7
Servergespeicherte Benutzerprofile auf komprimiertem Laufwerk?
Hi all!
Mein Vorgänger hat in unserem Unternehmen den grandiosen Einfall gehabt, die Speicherlaufwerke auf den Domaincontrollern zu komprimieren. Nun befinden sich ca 280 servergespeicherte Benutezrprofile auf einem komprimierten Laufwerk des PDC und ebensoviele HomeDirectories auf seinem Bruder.
Nach einer Infektion durch mehrere Trojaner-Varianten wollte ich natürlich auch den Gesundheitszustand der Benutzerprofile checken, mit dem Ergebnis, dass es den DC so ca nach der Hälfte aller gescannten Dateien auf dem Server ziemlich brutal auf die Klappe haut - d.h. das Ding fährt eiskalt runter und startet wieder hoch.
Ich gehe davon aus, dass durch den von mir ausgelösten Intensiv-Scan auf die komprimierten Daten (komprimiertes Laufwerk) irgendwas an der Datenintegrität so massiv verädert wird, dass dieses Phänomen auftritt. Ich kann aber aus berechtigtem Zweifel diesen Intensiv-Scan nicht einfach canceln - d.h. ich will und muss ihn durchführen.
Meine Frage an die Speziealisten unter Euch - kann ich diese Komprimierung aufheben ohne die gesamten Profiles zu verlieren?
W2K3 / AD / RAID 5
System auf nicht komprimierter Startpartition, Datenpartition komprimiert
Vielen Dank im Voraus für Eure Antworten
database
Mein Vorgänger hat in unserem Unternehmen den grandiosen Einfall gehabt, die Speicherlaufwerke auf den Domaincontrollern zu komprimieren. Nun befinden sich ca 280 servergespeicherte Benutezrprofile auf einem komprimierten Laufwerk des PDC und ebensoviele HomeDirectories auf seinem Bruder.
Nach einer Infektion durch mehrere Trojaner-Varianten wollte ich natürlich auch den Gesundheitszustand der Benutzerprofile checken, mit dem Ergebnis, dass es den DC so ca nach der Hälfte aller gescannten Dateien auf dem Server ziemlich brutal auf die Klappe haut - d.h. das Ding fährt eiskalt runter und startet wieder hoch.
Ich gehe davon aus, dass durch den von mir ausgelösten Intensiv-Scan auf die komprimierten Daten (komprimiertes Laufwerk) irgendwas an der Datenintegrität so massiv verädert wird, dass dieses Phänomen auftritt. Ich kann aber aus berechtigtem Zweifel diesen Intensiv-Scan nicht einfach canceln - d.h. ich will und muss ihn durchführen.
Meine Frage an die Speziealisten unter Euch - kann ich diese Komprimierung aufheben ohne die gesamten Profiles zu verlieren?
W2K3 / AD / RAID 5
System auf nicht komprimierter Startpartition, Datenpartition komprimiert
Vielen Dank im Voraus für Eure Antworten
database
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 106339
Url: https://administrator.de/contentid/106339
Printed on: April 19, 2024 at 01:04 o'clock
7 Comments
Latest comment
Servus,
an deiner Stelle würde ich die ganzen Daten erstmal extern sichern.
Per X oder Robocopy und den Intensiv Scan abbrechen.
Der Intensiv Scan zieht dein System massig runter.
Mit eingeschaltetem Virenscanner auf dem Ziel und den Logonservern erreichst du zwei Ziele gleichzeitig.
Wenn du das dann auch noch per Boot CD mit Virenscanner machst, bist du mein Held des Abends
Gruß
an deiner Stelle würde ich die ganzen Daten erstmal extern sichern.
Per X oder Robocopy und den Intensiv Scan abbrechen.
Der Intensiv Scan zieht dein System massig runter.
Mit eingeschaltetem Virenscanner auf dem Ziel und den Logonservern erreichst du zwei Ziele gleichzeitig.
- Ein "Backup" der Daten auf einem externen Laufwerk, das macht das "spielen" mit den Benutzerdaten etwas leichter.
- Durch die Kombination von yCopy laufen die (lesbaren) Daten gezielt und langsam durch die Virenscanner, als den "direkten" Weg über einen Fullscan auf dem Ziel.
