none
域控中了勒索病毒,安装备用域控的问题 RRS feed

  • 问题

  • 如题,某客户有两台域控,都是windows 2012操作系统。最近中了勒索病毒导致文件被加密。

    目前的问题是用户仍然可以登录,客户端可以入域退域,组策略加载失败

    今天安装了辅助域控,安装域控正常,AD账号和DNS可以正常传输,但是netlog和sysylog无法生成,老域控syslog下的文件也都被加密了

    新域控没有生成netlog和syslog的情况下,也不能正常工作请协助给一个解决问题的思路,谢谢

    2018年11月9日 4:31

答案

  • 您好,

    目前来说,我们不推荐您直接在新域控上新建系统文件。

    请在DC01上检查以下注册表值。

    路径:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

    请查看SysvolReady这个注册表值是否为1,如果是0请将其修改为1

    然后请检查sysvol下面policyscript文件夹是否存在。请截图分享给我们。

    如果存在,请运行命令net share查看sysvol netlogon有没有共享出来。如果没有,运行命令重启netlogon,然后再检查有没有共享出来。

    重启netlogon的命令为:net stop netlogon

    net start netlogon

    另外,请您在sysvol下新建文件夹测试复制是否有问题。

    请手动访问\\ipi.com.cn\sysvol\ipi.com.cn\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9} ,查看下面是否有machineuser gpt.ini这三个。

    希望以上信息有所帮助。

    Best regards,

    Kallen


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 杜卫华 2018年11月14日 10:37
    2018年11月14日 6:30
    版主

全部回复

  • D4/D2,或者通过ADSI修改强制复制,都不行了,老域控的管理工具全部被加密,AD数据库估计有自己的加密机制,所以辅助域控仍然可以从老域控复制AD账户和DNS记录
    2018年11月9日 4:47
  • 您好,

    感谢您在我们论坛发帖。

    根据您的描述,AD复制暂是没有问题的。

    另外我们有一些情况和您确认一下:

    1.您的用户登陆时组策略加载失败,是否有报错信息呢?麻烦您将报错信息截图分享给我们。

    2.您的环境中SYSVOL复制是否正常呢?您可以在SYSVOL文件夹下创建一个空文件夹,然后查看是否可以复制到另一个域控上来检查。

    3.您的环境中使用的是FRS还是DFS呢?我们可以使用以下这个命令来检查。

         dfsrmig /getglobalstate

    Best regards,

    Kallen


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2018年11月9日 7:27
    版主
  • DFS 复制服务在本地路径 C:\Windows\SYSVOL\domain 上启动了 SYSVOL,并且正在等待 执行初始复制。复制的文件夹在与其伙伴 sun.ipi.com.cn 进行复制之前, 将保持初始同步状态。如果服务器正在升级为域控制器, 则在解决该问题之前,域控制器将不会进行播发, 也不会发挥如同域控制器的功能。 如果指定的伙伴也处于此初始同步状态,或者如果此服务器或 同步伙伴遇到共享冲突,则可能发生这种情况。 如果在从文件复制服务(RFS)到 DFS 复制的 SYSVOL 迁移过程中 发生此事件,则在解决此问题之前,将不复制更改。 这可能导致该服务器上的 SYSVOL 文件夹与其他域控制器不同步。
     
    其他信息:
    已复制文件夹名: SYSVOL Share
    已复制文件夹 ID: 21841128-669B-4700-B17F-01D151427EA2
    复制组名: Domain System Volume
    复制组 ID: 9F06EED1-14D0-4066-9FB4-25BEBB509883
    成员 ID: 00FF5F63-4E3C-4040-823E-8ACFFDAE90E8


    DNS 服务器正在等待 Active Directory 域服务(AD DS)发出该目录的初始同步已完成的信号。在初始同步完成之前,DNS 服务器服务无法启动,因为可能尚未将重要的 DNS 数据复制到该域控制器上。如果 AD DS 事件日志中的事件表明存在 DNS 名称解析问题,请考虑在该计算机的 Internet 协议属性中向 DNS 服务器列表添加此域的其他 DNS 服务器的 IP 地址。在 AD DS 发出初始同步已成功完成的信号之前,请每隔两分钟记录一次该事件。


