Corelan Cybersecurity Research

Corelan Cybersecurity Research

o procedimento a seguir deve funcionar para qualquer tipo de hardware, mas usei o VMWare (portanto, esse procedimento também é válido se você quiser converter um controlador de domínio físico para VMWare). Além disso, o procedimento funciona para o Windows 2003 server, mas também para o Windows XP (professional)

pré-requisitos :

  • ASR backup .arquivo bkf e o disquete ASR que corresponde ao arquivo de backup ASR. Se você quiser recriar o disquete ASR, dê uma olhada em http://support.microsoft.com/kb/325854/en-us
  • disquete Asr convertido (use uma ferramenta como winimage para converter o disquete em um .ima ou .arquivo img e, em seguida, renomeie o.IMA/.arquivo img para .flp, ou dê uma olhada em http://www.vmware.com/community/thread.jspa;jsessionid=9977DD123ECD2AA3C2E131C02E35998E?messageID=210767𳝏 ou http://www.vmware.com/community/thread.jspa?threadID=18046 )
  • você precisará ter acesso ao .arquivo bkf durante a configuração do Windows no modo ASR.Isso é um pouco complicado. As únicas duas maneiras que conheço desse trabalho (leia: que eu mesmo testei) São fazer backup da fita e ter a unidade de fita e a fita disponíveis durante a restauração ASR; ou Faça backup no disco e coloque o bkf em um servidor no ambiente vmware. Compartilhe a pasta que contém o bkf. Só não coloque o arquivo bkf nos discos que conterão o Windows server depois, porque todos os dados serão removidos durante a configuração ASR. De acordo com algumas pessoas, você deve ser capaz de colocar o arquivo bkf em um dos discos no servidor onde o ASR será executado. Contanto que ele não fique na partição que possui arquivos de sistema e, enquanto a partição que manterá o arquivo bkf também estiver disponível no DC real, ele deve funcionar. (Mas eu tendem a não acreditar nesta Declaração, porque um dos primeiros passos no processo é realmente limpar as partições e volumes nos discos … então o disco que contém o arquivo bkf seria esvaziado também … certo ?)
  • configuração de Disco do servidor físico (tamanho de cada disco)
  • Windows 2003 server CD
  • certifique-se de que o vmware máquina não tiver acesso à máquina de produção, se você está tentando esta simulação/fins de teste. Defina a máquina virtual para usar uma rede interna vmware, sem conexão com o resto da rede.
  • outros conjuntos de backup (estado recente do sistema, conteúdo do Sysvol, …)

Antes de começar: nunca coloque a mesma máquina duas vezes na mesma rede. Isso criará estragos e, no caso de um DC, possível arruinar todo o seu anúncio. Certifique-se de colocar o DC “a ser restaurado” em um segmento de rede isolado, sem acesso ao DC real. Primeiro de tudo, crie uma máquina virtual VMWare e certifique-se de criar discos virtuais que tenham pelo menos o mesmo tamanho que os discos nos servidores. (Nota: estou me referindo a discos, não partições.) Se o seu DC tiver 3 partições de 12 Gb e o disco total for de 36 GB, certifique-se de criar 1 disco virtual de pelo menos 36 GB.

inicialize a máquina vmware (inicialize a partir do CD do servidor Windows 2003.) Quando solicitado, pressione F2 para entrar no modo ASR.

quando você for solicitado a inserir o disco ASR, monte o.arquivo flp contendo o disquete ASR. (Ou apenas montar o disquete físico).

091407_2150_Howtorestor1

a configuração do Windows continuará ” carregando arquivos…”, aguarde até que a tela a seguir apareça :

091407_2150_Howtorestor2

Pressione “C” para continuar a configuração. Esta etapa removerá tudo o que está nos discos listados nesta exibição.

em seguida, os discos serão formatados e verificada…

091407_2150_Howtorestor3

… e a instalação do Windows vai continuar a copiar arquivos :

091407_2150_Howtorestor4

Aguarde até que o processo tenha sido concluído.

