重建系統管理共用
可處理情況:系統管理共用遺失
網域控制站上應該會有一些隱藏(或未隱藏)的系統管理共用位置:
DriveLetter$:共用的根目錄磁碟代號共用
ADMIN$:遠端管理電腦使用的共用
IPC$:具名管道 (Name Pipes) 連線使用
NETLOGON:網域控制站所使用的共用
SYSVOL:網域控制站的共用,用來處理群組原則與一些管理用途
PRINT$:遠端管理印表機的共用
而這些的共用是由登錄檔的設定來控制,惡意程式碼可能透過修改登錄檔值來移除這些系統管理共用。
步驟大致如下
1
regedit後到以下項目
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParametersAutoShareServer
設定鍵值為REG_DWORD=1
2
重新啟動Server Service
執行net share後,看到系統管理共用,修復成功
……………………….
重設sysvol 和netlogon共享
可處理情況:SYSVOL和NETLOGOGN共享遺失
步驟大致如下
1
regedit 後到以下項目
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNtFrsParametersBackup Restore Process at Startup
將burflags的值修改為D4
2
重啟 ntfrs,netlogon
net stop ntfrs
net start ntfrs
net stop netlogon
net start netlogon
……………………….
重建SYSVOL共用目錄
可處理情況:sysvol目錄和其他ad的sysvol目錄不符
必要工具:ntfrsutl,linkd
SYSVOL 共用目錄是網域控制站非常重要的共用目錄
GPO 的設定值儲存在這個目錄底下,然後透過 File Replication Service(FRS) 複製 GPO 設定到其他的網域控制站。
要重建 SYSVOL 共用目錄可以透過 KB315457 這份文件的步驟,透過登錄檔的修改設定,並重新啟動 NTFRS 服務即可重建 SYSVOL。
步驟大致如下
1
停止FRS服務
net stop ntfrs
2
重建目錄
先砍掉原先的Sysvol的目錄,在建立以下目錄結構
SYSVOL
SYSVOLstagingdomain
SYSVOLstaging areas
SYSVOLdomain
SYSVOLdomainpolicies
SYSVOLdomainscripts
SYSVOLsysvol
SYSVOLsysvol網域名稱(ex:SYSVOLsysvolstudy.net)
3
啟動FRS服務
net start ntfrs
4
設定
ntfrsutl ds |findstr /i “root stage”
5
連接相對應目錄
linkd “%systemroot%sysvolsysvol網域名稱” “%systemroot%sysvoldomain”
linkd “%systemroot%sysvolstaging areas網域名稱” “%systemroot%sysvolstagingdomain”
6
改機碼為D4或D2
regedit
到hkey_local_machinesystemcurrentcontrolsetservicentfrsparameterscumulactive replica sets下的各項目
burflags的值修改為D4
ps:若有多台dc,請將正常的設為d4,不正常的設為d2
ps:重啟frs後,burflags值會自動改回預設值
7
重啟 frs,netlogon
net stop ntfrs
net start ntfrs
net stop netlogon
net start netlogon
……………………….
重建預設的群組原則
可解決情況:Default Domain Controller Policy遺失
必要工具:ReCreateDefPol.exe(for 2000)或DCGPOFix.exe(for 2003)
AD 網域建立,網域中會有兩個預設的 GPO 來控制整個網域與網域控制站的安全控管設定值。
建議不要任意更動這兩個預設 GPO,以免 AD 的運作出現奇怪的問題。
2000
ReCreateDefPol.exe用法
1在任何一台dc執行後解壓到指定的目錄下
ps:建議在fsmo為pdc的dc上作業
2到該目錄下執行 ReCreateDefPol.exe後,重新登入後自動重建
3進入ad使用者及電腦,選網域在選內容,進入群組原則,刪除不該有的gpo
4在ad使用者及電腦,選各ou在選內容,進入群組原則,刪除步驟3已刪除的同名gpo
2003
透過系統 c:windowsrepairDCGPOFIX.exe 工具可將預設網域原則和預設網域控制站原則還原到它們安裝後的原始狀態
工具程式的使用可以直接參考 Windows Server 2003 TechCenter 的文件
透過DCGPOFIX來修復預設GPO後,可能還需要手動將預設 GPO連結到正確位置才行 (網域與 Domain Controllers組織單位)。
若要手動慢慢重建這兩個GPO可參考KB555647
dcgpofix /target:both
……………………….
