Overzicht van problemen die kunnen optreden wanneer beheerdersshares ontbreken

Van toepassing: Microsoft Windows Server 2003 Enterprise Edition (32-bit x86)Microsoft Windows Server 2003 Standard Edition (32-bit x86)Microsoft Windows XP Professional

Samenvatting


In dit artikel worden de symptomen beschreven die kunnen optreden als een of meer van de verborgen beheerdersshares ontbreken op uw computer. Er worden tevens stappen beschreven om dit probleem op te lossen.



Als u al hebt vastgesteld dat op uw computer een of meer verborgen beheerdersshares ontbreken, kunt u de secties 'Oorzaak' en 'Oplossing' raadplegen. Houd er rekening mee dat het ontbreken van beheerdersshares er meestal op wijst dat op de betreffende computer is ingebroken met behulp van schadelijke software. Wij raden gebruikers van servers waarop is ingebroken aan om de servers te formatteren en Windows opnieuw te installeren.

Symptomen


Er kunnen uiteenlopende problemen optreden als beheerdersshares worden verwijderd of anderszins op de computer ontbreken.

Als u de opdracht net share of MPSReports gebruikt, toont de uitvoer dat op uw computer de share IPC$, ADMIN$ of C$ ontbreekt. Als u een ontbrekende share opnieuw maakt, ontbreekt deze opnieuw nadat u de volgende keer hebt opgestart of zich de volgende keer hebt aangemeld. Dit probleem treedt zelfs op als u de DWORD-waarden van AutoShareServer en AutoShareWks in het register hebt ingesteld op 1.



U vindt mogelijk onbekende processen die worden gestart vanuit de map Opstarten of vanuit de sleutel Run in het register. Antivirussoftware detecteert virussen, wormen, Trojaanse paarden of 'backdoors' (Trojaanse paarden via achterdeur). Of de FTP-hoofdmap op een webserver wordt gevuld met onbekende bestanden.

Hieronder ziet u een uitgebreide opsomming van het problematische gedrag dat aan dit probleem is gekoppeld.
  • Als de betrokken computer zich op een domeincontroller bevindt, ontvangt u foutberichten op clientcomputers tijdens het aanmelden bij het netwerk of wanneer u probeert lid te worden van het domein. Soms kunt u zich aanmelden met clientcomputers met Microsoft Windows 2000 of Microsoft Windows XP, maar niet met clientcomputers met Microsoft Windows 95, Microsoft Windows 98 of Microsoft Windows Millennium Edition. Op Windows 9x-computers kan een foutbericht van de volgende strekking worden weergegeven:
    • Het opgegeven domeinwachtwoord is onjuist of toegang tot de aanmeldingsserver is geweigerd.
    • De aanmeldingsserver herkent uw domeinwachtwoord niet of de toegang tot de server is geweigerd.

    Wanneer u zich wilt aanmelden bij het netwerk op een computer met Windows 2000 of Windows XP, wordt een foutbericht van de volgende strekking weergegeven:
    Er zijn geen aanmeldingsservers beschikbaar om de aanmeldingsaanvraag te verwerken.
    Wanneer u probeert lid te worden van het domein, wordt een foutbericht van de volgende strekking weergegeven:
    De volgende fout is opgetreden tijdens het lid worden van domein 'Domeinnaam': Kan de netwerknaam niet vinden.
  • Wanneer u probeert extern toegang te krijgen tot de betrokken computer of deze probeert weer te geven met behulp van een UNC-pad, een netwerkstation, de opdracht net use, de opdracht net view of door op het netwerk te navigeren via Netwerkomgeving of Mijn netwerklocaties, ontvangt u een foutbericht van de volgende strekking:

    • De server is niet geconfigureerd voor transacties.

    • Systeemfout 53 is opgetreden. Kan het netwerkpad niet vinden.
    • Domeinnaam is niet toegankelijk.


