Corelan Cybersecurity Research

Corelan Cybersecurity Research

El siguiente procedimiento debería funcionar para cualquier tipo de hardware, pero he utilizado VMware (por lo que este procedimiento también es válido si desea convertir un controlador de dominio físico a VMware). Además, el procedimiento funciona para Windows 2003 server, pero también para Windows XP (professional)

Requisitos previos :

  • Refuerzos de ASR .archivo bkf y el disquete ASR que corresponde con el archivo de copia de seguridad ASR. Si desea volver a crear el disquete ASR, eche un vistazo a http://support.microsoft.com/kb/325854/en-us
  • Disquete ASR convertido (use una herramienta como winimage para convertir el disquete en a .ima or .archivo img, y luego cambiar el nombre de la .ima/.archivo img a .flp, o eche un vistazo a http://www.vmware.com/community/thread.jspa;jsessionid=9977DD123ECD2AA3C2E131C02E35998E?messageID=210767𳝏 o http://www.vmware.com/community/thread.jspa?threadID=18046 )
  • Usted tendrá que ser capaz de tener acceso a la .archivo bkf durante la configuración de Windows en modo ASR.Esto es un poco complicado. Las únicas 2 formas que conozco de ese trabajo (léase : que he probado yo mismo) es hacer copias de seguridad en cinta y tener el accionador de cinta y la cinta disponibles durante la restauración de ASR; o haga una copia de seguridad en el disco y coloque el bkf en un servidor en el entorno vmware. Comparta la carpeta que contiene el bkf. Simplemente no coloque el archivo bkf en los discos que contendrán el servidor de Windows después, porque todos los datos se eliminarán durante la configuración de ASR. Según algunas personas, debería poder colocar el archivo bkf en uno de los discos del servidor en el que se ejecutará ASR. Siempre y cuando no se asiente en la partición que tiene archivos de sistema en ella, y siempre y cuando la partición que albergará el archivo bkf también esté disponible en el DC real, debería funcionar. (Pero tiendo a no creer esta afirmación, porque uno de los primeros pasos en el proceso es en realidad limpiar las particiones y volúmenes en los discos, por lo que el disco que contiene el archivo bkf también se vaciaría, ¿verdad ?)
  • Configuración de disco del servidor físico (tamaño de cada disco)
  • CD de servidor Windows 2003
  • Asegúrese de que la máquina vmware no tenga acceso a la máquina de producción, si está probando esto con fines de simulación/prueba. Configure la máquina virtual para que use una red interna de Vmware, sin conexión al resto de la red.
  • Otros conjuntos de copia de seguridad (estado reciente del sistema, contenido del Sysvol, …)

Antes de empezar : Nunca ponga la misma máquina dos veces en la misma red. Esto causará estragos y, en caso de un DC, podría arruinar todo tu ANUNCIO. Asegúrese de colocar el DC «a restaurar» en un segmento de red aislado, sin acceso al DC real.

En primer lugar, cree una máquina virtual VMware y asegúrese de crear discos virtuales que tengan al menos el mismo tamaño que los discos de los servidores. (Nota: Me refiero a discos, no a particiones.) Si su DC tiene 3 particiones de 12 Gb y el disco total es de 36 Gb, asegúrese de crear 1 disco virtual de al menos 36 Gb.

Arranque el equipo vmware (arranque desde el CD del servidor Windows 2003.) Cuando se le solicite, presione F2 para ingresar al modo ASR.

Cuando se le solicite insertar el disco ASR, monte el .archivo flp que contiene el disquete ASR. (O simplemente monte el disquete físico).

091407_2150_Howtorestor1

La configuración de Windows continuará «cargando archivos loading», solo espere hasta que aparezca la siguiente pantalla :

091407_2150_Howtorestor2

Presione «C» para continuar la instalación. Este paso eliminará todo lo que esté en los discos enumerados en esta vista.

A continuación, se formatearán y comprobarán los discos…

091407_2150_Howtorestor3

… y la configuración de Windows continuará copiando archivos :

091407_2150_Howtorestor4

Espere hasta que este proceso se haya completado.

