Omówienie problemów, które mogą wystąpić w przypadku braku udziałów administracyjnych

  • Artykuł

Ten artykuł zawiera rozwiązanie problemów, które mogą wystąpić w przypadku braku udziałów administracyjnych.

Dotyczy: Windows Server 2012 R2, Windows 10 - wszystkie edycje
Oryginalny numer KB: 842715

Podsumowanie

W tym artykule opisano objawy, które mogą wystąpić, gdy na komputerze brakuje co najmniej jednego ukrytego udziału administracyjnego. Artykuł zawiera również informacje o sposobie rozwiązania tego problemu.

Jeśli ustalono już, że na komputerze brakuje co najmniej jednego ukrytego udziału administracyjnego, zobacz sekcje "Przyczyna" i "Rozwiązanie". Należy pamiętać, że brakujące udziały administracyjne zazwyczaj wskazują, że dany komputer został naruszony przez złośliwe oprogramowanie. Zalecamy, aby użytkownicy formatować i ponownie zainstalować system Windows na serwerach, których zabezpieczenia zostały naruszone.

Symptomy

Mogą wystąpić różne problemy, gdy udziały administracyjne zostaną usunięte lub w inny sposób nie zostaną usunięte z komputera.

Jeśli używasz polecenia net share lub MPSReports, dane wyjściowe mogą wskazywać, że na komputerze brakuje udziału IPC$, ADMIN$lub C$. Jeśli ponownie utworzysz brakujący udział, może go brakować ponownie po następnym uruchomieniu lub zalogowaniu. Ten problem może wystąpić nawet w przypadku ustawienia wartości DWORD rejestru AutoShareServer i AutoShareWks na wartość 1.

W rejestrze mogą znajdować się nieznane procesy rozpoczynające się od folderu Uruchamianie lub z klucza Uruchom . Oprogramowanie antywirusowe może wykrywać wirusy, robaki, trojany lub tylne drzwi. Katalog główny FTP na serwerze sieci Web może być wypełniony nieznanymi plikami.

Poniższa lista zawiera pełną listę problematycznych zachowań, które mogą być skojarzone z tym problemem.

  • Jeśli komputer, którego dotyczy problem, jest kontrolerem domeny, mogą pojawić się komunikaty o błędach na komputerach klienckich podczas logowania do sieci lub podczas próby dołączenia do domeny. Czasami można zalogować się przy użyciu komputerów klienckich, ale może zostać wyświetlony komunikat o błędzie podobny do jednego z następujących:

    • Podane hasło domeny nie jest poprawne lub odmowa dostępu do serwera logowania.

    • Serwer logowania nie rozpoznał hasła domeny lub odmowa dostępu do serwera.

    • Żaden serwer logowania nie jest dostępny do obsługi żądania logowania.

      Podczas próby dołączenia do domeny może zostać wyświetlony komunikat o błędzie podobny do następującego:

      Wystąpił następujący błąd podczas próby dołączenia do domeny "Domain_Name": Nie można odnaleźć nazwy sieci.

  • Podczas próby zdalnego uzyskiwania dostępu do komputera, którego dotyczy problem, lub wyświetlania go za pomocą ścieżki UNC, zamapowanego dysku, polecenia net use, polecenia net view lub przeglądania sieci w obszarze Sąsiedztwo sieci lub Moja sieć Places, może zostać wyświetlony komunikat o błędzie podobny do jednego z następujących:

    • Serwer nie jest skonfigurowany dla transakcji.

    • Wystąpił błąd systemowy nr 53. Nie odnaleziono ścieżki sieciowej.

    • Domain_Name jest niedostępna.

  • Podczas próby wykonania zadań administracyjnych na kontrolerze domeny mogą wystąpić błędy. Na przykład przystawki MMC, takie jak Użytkownicy i komputery usługi Active Directory lub witryny i usługi Active Directory, mogą nie zostać uruchomione i może zostać wyświetlony komunikat o błędzie podobny do następującego:

    Nie można znaleźć informacji o nazewnictwie, ponieważ: próba logowania nie powiodła się.

  • Podczas próby dodania użytkownika do grupy zabezpieczeń może zostać wyświetlony komunikat o błędzie podobny do następującego:

    Nie można otworzyć selektora obiektów, ponieważ nie można odnaleźć lokalizacji, z których można wybrać obiekty.

  • Podczas próby uruchomienia Netdom.exe w celu znalezienia ról FSMO może zostać wyświetlony komunikat o błędzie podobny do następującego:

    Nie można zaktualizować hasła. Wartość podana jako bieżące hasło jest nieprawidłowa.

  • Podczas próby uruchomienia Dcdiag.exe może zostać wyświetlony komunikat o błędzie podobny do następującego:

    Niepowodzenie z błędem 67: nie można odnaleźć nazwy sieci

    Wyniki Dcdiag.exe mogą również zawierać listę błędów powiązania LDAP, które są podobne do następujących:

    Powiązanie LDAP nie powiodło się z powodu błędu 1323.