  • Er worden foutberichten weergegeven wanneer u probeert beheerderstaken uit te voeren op een domeincontroller. MMC-modules zoals Active Directory: gebruikers en computers of Active Directory: sites en services worden niet gestart en er wordt een foutbericht van de volgende strekking weergegeven:

    Kan naamgevingsgegevens niet vinden vanwege dit probleem: Aanmelden is mislukt.
  • Wanneer u probeert een gebruiker toe te voegen aan een beveiligingsgroep, wordt een foutbericht van de volgende strekking weergegeven:

    Objectkiezer kan niet worden geopend omdat de locaties om in te zoeken niet kunnen worden gevonden.
  • Wanneer u probeert Netdom.exe uit te voeren vanuit Windows 2000 Support Tools om naar de FSMO-rollen te zoeken, wordt een foutbericht van de volgende strekking weergegeven:

    Kan het wachtwoord niet bijwerken. De waarde die is opgegeven voor het actieve wachtwoord is niet juist.
  • Wanneer u probeert Dcdiag.exe uit te voeren vanuit Windows 2000 Support Tools, wordt een foutbericht van de volgende strekking weergegeven:
    Mislukt met foutcode 67: Kan de netwerknaam niet vinden
    Bij de resultaten van Dcdiag.exe kunnen ook LDAP-bindingsfouten van de volgende strekking voorkomen:
    LDAP-binding is mislukt met fout 1323.
  • Wanneer u probeert Netdiag.exe uit te voeren vanuit Windows 2000 Support Tools, wordt een foutbericht van de volgende strekking weergegeven:

    DC list test . . . . . . . . . . . : Mislukt

    Kan de DC's niet opsommen met de browser. [NERR_BadTransactConfig]
  • Als u een netwerk-trace uitvoert wanneer u probeert verbinding te maken met de betrokken computer, ziet u resultaten die vergelijkbaar zijn met de volgende:

    C session setup & X, Username = username, and C tree connect & X, Share = \\<Server_Name>\IPC$
    R session setup & X - DOS Error, (67) BAD_NET_NAME
  • Op de server kan de WINS-service niet worden gestart of in de WINS-console wordt een rode X weergegeven, of beide.
  • NetBT 4311-gebeurtenissen die vergelijkbaar zijn met de volgende worden in Logboeken geregistreerd:

  • De Terminal Services-licentieverleningconsole kan niet worden gestart en er wordt een foutbericht van de volgende strekking weergegeven:

    • In het huidige domein of de huidige werkgroep is geen licentieserver voor Terminal Services beschikbaar. Als u verbinding met een andere licentieserver wilt maken, dient u op Licentie te klikken, daarna op Verbinding maken en vervolgens de servernaam in te voeren.

    • Het netwerkadres is ongeldig
  • Services for Macintosh kan niet worden gestart. Wanneer u probeert de service te starten, worden gebeurtenissen die vergelijkbaar zijn met de volgende in Logboeken geregistreerd:

Oorzaak


Deze problemen kunnen optreden nadat een schadelijk programma de beheerdersshare heeft verwijderd van een computer met Windows Server 2003, Windows XP, Windows 2000 of Windows NT 4.0.



Kwaadwillende gebruikers maken vaak verbinding met dergelijke beheerdersshares door zwakke wachtwoorden, ontbrekende beveiligingsupdates, directe blootstelling van de computer op internet of een combinatie van deze factoren uit te buiten. De kwaadwillende gebruikers installeren vervolgens schadelijke programma's om hun invloed op de computer en de rest van het computernetwerk uit te breiden. In veel gevallen worden de beheerdersshares door dergelijke schadelijke programma's verwijderd als een defensieve zet. Hiermee wordt dan voorkomen dat andere, concurrerende kwaadwillende gebruikers controle krijgen over geïnfecteerde systemen.



