Part1 前言 

大家好，我是ABC_123，本期分享一个应急响应分析案例。有一家公司自从进行网络改造之后，把所有员工的个人电脑都加入到域环境之中，但是频繁出现部分用户电脑开机速度缓慢问题，而有的用户电脑开机却一直是正常的，一时不知道问题出在哪里。

经过仔细询问，发现出故障的个人电脑大多都是笔记本电脑，开机后会一直卡在如下页面（以下截图来源我的虚拟机环境截图），提示“正在应用计算机设置”，这个提示会持续一分钟左右。

 Part2 分析过程 

部分朋友可能有点懵，不知道该如何下手，其实我们稍微梳理一下在开机过程中客户机电脑登录域环境的流程，这个故障的原因就可以分析出来了。

用户电脑在接入域环境网络时，首先会根据本机设置的DNS去找到域环境的DNS服务器，这个DNS服务器一般和域控服务器是在一台机子上，然后查找DNS服务器的SRV记录，域内计算机就是依靠SRV记录去定位域控服务器的，由此可以找到域控制器的ip地址，然后完成登录操作。如果此时网络出故障，连不上域控，由于本地计算机的注册表中会有域缓存信息，使用域账号仍然可以登录成功。

如下图所示，在域环境中，SRV记录存放在DNS服务器数据库中，用于记录每台计算机提供了什么服务，比如说ldap._tcp.tttttt.com 600 IN SRV 0 100 389 NS.tttttt.com。ldap表示服务，tttttt.com是所在的域，600是生存时间600s，389是服务使用的端口，NS.tttttt.com是提供此服务的主机。

故障的原因：部门员工下班后会将笔记本带回家去，会使用杀软或者优化软件扫描，将本地DNS设置为常用的114.114.114.114，或者是由于其它原因，自己手工设置了DNS，造成了之前电脑配置的域环境的DNS记录被删除了，在第2天这些员工带着笔记本上班接入域环境之后，由于找不到test111.com域记录，无法找到域控制器进行账号密码验证，会导致开机一直卡死。

 Part3 解决方法 

后续我本地搭建虚拟机域环境成功复现了上述开机缓慢现象。由此也给出了解决方案，那就是把本机的“首选DNS服务器地址”设置为域环境的DNS服务器地址，比如192.168.0.201，将“备用DNS服务器”地址设置为8.8.8.8或者114.114.114.114。这样可以同时保证在公司可以接入域环境，回到家里后，也可以正常上网。

如下图所示，将一台windows主机加入域test111.com中，然后重启该电脑。

重启后将这台电脑的本地DNS记录按照如下图所示填写，这里假定域控服务器及域环境DNS服务器的ip地址是192.168.237.201，外网DNS服务器设置为8.8.8.8。

 Part4 总结 

1.  在处理应急响应事件和分析溯源事件中，很多难以解决的问题，都与DNS协议相关，所以弄懂DNS挺重要的。

2.  可以参考我之前的DNS协议的几篇文章，链接如下：

第32篇：某运营商链路劫持(被挂博彩页)溯源异常路由节点(上篇)

第33篇：DNS劫持攻击原理讲解及溯源分析的常规步骤

第35篇：某区宽带用户路由器DNS被篡改事件分析（DNS重绑定攻击）

公众号专注于网络安全技术分享，包括APT实战分析、红队攻防、蓝队分析、渗透测试、代码审计等，每周一篇，99%原创，敬请关注。

Contact me: 0day123abc#gmail.com(replace # with @)