Админы еще остались?

Автор Тема: Админы еще остались?  (Прочитано 54854 раз)

DimonS

  • Ветеран
  • *****
  • Сообщений: 6625
    • Просмотр профиля
Админы еще остались?
« : 11.12.2020, 13:34:19 »
Не пинайте сильно,  все же не обучался этому. Но вот как-то приходится работать.

Суть вопроса. Был обычный домен на Windows Server 2008R2. Ну и все сопутствующее к нему - DNS, DHCP и все другое. Но умудрились подхватить троян, да такой, что все сетевые настройки порушил. Установка антивиря не помогла - в ТП ответили, что старыми системами не занимаются и отвалите от нас.
Ну недолго думая (ибо долго не разрешили) поставил все обратно на Windows Server 2016R2. Как обычно, DNS, DHCP, AD. Но какого-то хера что-то слетело, не стали применяться групповые политики, пропали подключения по сети. Грешу на DNS, но что там слететь может? Тем более инет работает (этот DNS прописан в настройках).
Не думал что сюда писать придется, но уже инет обшарил вдоль и поперек.

PS. Ошибок на сервере нет, проверил. Но dcdiag /fix выдает ошибки применения групповых политик.
PSPS. Да, сервера два, основной и дополнительный. Сейчас доп отключен, но ситуация та же.

gyygla

  • Учaстник
  • ***
  • Сообщений: 863
  • I want to believe
    • Просмотр профиля
Re: Админы еще остались?
« Ответ #1 : 11.12.2020, 14:42:32 »
Сейчас два втаком виде:
Старый 2к8 основной
2к16 доп ?
Репликация между ними прошла успешно ?
Я б после успешной репликации понизил основной КД передав роли дополнительному.

DimonS

  • Ветеран
  • *****
  • Сообщений: 6625
    • Просмотр профиля
Re: Админы еще остались?
« Ответ #2 : 11.12.2020, 15:07:34 »
Сейчас оба на 2к16. Старые восстановлению не поддавались, увы, слишком много файлов повреждено было.
Один сейчас физический сервер, второй на гипере (на другом физическом серваке).

Marazm

  • Не случайный
  • **
  • Сообщений: 274
    • Просмотр профиля
Re: Админы еще остались?
« Ответ #3 : 11.12.2020, 15:26:36 »
DimonS, Проблема только в политиках ? После GPupdate /force на клиенте, можно глянуть журнал приложений (там же на клиенте), там могут быть указаны конкретные проблемы. И политики располагаются насколько помню в сетевой папке netlogon, можно проверить доступность шар на \\имядомена 

DimonS

  • Ветеран
  • *****
  • Сообщений: 6625
    • Просмотр профиля
Re: Админы еще остались?
« Ответ #4 : 11.12.2020, 15:27:56 »
Дополнение. Раньше в ДНС не настраивал зону обратного просмотра, сейчас установил. Может это косячить?

И еще. В-2008 настраивал давно, лет семь назад. Настроил и забыл - чего в него лезть, кроме как GPO добавлять. Не вспомню, адрес пересылки вводить нужно какой-то? Ввел те, которые провайдер выдал. Может из-за этого косяки пошли?

DimonS

  • Ветеран
  • *****
  • Сообщений: 6625
    • Просмотр профиля
Re: Админы еще остались?
« Ответ #5 : 11.12.2020, 15:30:33 »
Проблема только в политиках ?
Если бы...
Сетевые настройки не работают. Пинги до компов есть, но нет доступа. Послетали разрешения у пользователей, даже я сам не могу выполнить команду из-под админа или со своей учетки.

Marazm

  • Не случайный
  • **
  • Сообщений: 274
    • Просмотр профиля
Re: Админы еще остались?
« Ответ #6 : 11.12.2020, 15:36:40 »
DimonS, брандмауер отключен на клиентах ?

DimonS

  • Ветеран
  • *****
  • Сообщений: 6625
    • Просмотр профиля
Re: Админы еще остались?
« Ответ #7 : 11.12.2020, 15:49:10 »
DimonS, брандмауер отключен на клиентах ?
Не влияет. Конечно же проверил сразу.
После создания домена все работало, потом в один миг порушилось...