091407_2150_Howtorestor5

o sistema será reiniciado no modo gráfico do processo ASR. Certifique-se de alterar o BIOS para não inicializar a partir de CD ou disquete. (ou pressione ESC no momento da inicialização para mostrar o menu de inicialização). Você vai acabar na tela de boas-vindas ASR. Clique em avançar para continuar (ou apenas aguarde 90 segundos)

091407_2150_Howtorestor6

Selecione o caminho que contém o ASR .arquivo bkf. Se você colocou o arquivo em um servidor de arquivos em seu ambiente vmware, você deve ser capaz de colocar no caminho UNC para a pasta (\\ip\sharename) e continuar o processo de restauração pela rede. Se você está fazendo isso em um servidor físico e se você colocou o backup asr em fita, o servidor deve ser capaz de detectar a fita e encontrar o ASR backup automaticall. Claro, Você também pode navegar até o arquivo bkf pela rede quando estiver executando uma restauração bare metal em um servidor físico.

mais uma nota rápida sobre como acessar um servidor de arquivos na rede. O driver de rede será carregado no modo ASR, mas você precisará ter certeza de que há um servidor DHCP na rede. Se você estiver fazendo isso em um ambiente isolado, poderá colocar outro servidor 2003 no mesmo ambiente vmware isolado e instalar o DHCP nessa máquina. O DHCP deve estar instalado e funcionando no momento em que o servidor” a ser restaurado ” é inicializado no modo gráfico ASR. Se o DHCP não funcionar, você também pode confiar no APIPA. Use um sniffer (wireshark) no servidor de arquivos para ver o endereço APIPA do servidor ” a ser restaurado:

091407_2150_howtorestor7

dê ao servidor de arquivos um endereço apipa no mesmo intervalo de rede, e os dois devem poder falar um com o outro. No meu exemplo, o servidor de arquivos (na verdade, é um Windows XP) tem IP 169.254.145.192, o servidor tem 169.254.145.191 (eu tenho que endereço a partir do sniffer)

091407_2150_Howtorestor8

volta para o processo ASR. Quando você estiver na janela de diálogo para selecionar seu arquivo de backup, clique em” procurar ” e insira o caminho UNC para o compartilhamento no servidor. No meu exemplo, isso é \ \ 169.254.145.192 \ data. Forneça um usuário / senha para se conectar, quando solicitado.

091407_2150_Howtorestor9

Selecione o arquivo bkf que é armazenado no servidor e clique em “abrir”

091407_2150_Howtorestor10

091407_2150_Howtorestor11
Clique em “next” para continuar o processo de

Clique em “concluir” para começar a restauração

091407_2150_Howtorestor12

091407_2150_Howtorestor13

Aguarde até o processo ser concluído. O aplicativo ntbackup será fechado e o servidor será reiniciado automaticamente.

quando a máquina é reinicializada, algumas coisas podem acontecer

  1. o servidor inicializa e funciona bem. Parabem. Mesmo se você precisar instalar drivers de exibição ou alguns outros drivers após a inicialização, você ainda fez isso com sucesso. E se você planejou para esses tipos de cenário, Você poderia restaurar seu DC em meia hora ou mais…
  2. o servidor não inicializa. Tente reparar a instalação inicializando com o CD do servidor 2003 e entre no modo de reparo. (Você pode optar por reparar a instalação do Windows após o processo de configuração ter detectado uma instalação existente do Windows). Se isso não funcionar, dê uma olhada no seguinte Microsoft (KB :
    1. http://support.microsoft.com/kb/325375/en-us
    2. http://support.microsoft.com/kb/842009/en-us
    3. http://support.microsoft.com/kb/811944/en-us
    4. http://support.microsoft.com/kb/836421/en-us

Se você obter o seu DC para o trabalho, apenas para verificar a Rede de propriedades da Interface. Se você fizer uma restauração ASR, as chances são de que o Firewall será ligado novamente. Certifique-se de desligá-lo se for isso que você precisa. Talvez seja necessário reiniciar para que o anúncio seja executado corretamente.