    处理组策略失败。Windows 尝试从域控制器读取文件 \\ipi.com.cn\sysvol\ipi.com.cn\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini,但是没有成功。只有解决此事件后才会应用组策略设置。该问题可能是暂时的,并可能由下列一个或多个原因引起:
    a) 到当前域控制器的名称解析/网络连接。
    b) 文件复制服务延迟(在另一域控制器上创建的文件尚未复制到当前域控制器)。
    c) 分布式文件系统(DFS)客户端已被禁用。
    2018年11月10日 3:42
  • 目前看来,其他都是正常,就是因为老域控sysvol和netlogon被加密了,所以新域控无法复制系统文件,并且无法宣告新域控

    是否能抛开老域控,直接在新域控上新建系统文件夹

    2018年11月10日 3:43
  • 您好,

    感谢您的回复。

    根据您的描述,我们正在研究您这个问题,并将会尽快回复您。

    感谢您的理解和支持。

    Best regards,

    Kallen


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2018年11月13日 3:28
    版主
  • 目前完成以下操作

    1.主控角色转移到新建域控

    2.通过ADSI修改辅助域控msDFSR-Enabled=FALSE,msDFSR-Options=1

    3.尝试重建sysvol和netlogon失败

    完成步骤1和2之后,新域控宣告域控角色应该是成功了

    DFSR日志如下:

    DFS 复制服务已检测到,至少为复制组 Domain System Volume 配置了 一个连接。
    其他信息:
    复制组 ID: 9F06EED1-14D0-4066-9FB4-25BEBB509883
    成员 ID: 00FF5F63-4E3C-4040-823E-8ACFFDAE90E8

    DFS 复制服务已成功联系域控制器 IPI-DC01.ipi.com.cn  以访问配置信息。

    已禁用本地路径 C:\Windows\SYSVOL\domain 中的已复制文件夹。此已复制文件夹 在启用前不会参与复制。启用此已复制文件夹时, 此文件夹中的所有数据都被视为以前存在的数据。
    其他信息:
    已复制文件夹名: SYSVOL Share
    已复制文件夹 ID: 21841128-669B-4700-B17F-01D151427EA2
    复制组名: Domain System Volume
    复制组 ID: 9F06EED1-14D0-4066-9FB4-25BEBB509883
    成员 ID: 00FF5F63-4E3C-4040-823E-8ACFFDAE90E8

