Недавно завладел доменом, не может управлять контроллером домена (предполагается, что в системе Ubuntu размещается Windows AD через SAMBA) [MSP]

Question

Недавно завладел доменом, не может управлять контроллером домена (предполагается, что в системе Ubuntu размещается Windows AD через SAMBA) [MSP]

Ребята (и девчонки, и все, что между ними), я в тупике.

Я MSP и недавно принял нового клиента. Предыдущие ИТ-специалисты ушли по не очень хорошим обстоятельствам, и я унаследовал их беспорядок. Один из моих недавних проектов — взломать их DC. Вся моя информация говорит мне, что DC управляется системой Ubuntu, на которой работает Samba. Мне пришлось сбросить пароль для системы Ubuntu, но я не думаю, что [я могу ошибаться, я не эксперт в Linux], что могло бы вызвать мою проблему, тем более что проблема началась до того, как я это сделал.

Все началось достаточно просто, пытался подключить новый компьютер к контроллеру домена. Получена ошибка, указывающая на отсутствие DC. Это ложь, поскольку к контроллеру домена уже подключены другие компьютеры, которые работают. Если бы контроллер домена не работал или не работал, у них возникли бы проблемы со входом в систему задолго до этого.

Затем я начал исследовать DC и узнал, что он предположительно размещен в системе Ubuntu. Я нашел систему, размещенную на виртуальной машине, и, похоже, она запущена и работает. Однако, когда я вошел в систему, первым делом я попытался запустить команду samba, просто чтобы убедиться, что она установлена. Я получил сообщение об ошибке, в котором говорилось, что Samba не установлена, но ее можно установить с помощью sudo apt install samba. Если эта система работает, а контроллер домена не может войти в систему и не вызывает других проблем, единственное, что я могу предположить, это то, что он должен быть размещен в другой системе? С учетом сказанного, ВСЕ указывает на эту машину. Я могу подключить к нему DNS, и однажды, всего один раз мне удалось получить к нему доступ, используя пользователей и компьютеры Active Directory, так что, должно быть, я делаю что-то не так. Компьютер, конечно, после этого перезагрузился, отключив меня, и я не смог снова войти в систему. DNS работает и содержит список всех подразделений.

Конечная цель здесь — извлечь данные из системы (какой бы она ни была), получить новый Windows AD и импортировать данные. Но для этого мне нужно иметь возможность вернуться в систему.

Я перепробовал каждого пользователя, для которого у меня есть пароли и учетные записи. Моя учетная запись имеет полный доступ ко ВСЕМ, к ней добавлены все административные группы (я проверил это один раз, когда мне удалось получить доступ к системе), и у меня есть полные права администратора при доступе к одной из систем, присоединенных к домену. Когда я пытаюсь подключиться к контроллеру домена, я получаю сообщение об ошибке. Домен ad.SOMEDOMAIN.com [обв. не настоящее доменное имя] не удалось найти, поскольку: Доступ запрещен.

Я потратил на это добрых... ох, 30 часов, по крайней мере. По большей части это происходит в свободное время после работы, потому что я не люблю, когда меня побеждают. Но эта система... она превзошла меня. Я понятия не имею, куда еще пойти и что еще сделать.

Пожалуйста, скажите мне, пожалуйста, какой-нибудь добрый самаритянин готов помочь мне разобраться в этом или хотя бы указать направление, куда идти...

Я пытаюсь получить доступ к системе с рабочей станции Windows 10 с установленным RSAT. Я проверил, что DNS настроен правильно, и уже пытаюсь сделать это из системы в домене. Раньше это работало, мой начальник изначально смог разобраться, но к тому времени, когда я получил доступ, возникла эта проблема.

На старом рабочем столе администратора есть сценарий ADUC, похоже, он каким-то образом вызывает активный каталог, но когда я пытаюсь пройти аутентификацию с помощью сценария, он сообщает мне, что пароль неправильный.

рассматриваемый сценарий: ............ @echo offset /p username="Введите [email protected] : "

эхо, послушай! эхо %имя_пользователя%

runas /netonly /user:%username% "mmc %SystemRoot%\system32\dsa.msc"

rem runas /netonly /user:[УДАЛЕНО]@ad.[УДАЛЕНО].com "mmc %SystemRoot%\system32\dsa.msc"

Пауза

.................... Да, часть «реклама» является частью их доменного имени.

Спасибо, что заглянули!!!

0

ubuntu samba active-directory windows-domain msp

Источник

WonkoTheSane 19 янв '22 в 02:38

1 ответ

Другие вопросы по тегам ubuntu samba active-directory windows-domain msp

grawity 19 янв '22 в 08:35 2022-01-19 08:35 · Answer 1 · 2022-01-19 08:35

Все началось достаточно просто, пытался подключить новый компьютер к контроллеру домена. Получена ошибка, указывающая на отсутствие DC. Это ложь, поскольку к контроллеру домена уже подключены другие компьютеры, которые работают. Если бы контроллер домена не работал или не работал, у них возникли бы проблемы со входом в систему задолго до этого.

