database 10 Geschrieben 18. Januar 2009 Melden Teilen Geschrieben 18. Januar 2009 Hi all! Mein Kollege Vorgänger hatte einst die glorreiche Idee die servergespeicherten Benutzerprofile auf einem komprimierten Laufwerk am DC zu hinterlegen. Nach einem ziemlich unangenehmen Befall durch mehrere Trojaner-Varianten will und muss ich mich nun auch um die Gesundheit der Profile kümmern und wollte einen Intensiv-Scan mit unserer Anti-Virenlösung NOD32 auf eben diesem komprimierten Laufwerk durchführen. Das Ergebnis war nach eineigen Funden dass das System nach ungefähr der Hälfte der zu scannenden Daten eiskalt durchstartete. Da ich vermute, dass der Intensiv-Scan auf einem komprimierten Laufwerk irgendwas an der Integrität des Dateisystems bewirkt und der DC deshalb durchstartet, erwäge ich eine Dekomprimierung der gesamten Partition. Kann ich davon ausgehen, dass dieses Vorhaben gelingt ohne die Profile zu verlieren oder gibt es in der Richtung negative Erfahrungen? Vielen Dank für eure kompetenten Antworten im Voraus database System W2K3 / PDC / DNS / AD / RAID 5 Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 18. Januar 2009 Melden Teilen Geschrieben 18. Januar 2009 Wozu serverbasierende Profile auf einem komprimierten Laufwerk? Ich sehe darin keinen Sinn, halte sowas für kontraproduktiv. Zitieren Link zu diesem Kommentar
unknownuser 10 Geschrieben 18. Januar 2009 Melden Teilen Geschrieben 18. Januar 2009 @lefg Sehe ich auch so, aber hat database ja nicht zu verantworten. Wenn ich das so richtig sehe. @database Sicher ersteinmal die Profile auf ein separates, nicht komprimiertes Laufwerk. Die Daten werden dabei automatisch entpackt. Du kannst dazu auch ntbackup benutzen. Stelle sicher, dass wirklich alle Daten gesichert wurden. Die Abstürze machen mich stutzig, sollte eigentlich nicht passieren. Du hast ein vollständiges, funktionales Backup deines gesamten Systems? Wenn nicht, wäre das jetzt ein geeigneter Zeitpunkt dieses zu erstellen... Dann die kompriemierung aufheben. Das bei diesen Aufgaben kein User mit dem Server verbunden ist, sollte klar sein. Gruß, Dirk Zitieren Link zu diesem Kommentar
NilsK 2.795 Geschrieben 18. Januar 2009 Melden Teilen Geschrieben 18. Januar 2009 Moin, wenn der Server "durchstartet", hat er in Wirklichkeit einen Bluescreen gehabt. Das bedeutet entweder einen Treiber- oder einen Hardwarefehler. Es ist möglich, dass deine Version von NOD32 fehlerhaft ist (Virenscanner benutzen i.d.R. eine Treiberarchitektur). Es kann aber auch sein, dass die Platte oder eine andere HW-Komponente (z.B. RAM) einen Hau haben. Überprüfe mal das Eventlog, ob der Bluescreen dort verwertbare Spuren hinterlassen hat. Auf jeden Fall wäre ich bei dem System derzeit sehr vorsichtig - hoffentlich hast du eine ordentliche Datensicherung. Gruß, Nils Zitieren Link zu diesem Kommentar
database 10 Geschrieben 18. Januar 2009 Autor Melden Teilen Geschrieben 18. Januar 2009 @lefg, @dirk Stimmt, ich hab' den Mist nicht erfunden, ich darfs nur ausbaden :-( Aktuelles Vollbackup ist vorhanden - jedoch ist dieses VERMUTLICH auch infiziert, weshalb ich ja auch den Intensiv-Scan durchführen wollte - um dann von dem überprüften Datenbanstand wiederum ein neues sauberes Vollbackup zu machen. Ich dachte die Dekomprimierung mit einem Admin-Konto ohne Servergespeichertem Profil (bzw. ein Profil auf einem anderen Server) zu machen um so keine Zugriffe auf die komprimierte Partition zur Laufzeit der Dekomprimierung zu haben. Zitieren Link zu diesem Kommentar
unknownuser 10 Geschrieben 18. Januar 2009 Melden Teilen Geschrieben 18. Januar 2009 Wie wärs mit einer USB Platte? Geht schneller... und du verseuchst nicht gleich auch ein anderes System.... Die externe Platte könntest du dann mit einem "sauberen" Rechner scannen. Von wegen Rootkits... Gruß, Dirk Zitieren Link zu diesem Kommentar
database 10 Geschrieben 18. Januar 2009 Autor Melden Teilen Geschrieben 18. Januar 2009 @Dirk Werde das ASAP vornehmen ... Vielen Dank bislang, ich melde mich wieder wenn's was Neues gibt database Zitieren Link zu diesem Kommentar
database 10 Geschrieben 24. Januar 2009 Autor Melden Teilen Geschrieben 24. Januar 2009 Guten Morgen an alle! Die Arbeiten sind nun abgeschlossen und ich melde mich noch mal mit der Erfolgsmeldung. Die besagten Profile wurden auf ein externes Laufwerk zu Sicherheit kopiert, danach die Partition auf dem DC dekomprimiert. Wie es aussieht habe ich dabei keinerlei Datenverlust erlitten. Nach einem weiteren Intensiv-Scan konnten in den Profilen noch 2 Trojanervarianten isoliert und gelöscht werden. Das System läuft nun seit 4 Tagen fehlerfrei und - was mich nach der Dekomprimierung nicht sonderlich erstaunt - flotter als zuvor! Die unsicheren Vollbackups wurden danach verworfen und durch neue ersetzt, Proxy neu Konfiguriert und die Verursacher des Problems entsprechend diszipliniert. Ich bedanke mich bei allen Schreibern für ihre Antworten - alles Gute für Euch ! Grüße database Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.