Общие сведения о проблемах, которые могут возникнуть при отсутствии административных общих папок

  • Статья

В этой статье описано решение проблем, которые могут возникнуть при отсутствии административных общих папок.

Применимо к: Windows Server 2012 R2, Windows 10 — все выпуски
Исходный номер базы знаний: 842715

Сводка

В этой статье описываются симптомы, которые могут возникнуть, когда на компьютере отсутствуют один или несколько скрытых административных общих папок. В этой статье также содержатся сведения о том, как устранить эту проблему.

Если вы уже определили, что на вашем компьютере отсутствует один или несколько скрытых административных общих папок, см. разделы "Причина" и "Разрешение". Поймите, что отсутствующие административные ресурсы обычно указывают на то, что рассматриваемый компьютер был скомпрометирован вредоносным программным обеспечением. Рекомендуется, чтобы пользователи отформатировали и переустановили Windows на скомпрометированных серверах.

Симптомы

Вы можете столкнуться с различными проблемами при удалении административных общих папок или отсутствии на компьютере иным образом.

Если вы используете команду net share или MPSReports, выходные данные могут показать, что на вашем компьютере отсутствует общий ресурс IPC$, ADMIN$или C$. Если вы повторно создадите отсутствующий общий ресурс, он может отсутствовать снова после следующего запуска или входа. Эта проблема может возникнуть, даже если для значений DWORD реестра AutoShareServer и AutoShareWks задано значение 1.

В реестре могут находиться неизвестные процессы, которые запускаются из папки Startup или из раздела Run . Антивирусная программа может обнаруживать вирусы, червей, троянов или backdoor. Кроме того, корневой каталог FTP на веб-сервере может быть заполнен неизвестными файлами.

Ниже приведен полный список проблемных действий, которые могут быть связаны с этой проблемой.

  • Если затронутый компьютер является контроллером домена, вы можете получать сообщения об ошибках на клиентских компьютерах во время входа в сеть или во время попытки присоединиться к домену. Иногда вы можете войти в систему с помощью клиентских компьютеров, но может появиться сообщение об ошибке, похожее на одно из следующих:

    • Пароль домена указан неправильно, или доступ к серверу входа был запрещен.

    • Сервер входа не распознал пароль вашего домена, или доступ к серверу был запрещен.

    • Сервер входа недоступен для обслуживания запроса на вход.

      При попытке присоединиться к домену может появиться сообщение об ошибке, похожее на:

      При попытке присоединиться к домену "Domain_Name" произошла следующая ошибка: не удается найти сетевое имя.

  • При удаленном доступе или просмотре затронутого компьютера с помощью UNC-пути, сопоставленного диска, команды net use, команды net view или просмотра сети в сетевом районе или Places "Моя сеть", может появиться сообщение об ошибке, похожее на одно из следующих:

    • Сервер не настроен для транзакций.

    • Произошла системная ошибка 53. Не найден сетевой путь.

    • Domain_Name недоступна.

  • При попытке выполнить административные задачи на контроллере домена могут возникать ошибки. Например, оснастки MMC, такие как Пользователи и компьютеры Active Directory или сайты и службы Active Directory, могут не запускаться, и вы можете получить сообщение об ошибке, похожее на следующее:

    Не удается найти сведения об именовании, так как попытка входа завершилась ошибкой.

  • При попытке добавить пользователя в группу безопасности может появиться сообщение об ошибке, примерно следующее:

    Не удается открыть средство выбора объектов, так как не удается найти расположения для выбора объектов.

  • При попытке запустить Netdom.exe для поиска ролей FSMO может появиться сообщение об ошибке, похожее на следующее:

    Не удалось обновить пароль. Неверное значение, указанное в качестве текущего пароля.

  • При попытке запустить Dcdiag.exe может появиться сообщение об ошибке, похожее на следующее:

    Сбой с 67: не удается найти сетевое имя

    Результаты Dcdiag.exe также могут содержать ошибки привязки LDAP, аналогичные следующим:

    Сбой привязки LDAP с ошибкой 1323.

