-8ACFFDAE90E8

DNS 服务器正在等待 Active Directory 域服务(AD DS)发出该目录的初始同步已完成的信号。在初始同步完成之前，DNS 服务器服务无法启动，因为可能尚未将重要的 DNS 数据复制到该域控制器上。如果 AD DS 事件日志中的事件表明存在 DNS 名称解析问题，请考虑在该计算机的 Internet 协议属性中向 DNS 服务器列表添加此域的其他 DNS 服务器的 IP 地址。在 AD DS 发出初始同步已成功完成的信号之前，请每隔两分钟记录一次该事件。

处理组策略失败。Windows 尝试从域控制器读取文件 \\ipi.com.cn\sysvol\ipi.com.cn\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini，但是没有成功。只有解决此事件后才会应用组策略设置。该问题可能是暂时的，并可能由下列一个或多个原因引起:
a) 到当前域控制器的名称解析/网络连接。
b) 文件复制服务延迟(在另一域控制器上创建的文件尚未复制到当前域控制器)。
c) 分布式文件系统(DFS)客户端已被禁用。

2018年11月10日 3:42

回复

|

引用
0

登录进行投票

目前看来，其他都是正常，就是因为老域控sysvol和netlogon被加密了，所以新域控无法复制系统文件，并且无法宣告新域控

是否能抛开老域控，直接在新域控上新建系统文件夹

2018年11月10日 3:43

回复

|

引用
0

登录进行投票

您好，

感谢您的回复。

根据您的描述，我们正在研究您这个问题，并将会尽快回复您。

感谢您的理解和支持。

Best regards,

Kallen
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

2018年11月13日 3:28

回复

|

引用

版主
0

登录进行投票

目前完成以下操作

1.主控角色转移到新建域控

2.通过ADSI修改辅助域控msDFSR-Enabled=FALSE，msDFSR-Options=1

3.尝试重建sysvol和netlogon失败

完成步骤1和2之后，新域控宣告域控角色应该是成功了

DFSR日志如下：

DFS 复制服务已检测到，至少为复制组 Domain System Volume 配置了一个连接。
其他信息:
复制组 ID: 9F06EED1-14D0-4066-9FB4-25BEBB509883
成员 ID: 00FF5F63-4E3C-4040-823E-8ACFFDAE90E8

DFS 复制服务已成功联系域控制器 IPI-DC01.ipi.com.cn 以访问配置信息。

已禁用本地路径 C:\Windows\SYSVOL\domain 中的已复制文件夹。此已复制文件夹在启用前不会参与复制。启用此已复制文件夹时，此文件夹中的所有数据都被视为以前存在的数据。
其他信息:
已复制文件夹名: SYSVOL Share
已复制文件夹 ID: 21841128-669B-4700-B17F-01D151427EA2
复制组名: Domain System Volume
复制组 ID: 9F06EED1-14D0-4066-9FB4-25BEBB509883
成员 ID: 00FF5F63-4E3C-4040-823E-8ACFFDAE90E8

