Corelan Cybersecurity Research

Corelan Cybersecurity Research

următoarea procedură ar trebui să funcționeze pentru orice tip de hardware, dar am folosit VMWare (deci această procedură este valabilă și dacă doriți să convertiți un controler de domeniu fizic în VMWare). În plus, procedura funcționează Pentru Windows 2003 server, dar și pentru Windows XP (professional)

cerințe preliminare :

  • ASR de rezervă .fișierul bkf și discheta ASR care corespunde fișierului de rezervă ASR. Dacă doriți să recreați discheta ASR, aruncați o privire la http://support.microsoft.com/kb/325854/en-us
  • convertite Asr floppy (utilizați un instrument precum winimage pentru a converti discheta într-un .ima sau .fișier img, și apoi redenumiți .aim/.fișier img la .flp, sau aruncați o privire la http://www.vmware.com/community/thread.jspa;jsessionid=9977DD123ECD2AA3C2E131C02E35998E?messageID=210767𳝏 sau http://www.vmware.com/community/thread.jspa?threadID=18046 )
  • veți avea nevoie pentru a putea avea acces la .fișier bkf în timpul configurării Windows în modul ASR.Acest lucru este oarecum complicat. Singurele moduri 2 pe care le cunosc despre această lucrare (citiți : că m-am testat) sunt fie înapoi la bandă, și au unitatea de bandă și banda disponibile în timpul restaurării ASR; sau faceți o copie de rezervă pe disc și puneți bkf pe un server din mediul vmware. Partajați folderul care conține bkf. Doar nu puneți fișierul bkf pe discurile care vor conține serverul Windows ulterior, deoarece toate datele vor fi eliminate în timpul configurării ASR. Potrivit unor persoane, ar trebui să puteți pune fișierul bkf pe unul dintre discurile de pe serverul pe care va rula ASR. Atâta timp cât nu se află pe partiția care are fișiere de sistem pe ea și atâta timp cât partiția care va conține fișierul bkf este disponibilă și în DC real, ar trebui să funcționeze. (Dar tind să nu cred această afirmație, deoarece unul dintre primii pași ai procesului este de fapt ștergerea partițiilor și volumelor de pe discuri… astfel încât discul care conține fișierul bkf ar fi golit și el… nu ?)
  • configurația discului serverului fizic (dimensiunea fiecărui disc)
  • Windows 2003 Server CD
  • asigurați-vă că mașina vmware nu are acces la mașina de producție, dacă încercați acest lucru în scopuri de simulare/testare. Setați mașina virtuală să utilizeze o rețea internă vmware, fără conexiune la restul rețelei.
  • alte seturi de rezervă (starea recentă a sistemului, conținutul Sysvol, …)

înainte de a începe : nu puneți niciodată aceeași mașină de două ori pe aceeași rețea. Acest lucru va crea haos și în cazul unui DC, posibil ruina întregul anunț. Asigurați-vă că puneți DC „de restaurat” într-un segment de rețea izolat, fără acces la DC real.

mai întâi toate, creați o mașină virtuală VMWare și asigurați-vă că creați discuri virtuale care au cel puțin aceeași dimensiune ca discurile din servere. (Notă: mă refer la discuri, nu la partiții.) Dacă DC-ul dvs. are 3 partiții de 12 GB, iar discul total este de 36 GB, asigurați-vă că creați 1 disc virtual de cel puțin 36 GB.

porniți mașina vmware (porniți de pe CD-ul windows 2003 server.) Când vi se solicită, apăsați F2 pentru a intra în modul ASR.

când vi se solicită să introduceți discul ASR, montați .fișier flp care conține discheta ASR. (Sau doar montați discheta fizică).

091407_2150_Howtorestor1

configurarea Windows va continua ” încărcarea fișierelor…”, așteptați până când apare următorul ecran :

091407_2150_howtorestor2

Apăsați „C” pentru a continua configurarea. Acest pas va elimina tot ce se află pe discurile listate în această vizualizare.

apoi, discurile vor fi formatate și verificate…

091407_2150_Howtorestor3

… și configurarea Windows va continua copierea fișierelor :

091407_2150_howtorestor4

așteptați până la finalizarea acestui proces.

