Udostępnij za pośrednictwem


Omówienie problemów, które mogą wystąpić, gdy brakuje udziałów administracyjnych

Ten artykuł zawiera rozwiązanie problemów, które mogą wystąpić, gdy brakuje udziałów administracyjnych.

Oryginalny numer KB: 842715

Podsumowanie

W tym artykule opisano objawy, które mogą wystąpić, gdy na komputerze brakuje co najmniej jednego ukrytego udziału administracyjnego. Artykuł zawiera również informacje na temat sposobu rozwiązywania tego problemu.

Jeśli określono już, że na komputerze brakuje co najmniej jednego ukrytego udziału administracyjnego, zobacz sekcje "Przyczyna" i "Rozwiązanie". Należy pamiętać, że brakujące udziały administracyjne zwykle wskazują, że komputer, którego mowa, został naruszony przez złośliwe oprogramowanie. Zalecamy sformatowanie i ponowne zainstalowanie systemu Windows na serwerach z naruszonym dostępem.

Symptomy

Podczas usuwania udziałów administracyjnych lub w inny sposób brakuje go na komputerze, mogą wystąpić różne problemy.

Jeśli używasz polecenia net share lub MPSReports, dane wyjściowe mogą wskazywać, że na komputerze brakuje udziału IPC$, ADMIN$lub C$. Jeśli ponownie utworzysz brakujący udział, może brakować go ponownie po następnym uruchomieniu lub zalogowaniu. Ten problem może wystąpić, nawet jeśli ustawisz wartości DWORD rejestru AutoShareServer i AutoShareWks na 1.

W rejestrze mogą znajdować się nieznane procesy rozpoczynające się od folderu Uruchamiania lub Uruchom . Oprogramowanie antywirusowe może wykrywać wirusy, robaki, trojany lub backdoors. Lub katalog główny FTP na serwerze sieci Web może być wypełniony nieznanymi plikami.

Poniższa lista zawiera kompleksową listę problematycznych zachowań, które mogą być związane z tym problemem.

  • Jeśli komputer, którego dotyczy problem, jest kontrolerem domeny, mogą zostać wyświetlone komunikaty o błędach na komputerach klienckich podczas logowania do sieci lub w czasie próby dołączenia do domeny. Czasami można zalogować się przy użyciu komputerów klienckich, ale może zostać wyświetlony komunikat o błędzie podobny do jednego z następujących:

    • Podane hasło domeny nie jest poprawne lub odmowa dostępu do serwera logowania.

    • Serwer logowania nie rozpoznał hasła domeny lub nastąpiła odmowa dostępu do serwera.

    • Serwer logowania nie jest dostępny do obsługi żądania logowania.

      Podczas próby dołączenia do domeny może zostać wyświetlony komunikat o błędzie podobny do następującego:

      Wystąpił następujący błąd podczas próby dołączenia do domeny "Domain_Name": Nie można odnaleźć nazwy sieci.

  • Gdy próbujesz uzyskać dostęp do komputera, którego dotyczy problem, lub wyświetlić go zdalnie przy użyciu ścieżki UNC, dysku mapowanego, polecenia net use, polecenia net view lub przeglądania sieci w obszarze Sąsiedztwo sieci lub Moje miejsca sieciowe, może zostać wyświetlony komunikat o błędzie podobny do jednego z następujących:

    • Serwer nie jest skonfigurowany dla transakcji.

    • Wystąpił błąd systemowy 53. Nie można znaleźć ścieżki sieciowej.

    • Domain_Name jest niedostępna.

  • Podczas próby wykonania zadań administracyjnych na kontrolerze domeny mogą wystąpić błędy. Na przykład przystawki MMC, takie jak Użytkownicy i komputery usługi Active Directory lub lokacje i usługi Active Directory, mogą nie zostać uruchomione i może zostać wyświetlony komunikat o błędzie podobny do następującego:

    Nie można znaleźć informacji nazewnictwa, ponieważ: próba logowania nie powiodła się.

  • Podczas próby dodania użytkownika do grupy zabezpieczeń może zostać wyświetlony komunikat o błędzie podobny do następującego:

    Nie można otworzyć selektora obiektów, ponieważ nie można odnaleźć żadnych lokalizacji, z których można wybrać obiekty.

  • Podczas próby uruchomienia Netdom.exe w celu znalezienia ról FSMO może zostać wyświetlony komunikat o błędzie podobny do następującego:

    Nie można zaktualizować hasła. Wartość podana jako bieżące hasło jest niepoprawna.

  • Podczas próby uruchomienia Dcdiag.exe może zostać wyświetlony komunikat o błędzie podobny do następującego:

    Niepowodzenie z 67: nie można odnaleźć nazwy sieci

    Wyniki z Dcdiag.exe mogą również zawierać listę błędów powiązań LDAP, które są podobne do następujących:

    Powiązanie LDAP nie powiodło się z powodu błędu 1323.

