Corelan Cybersecurity Research

Corelan Cybersecurity Research

følgende prosedyre skal fungere for alle typer maskinvare, men jeg har brukt VMWare (så denne prosedyren er også gyldig hvis du vil konvertere en fysisk Domenekontroller Til VMWare). I Tillegg fungerer prosedyren For Windows 2003 server, men Også For Windows XP (professional)

Forutsetninger :

  • ASR backup .bkf-filen OG asr-disketten som tilsvarer asr-sikkerhetskopifilen. Hvis DU vil gjenskape ASR-disketten, ta en titt på http://support.microsoft.com/kb/325854/en-us
  • Konvertert ASR-diskett (bruk et verktøy som winimage for å konvertere disketten til en .ima eller .img-fil, og deretter endre navn på .ima/.img fil til .flp, eller ta en titt på http://www.vmware.com/community/thread.jspa;jsessionid=9977DD123ECD2AA3C2E131C02E35998E?messageID=210767𳝏 eller http://www.vmware.com/community/thread.jspa?threadID=18046 )
  • Du må være i stand til å ha tilgang til.bkf-fil under Windows-oppsettet I ASR-modus.Dette er litt vanskelig. De eneste 2 måtene jeg vet om det arbeidet (les: at jeg har testet meg selv) er enten tilbake til tape, og har båndstasjonen og båndet tilgjengelig under asr-gjenopprettingen; eller sikkerhetskopier til disk og sett bkf på en server i vmware-miljøet. Del mappen som inneholder bkf. Bare legg ikke bkf-filen på diskene som vil inneholde Windows-serveren etterpå, fordi alle data vil bli fjernet under asr-oppsettet. Ifølge noen mennesker bør du kunne sette bkf-filen på en av diskene i serveren DER ASR vil kjøre på. Så lenge det ikke sitter på partisjonen som har systemfiler på den, og så lenge partisjonen som vil holde bkf-filen, er også tilgjengelig i den virkelige DC, bør den fungere. (Men jeg pleier ikke å tro på denne utsagnet, fordi en av de første trinnene i prosessen faktisk fjerner partisjonene og volumene på diskene… så disken som inneholder bkf-filen, vil også tømmes… ikke sant ?)
  • Diskkonfigurasjon av den fysiske serveren (størrelsen på hver disk)
  • Windows 2003 server CD
  • Kontroller at vmware-maskinen ikke har tilgang til produksjonsmaskinen, hvis du prøver dette for simulering/testing. Sett den virtuelle maskinen til å bruke et vmware internt nettverk, uten tilkobling til resten av nettverket.
  • Andre backupsett (nylig Systemtilstand, Sysvol innhold, …)

før du begynner : sett aldri den samme maskinen to ganger på samme nettverk. Dette vil skape kaos og i tilfelle AV EN DC, mulig ødelegge HELE ANNONSEN. Sørg for å sette» å bli gjenopprettet » DC i et isolert nettverkssegment, uten tilgang til den virkelige DC.

først alt alt, opprett en VMWare virtuell maskin, og sørg for å lage virtuelle disker som har minst samme størrelse som diskene i serverne. (Merk: jeg refererer til disker, ikke partisjoner.) HVIS DC har 3 partisjoner på 12 gb, og den totale disken er 36 gb, må du sørge for å lage 1 virtuell disk på minst 36 gb.

Start opp vmware-maskinen (oppstart Fra Windows 2003 server-CDEN.) Når du blir bedt om det, trykker Du F2 for Å gå INN I ASR-modus.

nar DU blir bedt OM a sette INN Asr-Disken, monterer du DEN .flp-fil som inneholder ASR-disketten. (Eller bare monter den fysiske disketten).

091407_2150_Howtorestor1

windows setup vil fortsette «laster filer…», bare vent til følgende skjermbilde vises :

091407_2150_Howtorestor2

Trykk På » C » for å fortsette oppsettet. Dette trinnet fjerner alt som er på diskene som er oppført i denne visningen.

deretter formateres diskene og kontrolleres…

091407_2150_Howtorestor3

… Og Windows setup vil fortsette å kopiere filer :

091407_2150_Howtorestor4

Vent til denne prosessen er fullført.

