Printable View
Zdarvím,
potřebuji pomoct s následujícím problémem:
Doma mám 3 PC (WinXP) + Server (Win2003 Server standard) doména.
Před 2 dny se stalo, že se nemůžu vůbec přihlásit na jednom PC. Po zadání uživ. jména a hesla se začne systém přihlašovat a hned se odhlásí zpět na přihlašovací obrazovku. (Zkoušel jsem stav nouze, poslední známou konfiguraci apod. nepomohlo).
Děkuji za rady.
Tak toto se stává, když vyměníš disky nebo přidáš další. Už jsem to řešil několikrát a dá se to vyřešit následovně:
Z druhého PC se přes síť připojíš na "postižený" počítač přes \\COMPUTERNAME za použití administrátorského účtu.
Pak spustíš REGEDIT.EXE a v menu Registr - připojit síťový registr... do okna napíšeš \\COMPUTERNAME a počkáš než se rozbalí stromová struktura registru toho postiženého PC.
Pak je třeba zjistit jak se pomíchaly disky - obsah disku c: zobrazíš zadáním adresy \\COMUPTERNAME\C$ , déčko D$ atp.
Důležité je najít startovací disk (tam kde je v kořenu ntldr, boot.ini) a pak systémový disk (tam kde je adresář WINDOWS či WINNT)
V registru - HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices přejmenuj názvy těch jednotek ( \DosDevices\x: ) které jsou jinak než mají být, když je smazeš, tak si Windows jednotky dosadí po dalším restartu samy, ale v tom pořadí, v jakém by je viděl DOS (což může být jiné, než potřebuješ).
Pak restart "postiženého" PC v přihlašovacím okně - vypnout a restartovat.
Ahoj,
díky za rady, ale problém je že se na postiženém PC vůbec nepřihlásím, tudíž ho v síti vůbec nevidím a když to nechám v té přihlašovací obrazovce a zkouším se připojit z jiného PC tak mi to řekne že tu cestu nenalezl.
Zajímavé je, že se nemůžu přihlásit už na dvou PC, ten samý problém.
Děkuji za rady.
Pozor, to že na stanici není nikdo přihlášen ještě neznamená, že není vidět v síti. Jestli jsi na něm zapnul firewall a/nebo odstranil sdílení souborů v síti Microsoft, tak to může být důvod, proč není v síti vidět, ale přihlášením to není... ;)
Vyzkoušej, jestli si na něj vůbec pingneš, pak můžeš ještě zkusit se připojit na \\ip_adresa_pc
Ještě jsi ale nenapsal, co se změnilo před tím, než se nešlo přihlásit...
S lokálním účtem se přihlásit lze?
2 Paolo: Mel jsi pravdu. Já blbec jsem mel odpojeny sitovy kabel, protoze jsem zkousel jestli to nejak neovlivnuje server.
Ted uz se teda dostanu na disky jak jsi psal i do toho registru, kontroloval jsem ty jednotky a sedi to C$ je systemovy disk. Pro jistotu jsem je vsechny vymazal (v registru \DosDevices) a po naslednem restartu postizeneho pc si akorat prohodil D$ s E$, systemovy disk zustal C$, ale prihlasit se furt nejde.
Nemam jeste neco zkontrolovat v tom registru.
Jo a předtím se právě vůbec nic nedělo problém přišel z čistajasna :(
Děkuji za rady.
2 Marty: nejde se prihlasit vubec ani lokalne
To, že se to takto vrátí zpátky na přihlašovací obrazovku není neplatným účtem, ale tím, že Windows nemůžou načíst některé zásadní soubory.
Udělej ještě následující, v nástrojích pro správu si otevři prohlížeč událostí a připoj se na postižený počítač a projdi log aplikací a log systému. Soustřeď se na červené a žluté události. Snad z toho logu poznáme, co Widlím schází...
2 Paolo:
Tu je log z dnešního rána postiženého PC při zapínání:
log aplikací
http://safrane.php5.cz/apl.gif
log systemu
http://safrane.php5.cz/sys.gif
hodnekrat se tam objevuje W32 time, nebude nejaky problem se synchronizaci casu, co uz jsem tu videl?
To bych řekl, že Win32time už jen trpí chybou systému, způsobenou tím hlavním problémem.
Procházel jsem na Microsoftích stránkách co znamenají ty kódy u userenv a trapně všechno nasvědčuje jen špatné konfiguraci DNS (což klidně změní i virus). Stanice je nastavena jako klient serveru a bez něj je nešťastná.
Koukni se do registru do větve:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Tcpip\Parameters\Interfaces\
pod tím bude několik složek typu {hexačíslo-hexačíslo-...-hexačíslo} podle toho, kolik máš rozhranní.
Prolez všechny a v jednom z nich bude uvedena pod textovou hodnotou IPAddress IP adresa počítače, tak v té větvi zůstaň a zkontroluj správnost obsahu položek
DefaultGateway (REG_MULTI_SZ)
SubnetMask (REG_MULTI_SZ)
a hlavně NameServer (REG_SZ)
všechny jsou zobrazeny jako text.
Taktez to muze delat vir....resil jsem stejny problem s jednim zakaznikem...mel Windows SErver 2003 a po prihlaseni se mu system hned odhlasil....takze udelej kompletni vypis z HijackThis www.hijackthis.de/cz a pastni ho sem, nebo spis na nejakej free server at to tady moc nezapatlas:) a ja se Ti na to pak mrknu....pokud to bude "cisty" ....tak je potreba zapnout logovani logon procesu pres regedit..je to na to clanek v KB u MS, ale ted z hlavy nevim cislo a nasledne zanalyzovat soubor UserEnv.log, ale na 85% tipuju ten virus.