091407_2150_Howtorestor5

sistemul va reporni în modul grafic al procesului ASR. Asigurați-vă că schimbați BIOS-ul pentru a nu porni de pe CD sau floppy. (sau apăsați ESC la momentul pornirii pentru a afișa meniul de pornire). Veți ajunge la ecranul de întâmpinare ASR. Faceți clic pe Următorul pentru a continua (sau așteptați doar 90 de secunde)

091407_2150_howtorestor6

selectați calea care conține ASR .fișier bkf. Vmware, ar trebui să puteți introduce calea UNC către folder (\\ip\sharename) și să continuați procesul de restaurare prin rețea. Dacă faceți acest lucru pe un server fizic și dacă ați pus backupul asr pe bandă, serverul ar trebui să poată detecta banda și să găsească backup-ul asr automaticall. Desigur, puteți naviga și la fișierul bkf din rețea atunci când efectuați o restaurare metalică goală pe un server fizic.

încă o notă rapidă privind accesarea unui server de fișiere din rețea. Driverul de rețea va fi încărcat în modul ASR, dar va trebui să vă asigurați că există un server DHCP în rețea. Dacă faceți acest lucru într-un mediu izolat, puteți pune un alt server 2003 în același mediu VMware izolat și puteți instala DHCP pe acea mașină. DHCP ar trebui să fie în funcțiune în momentul în care serverul „to be restored” pornește în modul grafic ASR. Dacă DHCP nu funcționează, vă puteți baza și pe APIPA. Utilizați un sniffer (wireshark) pe serverul de fișiere pentru a vedea adresa APIPA a serverului ” de restaurat:

091407_2150_howtorestor7

dați serverului de Fișiere o adresă apipa în același interval de rețea și cei doi ar trebui să poată vorbi între ei. În exemplul meu, serverul de fișiere (este de fapt un Windows XP) are IP 169.254.145.192, serverul are 169.254.145.191 (am primit acea adresă de la sniffer)

091407_2150_howtorestor8

reveniți la procesul ASR. Când vă aflați în fereastra de dialog pentru a selecta fișierul de rezervă, faceți clic pe „Răsfoiți” și introduceți calea UNC către partajarea pe server. În exemplul meu, care este \ \ 169.254.145.192 \ date. Furnizați un utilizator/o parolă pentru a vă conecta, atunci când vi se solicită.

091407_2150_Howtorestor9

selectați fișierul BKF care este stocat pe server și faceți clic pe „Deschide”

091407_2150_Howtorestor10

091407_2150_Howtorestor11
Faceți clic pe „next” pentru a continua procesul

Faceți clic pe „finish” pentru a începe restaurarea

091407_2150_Howtorestor12

091407_2150_howtorestor13

așteptați până la finalizarea procesului. Aplicația ntbackup se va închide și serverul se va reporni automat.

când mașina repornește, s-ar putea întâmpla câteva lucruri

  1. serverul pornește și funcționează bine. Felicitări. Chiar dacă trebuie să instalați drivere de afișare sau alte drivere după pornire, totuși ați reușit. Și dacă ați planificat pentru aceste tipuri de scenariu, ai putea restaura DC într-o jumătate de oră sau cam asa ceva…
  2. serverul nu pornește. Încercați să reparați instalarea pornind cu cd-ul serverului 2003 și intrați în modul de reparare. (Puteți alege să reparați instalarea Windows după ce procesul de configurare a detectat o instalare Windows existentă). Dacă acest lucru nu funcționează, aruncați o privire la următoarele Microsoft KB :
    1. http://support.microsoft.com/kb/325375/en-us
    2. http://support.microsoft.com/kb/842009/en-us
    3. http://support.microsoft.com/kb/811944/en-us
    4. http://support.microsoft.com/kb/836421/en-us

dacă obțineți DC-ul să funcționeze, verificați proprietățile interfeței de rețea. Dacă faceți o restaurare ASR, șansele sunt că Firewall-ul va fi pornit din nou. Asigurați-vă că îl opriți dacă de asta aveți nevoie. Poate fi necesar să reporniți pentru ca AD să ruleze corect.

091407_2150_Howtorestor14

jurnal de evenimente : erori MSDTC/avertismente

în cele din urmă, verificați jurnalul de evenimente. Există o șansă destul de bună că veți vedea erori MSDTC/avertismente în Jurnalul de evenimente. Puteți curăța aceste folosind următoarele proceduri:

eroare EventID 53258

dacă aplicația Jurnal de evenimente conține:

sursă: MSDTC
Tip: avertisment
Categorie: SVC
ID eveniment: 53258
descriere: MS DTC nu a putut procesa corect un eveniment de promovare/retrogradare DC. MS DTC va continua să funcționeze și va utiliza setările de securitate existente. Specificații de eroare: %1