091407_2150_Howtorestor5

systemet vil starte på nytt i grafisk modus FOR ASR-prosessen. Pass på å endre BIOS for ikke å starte opp FRA CD eller diskett. (eller trykk ESC ved oppstart for å vise oppstartsmenyen). Du vil ende opp PÅ ASR Velkomstskjermen. Klikk neste for å fortsette (eller bare vent 90 sekunder)

091407_2150_Howtorestor6

Velg banen som inneholder ASR .bkf-fil. Hvis du har satt filen på en filserver i vmware-miljøet, bør DU kunne sette INN UNC-banen til mappen (\\ip \ sharename) og fortsette gjenopprettingsprosessen over nettverket. Hvis du gjør dette på en fysisk server, og hvis du har satt asr backup på tape, serveren skal kunne oppdage tape og finne asr backup automaticall. Selvfølgelig kan du også bla til bkf-filen over nettverket når du utfører en bare metallgjenoppretting på en fysisk server.

En mer rask merknad om tilgang til en filserver på nettverket. Nettverksdriveren vil bli lastet I ASR-modus, men du må sørge for AT DET er EN DHCP-server i nettverket. Hvis du gjør dette i et isolert miljø, kan du sette en annen 2003-server i samme isolerte vmware-miljø, og installere DHCP på den maskinen. DHCP skal være oppe og går på den tiden» å bli gjenopprettet » server støvler I asr grafisk modus. HVIS DHCP ikke fungerer, kan DU også stole PÅ APIPA. Bruk en sniffer (wireshark) på filserveren for å se APIPA-adressen til» gjenopprettes » – serveren :

091407_2150_Howtorestor7

Gi filserveren en apipa-adresse i samme nettverksområde, og de to skal kunne snakke med hverandre. I mitt eksempel har filserveren (det er Faktisk En Windows XP) IP 169.254.145.192, serveren har 169.254.145.191 (jeg fikk den adressen fra sniffer)

091407_2150_Howtorestor8

Gå tilbake TIL asr-prosessen. Når du er i dialogvinduet for å velge sikkerhetskopifilen, klikk «bla gjennom», og skriv INN unc-banen til aksjen på serveren. I mitt eksempel er det \ \ 169.254.145.192 \ data. Gi en bruker / passord for å koble til, når du blir spurt.

091407_2150_Howtorestor9

Velg bkf-filen som er lagret på serveren, og klikk på «åpne»

091407_2150_Howtorestor10

091407_2150_Howtorestor11
Klikk «neste» for å fortsette prosessen

Klikk «fullfør» for å starte gjenoppretting

091407_2150_Howtorestor12

091407_2150_Howtorestor13

Vent til prosessen er fullført. Ntbackup-programmet lukkes og serveren starter på nytt automatisk.

når maskinen starter på nytt, kan et par ting skje

  1. serveren starter og fungerer fint. Gratulerer. Selv om du trenger å installere skjermdrivere eller noen andre drivere etter oppstart, har du fortsatt gjort det vellykket. Og hvis du planlagt for disse typer scenario, du kan gjenopprette DC i en halv time eller så…
  2. serveren starter ikke opp. Prøv å reparere installasjonen ved å starte opp med 2003 server-cden og gå inn i reparasjonsmodus. (Du kan velge å reparere Windows-installasjonen etter at installasjonsprosessen har oppdaget en eksisterende windows-installasjon). Hvis det ikke virker, ta en titt på Følgende Microsoft KB :
    1. http://support.microsoft.com/kb/325375/en-us
    2. http://support.microsoft.com/kb/842009/en-us
    3. http://support.microsoft.com/kb/811944/en-us
    4. http://support.microsoft.com/kb/836421/en-us

hvis DU får DC til å fungere, bare sjekk Nettverksgrensesnittegenskapene. Hvis DU gjør EN ASR-gjenoppretting, er oddsene at Brannmuren vil bli slått på igjen. Sørg for å slå den av hvis det er det du trenger. Du må kanskje starte PÅ NYTT for Å FÅ AD til å kjøre riktig.

091407_2150_Howtorestor14

Hendelseslogg: msdtc feil / advarsler

Sjekk til slutt hendelsesloggen. Det er en ganske god sjanse for at DU vil se msdtc-feil / advarsler i hendelsesloggen. Du kan rydde opp disse ved hjelp av følgende prosedyrer :

Feil EventID 53258

Hvis Hendelseslogg-Programmet inneholder :

Kilde: MSDTC
Type: Advarsel
Kategori: SVC
Hendelses-ID: 53258
Beskrivelse: MS DTC kunne ikke behandle EN DC-Kampanje/Demotion-hendelse på riktig måte. MS DTC vil fortsette å fungere og vil bruke de eksisterende sikkerhetsinnstillingene. Feil Detaljer: %1

Start utstyr Komponenttjenester (Start-Programmer-Administrative Verktøy).
Utvid Komponenttjenester.
Utvid seksjon Datamaskiner.
Høyreklikk På Min Datamaskin, velg Egenskaper, msdtc-fanen.
Velg Sikkerhetskonfigurasjon, OG DERETTER OK.
Velg OK igjen.
Høyreklikk På Min Datamaskin, og velg Stopp MS DTC. Dette vil stoppe Den Distribuerte Transaksjonskoordinatoren.
Høyreklikk igjen På Min Datamaskin, og velg Start MS DTC.

kontroller også at «Network Service» har full kontroll på HKLM \ Software \ Microsoft \ Msdtc og alt under. Start deretter serveren på nytt.

