Corelan Cybersecurity Research

Corelan Cybersecurity Research

poniższa procedura powinna działać dla każdego typu sprzętu, ale użyłem VMWare (więc ta procedura jest również ważna, jeśli chcesz przekonwertować fizyczny kontroler domeny na VMWare). Dodatkowo procedura działa dla Windows 2003 server, ale także Dla Windows XP (professional)

:

  • ASR backup .plik bkf i dyskietkę ASR, która odpowiada plikowi kopii zapasowej ASR. Jeśli chcesz ponownie utworzyć dyskietkę ASR, spójrz na http://support.microsoft.com/kb/325854/en-us
  • przekonwertowaną dyskietkę ASR (użyj narzędzia takiego jak winimage, aby przekonwertować dyskietkę na a .ima lub .plik img, a następnie zmienić nazwę .ima/plik img do .flp, lub zobacz http://www.vmware.com/community/thread.jspa;jsessionid=9977DD123ECD2AA3C2E131C02E35998E?messageID=210767𳝏 lub http://www.vmware.com/community/thread.jspa?threadID=18046 )
  • będziesz musiał mieć dostęp do.plik bkf podczas konfiguracji systemu Windows w trybie ASR.To trochę skomplikowane. Jedyne 2 sposoby, które znam o tej pracy (czytaj: że sam testowałem) to albo Backup do taśmy, i mieć napęd taśmowy i taśmę dostępną podczas przywracania ASR; lub utwórz kopię zapasową na dysku i umieść bkf na serwerze w środowisku vmware. Udostępnij folder zawierający bkf. Po prostu nie umieszczaj pliku bkf na dyskach, które później będą zawierały Windows server, ponieważ wszystkie dane zostaną usunięte podczas konfiguracji ASR. Według niektórych osób, powinieneś być w stanie umieścić plik bkf na jednym z dysków na serwerze, na którym będzie działał ASR. Tak długo, jak nie znajduje się na partycji, na której znajdują się pliki systemowe, i tak długo, jak partycja, na której będzie przechowywany plik bkf, jest również dostępna w prawdziwym DC, powinna działać. (Ale raczej nie wierzę w to stwierdzenie, ponieważ jednym z pierwszych kroków w tym procesie jest wyczyszczenie partycji i woluminów na dyskach … więc dysk zawierający plik bkf również byłby opróżniony… prawda ?)
  • konfiguracja dysku fizycznego serwera (rozmiar każdego dysku)
  • Windows 2003 Server CD
  • upewnij się, że maszyna vmware nie ma dostępu do maszyny produkcyjnej, jeśli próbujesz tego w celach symulacji/testowania. Ustaw maszynę wirtualną tak, aby używała sieci wewnętrznej vmware, bez połączenia z resztą sieci.
  • Inne zestawy kopii zapasowych (ostatni stan systemu, zawartość Sysvol, …)

zanim zaczniesz: nigdy nigdy nie umieszczaj tego samego urządzenia dwa razy w tej samej sieci. Spowoduje to spustoszenie, a w przypadku DC możliwe zrujnowanie całej reklamy. Upewnij się, aby umieścić „do przywrócenia” DC w izolowanym segmencie sieci, bez dostępu do prawdziwego DC.

po pierwsze, Utwórz maszynę wirtualną VMWare i upewnij się, że utworzysz dyski wirtualne, które mają co najmniej taki sam rozmiar jak dyski na serwerach. (Uwaga: mam na myśli dyski, nie partycje.) Jeśli twój DC mA 3 partycje po 12 Gb, a całkowity dysk to 36 GB, upewnij się, że utworzyłeś 1 wirtualny dysk o pojemności co najmniej 36 GB.

uruchom maszynę vmware (uruchom ją z płyty CD z systemem Windows 2003 server.) Po wyświetleniu monitu naciśnij klawisz F2, aby przejść do trybu ASR.

gdy pojawi się monit o włożenie dysku ASR, zamontuj .plik flp zawierający dyskietkę ASR. (Lub po prostu zamontować fizyczną dyskietkę).