    DNS日志如下:DNS 服务器已完成区域的后台加载和签名。现在,所有区域都可以进行 DNS 更新和区域传送,其各自的区域配置也允许这样。

    那么问题在于如何重建windows 2012的sysvol和netlogon

    2018年11月13日 12:22
  • DCDIAG的结果,syslog存在大量的组策略读取错误,我这里只保留了一条

    目录服务器诊断
    正在执行初始化设置:
    正在尝试查找主服务器...
    主服务器 = IPI-DC01
    * 已识别的 AD 林。
    已完成收集初始化信息。
    正在进行所需的初始化测试
    正在测试服务器: Default-First-Site-Name\IPI-DC01
    开始测试: Connectivity
    ......................... IPI-DC01 已通过测试 Connectivity
    正在执行主要测试
    正在测试服务器: Default-First-Site-Name\IPI-DC01
    开始测试: Advertising
    警告: 当我们尝试访问 IPI-DC01 时,DsGetDcName 返回了 \\sun.ipi.com.cn 的信息。
    服务器没有响应或被认为不适合。
    ......................... IPI-DC01 没有通过测试 Advertising
    开始测试: FrsEvent
    ......................... IPI-DC01 已通过测试 FrsEvent
    开始测试: DFSREvent
    ......................... IPI-DC01 已通过测试 DFSREvent
    开始测试: SysVolCheck
    ......................... IPI-DC01 已通过测试 SysVolCheck
    开始测试: KccEvent
    ......................... IPI-DC01 已通过测试 KccEvent
    开始测试: KnowsOfRoleHolders
    ......................... IPI-DC01 已通过测试 KnowsOfRoleHolders
    开始测试: MachineAccount
    ......................... IPI-DC01 已通过测试 MachineAccount
    开始测试: NecDesc
    ......................... IPI-DC01 已通过测试 NecDesc
    开始测试: NetLogons
    无法连接到 NETLOGON 共享! (\\IPI-DC01\netlogon)
    [IPI-DC01] net use 或 LsaPolicy 操作失败,错误为 67,找不到网络名。。
    ......................... IPI-DC01 没有通过测试 NetLogons
    开始测试: ObjectsReplicated
    ......................... IPI-DC01 已通过测试 ObjectsReplicated
    开始测试: Replications
    ......................... IPI-DC01 已通过测试 Replications
    开始测试: RidManager
    ......................... IPI-DC01 已通过测试 RidManager
    开始测试: Services
    ......................... IPI-DC01 已通过测试 Services
    开始测试: SystemLog
    发生了一个错误事件。EventID: 0x00000422
    生成时间: 11/13/201819:28:54
    事件字符串:
    处理组策略失败。Windows 尝试从域控制器读取文件 \\ipi.com.cn\sysvol\ipi.com.cn\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini,但是没有成功。只有解决此事件后才会应用组策略设置。该问题可能是暂时的,并可能由下列一个或多个原因引起:
    ......................... IPI-DC01 没有通过测试 SystemLog
    开始测试: VerifyReferences
    ......................... IPI-DC01 已通过测试 VerifyReferences
    正在 ForestDnsZones上运行分区测试
    开始测试: CheckSDRefDom
    ......................... ForestDnsZones 已通过测试 CheckSDRefDom
    开始测试: CrossRefValidation
    ......................... ForestDnsZones 已通过测试 CrossRefValidation
    正在 DomainDnsZones上运行分区测试
    开始测试: CheckSDRefDom
    ......................... DomainDnsZones 已通过测试 CheckSDRefDom
    开始测试: CrossRefValidation
    ......................... DomainDnsZones 已通过测试 CrossRefValidation
    正在 Schema上运行分区测试
    开始测试: CheckSDRefDom
    ......................... Schema 已通过测试 CheckSDRefDom
    开始测试: CrossRefValidation
    ......................... Schema 已通过测试 CrossRefValidation
    正在 Configuration上运行分区测试
    开始测试: CheckSDRefDom
    ......................... Configuration 已通过测试 CheckSDRefDom
    开始测试: CrossRefValidation
    ......................... Configuration 已通过测试 CrossRefValidation
    正在 ipi上运行分区测试
    开始测试: CheckSDRefDom
    ......................... ipi 已通过测试 CheckSDRefDom
    开始测试: CrossRefValidation
    ......................... ipi 已通过测试 CrossRefValidation
    正在 ipi.com.cn上运行企业测试
    开始测试: LocatorCheck
    ......................... ipi.com.cn 已通过测试 LocatorCheck
    开始测试: Intersite
    ......................... ipi.com.cn 已通过测试 Intersite

    2018年11月13日 12:29
  • 您好,

    目前来说,我们不推荐您直接在新域控上新建系统文件。

    请在DC01上检查以下注册表值。

    路径:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

    请查看SysvolReady这个注册表值是否为1,如果是0请将其修改为1

    然后请检查sysvol下面policyscript文件夹是否存在。请截图分享给我们。

    如果存在,请运行命令net share查看sysvol netlogon有没有共享出来。如果没有,运行命令重启netlogon,然后再检查有没有共享出来。

    重启netlogon的命令为:net stop netlogon

    net start netlogon

    另外,请您在sysvol下新建文件夹测试复制是否有问题。

    请手动访问\\ipi.com.cn\sysvol\ipi.com.cn\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9} ,查看下面是否有machineuser gpt.ini这三个。

    希望以上信息有所帮助。

    Best regards,

    Kallen


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 杜卫华 2018年11月14日 10:37
    2018年11月14日 6:30
    版主
  • 对的,谢谢,我已经搞定了

    生成sysvol和netlogon之后,在重建组策略,就OK了

    2018年11月14日 10:37