Mám obavu že test neprovede, protože se není schopen přihlást ;)Citace:
Původně odeslal _Tomas
Jedině snad přes sdílení nahrát a přes třeba psexec.exe z pstools spustit...
Citace:
Původně odeslal Paolo
Nj, myslim rychleji, nez ctu... :-/ V tom pripade se zkusit REGEDIT pripojit na ten server, coz by jit urcite melo a rucne vystipat konfiguraci RUN sekce pro HKLM a HKCU a omrknout to co tam je/neni.....ted si na dalsi vetve nevzpomenu...vecer snad napisu vic.
2 Paolo: zkontroloval jsem ty hodnoty v registrech jak jsi psal.
Nasel jsem dve adresy IP 10.0.0.2 (tuto mel drive postizeny PC) a 10.0.0.5 tuto ma nyni, u obou je NameServer (10.0.0.1,10.0.0.138 ) 1-Server doma kde bezi DNS, 138-router ADSL.
DNS na Serveru jsem tam daval ja takze dost pravdepodobne ze chybne, ale predtim jelo vse ok. Projel jsem ze Serveru Symantecem oba disky na postizenem PC a vir nenasel.
Diky za dalsi rady.
Z logu je patrné, že problém v ověření PC na serveru - nelze se spojit se servrem či nelze server v síti najít.
Hele tak mě napadlo, běží na serveru služba Microsoft DNS server? Teoreticky by mohla být zastavena (z nějakého důvodu, třeba chyby) a/nebo nedostupný port 53 na TCP i UDP (firewall). Pak není stanice schopna server najít.
To by mohlo i vysvětlovat příčinu, proč umřely oba počítače a postupně (až v DNS keši vypršelo TTL)...
2 Paolo:
služba Server DNS na serveru běží. Ale kdoví jestli je nastavená správně :( , jak to zjistím (moc se v tom nevyznám je tam nějaké dopředné vyhledávání + txt soubory)
Firewall jsem už zkoušel vypnout, ale nepomohlo.
A nejde třeba nějak vypnout přes registry, aby se vůbec přihasoval do domény a byl jen ve skupině.
Když od odpojeného PC odpojím síťový kabel tak se nic nemění ani doba přeskočení dialogu na odhlašování. Nemůže být ještě něco přímo v postiženém pc.
v zónách dopředného vyhledávání musí být alespoň dvě zóny,
jedna s názvem tvé domény, např. domena.cz a pak ještě jedna _msdcs.domena.cz v ní pak budou podsložky dc, domains, gc, pdc
Ale když běží, tak počítám, že to bude dobře nastavené a nepředpokládám, že by jsi měnil název serveru nebo jeho IP adresu. Ještě mi okopíruj text z těch událostí z logu (z okna co se otevře po dvojkliku na událost) co mají červenou stopku - jak ze systemu, tak z aplikaci.
Posilam vyfocene nejake ty logy:
log Aplikací:
http://safrane.php5.cz/01.gif
http://safrane.php5.cz/02.gif
http://safrane.php5.cz/03.gif
http://safrane.php5.cz/04.gif
http://safrane.php5.cz/05.gif
http://safrane.php5.cz/06.gif
log Systemu:
http://safrane.php5.cz/10.gif
http://safrane.php5.cz/11.gif
Zajímavé texty - některé se dost liší od těch na MS stránkách.
Ještě vytáhni z registru, co je v tabulce
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\W32Time\Parameters
a
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\W32Time\TimeProviders\NtpClient
A ještě z druhé strany, na serveru - Ovládací panely - Nástroje pro správu - Uživatelé a počítače služby Active directory. Pod názvem domény je složka Computers, máš v ní všechny počítače ze sítě?
Jo a ještě jsem se zapomněl zeptat, jak máš vytvořené účty. Máš lokálního uživatele na stanici a na serveru nebo jen na serveru a při přihlašování používáš serverového uživatele?
2 Paolo:
zaznamy v registru postizeneho PC:
http://safrane.php5.cz/w3201.gif
http://safrane.php5.cz/w3202.gif
V doméně je počítač uveden. Shodný účet (jméno a heslo jsou stejné na Serveru i na PC) uživatele je vytvořen jak na stanici tak na serveru.
Ještě můžeme zkusit vyměit NTP server za český, nahraď v NTPServer "time.windows.com,0x1" textem "tak.cesnet.cz,0x1"
Stáhni si tento soubor a rozbal jej. Jsou to programy pocházející z dílny Sysinternals, kterou nedávno koupil Microsoft.
Restartuj postižené PC a zkus se na něm přihlásit za pomoci lokálního účtu a počkej, než se to zase vrátí zpět na přihlášení. Pak na serveru (či jiné stanici) spusť příkazový řádek, přejdi do složky, kde jsi rozbalil soubory, a v ní zadej příkazy:
pslist \\jmeno_postizeneho_pc -t >process.log
(soubor vznikne na stanici, kde ho spouštíš, obsahuje běžící procesy)
psloglist \\jmeno_postizeneho_pc -d 1 -f we >loglist.log
(dtto, obsahuje výpis varování a chyb z logu za poslední jeden den)
psservice \\jmeno_postizeneho_pc >service.log
(dtto, obsahuje výpis služeb a jejich stav)
Soubory zabal do jednoho archívu (rar, zip) a ten přidej k odpovědi.
Jestli máš možnost sledovat ze serveru provoz na síti (například programem wireshark) , tak si spusť monitoring před restartem postiženého PC a kontroluj veškerý provoz na portech 53 a 123 (tcp i udp).