none
域控default domain Policy策略下发了禁用445,137,138端口 RRS feed

  • 问题

  • 尊敬的工程师:我通过域控下发了一条双向禁用445,137,138勒索病毒端口,导致域控制器这些端口也被禁用,域控之间不能通信,域控客户机也已生效,禁用这些端口之后客户机会不会后续掉域,怎么样才能恢复这些端口正常使用。现在Default Domain Policy不能编辑修改,报错信息为:“无法打开组测路对象。你可能没有相应权限。(详细信息:找不到网络路径。)”,有没有办法让域策略失效,烦请给出解决办法。
    2020年1月21日 1:33

全部回复

  • 尊敬的客户,您好!

    感谢您在我们的TechNet论坛发帖。

    根据我们的描述,请问我们是通过什么具体的组策略双向禁用445,137,138端口的(防火墙策略或者安全策略设置)?

    同时,我们可以尝试以下的三种方法,看是否可以去打开并且编辑Default Domain Policy:

    1. 我们可以尝试在域控制器上的本地策略里查看相应的策略,看是否能移除或者取消策略。

    2. 还可以关闭域控制器上的防火墙还是否可以打开或者编辑Default Domain Policy,从而取消我们设置的策略。

    3. 如果关闭防火墙无效,那么我们尝试打开域控制器的防火墙,检查入站规则或者出站规则中是否存在我们设置的策略(例如有一条或者几条拒绝的规则)。如果有的话,我们可以删除,然后再去看是否可以编辑Default Domain Policy.




    此致,
    Daisy Zhou



    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。



    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年1月21日 6:30
    版主
  • 尊敬的客户  您好,

    请问您的问题解决了吗?

    如果有其他需要帮助的地方,请随时在论坛中提问。

    Best regards,
    Cynthia 

    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年1月24日 8:52
  • 下发Default Domain Policy是通过组策略双向禁用端口滴,有什么办法把域控制器下发的域策略取消。
    2020年1月27日 5:13
  • 尊敬的客户,您好!

    感谢您的回复。

    我们已经了解您是通过域策略部署禁用端口的,从以上三方面检查以后,看是否能编辑默认的域策略呢?请问我们是否按照以上三方面检查了?




    此致,
    Daisy Zhou



    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年1月27日 6:29
    版主
  • 域控之间通信回复了,之间做过备份,同时恢复到之前未下发域策略的时候,域客户机现在应该怎么办。这些端口被禁用之后,域控策略下发会有问题把,怎么回复这些端口并跟域控制器通信正常。
    2020年1月27日 12:46
  • 尊敬的客户,您好!

    感谢您的回复。

    那么我们现在找一台加域的客户端,然后运行gpupdate /force这个命令看是否可以成功运行。或者关机重启然后检查组策略应用的结果。

    对于计算机策略:
    我们可以使用域管理员登录客户端;
    以管理员身份运行打开CMD。
    输入gpresult /h C:\report.html,然后按回车键。
    检查这个文件里的计算机详情下面是否还有禁用445,137 和138的策略设置了。




    此致,
    Daisy Zhou


    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。



    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年1月28日 8:51
    版主
  • 客户端里面有这个策略,怎么解决?时间长了计算机就会显示域信任脱离。
    2020年1月30日 5:37
  • 尊敬的客户,您好!

    根据您的描述,从备份里还原了域控制器,域里面没有了这个策略设置,那么客户端重启或者在客户端上运行gpupdate /force命令以后,客户端就应该与域的策略同步了,然后就应该没有这个策略设置了。

    我们尝试重启客户端或者在客户端上运行gpupdate /force命令以后,看是否能解决问题。


    如果不能的话,是所有客户端都不能吗?
    我们这个域里一共有几台域控制器?然后有一台从备份中还原了,对吗?
    如果我们有多台域控制器,那么检查域控制器是否正常工作(运行命令Dcdiag /v)?
    再检查AD复制是否正常(运行命令repadmin /showrepl 和repadmin /replsum)?



    此致,
    Daisy Zhou

    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。



    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年1月30日 6:46
    版主
  • 在其他域控服务器上运行Dcdiag /v提示警告:DcGetDcName(PDC_REQUIRED)调用失败,错误为1355

    无法找到主域控制器 拥有PDC角色的服务器已关闭。

    2020年1月31日 9:58
  • 尊敬的客户,您好!

    感谢您的回复。

    请问我们是把主域控制器从备份中恢复的吗?
    现在是不是所有的域控制器445 137 和138端口都已经开通?
    还是只有一台从备份中恢复的域控制器445 137 和138端口开通了?

    现在看来其他的域控制器无法与主域控制器联系,估计AD复制也存在问题,所以组策略也无法成功应用。不确定是端口问题还是其他的域控制器没有与还原的域控制器复制。

    如果只有一台只有一台从备份中恢复的域控制器445 137 和138端口开通了,建议我们通过防火墙设置手动打开其他的域控制器上的445 137和138端口。





    此致,
    Daisy Zhou


    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。



    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年2月3日 7:52
    版主
  • 尊敬的客户,您好!

    请问我们的问题排查是否有进展?如果有什么不清楚的地方,欢迎您随时咨询。

    感谢您的理解。


    此致,
    Daisy Zhou


    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。



    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年2月6日 4:19
    版主
  • 所有域控全部同时还原滴,域控之间445端口通信业都是正常滴,137,138端口没有用到所以不通吧。
    2020年2月6日 15:18
  • 尊敬的客户,您好!

    感谢您的回复。那么我们现在环境中的所有的域控制器的445,137和138端口都是开通的,已经不是禁用的状态了,对吗?

    如果是的话,那么我们可以检查以下几个方面,看看现在整个AD环境是否正常运行:


    1. 所有域控制器是否都正常运行,没有任何问题呢?在每个域控制器上,运行命令Dcdiag /v以后是不是没有任何报错呢?

    2. 检查AD复制是否正常,运行命令repadmin /showrepl repadmin /replsum以后是不是没有任何报错呢?

    3. 在域控制器上运行net share命令以后,确认Netlogon和SYSVOL两个文件夹都是共享的吗?



    4. 在客户端和域控制器上运行gpupdate /force,组策略都是可以成功更新的吗?






    此致,
    Daisy Zhou


    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。




    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年2月7日 8:50
    版主
  • 尊敬的客户,您好!

    请问我们的问题是否解决了呢?

    如果您有任何不清楚的地方,欢迎您随时咨询。



    此致,
    Daisy Zhou


    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年2月10日 12:37
    版主