091407_2150_howtorestor1

konfiguracja systemu Windows będzie kontynuowana ” ładowanie plików…”, po prostu poczekaj, aż pojawi się następujący ekran :

091407_2150_howtorestor2

Naciśnij „C”, aby kontynuować konfigurację. Ten krok usunie wszystko, co znajduje się na dyskach wymienionych w tym widoku.

następnie dyski zostaną sformatowane i sprawdzone…

091407_2150_Howtorestor3

… i konfiguracja systemu Windows będzie kontynuować kopiowanie plików :

091407_2150_howtorestor4

poczekaj na zakończenie tego procesu.

091407_2150_howtorestor5

system uruchomi się ponownie w trybie graficznym procesu ASR. Upewnij się, że BIOS nie uruchamia się z płyty CD lub dyskietki. (lub naciśnij ESC podczas rozruchu, aby wyświetlić menu rozruchowe). Skończysz na ekranie powitalnym ASR. Kliknij Dalej, aby kontynuować (lub po prostu poczekaj 90 sekund)

091407_2150_howtorestor6

Wybierz ścieżkę zawierającą ASR .plik bkf. Jeśli umieściłeś plik na serwerze plików w środowisku vmware, powinieneś być w stanie umieścić ścieżkę UNC do folderu (\\ip\sharename) i kontynuować proces przywracania przez sieć. Jeśli robisz to na fizycznym serwerze i jeśli umieściłeś kopię zapasową asr na taśmie, serwer powinien być w stanie wykryć taśmę i znaleźć kopię zapasową ASR automatycznie. Oczywiście możesz również przeglądać plik bkf przez sieć, gdy wykonujesz przywracanie gołego metalu na fizycznym serwerze.

jeszcze jedna szybka uwaga na temat dostępu do serwera plików w sieci. Sterownik sieciowy zostanie załadowany w trybie ASR, ale musisz upewnić się, że w sieci znajduje się serwer DHCP. Jeśli robisz to w izolowanym środowisku, możesz umieścić inny serwer 2003 w tym samym izolowanym środowisku vmware i zainstalować DHCP na tym komputerze. DHCP powinien być uruchomiony w czasie uruchamiania serwera „do przywrócenia” w trybie graficznym ASR. Jeśli DHCP nie działa, możesz również polegać na APIPA. Użyj sniffera (wireshark) na serwerze plików, aby zobaczyć adres APIPA serwera „do przywrócenia”:

091407_2150_howtorestor7

podaj serwerowi plików adres apipa w tym samym zakresie sieci, a oba powinny być w stanie ze sobą rozmawiać. W moim przykładzie serwer plików (faktycznie jest to Windows XP) ma IP 169.254.145.192, serwer ma 169.254.145.191 (dostałem ten adres z sniffera)

091407_2150_Howtorestor8

wróć do procesu ASR. Gdy znajdziesz się w oknie dialogowym, aby wybrać plik kopii zapasowej, kliknij „Przeglądaj” i wprowadź ścieżkę UNC do udziału na serwerze. W moim przykładzie jest to \ \ 169.254.145.192 \ data. Podaj użytkownika/hasło do połączenia, na żądanie.

091407_2150_howtorestor9

Wybierz plik BKF przechowywany na serwerze i kliknij „Otwórz”

091407_2150_Howtorestor10

091407_2150_Howtorestor11
kliknij „Dalej”, aby kontynuować proces

kliknij „Zakończ”, aby rozpocząć przywracanie

091407_2150_Howtorestor12

091407_2150_howtorestor13

poczekaj na zakończenie procesu. Aplikacja ntbackup zostanie zamknięta, a serwer automatycznie uruchomi się ponownie.