Start echipament Component Services (Start – Programe – Instrumente Administrative).
Extindeți Serviciile Componente.
extindeți secțiunea Calculatoare.
faceți clic dreapta pe Computerul meu, selectați Proprietăți, fila MSDTC.
selectați Configurare Securitate, apoi OK.
selectați din nou OK.
faceți clic dreapta pe Computerul meu și selectați Stop MS DTC. Acest lucru va opri coordonatorul de tranzacții distribuite.
faceți din nou clic dreapta pe Computerul meu și selectați Start MS DTC.

de asemenea, asigurați-vă că „Serviciu de rețea” are control complet asupra HKLM\Software\Microsoft\MSDTC și totul de mai jos. Apoi reporniți serverul.

eroare EventID 4404

sursă: MSDTC
Tip: eroare
Categorie: infrastructură de urmărire
ID eveniment: 4404
descriere: MS DTC infrastructură de urmărire: inițializarea infrastructurii de urmărire a eșuat. Informații interne: msdtc_trace: fișier: d:\srvrtm\com\complus\dtc\dtc\trace\src\tracelib.cpp, linie: 1107, StartTrace a eșuat, hr = 0x80070070

Start echipamente componente servicii (Start – Programe – Instrumente Administrative).
Extindeți Serviciile Componente.
faceți clic dreapta pe Computerul meu, selectați Proprietăți, fila MSDTC.
Alegeți Opțiuni De Urmărire.
selectați Stop Session, new Session, Flush Data și OK de două ori.
faceți clic dreapta pe Computerul meu și selectați Stop MS DTC. Acest lucru va opri coordonatorul de tranzacții distribuite.
faceți din nou clic dreapta pe Computerul meu și selectați Start MS DTC.

Erori EventID 1058, 1030

Sursa: Userenv
Tip: Eroare
ID eveniment: 1058
descriere: Windows nu poate accesa fișierul gpt.ini pentru GPO CN={31B2F340-016D-11d2-945F-00C04FB984F9}, CN=politici, CN=sistem, DC=test, DC = net. Fișierul trebuie să fie prezent la locație . (Locația rețelei nu poate fi atinsă. Pentru informații despre depanarea rețelei, consultați Ajutor Windows.). Procesarea politicii de grup a fost anulată.

sau, de asemenea,

Sursa: Userenv
Tip: eroare
ID eveniment: 1030
descriere: Windows nu poate interoga pentru lista de obiecte de politică de grup. Verificați jurnalul de evenimente pentru posibile mesaje înregistrate anterior de motorul de politici care descrie motivul pentru aceasta.

o descriere completă a soluției este conținută în articolul Microsoft #842804 la http://support.microsoft.com/?id=842804. Asigurați-vă că:
serviciile Netlogon și DFS sunt pornite.
controlerul domeniului valid citește și aplică reguli din Politica controlorilor de domeniu.
drepturile NTFS la common resource SYSVOL sunt configurate corect.
înregistrările DNS pe serverul DNS sunt corecte.

alte probleme

dacă încercați să deschideți AD U& C și primiți următoarea eroare : „informațiile de denumire nu pot fi localizate deoarece domeniul specificat fie nu există, fie nu poate fi contactat. Contactați administratorul de sistem pentru a verifica dacă domeniul dvs. este configurat corect și este în prezent online.”, verificați serviciul Windows Time și asigurați-vă că rulează. Verificați DNS și asigurați-vă că nu conține referințe la DC care nu sunt disponibile. Curățați AD (eliminați DC-urile moarte) folosind ntdsutil (consultați http://support.microsoft.com/kb/216498) și eliminând intrările din DNS. Reporniți și așteptați puțin.

apoi, verificați dacă acțiunile SYSVOL și netlogon sunt disponibile. Dacă nu, verificați http://www.jsifaq.com/SF/Tips/Tip.aspx?id=7979, http://support.microsoft.com/kb/316790, http://support.microsoft.com/kb/836421 și http://support.microsoft.com/kb/315457/.
reporniți și vedeți ce se întâmplă. Dacă funcționează, completați folderul sysvol cu backup-ul sysvol (deci veți avea scripturile și spatele gpo) .