091407_2150_Howtorestor5

El sistema se reiniciará en el modo gráfico del proceso de ASR. Asegúrese de cambiar el BIOS para que no arranque desde CD o disquete. (o pulse ESC en el momento del arranque para mostrar el menú de arranque). Terminarás en la pantalla de bienvenida de ASR. Haga clic en siguiente para continuar (o simplemente espere 90 segundos)

091407_2150_Howtorestor6

Seleccione la ruta que contiene el ASR .archivo bkf. Si ha colocado el archivo en un servidor de archivos en su entorno vmware, debería poder colocar la ruta UNC a la carpeta (\\ip\nombre compartido) y continuar el proceso de restauración a través de la red. Si está haciendo esto en un servidor físico y ha puesto la copia de seguridad asr en cinta, el servidor debería ser capaz de detectar la cinta y encontrar la copia de seguridad asr automáticamente. Por supuesto, también puede navegar hasta el archivo bkf a través de la red cuando está realizando una restauración completa en un servidor físico.

Una nota rápida más sobre el acceso a un servidor de archivos en la red. El controlador de red se cargará en modo ASR, pero deberá asegurarse de que haya un servidor DHCP en la red. Si está haciendo esto en un entorno aislado, puede colocar otro servidor 2003 en el mismo entorno vmware aislado e instalar DHCP en esa máquina. El DHCP debe estar en funcionamiento en el momento en que el servidor» a restaurar » arranca en modo gráfico ASR. Si DHCP no funciona, también puede confiar en APIPA. Utilice un rastreador (wireshark) en el servidor de archivos para ver la dirección APIPA del servidor «a restaurar» :

091407_2150_Howtorestor7

Dé al servidor de archivos una dirección apipa en el mismo rango de red, y los dos deberían poder hablar entre sí. En mi ejemplo, el servidor de archivos (en realidad es un Windows XP) tiene IP 169.254.145.192, el servidor tiene 169.254.145.191 (obtuve esa dirección del rastreador)

091407_2150_Howtorestor8

Vuelva al proceso ASR. Cuando esté en la ventana de diálogo para seleccionar su archivo de copia de seguridad, haga clic en «examinar» e ingrese la ruta UNC al recurso compartido en el servidor. En mi ejemplo, es \ \ 169.254.145.192 \ data. Proporcione un usuario / contraseña para conectarse, cuando se le solicite.

091407_2150_Howtorestor9

Seleccione el archivo bkf que está almacenado en el servidor y haga clic en «abrir»

091407_2150_Howtorestor10

091407_2150_Howtorestor11
Haga clic en «siguiente» para continuar el proceso

Haga clic en «finalizar» para comenzar a restaurar

091407_2150_Howtorestor12

091407_2150_Howtorestor13

Espere hasta que el proceso se haya completado. La aplicación ntbackup se cerrará y el servidor se reiniciará automáticamente.

Cuando la máquina se reinicia, pueden ocurrir un par de cosas

  1. El servidor arranca y funciona bien. Felicitaciones. Incluso si necesita instalar controladores de pantalla o algunos otros controladores después del arranque, aún así lo hizo con éxito. Y si planeaste para este tipo de escenarios, podrías restaurar tu DC en media hora más o menos…
  2. El servidor no arranca. Intente reparar la instalación arrancando con el CD del servidor 2003 y entre en modo reparación. (Puede elegir reparar la instalación de Windows después de que el proceso de configuración haya detectado una instalación de Windows existente). Si eso no funciona, eche un vistazo a las siguientes KB de Microsoft :
    1. http://support.microsoft.com/kb/325375/en-us
    2. http://support.microsoft.com/kb/842009/en-us
    3. http://support.microsoft.com/kb/811944/en-us
    4. http://support.microsoft.com/kb/836421/en-us

Si consigue que su DC funcione, simplemente compruebe las propiedades de la interfaz de red. Si realiza una restauración ASR, es probable que el Firewall se vuelva a activar. Asegúrate de apagarlo si es lo que necesitas. Es posible que tenga que reiniciar para que AD se ejecute correctamente.

091407_2150_Howtorestor14

Registro de eventos: Errores/advertencias de MSDTC

Finalmente, verifique el registro de eventos. Hay una buena probabilidad de que vea errores/advertencias de MSDTC en el registro de eventos. Puede limpiarlos con los siguientes procedimientos:

Error EventID 53258

Si la aplicación de Registro de eventos contiene:

Fuente: MSDTC
Tipo: Advertencia
Categoría: SVC
ID de evento: 53258
Descripción: MS DTC no pudo procesar correctamente un evento de Promoción/degradación de DC. MS DTC seguirá funcionando y utilizará la configuración de seguridad existente. Detalles de error: %1

Iniciar Servicios de componentes de equipo (Inicio – Programas – Herramientas Administrativas).
Expandir Servicios de componentes.
Expanda la sección Ordenadores.
Haga clic derecho en Mi computadora, seleccione Propiedades, pestaña MSDTC.
Seleccione Configuración de seguridad y, a continuación, Aceptar.
Seleccione ACEPTAR de nuevo.
Haga clic con el botón derecho en Mi computadora y seleccione Detener MS DTC. Esto detendrá al Coordinador de Transacciones Distribuidas.
Haga clic derecho de nuevo en Mi computadora y seleccione Iniciar MS DTC.