強制移除DC
必要工具:ntdsutil,adsiedit
ps:adsiedit需執行support tools內的setup安裝才可使用
步驟大致如下
1
執行ntdsutil
metadata cleanup
connections
connect to server < any dc name >
ps:會出現連結到…之類的訊息
ps:servername是您要指派FSMO角色的DC之名稱
quit
ps:會出現 [Metadata Cleanup] 功能表
select operation target
list domains
ps:會顯示樹系中的網域清單,每個清單都有相關的編號
select domain < number >
ps:< number >是與網域相關的編號,而您要移除的伺服器為該網域的成員
list sites
ps:會顯示網站清單,每個網站都有相關的編號
select site < number >
ps:< number >是與網域相關的編號,而您要移除的伺服器為該網域的成員。您應該會收到列出所選擇網站與網域的確認訊息。
list servers in site
ps:隨即顯示網站中的伺服器清單,每個伺服器都有相關的編號。
select server number
ps:< number >是您要移除的伺服器的相關編號。您會收到列出所選伺服器、其DNS的主機名稱,以及想要移除的伺服器電腦帳號位置的確認清單
quit
ps: 會出現 [Metadata Cleanup] 功能表。
remove selected server
ps:會收到已成功移除的確認訊息
執行quit以結束Ntdsutil
2
執行Active Directory 站台及服務
展開site
展開Default-First-Site-Name
展開Servers
選擇要刪除的dc,並按滑鼠右鍵選刪除
3
執行adsiedit.exe
展開Domain NC,在展開DC=,DC=COM,在展開OU=Domain Controllers
選擇要刪除的CN=domain controller name,並按滑鼠右鍵選刪除
展開Domain NC,在展開DC=,DC=COM,在展開CN=System,在展開CN=File Replication Service,在展開CN=Domain System Volume
選擇要刪除的CN=domain controller name,並按滑鼠右鍵選刪除
4
清除dns中dc記錄
移除 DNS 中 _msdcs.root domain of forest 區域的 cname 記錄
假設 DC 即將重新安裝並升級,將以新的 GUID 與相符的 DNS cname記錄建立新的 NTDS 設定物件。
您不想要讓現有的 DC 使用舊的 CNAME 記錄
………………………..
DC的log中出現
從電腦 XXX 設定的工作階段無法驗證。 安全性資料庫中參照的帳戶名稱是 XXX$。發生下列錯誤: 存取被拒。
而client端電腦登入網域時出現
可能因為網域控制站已關機無法使用或是找不到您的電腦帳戶
解決方式
方法1
client退出網域—重開機->執行newsid—重開機->加入網域
方法2
client退出網域—重開機->執行sysprep—重開機->加入網域
sysprep檔案在安裝光碟中的supporttoolsdeploy.cab內,解壓縮即可
ps:執行sysprep.exe時,setupcl.exe也需在相同目錄內才可運作
開啟sysprep後,選擇重新封裝,之後重開機後會進入剛安裝好os的畫面
其他可參考
sysprep
http://plog.tcc.edu.tw/post/538/6223
http://technet.microsoft.com/zh-tw/library/cc766049%28WS.10%29.aspx
new sid
http://www.microsoft.com/taiwan/technet/sysinternals/Security/NewSid.mspx
http://hugolin888.blogspot.com/2009/01/client-sid-httpphorum.html
……………………….
其他可參考
搶救網域大作戰
http://technet.microsoft.com/zh-tw/library/dd125470.aspx