Remove From My Forums

域控default domain Policy策略下发了禁用445，137，138端口

问题
0

登录进行投票

尊敬的工程师：我通过域控下发了一条双向禁用445，137，138勒索病毒端口，导致域控制器这些端口也被禁用，域控之间不能通信，域控客户机也已生效，禁用这些端口之后客户机会不会后续掉域，怎么样才能恢复这些端口正常使用。现在Default Domain Policy不能编辑修改，报错信息为：“无法打开组测路对象。你可能没有相应权限。（详细信息：找不到网络路径。）”，有没有办法让域策略失效，烦请给出解决办法。

2020年1月21日 1:33

回复

|

引用

全部回复

0

登录进行投票

尊敬的客户，您好！

感谢您在我们的TechNet论坛发帖。
根据我们的描述，请问我们是通过什么具体的组策略双向禁用445，137，138端口的(防火墙策略或者安全策略设置)？

同时，我们可以尝试以下的三种方法，看是否可以去打开并且编辑Default Domain Policy：

1. 我们可以尝试在域控制器上的本地策略里查看相应的策略，看是否能移除或者取消策略。

2. 还可以关闭域控制器上的防火墙还是否可以打开或者编辑Default Domain Policy，从而取消我们设置的策略。

3. 如果关闭防火墙无效，那么我们尝试打开域控制器的防火墙，检查入站规则或者出站规则中是否存在我们设置的策略（例如有一条或者几条拒绝的规则）。如果有的话，我们可以删除，然后再去看是否可以编辑Default Domain Policy.

此致，
Daisy Zhou

针对Windows 2008/2008R2的扩展支持将于2020年结束，之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》，把握良机完成云迁移并实现业务现代化。

Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

2020年1月21日 6:30

回复

|

引用

版主
0

登录进行投票

尊敬的客户您好，

请问您的问题解决了吗？

如果有其他需要帮助的地方，请随时在论坛中提问。

Best regards,
Cynthia

针对Windows 2008/2008R2的扩展支持将于2020年结束，之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》，把握良机完成云迁移并实现业务现代化。

Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

2020年1月24日 8:52

回复

|

引用
0

登录进行投票

下发Default Domain Policy是通过组策略双向禁用端口滴，有什么办法把域控制器下发的域策略取消。

2020年1月27日 5:13

回复

|

引用
0

登录进行投票

尊敬的客户，您好！

感谢您的回复。

我们已经了解您是通过域策略部署禁用端口的，从以上三方面检查以后，看是否能编辑默认的域策略呢？请问我们是否按照以上三方面检查了？

此致，
Daisy Zhou

针对Windows 2008/2008R2的扩展支持将于2020年结束，之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》，把握良机完成云迁移并实现业务现代化。

Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

2020年1月27日 6:29

回复

|

引用

版主
0

登录进行投票

域控之间通信回复了，之间做过备份，同时恢复到之前未下发域策略的时候，域客户机现在应该怎么办。这些端口被禁用之后，域控策略下发会有问题把，怎么回复这些端口并跟域控制器通信正常。

2020年1月27日 12:46

回复

|

引用
0

登录进行投票

尊敬的客户，您好！

感谢您的回复。

那么我们现在找一台加域的客户端，然后运行gpupdate /force这个命令看是否可以成功运行。或者关机重启然后检查组策略应用的结果。

对于计算机策略：
我们可以使用域管理员登录客户端；
以管理员身份运行打开CMD。
输入gpresult /h C:\report.html,然后按回车键。
检查这个文件里的计算机详情下面是否还有禁用445，137 和138的策略设置了。

此致，
Daisy Zhou

针对Windows 2008/2008R2的扩展支持将于2020年结束，之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》，把握良机完成云迁移并实现业务现代化。

Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

2020年1月28日 8:51

回复

|

引用

版主
0

登录进行投票

客户端里面有这个策略，怎么解决？时间长了计算机就会显示域信任脱离。

2020年1月30日 5:37

回复

|

引用
0

登录进行投票

尊敬的客户，您好！

根据您的描述，从备份里还原了域控制器，域里面没有了这个策略设置，那么客户端重启或者在客户端上运行gpupdate /force命令以后，客户端就应该与域的策略同步了，然后就应该没有这个策略设置了。