po ponownym uruchomieniu maszyny może się zdarzyć kilka rzeczy

  1. serwer uruchamia się i działa dobrze. Gratulacje. Nawet jeśli musisz zainstalować sterowniki wyświetlacza lub inne sterowniki po rozruchu, nadal udało ci się to zrobić. A jeśli planujesz tego typu scenariusze, możesz przywrócić DC w pół godziny lub więcej…
  2. Serwer się nie uruchamia. Spróbuj naprawić instalację, uruchamiając płytę CD z serwerem 2003 i przejdź do trybu naprawy. (Możesz naprawić instalację systemu Windows po wykryciu istniejącej instalacji systemu Windows). Jeśli to nie zadziała, zapoznaj się z poniższymi plikami Microsoft KB :
    1. http://support.microsoft.com/kb/325375/en-us
    2. http://support.microsoft.com/kb/842009/en-us
    3. http://support.microsoft.com/kb/811944/en-us
    4. http://support.microsoft.com/kb/836421/en-us

jeśli uruchomisz DC, sprawdź właściwości interfejsu sieciowego. Jeśli wykonasz przywracanie ASR, szanse są takie, że Zapora zostanie ponownie włączona. Upewnij się, że go wyłączyć, jeśli to jest to, czego potrzebujesz. Może być konieczne ponowne uruchomienie, aby reklama działała poprawnie.

091407_2150_howtorestor14

Dziennik zdarzeń : błędy/ostrzeżenia MSDTC

na koniec sprawdź dziennik zdarzeń. Jest całkiem spora szansa, że zobaczysz błędy/ostrzeżenia MSDTC w dzienniku zdarzeń. Można je wyczyścić za pomocą następujących procedur:

błąd EventID 53258

Jeśli aplikacja dziennika zdarzeń zawiera :

źródło: MSDTC
Typ: Ostrzeżenie
Kategoria: SVC
Identyfikator zdarzenia: 53258
opis: MS DTC nie może poprawnie przetworzyć zdarzenia promocji/degradacji DC. MS DTC będzie nadal działać i będzie korzystać z istniejących ustawień zabezpieczeń. Szczegóły błędu: % 1

uruchom usługi komponentów sprzętu (Start – Programy – Narzędzia administracyjne).
Rozwiń Usługi Komponentów.
rozwiń Dział Komputery.
kliknij prawym przyciskiem myszy Mój komputer, wybierz Właściwości, kartę MSDTC.
Wybierz Security Configuration, a następnie OK.
ponownie wybierz OK.
kliknij prawym przyciskiem myszy Mój komputer i wybierz Zatrzymaj MS DTC. Spowoduje to zatrzymanie koordynatora transakcji rozproszonych.
kliknij ponownie prawym przyciskiem myszy na moim komputerze i wybierz Uruchom MS DTC.

upewnij się również, że „Usługa sieciowa” ma pełną kontrolę nad HKLM\Software\Microsoft\MSDTC i wszystkim poniżej. Następnie uruchom ponownie serwer.

błąd EventID 4404

źródło: MSDTC
Typ: Błąd
Kategoria: Infrastruktura śledzenia
ID zdarzenia: 4404
opis: Infrastruktura śledzenia MS DTC: inicjalizacja infrastruktury śledzenia nie powiodła się. Informacje wewnętrzne: msdtc_trace: plik: d:\srvrtm\com\complus\dtc\dtc\trace\src\tracelib.cpp, Line: 1107, Starttrace Failed, hr=0x80070070

uruchom usługi komponentów sprzętu (Start – Programy – Narzędzia administracyjne).
Rozwiń Usługi Komponentów.
kliknij prawym przyciskiem myszy Mój komputer, wybierz Właściwości, kartę MSDTC.
Wybierz Opcje Śledzenia.
wybierz Zatrzymaj sesję, nową sesję, spłukiwanie danych i dwukrotnie OK.
kliknij prawym przyciskiem myszy Mój komputer i wybierz Zatrzymaj MS DTC. Spowoduje to zatrzymanie koordynatora transakcji rozproszonych.
kliknij ponownie prawym przyciskiem myszy na moim komputerze i wybierz Uruchom MS DTC.

