Part1 前言
大家好,我是ABC_123,本期分享一个应急响应分析案例。有一家公司自从进行网络改造之后,把所有员工的个人电脑都加入到域环境之中,但是频繁出现部分用户电脑开机速度缓慢问题,而有的用户电脑开机却一直是正常的,一时不知道问题出在哪里。
经过仔细询问,发现出故障的个人电脑大多都是笔记本电脑,开机后会一直卡在如下页面(以下截图来源我的虚拟机环境截图),提示“正在应用计算机设置”,这个提示会持续一分钟左右。
Part2 分析过程
部分朋友可能有点懵,不知道该如何下手,其实我们稍微梳理一下在开机过程中客户机电脑登录域环境的流程,这个故障的原因就可以分析出来了。
用户电脑在接入域环境网络时,首先会根据本机设置的DNS去找到域环境的DNS服务器,这个DNS服务器一般和域控服务器是在一台机子上,然后查找DNS服务器的SRV记录,域内计算机就是依靠SRV记录去定位域控服务器的,由此可以找到域控制器的ip地址,然后完成登录操作。如果此时网络出故障,连不上域控,由于本地计算机的注册表中会有域缓存信息,使用域账号仍然可以登录成功。
如下图所示,在域环境中,SRV记录存放在DNS服务器数据库中,用于记录每台计算机提供了什么服务,比如说ldap._tcp.tttttt.com 600 IN SRV 0 100 389 NS.tttttt.com。ldap表示服务,tttttt.com是所在的域,600是生存时间600s,389是服务使用的端口,NS.tttttt.com是提供此服务的主机。
故障的原因:部门员工下班后会将笔记本带回家去,会使用杀软或者优化软件扫描,将本地DNS设置为常用的114.114.114.114,或者是由于其它原因,自己手工设置了DNS,造成了之前电脑配置的域环境的DNS记录被删除了,在第2天这些员工带着笔记本上班接入域环境之后,由于找不到test111.com域记录,无法找到域控制器进行账号密码验证,会导致开机一直卡死。
Part3 解决方法
后续我本地搭建虚拟机域环境成功复现了上述开机缓慢现象。由此也给出了解决方案,那就是把本机的“首选DNS服务器地址”设置为域环境的DNS服务器地址,比如192.168.0.201,将“备用DNS服务器”地址设置为8.8.8.8或者114.114.114.114。这样可以同时保证在公司可以接入域环境,回到家里后,也可以正常上网。
如下图所示,将一台windows主机加入域test111.com中,然后重启该电脑。
重启后将这台电脑的本地DNS记录按照如下图所示填写,这里假定域控服务器及域环境DNS服务器的ip地址是192.168.237.201,外网DNS服务器设置为8.8.8.8。
Part4 总结
1. 在处理应急响应事件和分析溯源事件中,很多难以解决的问题,都与DNS协议相关,所以弄懂DNS挺重要的。
2. 可以参考我之前的DNS协议的几篇文章,链接如下:
第32篇:某运营商链路劫持(被挂博彩页)溯源异常路由节点(上篇)
第33篇:DNS劫持攻击原理讲解及溯源分析的常规步骤
第35篇:某区宽带用户路由器DNS被篡改事件分析(DNS重绑定攻击)
公众号专注于网络安全技术分享,包括APT实战分析、红队攻防、蓝队分析、渗透测试、代码审计等,每周一篇,99%原创,敬请关注。文章来源:https://www.toymoban.com/news/detail-553924.html
Contact me: 0day123abc#gmail.com(replace # with @)文章来源地址https://www.toymoban.com/news/detail-553924.html
到了这里,关于第49篇:域环境中部分员工电脑开机速度缓慢原因分析的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