Feil EventID 4404

Kilde: MSDTC
Type: Feil
Kategori: Sporing Infrastruktur
Hendelses-ID: 4404
Beskrivelse: MS DTC Sporing infrastruktur: initialisering av sporing infrastruktur mislyktes. Intern Informasjon: Msdtc_trace: Fil: d:\srvrtm\com\complus\dtc\dtc\trace\src\tracelib.cpp, Linje: 1107, StartTrace Mislyktes, hr = 0x80070070

Start utstyr Komponenttjenester(Start-Programmer-Administrative Verktøy).
Utvid Komponenttjenester.
Høyreklikk På Min Datamaskin, velg Egenskaper, msdtc-fanen.
Velg Sporingsalternativer.
Velg Stopp Økt, Ny Økt, Spyl Data og OK to ganger.
Høyreklikk På Min Datamaskin, og velg Stopp MS DTC. Dette vil stoppe Den Distribuerte Transaksjonskoordinatoren.
Høyreklikk igjen På Min Datamaskin, og velg Start MS DTC.

Feil EventID 1058, 1030

Kilde: Userenv
Type: Feil
Hendelses-ID: 1058
Beskrivelse: Windows får ikke tilgang til filen gpt.ini FOR GPO CN = {31B2F340-016D-11D2-945F-00C04FB984F9}, CN = Retningslinjer, Cn = System, DC = test, DC=netto. Filen må være til stede på stedet . (Nettverksplasseringen kan ikke nås. Hvis du vil ha informasjon om feilsøking i nettverket, kan Du se Hjelp For Windows.). Gruppepolicy behandling avbrutt.

eller også

Kilde: Userenv
Type: Feil
Hendelses-ID: 1030
Beskrivelse: Windows kan ikke spørre etter listen Over Gruppepolicyobjekter. Sjekk hendelsesloggen for mulige meldinger som tidligere er logget av policymotoren som beskriver årsaken til dette.

en fullstendig beskrivelse av løsningen finnes I Artikkelen Microsoft #842804 på http://support.microsoft.com/?id=842804 . Pass på at:
Netlogon og dfs-tjenester er startet.
Behandlingsansvarlig for domenet gyldig leser og anvender Regler fra Domenekontrollerpolicy.
NTFS-rettighetene til felles ressurs Sysvol er riktig konfigurert.
DNS-poster på server DNS er riktige.

Andre problemer

hvis du prøver å åpne AD U & C, og du får følgende feilmelding: «Navngi informasjon kan ikke finnes fordi det angitte domenet enten ikke finnes eller kan ikke kontaktes. Kontakt systemansvarlig for å bekrefte at domenet er riktig konfigurert og er tilkoblet for øyeblikket.», kontroller Windows-tidstjenesten og kontroller at Den kjører. Sjekk DNS og kontroller at DEN ikke inneholder noen referanser TIL DC-ER som ikke er tilgjengelige. Rydd OPP AD (fjern døde DC) ved hjelp av ntdsutil (se http://support.microsoft.com/kb/216498) og ved å fjerne oppføringer I DNS. Start på nytt og vent litt.

Neste, sjekk om sysvol og netlogon aksjer er tilgjengelige. Hvis ikke, sjekk http://www.jsifaq.com/SF/Tips/Tip.aspx?id=7979, http://support.microsoft.com/kb/316790, http://support.microsoft.com/kb/836421 og http://support.microsoft.com/kb/315457/.
Start På nytt og se hva som skjer. Hvis det virker, fyll opp sysvol-mappen med sysvol-sikkerhetskopien (slik at du får skript og gpo-er tilbake).

til Slutt, se opp for hendelser i Hendelsesloggen For Katalogtjenesten som sier at net logon-tjenesten ble satt på pause. (NTDS Hendelses-ID 2103: Active Directory-databasen er gjenopprettet ved hjelp av en gjenopprettingsprosedyre som ikke støttes. Active Directory kan ikke logge på brukere mens denne tilstanden vedvarer. Som et resultat har Net Logon-tjenesten satt på pause.) Hvis du starter netlogon-tjenesten manuelt, bør du ha en FUNGERENDE DC (men du har ikke løst problemet-men det er ok for nå. Hvis du virkelig ønsker å løse DETTE USN Rollback problemet også, sjekk http://blogs.dirteam.com/blogs/jorge/archive/2006/03/08/597.aspx, http://blogs.technet.com/petergal/archive/2006/02/04/418779.aspx, http://support.microsoft.com/kb/885875, http://www.ureader.com/message/1270504.aspx, http://www.mcse.ms/message1743890.html. Lykke til)

kjør nå en dcdiag og se etter feil og advarsler.