în cele din urmă, aveți grijă la evenimentele din Jurnalul de evenimente Directory Service care spun că serviciul de conectare net a fost întrerupt. (NTDS Event ID 2103: baza de date Active Directory a fost restaurată utilizând o procedură de restaurare neacceptată. Active Directory nu va putea să se conecteze la utilizatori în timp ce această condiție persistă. Ca urmare, serviciul de conectare Net sa oprit.) Dacă porniți manual serviciul netlogon, ar trebui să aveți un DC funcțional (dar nu veți fi rezolvat problema – dar este în regulă deocamdată. Dacă doriți cu adevărat să rezolvați și această problemă de revenire USN, verificați http://blogs.dirteam.com/blogs/jorge/archive/2006/03/08/597.aspx, http://blogs.technet.com/petergal/archive/2006/02/04/418779.aspx, http://support.microsoft.com/kb/885875, http://www.ureader.com/message/1270504.aspx, http://www.mcse.ms/message1743890.html. Mult noroc)

acum rulați un dcdiag și căutați erori și avertismente.

2 mai multe note rapide:

  1. Asr Backup / Restaurare se bazează pe o copie de rezervă ASR. Șansele sunt că backupul ASR este puțin mai vechi decât ultimul backup de Stat al sistemului, deci ar putea fi o idee bună să luați ultimele ntds.dit fișier, și de a efectua o restaurare de autoritate pe acest DC.
  2. dacă a trebuit să restaurați unul dintre DC-uri, deoarece toate celelalte au murit într-un dezastru, iar DC-ul pe care îl restaurați nu a fost DC-ul principal, atunci trebuie să profitați de rolurile FSMO pentru acest DC. (în funcție de mediul dvs., dacă acesta este singurul DC din pădure rămas, de exemplu, va trebui să profitați de toate rolurile FSMO la acest DC. Puteți face acest lucru folosind ntdsutil). http://support.microsoft.com/kb/255504 :

ntdsutil
ntdsutil: roluri
FSMO întreținere: conexiuni
conexiuni server: conectați-vă la server yourservername
legarea la yourservername …
conectat la yourservername folosind acreditările
utilizator conectat local.
conexiuni server: q
FSMO întreținere: seize domeniu naming master
FSMO întreținere: seize infrastructură master
FSMO întreținere: seize PDC
FSMO întreținere: seize rid master
FSMO întreținere: seize Schema master
FSMO întreținere: Q
ntdsutil: q
deconectarea de la yourservername…

în plus, dacă acesta este singurul DC care va rămâne, va trebui să curățați toate celelalte (dacă există) înainte de a promova noi servere în domeniu. În caz contrar, veți termina cu o mulțime de erori și avertismente, timeout-uri, … când acest DC restaurat încearcă să contacteze alte DC-uri care nu mai sunt acolo. Uită-te la Microsoft KB 216498 pentru a elimina DC mort

linkuri:

cum să mutați o instalare Windows pe hardware diferit : http://support.microsoft.com/kb/249694
cum se efectuează o recuperare în caz de dezastru restaurarea Active Directory pe un computer cu o configurație hardware diferită : http://support.microsoft.com/?id=263532
cum se reconstruiește arborele SYSVOL și conținutul său într-un domeniu : http://support.microsoft.com/kb/315457/
acțiunile Sysvol și Netlogon lipsesc după ce restaurați un controler de domeniu din Backup : http://support.microsoft.com/kb/316790
un controler de domeniu nu funcționează corect? : http://www.jsifaq.com/SF/Tips/Tip.aspx?id=8320
windows_bare_metal_recovery: ntbackup: http://wiki.bacula.org/doku.php?id=windows_bare_metal_recovery:ntbackup
recupera de la o eroare de sistem folosind recuperare automată a sistemului: http://technet2.microsoft.com/windowsserver/en/library/e96185f5-50b7-4b14-a2fd-0155d6b174f91033.mspx?mfr=true
cum funcționează ASR : http://technet2.microsoft.com/windowsserver/en/library/7b4f0436-cc90-4b52-b6ab-064f9db8d2721033.mspx?mfr=true
restaurarea unui controler de domeniu prin reinstalare: http://technet2.microsoft.com/WindowsServer/en/Library/2f44ad0e-f84d-47a2-956b-df3f8554ea541033.mspx
efectuarea unei restaurări autoritare a obiectelor Active Directory: http://technet2.microsoft.com/WindowsServer/en/library/690730c7-83ce-4475-b9b4-46f76c9c7c901033.mspx
cum funcționează backup-ul : http://technet2.microsoft.com/windowsserver/en/library/9143ba85-587e-409d-b612-617e6617fece1033.mspx?mfr=true

instrumente 3rd party:
http://www.stratesave.com/html/htmlhelp/meba2d89.htm

Leave a Reply

Adresa ta de email nu va fi publicată.