  • Podczas próby uruchomienia Netdiag.exe może zostać wyświetlony komunikat o błędzie podobny do następującego:

    Test listy kontrolerów domeny. . . . . . . . . . . : Niepowodzenie
    Nie można wyliczyć kontrolerów DOMENY przy użyciu przeglądarki. [NERR_BadTransactConfig]

  • W przypadku uruchomienia śledzenia sieci podczas próby nawiązania połączenia z komputerem, którego dotyczy problem, mogą zostać wyświetlone wyniki podobne do następujących:

    C session setup & X, Username = username, and C tree connect & X, Share = \\<Server_Name>\IPC$  
R session setup & X - DOS Error, (67) BAD_NET_NAME

  • Na serwerze usługa WINS może nie zostać uruchomiona lub w konsoli WINS może zostać wyświetlony czerwony znak X lub oba te elementy.

  • Zdarzenia NetBT 4311 podobne do następujących mogą być rejestrowane w Podgląd zdarzeń:

    Identyfikator zdarzenia: 4311
    Źródło zdarzeń: NetBT
    Typ zdarzenia: błąd
    Opis: Inicjowanie nie powiodło się, ponieważ nie można utworzyć urządzenia sterownika

  • Konsola licencjonowania usług terminalowych może nie zostać uruchomiona i może zostać wyświetlony komunikat o błędzie podobny do następującego:

    • W bieżącej domenie lub grupie roboczej nie jest dostępny żaden serwer licencji usług terminalowych. Aby nawiązać połączenie z innym serwerem licencji, kliknij pozycję Licencja, kliknij pozycję Połącz i kliknij nazwę serwera.

    • Adres sieci jest nieprawidłowy

Przyczyna

Te problemy mogą wystąpić po usunięciu przez złośliwy program udziałów administracyjnych na komputerze z systemem Windows Server.

Często złośliwi użytkownicy łączą się z tymi udziałami administracyjnymi, korzystając ze słabych haseł, brakujących aktualizacji zabezpieczeń, bezpośredniej ekspozycji komputera na Internet lub kombinacji tych czynników. Następnie złośliwi użytkownicy instalują złośliwe programy, aby rozszerzyć swój wpływ na komputer i pozostałą część sieci komputerowej. W wielu przypadkach te złośliwe programy usuwają udziały administracyjne jako ruch obronny, aby uniemożliwić innym konkurującym złośliwym użytkownikom przejęcie kontroli nad zainfekowanymi systemami.

Infekcja przez jeden z tych złośliwych programów może pochodzić bezpośrednio z Internetu lub z innego komputera w sieci lokalnej, który jest zainfekowany. Ogólnie oznacza to, że zabezpieczenia w sieci są słabe. W związku z tym, jeśli widzisz te objawy, zalecamy zbadanie wszystkich innych komputerów w sieci pod kątem złośliwych programów przy użyciu oprogramowania antywirusowego i narzędzi do wykrywania programów szpiegujących. Zalecamy również przeprowadzenie analizy zabezpieczeń w celu zidentyfikowania luk w zabezpieczeniach w sieci. Aby uzyskać informacje na temat wykrywania złośliwych programów i analizowania zabezpieczeń sieci, zobacz sekcję "Rozwiązywanie".

Przykładem złośliwego programu, który jest przeznaczony dla udziałów administracyjnych, jest Win32.Agobot program.

Firma Microsoft udostępnia informacje dotyczące sposobów kontaktowania się z innymi firmami, aby ułatwić uzyskanie niezbędnej pomocy technicznej. Informacje te mogą zostać zmienione bez powiadomienia. Firma Microsoft nie gwarantuje dokładności informacji dotyczących innych firm.

Uwaga

Program Win32.Agobot jest tylko przykładem. Złośliwe programy stają się przestarzałe, ponieważ dostawcy oprogramowania antywirusowego odnajdują je i dodają do definicji wirusów. Jednak złośliwi użytkownicy często opracowują nowe programy i warianty, aby uniknąć wykrycia przez oprogramowanie antywirusowe.

Rozwiązanie

Ważna

W tej sekcji, metodzie lub w tym zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonywać podane czynności. Dla większego bezpieczeństwa przed zmodyfikowaniem rejestru należy wykonać jego kopię zapasową. Dzięki temu będzie można przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji dotyczących wykonywania kopii zapasowej i przywracania rejestru, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
322756 Jak wykonać kopię zapasową rejestru i przywrócić go w systemie Windows

Aby sprawdzić, czy ten problem dotyczy komputera, wykonaj następujące kroki:

  1. Sprawdź wartości rejestru AutoShareServer i AutoShareWks, aby upewnić się, że nie są one ustawione na wartość 0:

    1. Kliknij przycisk Start, kliknij przycisk Uruchom, wpisz regedit, a następnie naciśnij klawisz ENTER.
    2. Odszukaj, a następnie kliknij następujący podklucz rejestru: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters
    3. Jeśli wartości DWORD AutoShareServer i AutoShareWks w podkluczu LanmanServer\Parameters są skonfigurowane z danymi wartości 0, zmień tę wartość na 1.