Wenn du das dann auch noch per Boot CD mit Virenscanner machst, bist du mein Held des Abends
Gruß
NTFS-Komprimierung kannst Du jederzeit aufheben ohne Datenverlust. Der Bluescreen kommt vermutlich durch einen defekten Sektor der Platte, was weder mit dem Scan an sich, der Komprimierung, noch dem Virus zu tun hat. Mach einen Checkdisk, nach einer Datensicherung. Und frag Dich auch, ob Du mit einem ehemals verseuchten DC leben willst, oder ob Du nicht lieber ein Backup nutzt. Wie verseucht man seinen DC? Es ist der schützenswerteste Rechner. Überleg zumindest, die Kennwörter alle zu ändern.
Hi, danke für die Antwort - was meinst du was ich mich alles in den letzten Tagen schon gefragt habe?!
Den dann hoffentlich ehemals verseuchten DC werde ich sicher nicht platt machen - zumindest nicht auf die Schnelle, ich habe täglich 250 User am Hals und teile mir die Administration von knapp 600 Maschinen mit 2 Kollegen - ich glaub' du kannst dir vorstellen was das heißt.
Wie M A N seinen DC verseucht - hoffentlich meinst du nicht damit, dass ich den verseucht habe. Wie es soweit gekommen ist weiß ich derzeit noch nicht sicher - aber eines steht zumindest jetzt schon fest - ich hatte 2 besonders kluge User, die mir den Proxy umgangen haben und mit ihren gottverdammten HSDPA-Sticks ins Internet gingen - ich will gar nicht darüber nachdenken, wie oft die Idioten dabei Sicherheitsmeldungen meines Systems einfach ignoriert haben.
Aber so passierts - und wenn dann einer ein verseuchtes Profil auf den Server kopiert - was ja bei der Abmeldung passiert - braucht ja eigentlich nur noch die verseuchte Datei auf dem DC gestartet werden - bei einer Umleitung der Eigenen Dateien auf die Home-Directory ist er beim Starten eben genau dort.
Ich möchte gar keine Diskussionen über Bedrohungen oder Infektionen führen sonst platzt mir heute noch der Kragen und ich meuchle die Vögel morgen in aller früh dahin.
Plattenfehler - daran habe ich schon gedacht, das RAID-Configuration-Utility von HP gibt keine Hinweise auf Defekte irgend einer Art her.
Hardware allgemein sollte in Ordnung sein, zumindest war sie es bis vor ein paar Tagen.
Ereignisprotokollierung sagt auch nicht wirklich was Interessantes aus bzw. nichts worauf ein Schluss in deine Richtung gezogen werden könnte.
Dass das nichts mit einem Schädling zu tun hat, würde ich nicht so leichtfertig hinklatschen - immerhin hat oder haben mir der oder die zumindest den Anmeldedienst, den Serverdienst die Kryptografie, die Datenträgerverwaltung und noch ein paar andere Dienste regelmässig abgedreht.
OK, damit ist inzwischen Schluß aber ich kann nicht davon ausgehen, dass das bisher Gefundene alles war - daher auch die Geschichte mit dem Intensiv-Scan im Profil und Basisverzeichnis.
Naja mal sehen wie's weiter geht...
Danke jedenfalls hier nochmal für eure Antworten - ich melde mich wieder wenns was dazu zu berichten gibt.
LG
database
Den dann hoffentlich ehemals verseuchten DC werde ich sicher nicht platt machen - zumindest nicht auf die Schnelle, ich habe täglich 250 User am Hals und teile mir die Administration von knapp 600 Maschinen mit 2 Kollegen - ich glaub' du kannst dir vorstellen was das heißt.
Wie M A N seinen DC verseucht - hoffentlich meinst du nicht damit, dass ich den verseucht habe. Wie es soweit gekommen ist weiß ich derzeit noch nicht sicher - aber eines steht zumindest jetzt schon fest - ich hatte 2 besonders kluge User, die mir den Proxy umgangen haben und mit ihren gottverdammten HSDPA-Sticks ins Internet gingen - ich will gar nicht darüber nachdenken, wie oft die Idioten dabei Sicherheitsmeldungen meines Systems einfach ignoriert haben.
Aber so passierts - und wenn dann einer ein verseuchtes Profil auf den Server kopiert - was ja bei der Abmeldung passiert - braucht ja eigentlich nur noch die verseuchte Datei auf dem DC gestartet werden - bei einer Umleitung der Eigenen Dateien auf die Home-Directory ist er beim Starten eben genau dort.