Besmetting via een van deze schadelijke programma's kan rechtstreeks via internet plaatsvinden of via een andere computer op het lokale netwerk die is geïnfecteerd. Dit duidt er meestal op dat de beveiliging op het netwerk zwak is. Als deze symptomen optreden, raden we u dan ook aan om alle andere computers op het netwerk te controleren op schadelijke programma's met behulp van antivirussoftware en programma's voor het detecteren van spyware. We raden u tevens aan een beveiligingsanalyse uit te voeren zodat u beveiligingsproblemen op het netwerk kunt vaststellen. Raadpleeg de sectie 'Oplossing' voor informatie over het vaststellen van schadelijke programma's en de manier waarop u netwerkbeveiliging kunt analyseren.



Een voorbeeld van een schadelijk programma dat zich richt op beheerdersshares is het programma Win32.Agobot. Bezoek de volgende website van het Virus Information Center van Computer Associates voor technische gegevens over de manier waarop dit programma werkt:

Microsoft verstrekt deze contactinformatie om u te helpen bij het aanvragen van technische ondersteuning. Deze contactinformatie kan zonder voorafgaande kennisgeving worden gewijzigd. Microsoft kan niet instaan voor de juistheid van deze contactinformatie.
Opmerking Het programma Win32.Agobot dient slechts als voorbeeld. Schadelijke programma's verouderen doordat leveranciers van antivirusoplossingen deze ontdekken en toevoegen aan virusdefinitiebestanden. Kwaadwillende gebruikers ontwikkelen echter voortdurend nieuwe programma's en varianten om detectie door antivirussoftware te voorkomen.

Oplossing


Belangrijk Deze sectie, methode of taak bevat stappen voor het bewerken van het register. Als u het register op onjuiste wijze wijzigt, kunnen er echter grote problemen optreden. Het is dan ook belangrijk dat u deze stappen zorgvuldig uitvoert. Voor extra beveiliging maakt u een back-up van het register voordat u wijzigingen aanbrengt. Als er dan een probleem optreedt, kunt u het register altijd nog herstellen. Als u meer informatie wilt over het maken van een back-up van het register en het herstellen van het register, klikt u op het volgende artikelnummer, zodat het desbetreffende Microsoft Knowledge Base-artikel wordt weergegeven:
322756 Een back-up van het register maken en het register terugzetten in Windows


Voer de volgende stappen uit om vast te stellen of het probleem op een computer voorkomt:
  1. Controleer de registerwaarde AutoShareServer en AutoShareWks. Deze mogen niet zijn ingesteld op 0:

    1. Klik op Start, klik op Uitvoeren, typ regedit en druk op Enter.
    2. Zoek de volgende registersubsleutel en klik erop: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters
    3. Als de DWORD-waarden voor AutoShareServer en AutoShareWks in de subsleutel LanmanServer\Parameters zijn geconfigureerd met een waarde van 0, moet u deze waarde wijzigen in 1.



      Opmerking Als deze waarden niet aanwezig zijn, hoeft u ze niet te maken, omdat de beheerdersshares standaard automatisch worden gemaakt.

    4. Sluit de Register-editor af.

  2. Start de computer opnieuw op. Normaal gesproken worden voor computers met Windows Server 2003, Windows XP, Windows 2000 of Windows NT 4.0 de beheerdersshares automatisch gemaakt bij het opstarten.

  3. Controleer of de beheerdersshares zijn geactiveerd nadat de computer opnieuw is opgestart. Gebruik de opdracht net share om de shares te controleren. Volg hiervoor de volgende stappen:

    1. Klik op Start, klik op Uitvoeren, typ cmd en druk op Enter.
    2. Typ net share bij de opdrachtprompt en druk op Enter.
    3. Zoek de beheerdersshares Admin$, C$ en IPC$ in de lijst met shares.
Als de beheerdersshares niet in de lijst voorkomen, wordt op de computer mogelijk een schadelijk programma uitgevoerd dat de shares tijdens het opstarten verwijdert. Ga als volgt te werk om te zoeken naar schadelijke programma's:
  1. Gebruik de meest recente virusdefinities voor het uitvoeren van een complete antivirusscan op de computer. U kunt gebruikmaken van uw eigen antvirussoftware of van een van de gratis services voor het scannen op virussen die beschikbaar zijn op internet. Zie de sectie 'Meer informatie' voor koppelingen naar updates voor virusdefinities en gratis online scans van leveranciers van antivirussoftware.