      Uwaga

      Jeśli te wartości nie istnieją, nie trzeba ich tworzyć, ponieważ domyślnym zachowaniem jest automatyczne tworzenie udziałów administracyjnych.

    4. Zamknij Edytor rejestru.

  2. Uruchom ponownie komputer. Zazwyczaj komputery z systemem Windows Server automatycznie tworzą udziały administracyjne podczas uruchamiania.

  3. Po ponownym uruchomieniu komputera sprawdź, czy udziały administracyjne są aktywne. Aby zbadać udziały, użyj polecenia net share. Aby tego dokonać, wykonaj następujące kroki:

    1. Kliknij przycisk Start, kliknij przycisk Uruchom, wpisz polecenie cmd, a następnie naciśnij klawisz ENTER.

    2. W wierszu polecenia wpisz net share, a następnie naciśnij klawisz ENTER.

    3. Poszukaj udziałów administracyjnych Administracja$, C$i IPC$ na liście akcji.

Jeśli udziały administracyjne nie są wymienione, komputer może uruchamiać złośliwy program, który usuwa udziały podczas uruchamiania. Aby wyszukać złośliwe programy, wykonaj następujące kroki:

  1. Użyj najnowszych definicji wirusów, aby uruchomić pełne skanowanie antywirusowe na komputerze. Możesz użyć oprogramowania antywirusowego lub użyć jednej z kilku bezpłatnych usług skanowania wirusów, które są dostępne w Internecie. Aby uzyskać linki do aktualizacji definicji wirusów i bezpłatnych skanów online od dostawców oprogramowania antywirusowego, zobacz sekcję "Więcej informacji".

    Ważna

    Jeśli podejrzewasz, że komputer jest zainfekowany złośliwym kodem, zalecamy jak najszybsze usunięcie go z sieci. Zalecamy to, ponieważ złośliwy użytkownik może używać zainfekowanego komputera do uruchamiania ataków typu "rozproszona odmowa usługi" (DDoS), wysyłania niechcianych komercyjnych wiadomości e-mail lub udostępniania nielegalnych kopii oprogramowania, muzyki i filmów.

  2. Jeśli skanowanie antywirusowe identyfikuje złośliwy program w systemie, użyj instrukcji usuwania dostawcy oprogramowania antywirusowego. Ponadto zapoznaj się z oceną zagrożeń i szczegółami technicznymi dotyczącymi programu w witrynie sieci Web dostawcy oprogramowania antywirusowego. W szczególności sprawdź, czy program zawiera funkcję backdoor. Funkcja Backdoor oznacza, że program umożliwia złośliwemu użytkownikowi odzyskanie kontroli nad systemem, jeśli program zostanie odnaleziony i usunięty.

    Jeśli szczegóły techniczne dotyczące programu wskazują, że ma on funkcję backdoor, zalecamy sformatowanie dysku twardego komputera i bezpieczne ponowne zainstalowanie systemu Windows. Aby uzyskać informacje na temat poprawy bezpieczeństwa komputerów i serwerów z systemem Windows, odwiedź następujące centrum wskazówek dotyczących zabezpieczeń firmy Microsoft

  3. Jeśli skanowanie antywirusowe nie identyfikuje złośliwego programu w systemie, nie oznacza to, że komputer nie jest zainfekowany przez złośliwy program. Bardziej prawdopodobne może to oznaczać, że złośliwy program jest nowym programem lub wariantem, a najnowsze definicje wirusów go nie wykrywają. W takim przypadku skontaktuj się z dostawcą programu antywirusowego, aby zgłosić problem, lub otwórz zdarzenie pomocy technicznej w usługach pomocy technicznej firmy Microsoft (PSS) w celu zbadania problemu.

  4. Po zakończeniu skanowania antywirusowego sprawdź komputer pod kątem innych złośliwych programów, takich jak programy szpiegujące lub złośliwe narzędzia użytkownika. Aby uzyskać linki do programów szpiegujących i narzędzi do wykrywania złośliwych użytkowników, zobacz sekcję "Więcej informacji".

  5. Firma Microsoft udostępnia informacje dotyczące sposobów kontaktowania się z innymi firmami, aby ułatwić uzyskanie niezbędnej pomocy technicznej. Informacje te mogą zostać zmienione bez powiadomienia. Firma Microsoft nie gwarantuje dokładności informacji dotyczących innych firm.