Ich möchte gar keine Diskussionen über Bedrohungen oder Infektionen führen sonst platzt mir heute noch der Kragen und ich meuchle die Vögel morgen in aller früh dahin.
Plattenfehler - daran habe ich schon gedacht, das RAID-Configuration-Utility von HP gibt keine Hinweise auf Defekte irgend einer Art her.
Hardware allgemein sollte in Ordnung sein, zumindest war sie es bis vor ein paar Tagen.
Ereignisprotokollierung sagt auch nicht wirklich was Interessantes aus bzw. nichts worauf ein Schluss in deine Richtung gezogen werden könnte.
Dass das nichts mit einem Schädling zu tun hat, würde ich nicht so leichtfertig hinklatschen - immerhin hat oder haben mir der oder die zumindest den Anmeldedienst, den Serverdienst die Kryptografie, die Datenträgerverwaltung und noch ein paar andere Dienste regelmässig abgedreht.
OK, damit ist inzwischen Schluß aber ich kann nicht davon ausgehen, dass das bisher Gefundene alles war - daher auch die Geschichte mit dem Intensiv-Scan im Profil und Basisverzeichnis.
Naja mal sehen wie's weiter geht...
Danke jedenfalls hier nochmal für eure Antworten - ich melde mich wieder wenns was dazu zu berichten gibt.
LG
database
Ereignisprotokollierung sagt auch nicht wirklich was Interessantes aus bzw. nichts worauf ein Schluss in deine Richtung gezogen werden könnte.
Ein Neustart des Servers bei Plattenbenutzung durch Scans oder was auch immer ist ein ausreichender Hinweis für mich. Sag doch nochmal, was Du hiermit meinst:das Ding fährt eiskalt runter und startet wieder hoch
Er fährt doch nicht runter, oder? Ich schätze, Du bekommst einen Absturz mit Blue- oder Blackscreen. Wenn Bluescreen, könntest Du mal das Dumpfile auslesen.
nein, der fährt runter! was mich aufs Höchste verwundert hat - daher auch meine Annahme, dass er das aus irgend einem Sicherheitsgrund tut. Es gab keinen Absturz! Der Kerl startet einfach neu durch.
Wegen der Ereignisse kann ich jetzt nichts definitives sagen - ich sehe morgen nach und poste ev. interessantes! Habe keinen remotezugriff von daheim... zum Glück!
LG
Wegen der Ereignisse kann ich jetzt nichts definitives sagen - ich sehe morgen nach und poste ev. interessantes! Habe keinen remotezugriff von daheim... zum Glück!
LG
Stürzen wichtige Systemdienste ab wie LSASS und RPC, dann initiiert der Rechner einen Neustart, sagt das aber auch an und macht einen Eintrag ins Ereignisprotokoll. Ist das nicht der Fall, wird also rein gar nichts protokolliert, kann ich mir das nicht erklären. Aber vielleicht ist auf verseuchten PCs manchmal mit solchen Dingen zu rechnen.
Viel Erfolg.
Viel Erfolg.
So, das Problem ist gelöst!
Wie empfohlen habe ich die Profiles auf ein externes LW kopiert und danach fehlerfrei die Partition dekomprimiert. Ein weiterer Intensiver Scan konnte nochmals 2 Trojans isolieren und entfernen. Die Ereignisanzeige des DC war dann nach einem Neustart des Systems vollkommen sauber.
Offensichtlich auch kein Datenverlust.
Der 2. DC welcher die Basisordner der Benutzer enthält wurde dem gleichen Verfahren unterzogen, die Homes waren aber zum Glück sauber. Auch hier schien die Ereignisanzeige nach dem Neustart zuerst sauber auszusehen.
Am Tag danach wurden die Ereignisse auf den Servern erneut kontrolliert und siehe da - rot von oben bis unten!
Was mir zu Beginn des Ganzen nicht sofort aufgefallen war waren 2! Einträge die auf ein Problem mit den GPOs hinwiesen und jetzt als einzige aber massenhafte Fehlereinträge auftauchten: Keine Zugriffsrechte auf den Speicherort der Default Domain Policy im SysVol - auch nicht schlecht!