Marazm

  • Не случайный
  • **
  • Сообщений: 274
    • Просмотр профиля
Re: Админы еще остались?
« Ответ #8 : 11.12.2020, 15:51:19 »
nslookup имядомена  -  резолвит ?

alko

  • Учaстник
  • ***
  • Сообщений: 786
    • Просмотр профиля
Re: Админы еще остались?
« Ответ #9 : 11.12.2020, 16:18:57 »
DimonS, А у вас новый сервер старый домен видел? Права и роли FSMO передали новому домену? Или вы полностью подняли с нуля домен со старым именем? Если так то у вас машины остались в старом домене поэтому политики и не применяются.

sky star

  • Ветеран
  • *****
  • Сообщений: 9210
  • et servi etus servient illi
    • Просмотр профиля
Re: Админы еще остались?
« Ответ #10 : 11.12.2020, 16:41:19 »
похоже на то

alko

  • Учaстник
  • ***
  • Сообщений: 786
    • Просмотр профиля
Re: Админы еще остались?
« Ответ #11 : 11.12.2020, 16:49:18 »
В смысле они просто новую машину подняли и дали ему те же сетевые имена и адреса? o_O
Ну с его текста я так понял )))

Marazm

  • Не случайный
  • **
  • Сообщений: 274
    • Просмотр профиля
Re: Админы еще остались?
« Ответ #12 : 11.12.2020, 16:53:14 »
alko, как тогда оно всё сначала заработало, а потом перестало?

alko

  • Учaстник
  • ***
  • Сообщений: 786
    • Просмотр профиля
Re: Админы еще остались?
« Ответ #13 : 11.12.2020, 17:01:30 »
alko, как тогда оно всё сначала заработало, а потом перестало?
Я так понял что слетело когда они подняли новый домен, на старом работало, а на новом не работает

Он же не написал что сделали миграцию на новый сервер "Ну недолго думая (ибо долго не разрешили) поставил все обратно на Windows Server 2016R2"

И молчит как партизан

з.ы. Хотя опять же.. в оснастке AD тогда не будет объектов, куда применять.... в общем одни вопросы...

sky star

  • Ветеран
  • *****
  • Сообщений: 9210
  • et servi etus servient illi
    • Просмотр профиля
Re: Админы еще остались?
« Ответ #14 : 11.12.2020, 17:16:26 »
особливо если смотреть на календарь
а там
суббота
воскресенье
:)
можно не напрягаясь

DimonS

  • Ветеран
  • *****
  • Сообщений: 6625
    • Просмотр профиля
Re: Админы еще остались?
« Ответ #15 : 11.12.2020, 17:25:33 »
Домен поднят с нуля, что здесь такого-то? Ничего супер-пупер навороченного на старом небыло, кроме нескольких групповых политик.

большая сеть?
18 пользователей.

А у вас новый сервер старый домен видел?
Сервер с нуля поднят...

nslookup имядомена
Не видит... Хотя когда настраивал проблем небыло, проверял и не раз.
Где собака порылась?

DimonS

  • Ветеран
  • *****
  • Сообщений: 6625
    • Просмотр профиля
Re: Админы еще остались?
« Ответ #16 : 11.12.2020, 17:27:52 »
Я так понял что слетело когда они подняли новый домен, на старом работало, а на новом не работает
Работало и на новом. Старый с новым не пересекались никак.

Я бы с нуля за ночь настроил новый сервер
Так оно и пришлось делать.

DimonS

  • Ветеран
  • *****
  • Сообщений: 6625
    • Просмотр профиля
Re: Админы еще остались?
« Ответ #17 : 11.12.2020, 17:33:30 »
Либо тогда заводите новые учётки на новом сервере и вводите в домен каждую машину с новой учёткой.
Ну уж про такое писать... Естественно компы выведены из прошлого домена и введены в новый. Правда, когда вводил, домен еще нормально отвечал. Ну а пользователи, естественно, заново созданы.

alko

  • Учaстник
  • ***
  • Сообщений: 786
    • Просмотр профиля
Re: Админы еще остались?
« Ответ #18 : 11.12.2020, 17:34:26 »
Не видит... Хотя когда настраивал проблем небыло, проверял и не раз.
Где собака порылась?
nslookup На сервере сам себя не видит?


DimonS

  • Ветеран
  • *****
  • Сообщений: 6625
    • Просмотр профиля
Re: Админы еще остались?
« Ответ #19 : 11.12.2020, 17:41:40 »
nslookup На сервере сам себя не видит?
Нет.
C:\Users\sdp>nslookup
DNS request timed out.
    timeout was 2 seconds.
╤хЁтхЁ яю єьюыўрэш■:  UnKnown
Address:  192.168.150.3
На данном сервере адрес на 5 заканчивается. Второй сервер запущен сейчас, у него на 3 и заканчивается.

