系统清理与恢复:老张服务器勒索病毒救援全攻略
上周隔壁老张的服务器中了勒索病毒,我陪他折腾到凌晨三点才用活动目录恢复模式找回数据。今天咱们就聊聊这个过程中系统清理的关键操作——毕竟,谁也不想在恢复数据时踩到新坑。
一、进恢复模式前的准备清单
就像炒菜前要备好食材,进恢复模式前得准备好这些:
- Windows Server安装光盘(最好是原厂镜像)
- 写着Administrator密码的便利贴
- 存放备份文件的移动硬盘(NTFS格式)
- 记录着IP地址和域名的记事本
1.1 启动恢复模式的正确姿势
老张上次按F8按到手抽筋都没进去,后来发现是惠普服务器要按F9。这里有个通用口诀:
- 物理机:开机时狂按F8
- 虚拟机:先断开网络再重启
- 云服务器:控制台强制重启三次
二、清理操作步步为营
上次某公司IT小哥误删了CN=Users容器,咱们可别重蹈覆辙。
2.1 墓碑记录大扫除
| 对象类型 | 默认存活天数 | 清理命令 | 数据来源 |
|---|---|---|---|
| 用户账户 | 180天 | repadmin /removelingeringobjects | Microsoft Docs |
| 计算机账户 | 90天 | ntdsutil "metadata cleanup" | 《Active Directory故障排除指南》 |
记得先运行dcdiag /v > C:\\log.txt生成诊断报告,像查病例一样仔细看每个错误代码。
2.2 幽灵对象清除术
上周帮学校机房处理过这种情况:
- 打开ADSI Edit时手别抖
- 定位到CN=Deleted Objects
- 右键选择"导出列表"留证据
- 执行ldifde -f cleanup.ldf
三、清理后的必修课
有次清理完忘记做这些,结果周一整个部门登不上OA:
- 运行repadmin /syncall /AdeP强制同步
- 在DNS管理器里刷新SRV记录
- 用netdom query fsmo确认五大角色
| 检查项 | 合格标准 | 常用工具 |
|---|---|---|
| 复制状态 | 0个错误 | repadmin /showrepl |
| 数据库健康 | 无JET_err错误 | esentutl /g |
最后记得在正常模式里跑一遍sfc /scannow,就像汽车保养要换机油。窗外的麻雀开始叫了,合上笔记本前顺手把操作记录邮件抄送领导——毕竟,咱们可不想成为下一个被优化的倒霉蛋。
相关文章
评论
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。
网友留言(0)