Corelan Cybersecurity Research

La seguente procedura dovrebbe funzionare per qualsiasi tipo di hardware, ma ho usato VMware (quindi questa procedura è valida anche se si desidera convertire un controller di dominio fisico in VMware). Inoltre, la procedura funziona per Windows 2003 server, ma anche per Windows XP (professional)

Prerequisiti :

  • Backup ASR .file bkf e il dischetto ASR che corrisponde al file di backup ASR. Se vuoi ricreare il floppy ASR, dai un’occhiata a http://support.microsoft.com/kb/325854/en-us
  • Floppy ASR convertito (usa uno strumento come winimage per convertire il floppy in un .ima o .file img, e quindi rinominare il.ima/.file img a .flp, o dare un’occhiata a http://www.vmware.com/community/thread.jspa;jsessionid=9977DD123ECD2AA3C2E131C02E35998E?messageID=210767𳝏 o http://www.vmware.com/community/thread.jspa?threadID=18046 )
  • Avrete bisogno di essere in grado di avere accesso al .file bkf durante l’installazione di Windows in modalità ASR.Questo è un po ‘ complicato. Gli unici 2 modi che conosco di quel lavoro (leggi: che mi sono testato) sono il backup su nastro e l’unità nastro e il nastro disponibili durante il ripristino ASR; oppure eseguire il backup su disco e mettere il bkf su un server nell’ambiente vmware. Condividere la cartella contenente il bkf. Basta non mettere il file bkf sui dischi che conterranno il server Windows in seguito, perché tutti i dati verranno rimossi durante l’installazione ASR. Secondo alcune persone, dovresti essere in grado di mettere il file bkf su uno dei dischi nel server su cui verrà eseguito ASR. Finché non si siede sulla partizione che ha i file di sistema su di esso, e finché la partizione che terrà il file bkf è disponibile anche nel vero DC, dovrebbe funzionare. (Ma tendo a non credere a questa affermazione, perché uno dei primi passi nel processo è in realtà cancellare le partizioni e i volumi sui dischi so quindi anche il disco contenente il file bkf verrebbe svuotato well giusto ?)
  • Configurazione del disco del server fisico (dimensione di ogni disco)
  • CD del server Windows 2003
  • Accertarsi che la macchina vmware non abbia accesso alla macchina di produzione, se si sta tentando questa operazione per scopi di simulazione/test. Impostare la macchina virtuale per utilizzare una rete interna vmware, senza connessione al resto della rete.
  • Altri set di backup (stato recente del sistema, contenuto Sysvol, …)

Prima di iniziare: Non MAI MAI mettere la stessa macchina due volte sulla stessa rete. Questo creerà il caos e in caso di un DC, possibile rovinare l’intero ANNUNCIO. Assicurati di mettere il DC “da ripristinare” in un segmento di rete isolato, senza accesso al DC reale.

Prima di tutto, crea una macchina virtuale VMware e assicurati di creare dischi virtuali che abbiano almeno le stesse dimensioni dei dischi nei server. (Nota: mi riferisco ai dischi, non alle partizioni.) Se il tuo DC ha 3 partizioni da 12 Gb e il disco totale è di 36 Gb, assicurati di creare 1 disco virtuale di almeno 36 Gb.

Avviare la macchina vmware (avvio dal CD del server Windows 2003.) Quando richiesto, premere F2 per entrare in modalità ASR.

Quando viene richiesto di inserire il disco ASR, montare il .file flp contenente il dischetto ASR. (O semplicemente montare il floppy fisico).

 091407_2150_Howtorestor1

L’installazione di Windows continuerà ” caricamento file…”, aspetta solo che venga visualizzata la seguente schermata :

091407_2150_Howtorestor2

Premere “C” per continuare la configurazione. Questo passaggio rimuoverà tutto ciò che si trova sui dischi elencati in questa vista.

Successivamente, i dischi verranno formattati e controllati…

091407_2150_Howtorestor3

… e l’installazione di Windows continuerà a copiare i file :

091407_2150_Howtorestor4

Attendi fino al completamento di questo processo.

