Corelan Cybersecurity Research

Corelan Cybersecurity Research

následující postup by měl fungovat pro jakýkoli typ hardwaru, ale použil jsem VMWare (takže tento postup je platný i v případě, že chcete převést řadič fyzické domény na VMWare). Postup navíc funguje pro Windows 2003 server, ale také pro Windows XP (professional)

předpoklady :

• posila ASR .soubor bkf a disketa ASR, která odpovídá záložnímu souboru ASR. Pokud chcete disketu ASR znovu vytvořit, podívejte se na http://support.microsoft.com/kb/325854/en-us
• převedená disketa ASR (použijte nástroj, jako je winimage, k převodu diskety na a .ima nebo .soubor img a přejmenujte soubor .ima/.img soubor do .flp, nebo se podívejte na http://www.vmware.com/community/thread.jspa;jsessionid=9977DD123ECD2AA3C2E131C02E35998E?messageID=210767𳝏 nebo http://www.vmware.com/community/thread.jspa?threadID=18046 )
• budete muset mít přístup k .soubor bkf během nastavení systému Windows v režimu ASR.To je poněkud složité. Jediné způsoby 2, které o této práci vím (přečtěte si : že jsem se sám testoval), je buď zálohovat na pásku a mít páskovou jednotku a pásku k dispozici během obnovy ASR; nebo zálohujte na disk a vložte bkf na server v prostředí vmware. Sdílejte složku obsahující bkf. Prostě nedávejte soubor bkf na disky, které budou později obsahovat server Windows, protože všechna data budou během instalace ASR odstraněna. Podle některých lidí byste měli být schopni umístit soubor bkf na jeden z disků na serveru, na kterém bude ASR spuštěn. Pokud nesedí na oddílu, který má na sobě systémové soubory, a pokud je oddíl, který bude obsahovat soubor bkf, k dispozici také ve skutečném DC, měl by fungovat. (Ale nemám tendenci věřit tomuto tvrzení, protože jedním z prvních kroků v procesu je vlastně vymazání diskových oddílů a svazků na discích… takže disk obsahující soubor bkf by byl také vyprázdněn … že ?)
• konfigurace disku fyzického serveru (velikost každého disku)
• CD serveru Windows 2003
• ujistěte se, že stroj vmware nemá přístup k výrobnímu stroji, pokud to zkoušíte pro účely simulace/testování. Nastavte virtuální počítač tak, aby používal interní síť vmware bez připojení ke zbytku sítě.
• další záložní sady (poslední stav systému, obsah Sysvol, …)

než začnete : nikdy nedávejte stejný stroj dvakrát do stejné sítě. To způsobí zmatek a v případě DC, možné zničit celou vaši reklamu. Ujistěte se, že „chcete-li obnovit“ DC v izolovaném segmentu sítě, bez přístupu ke skutečnému DC.

nejprve vytvořte virtuální stroj VMWare a nezapomeňte vytvořit virtuální disky, které mají alespoň stejnou velikost jako disky na serverech. (Poznámka: mám na mysli disky, ne oddíly.) Pokud má váš DC 3 oddíly 12 GB a celkový disk je 36 GB, nezapomeňte vytvořit 1 virtuální disk alespoň 36 GB.

spusťte stroj vmware (boot z disku CD se systémem Windows 2003 server.) Po zobrazení výzvy stiskněte klávesu F2 pro vstup do režimu ASR.

když budete vyzváni k vložení disku ASR, připojte .soubor flp obsahující disketu ASR. (Nebo jen připojit fyzickou disketu).

nastavení systému Windows bude pokračovat v “ načítání souborů…“, počkejte, až se objeví následující obrazovka :

stisknutím tlačítka “ C “ pokračujte v nastavení. Tento krok odstraní vše, co je na discích uvedených v tomto zobrazení.

dále budou disky naformátovány a zkontrolovány…

… a nastavení systému Windows bude pokračovat v kopírování souborů :

počkejte, až bude tento proces dokončen.