Además, asegúrese de que «Servicio de red» tenga control total sobre HKLM\Software\Microsoft\MSDTC y todo lo que se muestra a continuación. A continuación, reinicie el servidor.

Error EventID 4404

Origen: MSDTC
Tipo: Error
Categoría: Infraestructura de seguimiento
ID de evento: 4404
Descripción: Infraestructura de seguimiento de MS DTC: falló la inicialización de la infraestructura de seguimiento. Información interna: msdtc_trace: Archivo: d:\srvrtm\com\complus\dtc\dtc\trace\src\tracelib.cpp, Línea: 1107, Falló StartTrace, hr = 0x80070070

Iniciar Servicios de componentes de equipo (Inicio – Programas – Herramientas Administrativas).
Expandir Servicios de componentes.
Haga clic derecho en Mi computadora, seleccione Propiedades, pestaña MSDTC.
Elija Opciones de rastreo.
Seleccione Detener sesión, Nueva sesión, Vaciar datos y ACEPTAR dos veces.
Haga clic con el botón derecho en Mi computadora y seleccione Detener MS DTC. Esto detendrá al Coordinador de Transacciones Distribuidas.
Haga clic derecho de nuevo en Mi computadora y seleccione Iniciar MS DTC.

Error EventID 1058, 1030

Fuente: Userenv
Tipo: Error
ID de evento: 1058
Descripción: Windows no puede acceder al archivo gpt.ini para GPO CN = {31B2F340-016D-11D2-945F-00C04FB984F9}, CN=Políticas, CN=Sistema, DC=prueba, DC=red. El archivo debe estar presente en la ubicación . (No se puede acceder a la ubicación de red. Para obtener información sobre la solución de problemas de red, consulte la ayuda de Windows.). Procesamiento de directivas de grupo cancelado.

o también

Origen: Userenv
Tipo: Error
ID de evento: 1030
Descripción: Windows no puede consultar la lista de objetos de directiva de grupo. Compruebe el registro de eventos para ver si hay posibles mensajes registrados previamente por el motor de directivas que describe el motivo de esto.

En el artículo Microsoft #842804 en http://support.microsoft.com/?id=842804 encontrará una descripción completa de la solución . Asegúrese de que:
se han iniciado los servicios Netlogon y DFS.
El Controlador del dominio válido lee y aplica reglas de la Directiva de Controladores de dominio.
Los derechos NTFS a Sysvol de recursos comunes están configurados correctamente.
Los registros DNS en el servidor DNS son correctos.

Otros problemas

Si intenta abrir AD U& C, aparece el siguiente error : «No se puede localizar la información de nombres porque el dominio especificado no existe o no se puede contactar. Póngase en contacto con el administrador del sistema para verificar que su dominio está configurado correctamente y está conectado actualmente.», compruebe el servicio de tiempo de Windows y asegúrese de que se está ejecutando. Compruebe DNS y asegúrese de que no contiene referencias a DC que no estén disponibles. Limpiar ANUNCIOS (eliminar DC muertos) usando ntdsutil (ver http://support.microsoft.com/kb/216498) y eliminando entradas en DNS. Reinicie y espere un poco.

A continuación, compruebe si los recursos compartidos sysvol y netlogon están disponibles. Si no, compruebe http://www.jsifaq.com/SF/Tips/Tip.aspx?id=7979, http://support.microsoft.com/kb/316790, http://support.microsoft.com/kb/836421 y http://support.microsoft.com/kb/315457/.
Reinicie y vea qué sucede. Si funciona, llene la carpeta sysvol con la copia de seguridad de sysvol (para que tenga sus scripts y gpo de vuelta) .