 091407_2150_Howtorestor5

Il sistema si riavvierà nella modalità grafica del processo ASR. Assicurarsi di cambiare il BIOS per non avviare da CD o floppy. (o premere ESC al momento dell’avvio per visualizzare il menu di avvio). Finirai alla schermata di benvenuto ASR. Fare clic su avanti per continuare (o attendere 90 secondi)

091407_2150_Howtorestor6

Selezionare il percorso che contiene l’ASR .file bkf. Se hai inserito il file su un fileserver nel tuo ambiente vmware, dovresti essere in grado di inserire il percorso UNC della cartella (\\ip\sharename) e continuare il processo di ripristino sulla rete. Se si sta facendo questo su un server fisico e se avete messo il backup asr su nastro, il server dovrebbe essere in grado di rilevare il nastro e trovare il backup asr automaticall. Naturalmente, è anche possibile sfogliare il file bkf sulla rete quando si esegue un ripristino bare metal su un server fisico.

Un’altra breve nota sull’accesso a un file server sulla rete. Il driver di rete verrà caricato in modalità ASR, ma sarà necessario assicurarsi che ci sia un server DHCP nella rete. Se si esegue questa operazione in un ambiente isolato, è possibile inserire un altro server 2003 nello stesso ambiente vmware isolato e installare DHCP su quella macchina. Il DHCP dovrebbe essere attivo e funzionante al momento dell’avvio del server” da ripristinare ” in modalità grafica ASR. Se DHCP non funziona, puoi anche fare affidamento su APIPA. Utilizzare uno sniffer (wireshark) sul file server per visualizzare l’indirizzo APIPA del server “da ripristinare” :

091407_2150_Howtorestor7

Dare al file server un indirizzo apipa nello stesso intervallo di rete e i due dovrebbero essere in grado di parlare tra loro. Nel mio esempio, il file server (in realtà è un Windows XP) ha IP 169.254.145.192, il server ha 169.254.145.191 (ho ottenuto quell’indirizzo dallo sniffer)

091407_2150_Howtorestor8

Torna al processo ASR. Quando sei nella finestra di dialogo per selezionare il file di backup, fai clic su “sfoglia” e inserisci il percorso UNC per la condivisione sul server. Nel mio esempio, questo è \ \ 169.254.145.192 \ data. Fornire un utente / password per la connessione, quando richiesto.

091407_2150_Howtorestor9

Selezionare il file bkf che è memorizzato sul server e fare clic su “apri”

091407_2150_Howtorestor10

091407_2150_Howtorestor11
fare Clic su “avanti” per continuare il processo di

fare Clic su “fine” per iniziare il ripristino

091407_2150_Howtorestor12

091407_2150_Howtorestor13

Attendere fino a quando il processo è completato. L’applicazione ntbackup si chiuderà e il server si riavvierà automaticamente.

Quando la macchina si riavvia, potrebbero accadere un paio di cose

  1. Il server si avvia e funziona bene. Congratulazione. Anche se è necessario installare driver di visualizzazione o altri driver dopo l’avvio, è comunque stato eseguito correttamente. E se hai pianificato per questi tipi di scenari, potresti ripristinare il tuo DC in mezz’ora o giù di lì…
  2. Il server non si avvia. Prova a riparare l’installazione avviando con il CD del server 2003 e vai in modalità di riparazione. (È possibile scegliere di riparare l’installazione di Windows dopo che il processo di installazione ha rilevato un’installazione di Windows esistente). Se ciò non funziona, dai un’occhiata ai seguenti KB di Microsoft :
    1. http://support.microsoft.com/kb/325375/en-us
    2. http://support.microsoft.com/kb/842009/en-us
    3. http://support.microsoft.com/kb/811944/en-us
    4. http://support.microsoft.com/kb/836421/en-us

Se fai funzionare il tuo DC, controlla le proprietà dell’interfaccia di rete. Se si esegue un ripristino ASR, è probabile che il Firewall venga riacceso. Assicurati di spegnerlo se questo è ciò di cui hai bisogno. Potrebbe essere necessario riavviare per far funzionare correttamente AD.

091407_2150_Howtorestor14

Registro eventi : errori/avvisi MSDTC

Infine, controllare il registro eventi. C’è una buona probabilità che vedrai errori/avvisi MSDTC nel registro eventi. È possibile eliminarli utilizzando le seguenti procedure :

Error EventID 53258

Se l’applicazione del registro eventi contiene :

Source: MSDTC
Type: Warning
Category: SVC
ID evento: 53258
Description: MS DTC non è in grado di elaborare correttamente un evento di promozione/Retrocessione DC. MS DTC continuerà a funzionare e utilizzerà le impostazioni di sicurezza esistenti. Specifiche dell’errore: % 1

Avvia i servizi dei componenti dell’apparecchiatura (Start-Programmi-Strumenti di amministrazione).
Espandere Servizi componenti.
Espandi sezione Computer.
Fare clic destro su Risorse del computer, selezionare Proprietà, scheda MSDTC.
Selezionare Configurazione sicurezza, quindi OK.
Selezionare nuovamente OK.
Fare clic destro su Risorse del computer e selezionare Stop MS DTC. Ciò interromperà il coordinatore delle transazioni distribuite.
Fare nuovamente clic destro su Risorse del computer e selezionare Avvia MS DTC.