Какая-то жопа. Вчера еще пинг до домена без проблем проходил.

alko

  • Учaстник
  • ***
  • Сообщений: 786
    • Просмотр профиля
Re: Админы еще остались?
« Ответ #20 : 11.12.2020, 17:48:52 »
а ipconfig /all можно посмотреть?

DimonS

  • Ветеран
  • *****
  • Сообщений: 6625
    • Просмотр профиля
Re: Админы еще остались?
« Ответ #21 : 11.12.2020, 17:57:19 »
а ipconfig /all можно посмотреть?

Да не проблема, обычный статичный IP.


C:\Users\sdp>ipconfig /all

Настройка протокола IP для Windows

   Имя компьютера  . . . . . . . . . : PDC
   Основной DNS-суффикс  . . . . . . : uebv.local
   Тип узла. . . . . . . . . . . . . : Гибридный
   IP-маршрутизация включена . . . . : Нет
   WINS-прокси включен . . . . . . . : Нет
   Порядок просмотра суффиксов DNS . : uebv.local

Адаптер Ethernet Ethernet:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Realtek PCIe GBE Family Controller
   Физический адрес. . . . . . . . . : 98-DE-D0-06-E5-70
   DHCP включен. . . . . . . . . . . : Да
   Автонастройка включена. . . . . . : Да

Адаптер Ethernet Ethernet 2:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Realtek PCIe GBE Family Controller #2
   Физический адрес. . . . . . . . . : 84-16-F9-02-95-29
   DHCP включен. . . . . . . . . . . : Да
   Автонастройка включена. . . . . . : Да

Адаптер Ethernet Ethernet 3:

   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Realtek PCIe GBE Family Controller #3
   Физический адрес. . . . . . . . . : BC-EE-7B-71-FF-F1
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да
   IPv4-адрес. . . . . . . . . . . . : 192.168.150.5(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Основной шлюз. . . . . . . . . : 192.168.150.2
   DNS-серверы. . . . . . . . . . . : 192.168.150.5
                                       192.168.150.3
   NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер isatap.{FEC08042-171E-44A6-9BFA-8DF39EA65384}:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Microsoft ISATAP Adapter
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да

Туннельный адаптер Teredo Tunneling Pseudo-Interface:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да

Туннельный адаптер isatap.{A6607DFB-9628-4EEA-91CE-50C7284BCBB6}:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Microsoft ISATAP Adapter #2
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да

Туннельный адаптер isatap.{EAFFEAE3-778F-422C-B2B0-36EF7895A4C9}:

   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : Microsoft ISATAP Adapter #3
   Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да

Используется только один адаптер, остальные не задействованы.

alko

  • Учaстник
  • ***
  • Сообщений: 786
    • Просмотр профиля
Re: Админы еще остались?
« Ответ #22 : 11.12.2020, 18:08:08 »
Первым DNS должен идти второго сервера, а второй сам на себя 127.0.0.1

такое ощущение что сервер не видит домена... попробуй его заново ввести в домен

DimonS

  • Ветеран
  • *****
  • Сообщений: 6625
    • Просмотр профиля
Re: Админы еще остались?
« Ответ #23 : 11.12.2020, 18:57:29 »
Первым DNS должен идти второго сервера, а второй сам на себя 127.0.0.1
Без разницы. И так, и так пробовал. Этот сервер главный, PDC, второй пробовал отключать - разницы нет.

Ну вот реально сейчас выяснилось, что именно домен не пингуется. Что может быть в настройках ДНС? Ничего не менялось в последнее время, но домен вчера еще пинговался и вводил компы без проблем в него.

Опять вирус? так вроде прогнал, ничего нет...

gyygla

  • Учaстник
  • ***
  • Сообщений: 863
  • I want to believe
    • Просмотр профиля
Re: Админы еще остались?
« Ответ #24 : 11.12.2020, 21:55:00 »
, что именно домен не пингуется
Как вариант глянуть что вот эта команда выдаст: netsh ipsec static show policy all
Была похожая проблема, вирус, виделся не всем.

Если будет qianye то точно вирус, временным решением будет отключить правило, не удаляя ( восстанавливать гад его как то )
Как постоянное решение, формат С мы сделали.

Ну и ещё варианты пинг по имени ПК идёт на контроллер домен ?
Логи днс уже предлагали посмотреть ?