  • Podczas próby uruchomienia Netdiag.exe może zostać wyświetlony komunikat o błędzie podobny do następującego:

    Test listy kontrolerów domeny. . . . . . . . . . . : Niepowodzenie
    Nie można wyliczyć kontrolerów domeny przy użyciu przeglądarki. [NERR_BadTransactConfig]

  • W przypadku uruchomienia śledzenia sieci podczas próby nawiązania połączenia z komputerem, którego dotyczy problem, mogą zostać wyświetlone wyniki podobne do następujących:

    C session setup & X, Username = username, and C tree connect & X, Share = \\<Server_Name>\IPC$  
    R session setup & X - DOS Error, (67) BAD_NET_NAME
    
  • Na serwerze usługa WINS może nie zostać uruchomiona lub konsola WINS może wyświetlić czerwony znak X lub oba te elementy.

  • Zdarzenia NetBT 4311, które są podobne do następujących, mogą być rejestrowane w Podgląd zdarzeń:

    Identyfikator zdarzenia: 4311
    Źródło zdarzenia: NetBT
    Typ zdarzenia: Błąd
    Opis: Inicjowanie nie powiodło się, ponieważ nie można utworzyć urządzenia sterownika

  • Konsola licencjonowania usług terminalowych może nie zostać uruchomiona i może zostać wyświetlony komunikat o błędzie podobny do następującego:

    • Serwer licencji usług terminalowych nie jest dostępny w bieżącej domenie lub grupie roboczej. Aby nawiązać połączenie z innym serwerem licencji, kliknij przycisk licencji, kliknij przycisk Połącz i kliknij nazwę serwera.

    • Adres sieciowy jest nieprawidłowy

Przyczyna

Te problemy mogą wystąpić po usunięciu przez złośliwy program udziałów administracyjnych na komputerze z systemem Windows Server.

Często złośliwi użytkownicy łączą się z tymi udziałami administracyjnymi, korzystając ze słabych haseł, brakujących aktualizacji zabezpieczeń, bezpośredniego ujawnienia komputera z Internetem lub kombinacji tych czynników. Złośliwi użytkownicy instalują następnie złośliwe programy, aby rozszerzyć ich wpływ na komputer i pozostałą część sieci komputerowej. W wielu przypadkach te złośliwe programy usuwają udziały administracyjne jako defensywny ruch, aby zapobiec przejęciu kontroli nad zainfekowanymi systemami przez innych konkurencyjnych złośliwych użytkowników.

Infekcja przez jeden z tych złośliwych programów może pochodzić bezpośrednio z Internetu lub z innego komputera w sieci lokalnej, która jest zainfekowana. Zazwyczaj wskazuje, że zabezpieczenia w sieci są słabe. W związku z tym, jeśli widzisz te objawy, zalecamy sprawdzenie wszystkich innych komputerów w sieci pod kątem złośliwych programów przy użyciu oprogramowania antywirusowego i narzędzi do wykrywania programów szpiegujących. Zalecamy również przeprowadzenie analizy zabezpieczeń w celu zidentyfikowania luk w zabezpieczeniach w sieci. Zobacz sekcję "Rozwiązanie", aby uzyskać informacje na temat wykrywania złośliwych programów i analizowania zabezpieczeń sieci.

Przykładem złośliwego programu przeznaczonego dla udziałów administracyjnych jest Win32.Agobot program.

Firma Microsoft udostępnia informacje dotyczące sposobów kontaktowania się z innymi firmami, aby ułatwić uzyskanie niezbędnej pomocy technicznej. Informacje te mogą zostać zmienione bez powiadomienia. Firma Microsoft nie gwarantuje dokładności informacji dotyczących innych firm.

Uwaga 16.

Program Win32.Agobot jest tylko przykładem. Złośliwe programy stają się przestarzałe, ponieważ dostawcy oprogramowania antywirusowego odnajdują je i dodają je do swoich definicji wirusów. Jednak złośliwi użytkownicy często tworzą nowe programy i warianty, aby uniknąć wykrywania przez oprogramowanie antywirusowe.

Rozwiązanie

Ważne

W tej sekcji, metodzie lub w tym zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonać poniższe kroki. Aby zapewnić dodatkową ochronę, utwórz kopię zapasową rejestru przed przystąpieniem do jego modyfikacji. Dzięki temu będzie można przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji dotyczących wykonywania kopii zapasowej i przywracania rejestru, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
322756 Jak wykonać kopię zapasową rejestru i przywrócić go w systemie Windows

Aby sprawdzić, czy komputer ma wpływ na ten problem, wykonaj następujące kroki:

  1. Sprawdź wartości rejestru AutoShareServer i AutoShareWks, aby upewnić się, że nie są ustawione na 0:

    1. Kliknij przycisk Start, kliknij przycisk Uruchom, wpisz regedit, a następnie naciśnij ENTER.
    2. Odszukaj, a następnie kliknij następujący podklucz rejestru: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters
    3. Jeśli wartości AutoShareServer i AutoShareWks DWORD w podkluczu LanmanServer\Parameters są skonfigurowane z danymi wartości 0, zmień tę wartość na 1.