    Belangrijk Als u vermoedt dat een computer is besmet met schadelijke code, raden wij u aan deze zo snel mogelijk van het netwerk te verwijderen. Wij raden dit aan omdat een kwaadwillende gebruiker de besmette computer mogelijk gebruikt voor het uitvoeren van DDoS-aanvallen (Distributed Denial of Service), voor het verzenden van ongewenste commerciële e-mail of voor het delen van illegale kopieën van software, muziek en films.

  2. Als via de antivirusscan een kwaadaardig programma op het systeem wordt vastgesteld, moet u de instructies voor het verwijderen van de leverancier van de antivirussoftware uitvoeren. Bekijk daarnaast hoe de mate van schadelijkheid van het programma wordt gekwalificeerd en wat de technische gegevens van het programma zijn op de website van de leverancier. Ga met name na of het programma backdoor-mogelijkheden biedt. Met backdoor-mogelijkheden wordt bedoeld dat het programma een manier biedt waarop de kwaadwillende gebruiker opnieuw controle kan verkrijgen over het systeem als het programma wordt ontdekt en verwijderd.



    Als de technische gegevens over het programma aanduiden dat het over backdoor-mogelijkheden beschikt, raden wij u aan de vaste schijf van de computer te formatteren en Windows op veilige wijze opnieuw te installeren. Bezoek de volgende Microsoft Security Guidance Center-website voor meer informatie over het verbeteren van de beveiliging van Windows-computers en -servers:
  3. Als door de antivirusscan geen schadelijk programma op het systeem wordt vastgesteld, wil dat nog niet zeggen dat de computer niet is besmet. Het is aannemelijker dat het schadelijke programma een nieuw programma is of een variant, en dat de meest recente virusdefinities dat niet kunnen vaststellen. Neem in dat geval contact op met de leverancier van het antivirusprogramma of dien een vraag in bij Microsoft Product Support Services (PSS), met het verzoek het probleem te onderzoeken.



  4. Nadat de antivirusscan is voltooid, moet u de computer controleren op andere schadelijke programma's zoals spyware of andere programma's van kwaadwillende gebruikers. Zie de sectie 'Meer informatie' voor koppelingen naar hulpprogramma's voor het vaststellen van spyware en kwaadwillende gebruikers.

  5. Controleer alle andere computers op het netwerk op schadelijke programma's en voer een beveiligingsanalyse uit om beveiligingsproblemen op het netwerk vast te stellen. Voor het analyseren van de netwerkbeveiliging raden wij u aan het hulpprogramma Microsoft Baseline Security Analyzer versie 1.2.1 te gebruiken. Meer informatie over dit hulpprogramma kunt u vinden op de Microsoft Baseline Security Analyzer-website:

Meer informatie


Bezoek de volgende Microsoft TechNet-beveiligingswebsite voor technische informatie over het beveiligen van uw netwerk:

Bezoek een van de volgende websites van derden voor het verkrijgen van updates voor virusdefinitiebestanden van leveranciers van antivirussoftware:

Bezoek een van de volgende websites van derden voor het uitvoeren van een gratis online scan door een leverancier van antivirussoftware:Bezoek een van de volgende websites van derden voor het verkrijgen van hulpprogramma's voor het vaststellen van spyware en kwaadwillende gebruikers:Microsoft verstrekt deze contactinformatie om u te helpen bij het aanvragen van technische ondersteuning. Deze contactinformatie kan zonder voorafgaande kennisgeving worden gewijzigd. Microsoft kan niet instaan voor de juistheid van deze contactinformatie.