Por último, tenga cuidado con los eventos en el registro de eventos del Servicio de directorio que indiquen que el servicio de inicio de sesión de red se ha detenido. (ID de evento NTDS 2103: La base de datos de Active Directory se ha restaurado mediante un procedimiento de restauración no compatible. Active Directory no podrá iniciar sesión con los usuarios mientras persista esta condición. Como resultado, el servicio de inicio de sesión de Red se ha detenido.) Si inicia el servicio netlogon manualmente, debería tener un DC en funcionamiento (pero no habrá resuelto el problema – pero está bien por ahora. Si realmente desea resolver este problema de reversión de USN también, verifique http://blogs.dirteam.com/blogs/jorge/archive/2006/03/08/597.aspx, http://blogs.technet.com/petergal/archive/2006/02/04/418779.aspx, http://support.microsoft.com/kb/885875, http://www.ureader.com/message/1270504.aspx, http://www.mcse.ms/message1743890.html. Buena suerte)

Ahora ejecute un dcdiag y busque errores y advertencias.

2 notas rápidas más:

  1. La Copia de seguridad/restauración de ASR se basa en una copia de seguridad de ASR. Lo más probable es que la copia de seguridad de ASR sea un poco más antigua que la última copia de seguridad del Estado del sistema, por lo que podría ser una buena idea tomar los últimos ntds.archivo dit, y realice una Restauración Autorizada en este DC.
  2. Si tuvo que restaurar uno de los DC porque todos los demás murieron en un desastre, y el DC que está restaurando no era el DC principal, entonces necesita aprovechar los roles de FSMO para este DC. (dependiendo de su entorno, si este es el único DC que queda en el bosque, por ejemplo, necesitará aprovechar TODOS los roles de FSMO para este DC. Puede hacer esto usando ntdsutil). http://support.microsoft.com/kb/255504 :

ntdsutil
ntdsutil: funciones
fsmo de mantenimiento: conexiones
conexiones de servidor: conectar al servidor nombredeservidor
Enlace para nombredeservidor …
Conectado a nombredeservidor utilizando credenciales de
usuario con sesión iniciada localmente.
conexiones de servidor: q
mantenimiento de fsmo: apoderarse del maestro de nombres de dominio
mantenimiento de fsmo: apoderarse del maestro de infraestructura
mantenimiento de fsmo: apoderarse de PDC
mantenimiento de fsmo: apoderarse del maestro RID
mantenimiento de fsmo: apoderarse del maestro de esquemas
mantenimiento de fsmo: q
ntdsutil: q
Desconectarse de su nombre de servidor…

Además, si este es el único DC que quedará, tendrá que limpiar todos los demás (si los hay) antes de promocionar nuevos servidores en el dominio. De lo contrario, terminará con muchos errores y advertencias, tiempos de espera ,outs cuando este DC restaurado intente contactar con otros DC que ya no están allí. Mira Microsoft KB 216498 para eliminar los DC muertos

Enlaces:

Cómo mover una instalación de Windows a un hardware diferente : http://support.microsoft.com/kb/249694
Cómo realizar una restauración de recuperación ante desastres de Active Directory en un equipo con una configuración de hardware diferente: http://support.microsoft.com/?id=263532
Cómo reconstruir el árbol de SYSVOL y su contenido en un dominio : http://support.microsoft.com/kb/315457/
Faltan los recursos compartidos Sysvol y Netlogon Después de Restaurar un Controlador de dominio desde la copia de seguridad : http://support.microsoft.com/kb/316790
¿Un controlador de dominio no funciona correctamente? : http://www.jsifaq.com/SF/Tips/Tip.aspx?id=8320
windows_bare_metal_recovery: ntbackup: http://wiki.bacula.org/doku.php?id=windows_bare_metal_recovery:ntbackup
Recuperarse de un fallo del sistema mediante Recuperación automática del sistema: http://technet2.microsoft.com/windowsserver/en/library/e96185f5-50b7-4b14-a2fd-0155d6b174f91033.mspx?mfr=true
Cómo funciona ASR : http://technet2.microsoft.com/windowsserver/en/library/7b4f0436-cc90-4b52-b6ab-064f9db8d2721033.mspx?mfr=true
Restaurar un Controlador de Dominio Mediante Reinstalación: http://technet2.microsoft.com/WindowsServer/en/Library/2f44ad0e-f84d-47a2-956b-df3f8554ea541033.mspx
Realizar una Restauración Autorizada de objetos de Active Directory: http://technet2.microsoft.com/WindowsServer/en/library/690730c7-83ce-4475-b9b4-46f76c9c7c901033.mspx
Cómo funciona la copia de seguridad: http://technet2.microsoft.com/windowsserver/en/library/9143ba85-587e-409d-b612-617e6617fece1033.mspx?mfr=true

herramientas de terceros:
http://www.stratesave.com/html/htmlhelp/meba2d89.htm

Leave a Reply

Tu dirección de correo electrónico no será publicada.