Inoltre, assicurati che “Servizio di rete” abbia il pieno controllo su HKLM\Software\Microsoft\MSDTC e tutto ciò che segue. Quindi riavviare il server.

Errore EventID 4404

Fonte: MSDTC
Tipo: Errore
Categoria: Infrastruttura di tracciamento
ID evento: 4404
Descrizione: Infrastruttura di tracciamento MS DTC: l’inizializzazione dell’infrastruttura di tracciamento non è riuscita. Informazioni interne: msdtc_trace: File: d:\srvrtm\com\complus\dtc\dtc\trace\src\tracelib.cpp, Linea: 1107, StartTrace non riuscito, hr = 0x80070070

Avvia Servizi componenti apparecchiature (Start-Programmi-Strumenti di amministrazione).
Espandere Servizi componenti.
Fare clic destro su Risorse del computer, selezionare Proprietà, scheda MSDTC.
Scegliere le opzioni di tracciamento.
Selezionare Interrompi sessione, Nuova sessione, Flush Data e OK due volte.
Fare clic destro su Risorse del computer e selezionare Stop MS DTC. Ciò interromperà il coordinatore delle transazioni distribuite.
Fare nuovamente clic destro su Risorse del computer e selezionare Avvia MS DTC.

Errori EventID 1058, 1030

Fonte: Userenv
Tipo: Errore
ID evento: 1058
Descrizione: Windows non può accedere al file gpt.ini per GPO CN={31B2F340-016D-11D2-945F-00C04FB984F9}, CN=Politiche, CN=Sistema, DC=test, DC = rete. Il file deve essere presente nella posizione . Impossibile raggiungere il percorso di rete. Per informazioni sulla risoluzione dei problemi di rete, consultare la Guida di Windows.). Elaborazione criteri di gruppo interrotta.

o anche

Fonte: Userenv
Tipo: Errore
ID evento: 1030
Descrizione: Windows non può eseguire una query per l’elenco degli oggetti Criteri di gruppo. Controllare il registro eventi per eventuali messaggi precedentemente registrati dal motore di criteri che ne descrive il motivo.

Una descrizione completa della soluzione è contenuta nell’articolo Microsoft #842804 a http://support.microsoft.com/?id=842804. Assicurati che:
I servizi Netlogon e DFS siano avviati.
Il Controller del dominio valido legge e applica le regole del criterio Controller di dominio.
I diritti NTFS su common resource Sysvol sono configurati correttamente.
I record DNS sul DNS del server sono corretti.

Altri problemi

Se si tenta di aprire AD U &C e viene visualizzato il seguente errore : “Impossibile individuare le informazioni sui nomi perché il dominio specificato non esiste o non può essere contattato. Contattare l’amministratore di sistema per verificare che il dominio sia configurato correttamente ed è attualmente online.”, controllare il servizio Orario di Windows e assicurarsi che sia in esecuzione. Controlla DNS e assicurati che non contenga riferimenti a DC che non sono disponibili. Pulisci AD (rimuovi DC morti) usando ntdsutil (vedi http://support.microsoft.com/kb/216498) e rimuovendo le voci nel DNS. Riavvia e aspetta un po’.

Quindi, controlla se le condivisioni sysvol e netlogon sono disponibili. In caso contrario, controllare http://www.jsifaq.com/SF/Tips/Tip.aspx?id=7979, http://support.microsoft.com/kb/316790, http://support.microsoft.com/kb/836421 e http://support.microsoft.com/kb/315457/.
Riavviare e vedere cosa succede. Se funziona, riempire la cartella sysvol con il backup sysvol (in modo da avere gli script e la schiena di gpo) .

