小编kaf*_*fka的帖子

可能的重复：
如何处理受感染的服务器？

我们的一台台式机（Win 7 64 位）最近抱怨速度变慢，尤其是在访问 SBS2003 服务器（也是 DC）上的资源时。我调查的一件事是服务器上的 AV，它占用了大约 500MB 的 RAM（它只有 4GB），所以我已经解决了这个问题。仍然存在问题，除此之外，我在服务器上进行了数据包捕获。

桌面（下图中的 23）不断向服务器发出大量 SMB 请求，即使用户有意识地没有访问任何资源。此外，它无缘无故地随机尝试使用另一个用户的凭据登录到服务器。凭据甚至不会出现在机器上的凭据管理器中。

为什么会这样？我在谷歌上搜索了一下，但找不到太多关于该主题的内容 - 令人担忧的是，在搜索“nt create andx request”时我唯一能找到的东西之一是一份名为“Microsoft LSASS Buffer Overflow fromexploit to worm”的白皮书。希望这一切都不是问题，我该怎么做才能进一步查明真相？如果在客户端上使用 netstat 和 taskmgr 有任何帮助，我已经确定负责此的进程被称为“NT 内核和系统”之类的东西。

Win 7 机器还是很慢，其他桌面没有受到影响。我们没有可以追溯到很远的系统还原，所以可能只是擦除它并重新开始。我有一个客户端查询服务器的数据包捕获的图像，以及其他人的凭据，这又一次又一次地循环。我在图 2 中删除的项目是：来自客户端（红色）：计算机名和用户名（其他人的）；从服务器（蓝色）：域名（完整）、服务器名称、域名（缩短）、服务器、用户名。

编辑：使用 ESET NOD32 Ver 5 在 Win 7 桌面上进行病毒扫描，发现 Java/Exploit.CVE[DATE].BR 木马。它已清理/删除文件，这有多令人担忧？我们应该重建机器以确保安全吗？

我们正在考虑改进我们的备份解决方案。我们没有大量数据要备份（目前约为 500GB），这些数据每晚都备份到外部 HD 上。我们有 3 个这样的 HD，其中一个每周进入防火保护，另外两个每晚轮换，以便最新的备份在一夜之间离开现场。不过，外部高清正在达到容量，因此希望升级。

我们可以使用许多选项。我喜欢带有 2TB 驱动器的 NAS 服务器的想法。规模将允许未来的增长，而无需花费大量资金。我想获得第二个 2TB 磁盘，然后每天将其与 NAS 中的磁盘交换。这是基于 NAS 具有热插拔磁盘的假设，因此不需要断电来交换磁盘。我的疑问是这是否是使用NAS的有效方式，或者它是否会导致NAS出现任何问题。

另一种选择是我们在 NAS 中有一个 RAID 1，每天更换一个磁盘，我只是想知道这会有多高效，因为 RAID1 阵列将每天重新构建，我不知道这在磁盘上会有多麻烦。

我正在停用旧的 2003 服务器，它充当文件服务器，我只是尝试将文件存储库迁移到新的 Windows Storage Server 2012 机器上。我正在使用 robocopy 来复制文件，目前只是在进行一些测试运行以查看在我们进行最终更改之前需要多长时间。

我第一次运行 robocopy 时，我提供了以下开关：选项：。/S /E /COPYALL /PURGE /MIR /MT:128 /R:100000 /W:30 它运行良好（虽然我不推荐 /r 和 /w 开关，因为它需要永远完成！）我第二次使用以下开关运行它（目标目录已经包含我第一次运行时源目标的副本，/MIR 将确保它已更新）： Options : 。/S /E /COPYALL /PURGE /MIR /MT:128 /R:0 /W:0

这导致服务器在作业开始后大约 5 分钟挂起。它完全挂了，我不得不手动重启它才能重新启动它。日志并没有给我一个关于出了什么问题的巨大指示 - 想法是 /mt:128 引起了问题，但我第一次提供了那个开关，这很好。

第二次我将几个开关更改为 /r:0 和 /w:0，尽管我不认为它们会导致它挂起。

最后是我选择的 /MIR 有问题，因为目标之前已经从源复制了一次 - 我不会这么想，因为我认为镜像的唯一潜在缺点是它会删除文件不再在源中的目标。如果有人可以阐明出了什么问题，它将确保下次我尝试时不会出错。

编辑：我上面提到的开关取自 robocopy 日志文件，从某种意义上说，它们是我指定的开关的解释，它们是： /MIR /COPY:DATSOU /MT:128 /R /W

第二次编辑：有问题的服务器有一个双 NIC，使用 Windows Server 内置的 NIC 组合进行组合。我觉得这是重要的信息，我最初发布问题时没有分享。想调查这个。有问题的 NIC 是 Intel(R) 82574L 千兆网络连接。NIC 团队是“Microsoft 网络适配器多路复用器驱动程序”。

我们正在研究新的 AWS 功能弹性文件系统 (EFS)。警告之一是不支持 Windows Server EC2 实例（https://docs.aws.amazon.com/efs/latest/ug/gs-step-one-create-ec2-resources.html）这似乎是与 EFS 使用 NFS v4.1 的事实有关，而 Windows 服务器将不支持这一点。

但是，官方 Windows Server 2012 R2 文档指出它将支持 NFS 服务器/客户端 v4.1 ( https://technet.microsoft.com/en-us/library/jj574143(v=ws.11).aspx )

如果是这种情况，则 Windows Server 2012 R2可以挂载 EFS v4.1 目标，并且不支持 Windows 的提及是没有根据的。目前还不清楚，如果有人能明确回答，那将不胜感激。

我有一个测试服务器，它在裸机上运行 WS 2008 Enterprise。它正确使用了软件 RAID 1 配置（2x250 GB 磁盘，显示为一个磁盘），在 Dell Poweredge T110（满足兼容性要求）上进行设置，而无需我进行任何额外设置。（顺便说一句，我相当确定它是软件 RAID，因为我们没有指定硬件 RAID 控制器，如果这在这种情况下很重要的话）。

我现在正在测试在此服务器上安装 ESXi 5.0 以运行一些 VM。我已经成功安装了 ESXi，并顺利导入了一个虚拟机，但它显示了 2 x 250 GB 磁盘可用作数据存储。但是，它们应该显示为一卷。当我启动服务器时，你可以进入一个 RAID 配置屏幕，我猜这是我在某个阶段必须做的，但现在需要非常小心，因为有一个磁盘包含数据我想在另一个磁盘上进行镜像。在这种情况下，最好的做法是什么？