Błędy EventID 1058, 1030

Źródło: Userenv
Typ: Błąd
Identyfikator zdarzenia: 1058
opis: System Windows nie może uzyskać dostępu do pliku gpt.ini dla GPO CN = {31B2F340-016D-11D2-945F-00C04FB984F9}, CN=Polityka, CN=System, DC=test, DC=net. Plik musi być obecny w lokalizacji . (Lokalizacja sieci nie może być osiągnięta. Aby uzyskać informacje na temat rozwiązywania problemów z siecią, zobacz Pomoc systemu Windows.). Przetwarzanie zasad grupy przerwane.

lub również

źródło: Userenv
Typ: Błąd
Identyfikator zdarzenia: 1030
opis: System Windows nie może wyszukać listy obiektów zasad grupy. Sprawdź dziennik zdarzeń pod kątem ewentualnych wiadomości wcześniej zarejestrowanych przez silnik zasad, które opisują przyczynę tego zdarzenia.

pełny opis rozwiązania znajduje się w artykule Microsoft #842804 pod adresem http://support.microsoft.com/?id=842804 . Upewnij się, że:
usługi Netlogon i DFS zostały uruchomione.
Kontroler poprawnej domeny odczytuje i stosuje reguły z polityki kontrolerów domeny.
NTFS-rights to common resource Sysvol są poprawnie skonfigurowane.
rekordy DNS na serwerze DNS są poprawne.

inne problemy

jeśli próbujesz otworzyć AD U & C, a otrzymasz następujący błąd : „nie można znaleźć informacji o nazwach, ponieważ określona domena albo nie istnieje, albo nie można się z nią skontaktować. Skontaktuj się z administratorem systemu, aby sprawdzić, czy domena jest prawidłowo skonfigurowana i jest aktualnie online.”, sprawdź usługę Windows Time I upewnij się, że jest uruchomiona. Sprawdź DNS i upewnij się, że nie zawiera żadnych odniesień do DC, które nie są dostępne. Oczyść reklamy (usuń martwe DC) za pomocą ntdsutil (patrz http://support.microsoft.com/kb/216498) i usuwając wpisy w DNS. Uruchom ponownie i poczekaj chwilę.

następnie sprawdź, czy akcje SYSVOL i netlogon są dostępne. Jeśli nie, sprawdź http://www.jsifaq.com/SF/Tips/Tip.aspx?id=7979, http://support.microsoft.com/kb/316790, http://support.microsoft.com/kb/836421 i http://support.microsoft.com/kb/315457/
Uruchom ponownie i zobacz co się stanie. Jeśli to działa, wypełnij folder SYSVOL z kopii zapasowej sysvol (więc będziesz mieć swoje skrypty i gpo z powrotem).

na koniec uważaj na zdarzenia w dzienniku zdarzeń usługi katalogowej, które mówią, że usługa logowania do sieci została wstrzymana. (NTDS Event ID 2103: baza danych Active Directory została przywrócona przy użyciu nieobsługiwanej procedury przywracania. Usługa Active Directory nie będzie mogła logować użytkowników, gdy ten warunek będzie się utrzymywał. W rezultacie usługa logowania do sieci została wstrzymana.) Jeśli uruchomisz usługę netlogon ręcznie, powinieneś mieć działający DC (ale nie rozwiązałeś problemu – ale na razie jest ok. Jeśli naprawdę chcesz rozwiązać ten problem z wycofaniem USN, sprawdź http://blogs.dirteam.com/blogs/jorge/archive/2006/03/08/597.aspx, http://blogs.technet.com/petergal/archive/2006/02/04/418779.aspx, http://support.microsoft.com/kb/885875, http://www.ureader.com/message/1270504.aspx, http://www.mcse.ms/message1743890.html. Powodzenia)

Teraz uruchom dcdiag i poszukaj błędów i ostrzeżeń.