Aus der gpt.ini war der Eintrag 'Default Domain Policy ' und die Zugriffsrechte (Lesen) für 'DOMÄNENCONTROLLER DER ORGANISATION' auf dem Speicherordner waren verschwunden! (Auf allen 3 DCs)
Dieses Problem in Kombination mit dem Scan verursachte auch die Durchstarts auf dem DC.
Die Rechte habe ich neu vergeben, den Eintrag in der gpt.ini vorgenommen, danach war Ruhe!!!!!
Ich habe mich bei der ganzen Problemsuche zu sehr auf die Problematik der Neustarts konzentriert und die eigentlichen Verursacher schlicht und ergreifend überlesen.
Die Dienste dürften tatsächlich durch die erwähnten Schädlingsaktivitäten beendet worden sein, seit der Reparatur ist jedenfalls vollkommene Ruhe in der Richtung eingetreten.
Der Proxy (SUNSolaris 10) wurde neu konfiguriert und soweit dicht gemacht, dass ich wieder ruhiger schlafen kann.
Alles in Allem kann ich davon ausgehen dass nun nach 4 fehlerfreien Tagen das System wieder ordnungsgemäß funktioniert. Entstanden ist der ganze Schaden durch den verwerflichen Hang zweier User, die Sichrheitssysteme permanent zu umgehen um in ihren vertrottelten Chatforen und Singelbörsen ungestört herumwerkeln zu können. (Die Zugriffe auf die einschlägigen URLs waren nämlich durch den Proxy abgewürgt).
Bedanke mich an der Stelle bei allen Antwortgebern und wünsche Euch eine fehlerlose Zeit!
LG
database
Wie empfohlen habe ich die Profiles auf ein externes LW kopiert und danach fehlerfrei die Partition dekomprimiert. Ein weiterer Intensiver Scan konnte nochmals 2 Trojans isolieren und entfernen. Die Ereignisanzeige des DC war dann nach einem Neustart des Systems vollkommen sauber.
Offensichtlich auch kein Datenverlust.
Der 2. DC welcher die Basisordner der Benutzer enthält wurde dem gleichen Verfahren unterzogen, die Homes waren aber zum Glück sauber. Auch hier schien die Ereignisanzeige nach dem Neustart zuerst sauber auszusehen.
Am Tag danach wurden die Ereignisse auf den Servern erneut kontrolliert und siehe da - rot von oben bis unten!
Was mir zu Beginn des Ganzen nicht sofort aufgefallen war waren 2! Einträge die auf ein Problem mit den GPOs hinwiesen und jetzt als einzige aber massenhafte Fehlereinträge auftauchten: Keine Zugriffsrechte auf den Speicherort der Default Domain Policy im SysVol - auch nicht schlecht!
Aus der gpt.ini war der Eintrag 'Default Domain Policy ' und die Zugriffsrechte (Lesen) für 'DOMÄNENCONTROLLER DER ORGANISATION' auf dem Speicherordner waren verschwunden! (Auf allen 3 DCs)
Dieses Problem in Kombination mit dem Scan verursachte auch die Durchstarts auf dem DC.
Die Rechte habe ich neu vergeben, den Eintrag in der gpt.ini vorgenommen, danach war Ruhe!!!!!
Ich habe mich bei der ganzen Problemsuche zu sehr auf die Problematik der Neustarts konzentriert und die eigentlichen Verursacher schlicht und ergreifend überlesen.
Die Dienste dürften tatsächlich durch die erwähnten Schädlingsaktivitäten beendet worden sein, seit der Reparatur ist jedenfalls vollkommene Ruhe in der Richtung eingetreten.
Der Proxy (SUNSolaris 10) wurde neu konfiguriert und soweit dicht gemacht, dass ich wieder ruhiger schlafen kann.
Alles in Allem kann ich davon ausgehen dass nun nach 4 fehlerfreien Tagen das System wieder ordnungsgemäß funktioniert. Entstanden ist der ganze Schaden durch den verwerflichen Hang zweier User, die Sichrheitssysteme permanent zu umgehen um in ihren vertrottelten Chatforen und Singelbörsen ungestört herumwerkeln zu können. (Die Zugriffe auf die einschlägigen URLs waren nämlich durch den Proxy abgewürgt).
Bedanke mich an der Stelle bei allen Antwortgebern und wünsche Euch eine fehlerlose Zeit!
LG
database