我们尝试重启客户端或者在客户端上运行gpupdate /force命令以后，看是否能解决问题。

如果不能的话，是所有客户端都不能吗？
我们这个域里一共有几台域控制器？然后有一台从备份中还原了，对吗？
如果我们有多台域控制器，那么检查域控制器是否正常工作(运行命令Dcdiag /v)？
再检查AD复制是否正常（运行命令repadmin /showrepl 和repadmin /replsum）？

此致，
Daisy Zhou

针对Windows 2008/2008R2的扩展支持将于2020年结束，之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》，把握良机完成云迁移并实现业务现代化。

Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

2020年1月30日 6:46

回复

|

引用

版主
0

登录进行投票

在其他域控服务器上运行Dcdiag /v提示警告：DcGetDcName(PDC_REQUIRED)调用失败，错误为1355

无法找到主域控制器拥有PDC角色的服务器已关闭。

2020年1月31日 9:58

回复

|

引用
0

登录进行投票

尊敬的客户，您好！

感谢您的回复。

请问我们是把主域控制器从备份中恢复的吗？
现在是不是所有的域控制器445 137 和138端口都已经开通？
还是只有一台从备份中恢复的域控制器445 137 和138端口开通了？

现在看来其他的域控制器无法与主域控制器联系，估计AD复制也存在问题，所以组策略也无法成功应用。不确定是端口问题还是其他的域控制器没有与还原的域控制器复制。

如果只有一台只有一台从备份中恢复的域控制器445 137 和138端口开通了，建议我们通过防火墙设置手动打开其他的域控制器上的445 137和138端口。

此致，
Daisy Zhou

针对Windows 2008/2008R2的扩展支持将于2020年结束，之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》，把握良机完成云迁移并实现业务现代化。

Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

2020年2月3日 7:52

回复

|

引用

版主
0

登录进行投票

尊敬的客户，您好！

请问我们的问题排查是否有进展？如果有什么不清楚的地方，欢迎您随时咨询。

感谢您的理解。

此致，
Daisy Zhou

针对Windows 2008/2008R2的扩展支持将于2020年结束，之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》，把握良机完成云迁移并实现业务现代化。

Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

2020年2月6日 4:19

回复

|

引用

版主
0

登录进行投票

所有域控全部同时还原滴，域控之间445端口通信业都是正常滴，137，138端口没有用到所以不通吧。

2020年2月6日 15:18

回复

|

引用
0

登录进行投票
尊敬的客户，您好！

感谢您的回复。那么我们现在环境中的所有的域控制器的445,137和138端口都是开通的，已经不是禁用的状态了，对吗？

如果是的话，那么我们可以检查以下几个方面，看看现在整个AD环境是否正常运行：

1. 所有域控制器是否都正常运行，没有任何问题呢？在每个域控制器上，运行命令Dcdiag /v以后是不是没有任何报错呢？

2. 检查AD复制是否正常，运行命令repadmin /showrepl 和repadmin /replsum以后是不是没有任何报错呢？

3. 在域控制器上运行net share命令以后，确认Netlogon和SYSVOL两个文件夹都是共享的吗？

4. 在客户端和域控制器上运行gpupdate /force，组策略都是可以成功更新的吗？

此致，
Daisy Zhou

针对Windows 2008/2008R2的扩展支持将于2020年结束，之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》，把握良机完成云迁移并实现业务现代化。

Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.
- 已编辑 Daisy ZhouMicrosoft contingent staff, Moderator 2020年2月7日 8:51
2020年2月7日 8:50

回复

|

引用

版主
0

登录进行投票

尊敬的客户，您好！

请问我们的问题是否解决了呢？

如果您有任何不清楚的地方，欢迎您随时咨询。

此致，
Daisy Zhou

针对Windows 2008/2008R2的扩展支持将于2020年结束，之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》，把握良机完成云迁移并实现业务现代化。

Please remember to mark the replies as answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

2020年2月10日 12:37

回复

|

引用

版主

询问者

域控default domain Policy策略下发了禁用445，137，138端口

问题

全部回复