091407_2150_howtorestor14

log de eventos : erros/avisos do MSDTC

finalmente, verifique o log de eventos. Há uma boa chance de você ver erros/avisos do MSDTC no log de eventos. Você pode limpá-las com os seguintes procedimentos :

Erro Id do evento 53258

Se o Log de Eventos do Aplicativo contém :

Fonte: MSDTC
Tipo: Aviso
Categoria: SVC
ID do Evento: 53258
Descrição: o MS DTC não pode processar corretamente um DC Promoção/Rebaixamento do evento. O MS DTC continuará a funcionar e usará as configurações de segurança existentes. Detalhes do erro: % 1

iniciar Serviços de componentes de equipamentos (Iniciar – Programas – Ferramentas Administrativas).
Expandir Serviços De Componentes.
expandir computadores de seção.
clique com o botão direito do mouse no Meu Computador, selecione Propriedades, guia MSDTC.
selecione Configuração de segurança e, em seguida, OK.
selecione OK novamente.
clique com o botão direito do mouse no Meu Computador e selecione Parar MS DTC. Isso interromperá o Coordenador de Transações Distribuídas.
clique com o botão direito novamente no Meu Computador e selecione Iniciar MS DTC.

além disso, certifique-se de “Serviço de rede” tem controle total sobre HKLM\Software\Microsoft\MSDTC e tudo abaixo. Em seguida, reinicie o servidor.

Error EventID 4404

Source: MSDTC
Type: Error
Category: Tracing Infrastructure
Event ID: 4404
Description: MS DTC Tracing infrastructure: a inicialização da infraestrutura De Rastreamento falhou. Informações internas: msdtc_trace: arquivo: d:\srvrtm\com\complus\dtc\dtc\trace\src\tracelib.cpp, linha: 1107, StartTrace falhou, hr = 0x80070070

iniciar Serviços de componentes de equipamentos (Iniciar – Programas – Ferramentas Administrativas).
Expandir Serviços De Componentes.
clique com o botão direito do mouse no Meu Computador, selecione Propriedades, guia MSDTC.
Escolha Opções De Rastreamento.
selecione Parar sessão, nova sessão, dados de descarga e OK duas vezes.
clique com o botão direito do mouse no Meu Computador e selecione Parar MS DTC. Isso interromperá o Coordenador de Transações Distribuídas.
clique com o botão direito novamente no Meu Computador e selecione Iniciar MS DTC.

Erros EventID 1058, 1030

Fonte: Userenv
Tipo: Erro
ID do evento: 1058
Descrição: O Windows não pode acessar o arquivo gpt.ini para GPO CN = {31B2F340-016d-11d2-945f-00C04FB984F9}, CN=Políticas, CN=sistema, DC=teste, DC=rede. O arquivo deve estar presente no local . (A localização da rede não pode ser alcançada. Para obter informações sobre solução de problemas de rede, consulte Ajuda do Windows.). Processamento de Política de grupo abortado.

ou

Fonte: Userenv
Tipo: Erro
ID do Evento: 1030
Descrição: o Windows não pode consultar a lista de objectos de Política de Grupo. Verifique o log de eventos para possíveis mensagens registradas anteriormente pelo mecanismo de política que descreve o motivo disso.

uma descrição completa da solução está contida no artigo Microsoft # 842804 em http://support.microsoft.com/?id=842804. Certifique-se de que:
os Serviços Netlogon e DFS são iniciados.
O controlador do domínio válido lê e aplica regras da Política de controladores de domínio.
os direitos NTFS ao Sysvol de recurso comum são configurados corretamente.
os registros DNS no DNS do servidor estão corretos.

Outros problemas

Se você tentar abrir AD U&C, e você está recebendo o seguinte erro : “informações de Nomeação não podem ser localizadas porque o domínio especificado não existe ou não pode ser contatado. Entre em contato com o administrador do sistema para verificar se seu domínio está configurado corretamente e está online no momento.”, verifique o serviço Windows Time e verifique se ele está em execução. Verifique o DNS e verifique se ele não contém referências a dc’s que não estão disponíveis. Limpe o anúncio (remova DC mortos) usando ntdsutil (veja http://support.microsoft.com/kb/216498) e removendo entradas no DNS. Reinicie e aguarde um pouco.

em seguida, verifique se as ações sysvol e netlogon estão disponíveis. Caso contrário, verifique http://www.jsifaq.com/SF/Tips/Tip.aspx?id=7979, http://support.microsoft.com/kb/316790, http://support.microsoft.com/kb/836421 e http://support.microsoft.com/kb/315457/.
reinicie e veja o que acontece. Se funcionar, preencha a pasta sysvol com o backup sysvol (para que você tenha seus scripts e GPO de volta) .