DimonS

  • Ветеран
  • *****
  • Сообщений: 6625
    • Просмотр профиля
Re: Админы еще остались?
« Ответ #25 : 12.12.2020, 00:31:43 »
gyygla
C:\Users\sdp>netsh ipsec static show policy all
Ошибка IPsec[05073] : Не удается открыть хранилище политик
Пинг проходит, конечно, без всяких проблем полдключаюсь к серверу по удаленке.

Блин, вот в ошибках... На 2008-м в другом месте смотреть надо было...

DNS-серверу не удалось открыть сокет для адреса "192.168.150.5".
Убедитесь, что данный адрес является допустимым IP-адресом компьютера сервера.  Если он не является допустимым, используйте диалог "Интерфейсы" на вкладке "Свойства сервера" диспетчера DNS для удаления его из списка IP-интерфейсов.  После этого остановите и снова запустите DNS-сервер. (Если этот IP-интерфейс единственный на компьютере, DNS-сервер может не запуститься по причине описанной ошибки.  В этому случае удалите значение DNS\Parameters\ ListenAddress в разделе служб реестра и перезапустите сервер.)
 Если указанный IP-адрес является допустимым для данного компьютера, убедитесь, что не запущены другие приложения (например, другой DNS-сервер), которые могут использовать DNS-порт.
Более подробную информацию смотрите в разделе "Журнал DNS-сервера" встроенной справки.

Куда копать? 192.168.150.5 это именно этот сервер. Сам себя не видит получается...

Makc[666]

  • Учaстник
  • ***
  • Сообщений: 516
    • Просмотр профиля
Re: Админы еще остались?
« Ответ #26 : 12.12.2020, 02:14:11 »
интересненькое название темы)
з.ы. Постороннего не хватает для дебатоФФ, угу, бан у него что то на долго затянулся

gyygla

  • Учaстник
  • ***
  • Сообщений: 863
  • I want to believe
    • Просмотр профиля
Re: Админы еще остались?
« Ответ #27 : 12.12.2020, 05:56:42 »
Ошибка IPsec[05073] : Не удается открыть хранилище политик
. Сделйте резервную копию (обязательно!) раздела реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\IPSec\Policy\Local
затем удалите его

2. Выполните команду

regsvr32 polstore.dll
3. Проверьте есть ли в папке Temp файл IPSec.tmp, если есть - удаляйте (по умолчанию папка временных файлов располагается в %UserProfile%\Local Settings\Temp\)

После запустить / перезапустить службу ipsec.
Как вариант ребутнуть сервак


п.с. а ж надеюсь консоль с админ правами была ? ( для пущей уверенности запустить именно от админа, правой кнопкой, запустить от имени администратора )

DimonS

  • Ветеран
  • *****
  • Сообщений: 6625
    • Просмотр профиля
Re: Админы еще остались?
« Ответ #28 : 25.12.2020, 17:58:49 »
В общем с ДНС разобрался, сам ступил. Все работает.
Но вот вам еще пятничная задачка.



На многих компах тупо закрыты порты. Я понимаю, что после вышеуказанного вируса, но вроде как его уже нет. Вин 7 Проф почти на всех. Переустановка Винды не влияет - порты закрыты. Грешил на сетевухи, но нет - если установить Вин 10, то все работает, но машинки ее не тянут. Косяки в ДНС? Но он не влияет на закрытые порты.
Через GPO отключен брандмауэр и включено сетевое обнаружение, так что тут все нормально. Включение брандмауэра не влияет на доступ.

PS. Можно было бы и насрать на доступ к этим машинам, но на некоторых стоят расшаренные принтеры и они не подключаются, ибо тупо нет доступа к машинам.
PSPS. Пинг идет и по имени, и по IP. Работает порт для RDP. В Сетевом окружении они так же видны, но при попытке подключения выдают или Не найден сетевой путь, или Неопознанная ошибка.

sky star

  • Ветеран
  • *****
  • Сообщений: 9210
  • et servi etus servient illi
    • Просмотр профиля
Re: Админы еще остались?
« Ответ #29 : 25.12.2020, 19:36:34 »
Переустановка Винды не влияет - порты закрыты. Грешил на сетевухи, но нет - если установить Вин 10, то все работает, но машинки ее не тянут.

мне как то ухо режит что в win 7  с перестановки бац и порты закрыты ,
а в win 10 опа "все на распашку"

win 7  какая то уникальная