2 flere raske notater :

  1. ASR Backup / Restore er basert på EN ASR backup. Oddsen er AT ASR backup er litt eldre Enn den siste System State backup, så det kan være lurt å ta de siste ntds.dit fil, og utfør En Autoritativ Gjenoppretting på DENNE DC.
  2. hvis du måtte gjenopprette EN AV DC-ene fordi alle de andre døde i En Katastrofe, og DC du gjenoppretter ikke var den primære DC, må du gripe fsmo-rollene til DENNE DC. (avhengig av miljøet ditt, hvis dette er den eneste DC i skogen igjen for eksempel, må du gripe ALLE fsmo-rollene til DENNE DC. Du kan gjøre dette ved hjelp av ntdsutil). http://support.microsoft.com/kb/255504 :

ntdsutil
ntdsutil: roller
fsmo vedlikehold: tilkoblinger
servertilkoblinger: koble til serveren yourservername
Binding til yourservername …
Koblet til yourservername ved hjelp av legitimasjon for
lokalt logget på brukeren .
servertilkoblinger: q
fsmo vedlikehold: seize domain naming master
fsmo vedlikehold: seize infrastructure master
fsmo vedlikehold: seize PDC
fsmo vedlikehold: seize RID master
fsmo vedlikehold: seize schema master
fsmo vedlikehold: q
ntdsutil: q
Koble fra yourservername…

I Tillegg, hvis dette er den eneste DC som vil bli igjen, må du rydde opp alle de andre (hvis noen) før du fremmer nye servere i domenet. Ellers vil du ende opp med mange feil og advarsler, timeouts, … når denne restaurerte DC prøver å kontakte ANDRE DC-ER som ikke er der lenger. Se På Microsoft KB 216498 for å fjerne de døde DC-ENE

Linker:

slik flytter Du En windows-installasjon til annen maskinvare : http://support.microsoft.com/kb/249694
slik utfører du en gjenoppretting etter katastrofe Av Active Directory på en datamaskin med en annen maskinvarekonfigurasjon : http://support.microsoft.com/?id=263532
slik gjenoppbygger DU SYSVOL-treet og innholdet i et domene : http://support.microsoft.com/kb/315457/
Sysvol-Og Netlogon-Aksjene Mangler Etter At Du Har Gjenopprettet En Domenekontroller Fra Sikkerhetskopiering : http://support.microsoft.com/kb/316790
en domenekontroller fungerer ikke riktig? : http://www.jsifaq.com/SF/Tips/Tip.aspx?id=8320
windows_bare_metal_recovery: ntbackup: http://wiki.bacula.org/doku.php?id=windows_bare_metal_recovery:ntbackup
Gjenopprette fra en systemfeil Ved Hjelp Av Automatisert Systemgjenoppretting: http://technet2.microsoft.com/windowsserver/en/library/e96185f5-50b7-4b14-a2fd-0155d6b174f91033.mspx?mfr=true
HVORDAN ASR Fungerer : http://technet2.microsoft.com/windowsserver/en/library/7b4f0436-cc90-4b52-b6ab-064f9db8d2721033.mspx?mfr=true
Gjenopprette En Domenekontroller Gjennom Reinstallering: http://technet2.microsoft.com/WindowsServer/en/Library/2f44ad0e-f84d-47a2-956b-df3f8554ea541033.mspx
Utføre En Autoritativ Gjenoppretting Av Active Directory-Objekter: http://technet2.microsoft.com/WindowsServer/en/library/690730c7-83ce-4475-b9b4-46f76c9c7c901033.mspx
slik fungerer sikkerhetskopiering: http://technet2.microsoft.com/windowsserver/en/library/9143ba85-587e-409d-b612-617e6617fece1033.mspx?mfr=true

3. parts verktøy :
http://www.stratesave.com/html/htmlhelp/meba2d89.htm

Leave a Reply

Din e-postadresse vil ikke bli publisert.