Fork me on GitHub

Windows server 2008 R2 绕过 Raid 5 重置开机密码

发表于 | 分类于 | 阅读次数: | 阅读数
字数统计: 1.5k | 阅读时长 ≈ 5

系统环境:

硬件:DELL Power Edge R630

​操作系统:Windows server2008 R2,Raid5

昨天接到一个告警信息,发现机房里的一台 Windows server 服务器出现 Processor load is too high on xxxx, 随即尝试远程登录服务器查看系统状态,发现 administrator 用户登录不上,提示用户凭证错误,而且看到系统多了三个莫名其妙的账户 (在输入密码界面就可以看到),然后联系知道这个服务器密码的另一个同事询问是否更改过密码,结果都不知道这几个账户的情况,立马意识到可能是系统被黑了,联系服务器托管商协助处理,这里就出现了一个小插曲,因为按规矩是不允许服务商暴力破解机器密码的,所以他们要求提供一个协助处理授权书,因为怕处理不当会担责任,这个也能理解,兜兜转转弄完授权,让他们协助远程操作,结果我的机器是做了 Raid 5 的,他们的方法破解不了。这就尴尬了。。。想起公司的一套支付系统在上面,数据特别重要,心里一紧,要是处理不好是不是就得卷铺盖滚蛋了。。。。。

注:因为当时弄的时候比较着急,没有过多截图和照片,尽量详述吧。

赶紧上网搜索 Windows server 2008R2 加 Raid 忘记密码的处理方法。还别说,网上确实也有人遇到过(详细步骤见 http://blog.51cto.com/321331/1878806):

  • 大多都是用一张和当前 Windows server 2008R2 系统版本和位数相近(最好相同)的系统镜像光盘或者 ISO 文件

  • 选择光盘启动完成安装映像加载后,进入语言选择界面,此时,按下“Shift+F10”

  • 打开命令提示符界面,进入 Windows 目录所在分区(若是默认安装 Windows,并使用的“系统保留”分区,则为 D 盘),并定位到“Windows\System32”目录下,找到该目录下的“osk.exe”文件,并将其删除

  • 再将当前目录下的“cmd.exe”重命名复制为“osk.exe”

  • 重启计算机,等待开机启动完毕,点击左下角的“轻松访问”按钮,在弹出对话框中勾选“不使用键盘键入(屏幕键盘)”,并点击“确定”,由于在此前做了文件的替换,所以现在将打开的不是屏幕键盘,而是 CMD 命令提示符界面

  • 利用 net user 命令修改本地管理员账户的密码

按照这个步骤我远程指导机房运维操作,结果出现各种问题,可能是每个人对技术的理解角度不同吧(也有可能是怕操作失误导致数据丢失),那边操作了一整天也没弄好(后来发现就是 Raid 的驱动要找对,这一步是成功绕过 Raid 的关键),那就只得自己出马了。

首先,在去机房之前从新整理一遍其他网友的处理方式,特别是一些处理细节,准备好可能需要用到的驱动包,还有 PE 环境(网上也有人说可以用高版本的 PE 绕过去,这种方式最简便,所以也试试看)

其次,如果绕不过去 Raid,就只能重装系统了,联系好那套支付系统的厂家,详细询问重装系统对支付系统的影响,做好两手准备

协调好进机房的事宜后,第二天一早直接杀过去了。
找到昨天操作的值班运维,详细了解他的操作过程,对比网上的操作,找准失败的原因,原来就是 Raid 的驱动没找对(在前一天的远程支持中也给他们发了几个驱动版本做尝试,前面能进去 DOS 命令行,不过到了最后一步修改管理员密码那一步卡住了)

知道了是哪里的问题那就好办了,去戴尔官网仔细搜索,把适合 R630 的驱动都下载下来。

在搜索资料的过程中,看到了一篇用 PE 处理 Windows server 的文章 http://blog.sina.com.cn/s/blog_ba7cc5ff0102x12t.html(主要是第 9 步开始),看到他的处理方式我也使用 PE 进入系统操作试试看,结果进去系统后看不到服务器的磁盘。这应该也是没有加载到 Raid 的驱动导致的吧。

试试在 PE 中加载准备好的驱动试试看:右键计算机—属性—设备管理器—- 存储控制器,发现 Raid 的驱动是感叹号,右键更新驱动程序软件,选择浏览计算机以查找驱动程序软件,找到 PE U 盘中的驱动,一个个尝试。这里不怕试错,只要没匹配上合适的驱动,就会报找不到驱动。试到第五个驱动的时候显示可以安装。顿时感觉有戏了。

接下来就是打开 WIN+r 进入命令行,找到 D 盘中的 osk.exe 文件了。这一步跟上面一样,这里就不赘述了。后面的操作一切顺利,重启后进入命令行界面,使用 net user administrator ****** 即可更改密码了。

完成后,在从其它 Windows Server 2008 R2 的计算机上,找到 osk.exe,将其复制到当前计算机,替换有 cmd.exe 修改而来的文件,即可将其复原。
注:默认情况下正常的 osk.exe 只能删除而不能被复制,所以要复制 osk.exe 必须先对其 NTFS 权限进行修改才行。

参考资料:

http://blog.51cto.com/321331/1878806

http://blog.sina.com.cn/s/blog_ba7cc5ff0102x12t.html

http://blog.51cto.com/lutaoxu/1562749

赞赏是最好的支持与鼓励!
-------------本文结束感谢您的阅读-------------