Infine, fai attenzione agli eventi nel registro eventi del servizio Directory che indicano che il servizio di accesso alla rete è stato messo in pausa. (NTDS Event ID 2103: il database di Active Directory è stato ripristinato utilizzando una procedura di ripristino non supportata. Active Directory non sarà in grado di accedere agli utenti mentre questa condizione persiste. Di conseguenza, il servizio di accesso netto è in pausa.) Se avvii manualmente il servizio netlogon, dovresti avere un DC funzionante (ma non avrai risolto il problema, ma per ora va bene. Se vuoi davvero risolvere anche questo problema di rollback USN, controlla http://blogs.dirteam.com/blogs/jorge/archive/2006/03/08/597.aspx, http://blogs.technet.com/petergal/archive/2006/02/04/418779.aspx, http://support.microsoft.com/kb/885875, http://www.ureader.com/message/1270504.aspx, http://www.mcse.ms/message1743890.html. Buona fortuna)

Ora esegui un dcdiag e cerca errori e avvisi.

2 note più veloci :

  1. Il backup/Ripristino ASR è basato su un backup ASR. Le probabilità sono che il backup ASR sia un po ‘ più vecchio dell’ultimo backup dello stato del sistema, quindi potrebbe essere una buona idea prendere l’ultimo ntds.file dit, ed eseguire un ripristino autorevole su questo DC.
  2. Se dovessi ripristinare uno dei DC perché tutti gli altri sono morti in un disastro e il DC che stai ripristinando non era il DC primario, allora devi cogliere i ruoli FSMO in questo DC. (a seconda del tuo ambiente, se questo è l’unico DC nella foresta rimasta, ad esempio, dovrai cogliere TUTTI i ruoli FSMO in questo DC. Puoi farlo usando ntdsutil). http://support.microsoft.com/kb/255504 :

ntdsutil
ntdsutil: roles
fsmo maintenance: connections
server connections: connetti al server yourservername
Binding to yourservername Connected to yourservername using credentials of
local logged on user.
connessioni server: q
fsmo maintenance: seize domain naming master
fsmo maintenance: seize infrastructure master
fsmo maintenance: seize PDC
fsmo maintenance: seize RID master
fsmo maintenance :seize schema master
fsmo maintenance: q
ntdsutil: q
Disconnessione da yourservername…

Inoltre, se questo è l’unico DC che verrà lasciato, dovrai ripulire tutti gli altri (se presenti) prima di promuovere nuovi server nel dominio. Altrimenti, ti ritroverai con molti errori e avvisi, timeout, when quando questo DC ripristinato tenta di contattare altri DC che non ci sono più. Guarda Microsoft KB 216498 per rimuovere i DC morti

Link:

Come spostare un’installazione di Windows su hardware diverso : http://support.microsoft.com/kb/249694
Come eseguire un ripristino di emergenza di Active Directory in un computer con una configurazione hardware differente : http://support.microsoft.com/?id=263532
Come ricostruire la struttura SYSVOL e il suo contenuto in un dominio : http://support.microsoft.com/kb/315457/
Sysvol e Netlogon Azioni Sono Mancanti Dopo il Ripristino di un Controller di Dominio di Backup : http://support.microsoft.com/kb/316790
Un controller di dominio non funziona correttamente? : http://www.jsifaq.com/SF/Tips/Tip.aspx?id=8320
windows_bare_metal_recovery: ntbackup: http://wiki.bacula.org/doku.php?id=windows_bare_metal_recovery:ntbackup
Recuperare da un errore di sistema utilizzando Automated System Recovery: http://technet2.microsoft.com/windowsserver/en/library/e96185f5-50b7-4b14-a2fd-0155d6b174f91033.mspx?mfr=true
Come funziona ASR : http://technet2.microsoft.com/windowsserver/en/library/7b4f0436-cc90-4b52-b6ab-064f9db8d2721033.mspx?mfr=true
Ripristino di un controller di dominio tramite reinstallazione: http://technet2.microsoft.com/WindowsServer/en/Library/2f44ad0e-f84d-47a2-956b-df3f8554ea541033.mspx
Esecuzione di un ripristino autorevole degli oggetti Active Directory : http://technet2.microsoft.com/WindowsServer/en/library/690730c7-83ce-4475-b9b4-46f76c9c7c901033.mspx
Come funziona il backup : http://technet2.microsoft.com/windowsserver/en/library/9143ba85-587e-409d-b612-617e6617fece1033.mspx?mfr=true

strumenti di terze parti:
http://www.stratesave.com/html/htmlhelp/meba2d89.htm

Leave a Reply

Il tuo indirizzo email non sarà pubblicato.