      Uwaga 16.

      Jeśli te wartości nie istnieją, nie trzeba ich tworzyć, ponieważ domyślne zachowanie polega na automatycznym utworzeniu udziałów administracyjnych.

    4. Zamknij Edytor rejestru.
  2. Uruchom ponownie komputer. Zazwyczaj komputery z systemem Windows Server automatycznie tworzą udziały administracyjne podczas uruchamiania.

  3. Po ponownym uruchomieniu komputera sprawdź, czy udziały administracyjne są aktywne. Aby zbadać udziały, użyj polecenia net share. W tym celu wykonaj następujące kroki:

    1. Kliknij przycisk Start, kliknij przycisk Uruchom, wpisz cmd, a następnie naciśnij ENTER.

    2. W wierszu polecenia wpisz net share, a następnie naciśnij ENTER.

    3. Poszukaj udziałów administracyjnych Admin$, C$i IPC$ na liście udziałów.

Jeśli udziały administracyjne nie są wymienione, komputer może uruchamiać złośliwy program, który usuwa udziały podczas uruchamiania. Aby wyszukać złośliwe programy, wykonaj następujące kroki:

  1. Użyj najnowszych definicji wirusów, aby uruchomić pełne skanowanie antywirusowe na komputerze. Możesz użyć oprogramowania antywirusowego lub użyć jednej z kilku bezpłatnych usług skanowania antywirusowego, które są dostępne w Internecie. Zobacz sekcję "Więcej informacji", aby uzyskać linki do aktualizacji definicji wirusów oraz bezpłatne skanowanie online od dostawców oprogramowania antywirusowego.

    Ważne

    Jeśli podejrzewasz, że komputer jest zainfekowany złośliwym kodem, zalecamy usunięcie go z sieci tak szybko, jak to możliwe. Zalecamy to, ponieważ złośliwy użytkownik może używać zainfekowanego komputera do rozpoczęcia ataków DDoS (Distributed Denial of Service), wysyłania niechcianych komercyjnych wiadomości e-mail lub udostępniania nielegalnych kopii oprogramowania, muzyki i filmów.

  2. Jeśli skanowanie antywirusowe identyfikuje złośliwy program w systemie, skorzystaj z instrukcji usuwania dostawcy oprogramowania antywirusowego. Ponadto przejrzyj ocenę zagrożeń i szczegółowe informacje techniczne dotyczące programu w witrynie internetowej dostawcy oprogramowania antywirusowego. W szczególności sprawdź, czy program zawiera funkcję backdoor. Funkcja backdoor oznacza, że program umożliwia złośliwemu użytkownikowi odzyskanie kontroli nad systemem, jeśli program zostanie odnaleziony i usunięty.

    Jeśli szczegółowe informacje techniczne dotyczące programu wskazują, że ma on funkcję backdoor, zalecamy sformatowanie dysku twardego komputera i bezpieczne zainstalowanie systemu Windows. Aby uzyskać informacje na temat poprawy zabezpieczeń komputerów i serwerów opartych na systemie Windows, odwiedź następujące Centrum wskazówek dotyczących zabezpieczeń firmy Microsoft

  3. Jeśli skanowanie antywirusowe nie identyfikuje złośliwego programu w systemie, nie oznacza to, że komputer nie jest zainfekowany złośliwym programem. Najprawdopodobniej może to oznaczać, że złośliwy program jest nowym programem lub wariantem i że najnowsze definicje wirusów nie wykryją go. W takim przypadku skontaktuj się z dostawcą oprogramowania antywirusowego, aby zgłosić problem, lub otworzyć zdarzenie pomocy technicznej w usługach pomocy technicznej firmy Microsoft (PSS), aby zbadać problem.

  4. Po zakończeniu skanowania antywirusowego sprawdź komputer pod kątem innych złośliwych programów, takich jak programy szpiegujące lub złośliwe narzędzia użytkownika. Zobacz sekcję "Więcej informacji", aby uzyskać linki do programów szpiegujących i narzędzi do wykrywania złośliwych użytkowników.

  5. Firma Microsoft udostępnia informacje dotyczące sposobów kontaktowania się z innymi firmami, aby ułatwić uzyskanie niezbędnej pomocy technicznej. Informacje te mogą zostać zmienione bez powiadomienia. Firma Microsoft nie gwarantuje dokładności informacji dotyczących innych firm.