finalmente, cuidado com os eventos no log de eventos do serviço de diretório que dizem que o serviço de logon net foi pausado. (NTDS Event ID 2103 : o banco de dados do Active Directory foi restaurado usando um procedimento de restauração não suportado. O Active Directory não poderá fazer logon nos usuários enquanto essa condição persistir. Como resultado, o serviço Net Logon foi pausado.) Se você iniciar o serviço netlogon manualmente, deverá ter um DC funcional (mas não terá resolvido o problema – mas tudo bem por enquanto. Se você realmente quiser resolver esse problema de reversão do USN também, verifique http://blogs.dirteam.com/blogs/jorge/archive/2006/03/08/597.aspx, http://blogs.technet.com/petergal/archive/2006/02/04/418779.aspx, http://support.microsoft.com/kb/885875, http://www.ureader.com/message/1270504.aspx, http://www.mcse.ms/message1743890.html. Boa sorte)

Agora execute um dcdiag e procure erros e avisos.

mais 2 notas rápidas :

  1. o Backup/Restauração ASR é baseado em um backup ASR. As chances são de que o backup ASR seja um pouco mais antigo que o último backup do Estado do sistema, então pode ser uma boa ideia pegar os últimos ntds.arquivo dit e execute uma restauração autoritária neste DC.
  2. se você tivesse que restaurar um dos DC porque todos os outros morreram em um desastre, e o DC que você está restaurando não era o DC principal, então você precisa aproveitar os papéis do FSMO para este DC. (dependendo do seu ambiente, se este for o único DC na floresta restante, por exemplo, você precisará aproveitar todas as funções do FSMO para este DC. Você pode fazer isso usando ntdsutil). http://support.microsoft.com/kb/255504 :

ntdsutil
ntdsutil: funções
fsmo maintenance: conexões
conexões de servidor: conectar-se ao servidor yourservername
Ligação para yourservername …
Conectado para yourservername usando credenciais de
usuário conectado localmente.
server connections: q
FSMO maintenance: seize domain naming master
FSMO maintenance: seize infrastructure master
fsmo maintenance: seize rid master
FSMO maintenance: seize schema master
fsmo maintenance: q
ntdsutil: Q
desconectando do yourservername…

além disso, se este for o único DC que sobrará, você terá que limpar todos os outros (se houver) antes de promover novos servidores no domínio. Caso contrário, você acabará com muitos erros e avisos, tempos limite, … quando este DC restaurado tentar entrar em contato com outros DC que não estão mais lá. Olhar para o Microsoft KB 216498 para remover os mortos DC

Links :

Como mover uma instalação do Windows para hardware diferente : http://support.microsoft.com/kb/249694
Como executar uma restauração de recuperação de desastre do Active Directory em um computador com uma configuração de hardware diferente : http://support.microsoft.com/?id=263532
Como reconstruir a árvore SYSVOL e o seu conteúdo em um domínio : http://support.microsoft.com/kb/315457/
Os Compartilhamentos Netlogon e Sysvol Estão Faltando Após Você Restaurar um Controlador de Domínio de Cópia de segurança : http://support.microsoft.com/kb/316790
Um controlador de domínio não está a funcionar correctamente? : http://www.jsifaq.com/SF/Tips/Tip.aspx?id=8320
windows_bare_metal_recovery: ntbackup: http://wiki.bacula.org/doku.php?id=windows_bare_metal_recovery:ntbackup
recuperar de uma falha do sistema usando a recuperação automatizada do sistema: http://technet2.microsoft.com/windowsserver/en/library/e96185f5-50b7-4b14-a2fd-0155d6b174f91033.mspx?mfr=true
como funciona o ASR : http://technet2.microsoft.com/windowsserver/en/library/7b4f0436-cc90-4b52-b6ab-064f9db8d2721033.mspx?mfr=true
restaurando um controlador de domínio por meio da reinstalação: http://technet2.microsoft.com/WindowsServer/en/Library/2f44ad0e-f84d-47a2-956b-df3f8554ea541033.mspx
realizando uma restauração autorizada de objetos do Active Directory: http://technet2.microsoft.com/WindowsServer/en/library/690730c7-83ce-4475-b9b4-46f76c9c7c901033.mspx
como o backup funciona : http://technet2.microsoft.com/windowsserver/en/library/9143ba85-587e-409d-b612-617e6617fece1033.mspx?mfr=true

ferramentas de terceiros:
http://www.stratesave.com/html/htmlhelp/meba2d89.htm

Leave a Reply

O seu endereço de email não será publicado.