  • При попытке запустить Netdiag.exe может появиться сообщение об ошибке, похожее на следующее:

    Проверка списка контроллеров домена. . . . . . . . . . . : сбой
    Не удалось перечислить контроллеры домена с помощью браузера. [NERR_BadTransactConfig]

  • При выполнении трассировки сети при попытке подключиться к затронутму компьютеру могут появиться результаты, аналогичные следующему:

    C session setup & X, Username = username, and C tree connect & X, Share = \\<Server_Name>\IPC$  
R session setup & X - DOS Error, (67) BAD_NET_NAME

  • На сервере служба WINS может не запуститься, или консоль WINS может отображать красный X или и то, и другое.

  • События NetBT 4311, аналогичные следующим, могут быть зарегистрированы в Просмотр событий:

    Идентификатор события: 4311
    Источник события: NetBT
    Тип события: Ошибка
    Описание: сбой инициализации, так как не удалось создать устройство драйвера

  • Консоль лицензирования служб терминалов может не запуститься, и вы можете получить сообщение об ошибке, похожее на:

    • Сервер лицензирования служб терминалов недоступен в текущем домене или рабочей группе. Чтобы подключиться к другому серверу лицензирования, щелкните лицензия, щелкните подключиться и щелкните имя сервера.

    • Недопустимый сетевой адрес

Причина

Эти проблемы могут возникать после того, как вредоносная программа удаляет административные общие папки на компьютере под управлением Windows Server.

Часто злоумышленники подключаются к этим административным ресурсам, используя ненадежные пароли, отсутствующие обновления для системы безопасности, прямое попадание компьютера в Интернет или сочетание этих факторов. Затем вредоносные пользователи устанавливают вредоносные программы, чтобы расширить свое влияние на компьютер и на остальную часть сети компьютера. Во многих случаях эти вредоносные программы удаляют административные ресурсы в качестве защитного шага, чтобы предотвратить другие конкурирующие вредоносные пользователи от захвата контроля над зараженными системами.

Заражение одной из этих вредоносных программ может происходить непосредственно из Интернета или с другого компьютера в локальной сети, который заражен. Как правило, это означает, что безопасность в сети ненадежна. Поэтому, если вы видите эти симптомы, рекомендуется проверить все другие компьютеры в сети на наличие вредоносных программ с помощью антивирусной программы и средств обнаружения шпионских программ. Мы также рекомендуем провести анализ безопасности для выявления уязвимостей в сети. Сведения о том, как обнаруживать вредоносные программы и как анализировать сетевую безопасность, см. в разделе "Разрешение".

Примером вредоносной программы, предназначенной для административных общих Win32.Agobot папок, является программа.

Контактные данные сторонних организаций предоставлены в этой статье с целью помочь пользователям получить необходимую техническую поддержку. Эти данные могут быть изменены без предварительного уведомления. Корпорация Майкрософт не дает гарантий относительно правильности приведенных контактных данных сторонних производителей.

Примечание.

Программа Win32.Agobot является только примером. Вредоносные программы устаревают, так как поставщики антивирусной программы обнаруживают их и добавляют их в определения вирусов. Однако злоумышленники часто разрабатывают новые программы и варианты, чтобы избежать обнаружения антивирусной программой.

Разрешение

Важно!

В этот раздел, описание метода или задачи включены действия, содержащие указания по изменению параметров реестра. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует в точности выполнять приведенные инструкции. Для дополнительной защиты создайте резервную копию реестра, прежде чем редактировать его. Так вы сможете восстановить реестр, если возникнет проблема. Дополнительные сведения о создании резервной копии и восстановлении реестра см. в соответствующей статье базы знаний Майкрософт:
322756 Создание резервной копии и восстановление реестра Windows

Чтобы проверить, затронут ли компьютер этой проблемой, выполните следующие действия:

  1. Проверьте значения реестра AutoShareServer и AutoShareWks, чтобы убедиться, что для них не задано значение 0:

    1. Нажмите кнопку Пуск, нажмите кнопку Выполнить, введите regedit и нажмите клавишу ВВОД.
    2. Найдите и откройте следующий подраздел реестра: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters
    3. Если значения DWORD AutoShareServer и AutoShareWks в подразделе LanmanServer\Parameters настроены со значением 0, измените это значение на 1.