Это заставляет меня задуматься, не были ли они присоединены к домену не через AD, а через старые доменные протоколы NT4 на базе NetBIOS. Я думаю, что это поддерживалось до Windows 7, и существующие объединения по-прежнему будут работать в Windows 10. Поскольку домены NT4 не полагались на DNS, они не заметили бы каких-либо сбоев, связанных с DNS.

(Или они могут использовать локально кэшированные учетные данные для входа в AD...)

Однако, когда я вошел в систему, первым делом я попытался запустить команду samba, просто чтобы убедиться, что она установлена. Я получил сообщение об ошибке, в котором говорилось, что Samba не установлена, но ее можно установить с помощью sudo apt install samba. Если эта система работает, а контроллер домена не может войти в систему и не вызывает других проблем, единственное, что я могу предположить, это то, что он должен быть размещен в другой системе?

Возможно, вместо пакета, доступного в репозиториях (который долгое время был очень устаревшим в репозиториях Debian), используется локально скомпилированная версия Samba. Например, нашим контроллерам домена необходимо несколько исправлений, которые еще не были приняты в основной ветке, поэтому они запускаются с.

Не пытайтесь запустить Samba, особенно если ожидается, что она уже запущена. Вместо этого посмотрите на список процессовили список услуг,,чтобы увидеть, запущены ли какие-либо связанные процессы, и вы обычно увидите их расположение.

С помощью Samba легко получить прямой доступ к исходной базе данных, в которой хранятся записи LDAP (или даже изменить ее – например, сбросить пароль «Администратора» AD). Если вы найдете файлы (они могут находиться вно в локальной сборке они могут храниться в другом месте), вы можете, например, проверить метку времени модификацииили перечислите записи, чтобы увидеть, соответствуют ли они тому, что вы видели в ADUC — это может обнаружить, что этот DC не использовался в течение нескольких лет. Например, чтобы перечислить подразделения:

      ldbsearch -H /var/lib/samba/private/sam.ldb "(objectClass=organizationalUnit)" name

Кроме того, если вы обнаружите(который обычно находится в /etc/samba), я бы предложил немного увеличить детализацию журнала — просто чтобы посмотреть, реагирует ли DC хотя бы на попытки присоединения к вашему домену:

      [global]
    # Older Samba versions only accept "log level = 3". Newer ones accept
    # levels for individual subsystems.
    log level = 0 auth:3 auth_audit:3 kerberos:3 rpc_srv:3

Когда я пытаюсь подключиться к контроллеру домена, я получаю сообщение об ошибке. Домен ad.SOMEDOMAIN.com [обв. не настоящее доменное имя] не удалось найти, поскольку: Доступ запрещен.

При таком беспорядке есть небольшая вероятность того, что в сети есть два совершенно отдельных домена, размещенных на разных контроллерах домена, но с одним и тем же именем. Если бы домен AD не был делегирован через DNS, а вместо этого все компьютеры были вручную настроены на прямое использование DC в качестве DNS-сервера, тогда два домена просто сосуществовали бы и не конфликтовали бы, пока они не взаимодействуют. Но когда они взаимодействуют (например, вы вошли в домен A, но пытаетесь получить доступ к контроллерам домена домена B), вы не получите никакого доступа.

Конечная цель здесь — извлечь данные из системы (какой бы она ни была), получить новый Windows AD и импортировать данные.

Что касается этого, если вы планируете просто присоединить новый контроллер домена Windows к существующему домену и выполнить его репликацию, то вам, скорее всего, придется сделать это в два этапа (Samba→Win2008→последняя версия), поскольку более поздние версии Windows Server кажутся требовать некоторых новых API, которых нет в Samba. Поэтому сначала вам нужно будет добавить временный контроллер домена Windows Server 2008, затем удалить контроллер домена Samba, а затем добавить настоящий контроллер домена Windows Server 201x/202x.

Однако, если вы планируете использовать какой-либо инструмент миграции, которому нужна только базовая информация LDAP, вы можете извлечь ее из sam.ldb контроллера домена, используякак указано выше.

Мое предложение:

Проверьте несколько записей DNS SRV, чтобы убедиться, что они указывают на контроллер домена. Я бы попытался сделать это как через диспетчер DNS RSAT (если он может подключиться к контроллеру домена), так и в первую очередь через реальный DNS:
```
        host -t srv _kerberos._udp.ad.example.com
host -t srv _kerberos._tcp.ad.example.com
host -t srv _kerberos._tcp.dc._msdcs.example.com
host -t srv _ldap._tcp.ad.example.com
host -t srv _ldap._tcp.dc._msdcs.example.com

host ad.example.com
host <dc_name>.ad.example.com
```
Сделайте это как с самим контроллером домена в качестве DNS-сервера, так и с обычным DNS-сервером всей сети компании.
Вероятно , существует dcdiag.exe или что-то еще, что делает это для Windows.