DNS日志如下：DNS 服务器已完成区域的后台加载和签名。现在，所有区域都可以进行 DNS 更新和区域传送，其各自的区域配置也允许这样。

那么问题在于如何重建windows 2012的sysvol和netlogon

2018年11月13日 12:22

回复

|

引用
0

登录进行投票

DCDIAG的结果，syslog存在大量的组策略读取错误，我这里只保留了一条

目录服务器诊断
正在执行初始化设置:
正在尝试查找主服务器...
主服务器 = IPI-DC01
* 已识别的 AD 林。
已完成收集初始化信息。
正在进行所需的初始化测试
正在测试服务器: Default-First-Site-Name\IPI-DC01
开始测试: Connectivity
......................... IPI-DC01 已通过测试 Connectivity
正在执行主要测试
正在测试服务器: Default-First-Site-Name\IPI-DC01
开始测试: Advertising
警告: 当我们尝试访问 IPI-DC01 时，DsGetDcName 返回了 \\sun.ipi.com.cn 的信息。
服务器没有响应或被认为不适合。
......................... IPI-DC01 没有通过测试 Advertising
开始测试: FrsEvent
......................... IPI-DC01 已通过测试 FrsEvent
开始测试: DFSREvent
......................... IPI-DC01 已通过测试 DFSREvent
开始测试: SysVolCheck
......................... IPI-DC01 已通过测试 SysVolCheck
开始测试: KccEvent
......................... IPI-DC01 已通过测试 KccEvent
开始测试: KnowsOfRoleHolders
......................... IPI-DC01 已通过测试 KnowsOfRoleHolders
开始测试: MachineAccount
......................... IPI-DC01 已通过测试 MachineAccount
开始测试: NecDesc
......................... IPI-DC01 已通过测试 NecDesc
开始测试: NetLogons
无法连接到 NETLOGON 共享! (\\IPI-DC01\netlogon)
[IPI-DC01] net use 或 LsaPolicy 操作失败，错误为 67，找不到网络名。。
......................... IPI-DC01 没有通过测试 NetLogons
开始测试: ObjectsReplicated
......................... IPI-DC01 已通过测试 ObjectsReplicated
开始测试: Replications
......................... IPI-DC01 已通过测试 Replications
开始测试: RidManager
......................... IPI-DC01 已通过测试 RidManager
开始测试: Services
......................... IPI-DC01 已通过测试 Services
开始测试: SystemLog
发生了一个错误事件。EventID: 0x00000422
生成时间: 11/13/201819:28:54
事件字符串:
处理组策略失败。Windows 尝试从域控制器读取文件 \\ipi.com.cn\sysvol\ipi.com.cn\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini，但是没有成功。只有解决此事件后才会应用组策略设置。该问题可能是暂时的，并可能由下列一个或多个原因引起:
......................... IPI-DC01 没有通过测试 SystemLog
开始测试: VerifyReferences
......................... IPI-DC01 已通过测试 VerifyReferences
正在 ForestDnsZones上运行分区测试
开始测试: CheckSDRefDom
......................... ForestDnsZones 已通过测试 CheckSDRefDom
开始测试: CrossRefValidation
......................... ForestDnsZones 已通过测试 CrossRefValidation
正在 DomainDnsZones上运行分区测试
开始测试: CheckSDRefDom
......................... DomainDnsZones 已通过测试 CheckSDRefDom
开始测试: CrossRefValidation
......................... DomainDnsZones 已通过测试 CrossRefValidation
正在 Schema上运行分区测试
开始测试: CheckSDRefDom
......................... Schema 已通过测试 CheckSDRefDom
开始测试: CrossRefValidation
......................... Schema 已通过测试 CrossRefValidation
正在 Configuration上运行分区测试
开始测试: CheckSDRefDom
......................... Configuration 已通过测试 CheckSDRefDom
开始测试: CrossRefValidation
......................... Configuration 已通过测试 CrossRefValidation
正在 ipi上运行分区测试
开始测试: CheckSDRefDom
......................... ipi 已通过测试 CheckSDRefDom
开始测试: CrossRefValidation
......................... ipi 已通过测试 CrossRefValidation
正在 ipi.com.cn上运行企业测试
开始测试: LocatorCheck
......................... ipi.com.cn 已通过测试 LocatorCheck
开始测试: Intersite
......................... ipi.com.cn 已通过测试 Intersite

2018年11月13日 12:29

回复

|

引用
0

登录进行投票
您好，

目前来说，我们不推荐您直接在新域控上新建系统文件。

请在DC01上检查以下注册表值。

路径：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

请查看SysvolReady这个注册表值是否为1，如果是0请将其修改为1。

然后请检查sysvol下面policy和script文件夹是否存在。请截图分享给我们。

如果存在，请运行命令net share查看sysvol 和netlogon有没有共享出来。如果没有，运行命令重启netlogon，然后再检查有没有共享出来。

重启netlogon的命令为：net stop netlogon

net start netlogon

另外，请您在sysvol下新建文件夹测试复制是否有问题。

请手动访问\\ipi.com.cn\sysvol\ipi.com.cn\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9} ，查看下面是否有machine、user 和gpt.ini这三个。

希望以上信息有所帮助。

Best regards,

Kallen
Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.
- 已标记为答案杜卫华 2018年11月14日 10:37
2018年11月14日 6:30

回复

|

引用

版主
0

登录进行投票

对的，谢谢，我已经搞定了

生成sysvol和netlogon之后，在重建组策略，就OK了

2018年11月14日 10:37

回复

|

引用

产品

Resources

Solutions

更新

试用版

相关站点

培训

认证

其他资源

产品支持

其他支持

不是 IT 专业人员？

积极答复者

域控中了勒索病毒，安装备用域控的问题

问题

答案

全部回复