      Примечание.

      Если эти значения не существуют, их не нужно создавать, так как по умолчанию используется автоматическое создание административных общих папок.

    4. Закройте редактор реестра.

  2. Перезагрузите компьютер. Как правило, компьютеры под управлением Windows Server автоматически создают административные общие папки во время запуска.

  3. После перезагрузки компьютера убедитесь, что административные общие папки активны. Чтобы изучить общие папки, используйте команду net share. Для этого выполните следующие действия:

    1. Нажмите кнопку Пуск, нажмите кнопку Выполнить, введите cmd и нажмите клавишу ВВОД.

    2. В командной строке введите net share и нажмите клавишу ВВОД.

    3. Найдите административные общие папки Администратор$, C$и IPC$ в списке общих папок.

Если административные общие папки отсутствуют в списке, на компьютере может быть запущена вредоносная программа, которая удаляет общие папки во время запуска. Чтобы найти вредоносные программы, выполните следующие действия.

  1. Используйте последние определения вирусов для выполнения полной проверки антивирусной программы на компьютере. Вы можете использовать антивирусную программу или одну из нескольких бесплатных служб сканирования вирусов, доступных в Интернете. Ссылки на обновления определений вирусов и бесплатные онлайн-проверки от поставщиков антивирусного программного обеспечения см. в разделе "Дополнительные сведения".

    Важно!

    Если вы подозреваете, что компьютер заражен вредоносным кодом, рекомендуется как можно скорее удалить его из сети. Мы рекомендуем это сделать, так как злоумышленник может использовать зараженный компьютер для запуска распределенных атак типа "отказ в обслуживании" (DDoS), отправки незапрошенной коммерческой электронной почты или для обмена незаконными копиями программного обеспечения, музыки и фильмов.

  2. Если антивирусная проверка идентифицирует вредоносную программу в системе, используйте инструкции по удалению от поставщика антивирусной программы. Кроме того, ознакомьтесь с оценкой угроз и техническими сведениями о программе на веб-сайте поставщика антивирусной программы. В частности, проверка, чтобы узнать, включает ли программа возможность backdoor. Возможность backdoor означает, что программа предоставляет злоумышленнику способ восстановить контроль над системой, если программа обнаружена и удалена.

    Если технические сведения о программе указывают на то, что у нее есть возможность backdoor, рекомендуется отформатировать жесткий диск компьютера и безопасно переустановить Windows. Сведения об улучшении безопасности компьютеров и серверов под управлением Windows см. в следующем центре руководств по безопасности Майкрософт.

  3. Если антивирусная проверка не обнаруживает вредоносную программу в системе, это не означает, что компьютер не заражен вредоносной программой. Скорее всего, это может означать, что вредоносная программа является новой программой или вариантом и что последние определения вирусов не обнаруживают ее. В этом случае обратитесь к поставщику антивирусной программы, чтобы сообщить о проблеме, или сообщите об инциденте в службу поддержки продуктов Майкрософт (PSS) для расследования.

  4. После завершения антивирусной проверки проверьте компьютер на наличие других вредоносных программ, таких как шпионские программы или вредоносные пользовательские инструменты. Ссылки на шпионское ПО и средства обнаружения вредоносных пользователей см. в разделе "Дополнительные сведения".

  5. Контактные данные сторонних организаций предоставлены в этой статье с целью помочь пользователям получить необходимую техническую поддержку. Эти данные могут быть изменены без предварительного уведомления. Корпорация Майкрософт не дает гарантий относительно правильности приведенных контактных данных сторонних производителей.