2 więcej szybkich notatek :

  1. Kopia zapasowa/Przywracanie ASR jest oparta na kopii zapasowej ASR. Są szanse, że kopia zapasowa ASR jest nieco starsza niż ostatnia kopia zapasowa stanu systemu, więc dobrym pomysłem może być pobranie ostatnich NTD.plik dit, i wykonaj autorytatywne Przywracanie na tym DC.
  2. gdybyś musiał przywrócić jedno z DC, bo wszystkie inne zginęły w katastrofie, A DC, które przywracasz, nie było głównym DC, to musisz przejąć role FSMO do tego DC. (w zależności od środowiska, jeśli na przykład jest to jedyny DC w lesie, musisz przejąć wszystkie role FSMO do tego DC. Można to zrobić za pomocą ntdsutil). http://support.microsoft.com/kb/255504 :

ntdsutil
Ntdsutil: role
konserwacja fsmo: połączenia
połączenia serwera: połącz się z serwerem yourservername
powiązanie z yourservername …
podłączony do yourservername przy użyciu poświadczeń
lokalnie zalogowanego użytkownika.
połączenia serwera: q
konserwacja fsmo: przejęcie mistrza nazewnictwa domen
konserwacja FSMO: przejęcie mistrza infrastruktury
konserwacja FSMO: przejęcie PDC
konserwacja fsmo: przejęcie mistrza RID
konserwacja FSMO: przejęcie mistrza schematu
konserwacja FSMO: q
Ntdsutil: q
odłączanie od nazwy użytkownika…

Dodatkowo, jeśli jest to jedyne DC, które pozostanie, będziesz musiał oczyścić wszystkie pozostałe (jeśli w ogóle) przed promowaniem nowych serwerów w domenie. W przeciwnym razie, skończysz z wieloma błędami i ostrzeżeniami, limitami czasu, … kiedy to przywrócone DC spróbuje skontaktować się z innymi DC, których już nie ma. Spójrz na Microsoft KB 216498, aby usunąć martwe DC

linki:

jak przenieść instalację Windows na inny sprzęt : http://support.microsoft.com/kb/249694
jak wykonać przywracanie Active Directory po awarii na komputerze z inną konfiguracją sprzętową: http://support.microsoft.com/?id=263532
jak odbudować drzewo SYSVOL i jego zawartość w domenie: http://support.microsoft.com/kb/315457/
brakuje udziałów SYSVOL i Netlogon po przywróceniu kontrolera domeny z kopii zapasowej : http://support.microsoft.com/kb/316790
kontroler domeny nie działa poprawnie? : http://www.jsifaq.com/SF/Tips/Tip.aspx?id=8320
windows_bare_metal_recovery: ntbackup: http://wiki.bacula.org/doku.php?id=windows_bare_metal_recovery:ntbackup
Odzyskaj po awarii systemu za pomocą automatycznego odzyskiwania systemu: http://technet2.microsoft.com/windowsserver/en/library/e96185f5-50b7-4b14-a2fd-0155d6b174f91033.mspx?mfr=true
jak działa ASR : http://technet2.microsoft.com/windowsserver/en/library/7b4f0436-cc90-4b52-b6ab-064f9db8d2721033.mspx?mfr=true
Przywracanie kontrolera domeny poprzez reinstalację : http://technet2.microsoft.com/WindowsServer/en/Library/2f44ad0e-f84d-47a2-956b-df3f8554ea541033.mspx
Wykonywanie autorytatywnego przywracania obiektów Active Directory: http://technet2.microsoft.com/WindowsServer/en/library/690730c7-83ce-4475-b9b4-46f76c9c7c901033.mspx
jak działa kopia zapasowa: http://technet2.microsoft.com/windowsserver/en/library/9143ba85-587e-409d-b612-617e6617fece1033.mspx?mfr=true

narzędzia innych firm :
http://www.stratesave.com/html/htmlhelp/meba2d89.htm

Leave a Reply

Twój adres e-mail nie zostanie opublikowany.