systém se restartuje do grafického režimu procesu ASR. Nezapomeňte změnit systém BIOS, aby se nezaváděl z disku CD nebo diskety. (nebo stisknutím klávesy ESC při spuštění zobrazíte nabídku boot). Skončíte na uvítací obrazovce ASR. Pokračujte kliknutím na tlačítko Další (nebo jen počkejte 90 sekund)

vyberte cestu, která obsahuje ASR .soubor bkf. Pokud jste soubor vložili na souborový server v prostředí vmware, měli byste být schopni zadat cestu UNC ke složce (\\ip\sharename) a pokračovat v procesu obnovení v síti. Pokud to děláte na fyzickém serveru a pokud jste vložili zálohu asr na pásku, měl by být server schopen detekovat pásku a najít zálohu asr automaticall. Samozřejmě můžete také procházet soubor bkf v síti, když provádíte obnovení holého kovu na fyzickém serveru.

ještě jedna rychlá poznámka o přístupu k souborovému serveru v síti. Síťový ovladač bude načten v režimu ASR, ale budete se muset ujistit, že v síti je server DHCP. Pokud to děláte v izolovaném prostředí, můžete umístit další Server 2003 do stejného izolovaného prostředí vmware a nainstalovat DHCP na tomto počítači. DHCP by měl být v provozu v době, kdy se server“ má být obnoven “ spustí do grafického režimu ASR. Pokud DHCP nefunguje, můžete se také spolehnout na APIPA. Použijte sniffer (wireshark) na souborovém serveru, abyste viděli adresu APIPA serveru “ Chcete-li obnovit:

dejte souborovému serveru adresu apipa ve stejném rozsahu sítě a oba by měli být schopni spolu mluvit. V mém příkladu má souborový server (ve skutečnosti je to Windows XP) IP 169.254.145.192, server má 169.254.145.191 (tuto adresu jsem dostal od snifferu)

vraťte se do procesu ASR. Když se nacházíte v dialogovém okně pro výběr záložního souboru, klikněte na „Procházet“ a zadejte cestu UNC ke sdílení na serveru. V mém příkladu je to \\169.254.145.192 \ data. Na požádání uveďte uživatele/heslo pro připojení.

vyberte soubor bkf uložený na serveru a klikněte na „Otevřít“

kliknutím na“ Další „pokračujte v procesu

kliknutím na „Dokončit“ zahájíte obnovu

počkejte, až bude proces dokončen. Aplikace ntbackup se zavře a server se automaticky restartuje.

když se počítač restartuje, může se stát několik věcí

1. server se spustí a funguje dobře. Blahopřání. I když potřebujete nainstalovat ovladače displeje nebo některé jiné ovladače Po spuštění, stále jste to úspěšně provedli. A pokud jste plánovali pro tyto typy scénářů, můžete obnovit DC asi za půl hodiny…
2. server se nespustí. Pokuste se opravit instalaci zavedením na CD serveru 2003 a přejděte do režimu opravy. (Můžete se rozhodnout opravit instalaci systému Windows poté, co proces instalace zjistil existující instalaci systému Windows). Pokud to nefunguje, podívejte se na následující Microsoft KB :
   1. http://support.microsoft.com/kb/325375/en-us
   2. http://support.microsoft.com/kb/842009/en-us
   3. http://support.microsoft.com/kb/811944/en-us
   4. http://support.microsoft.com/kb/836421/en-us

pokud váš DC funguje, stačí zkontrolovat vlastnosti síťového rozhraní. Pokud provedete obnovení ASR, je pravděpodobné, že Brána Firewall bude znovu zapnuta. Nezapomeňte jej vypnout, pokud to potřebujete. Možná budete muset restartovat, aby reklama správně fungovala.

protokol událostí: chyby/varování MSDTC

nakonec zkontrolujte protokol událostí. Existuje docela dobrá šance, že v protokolu událostí uvidíte chyby/varování MSDTC. Můžete je vyčistit pomocí následujících postupů:

chyba EventID 53258

pokud aplikace protokolu událostí obsahuje:

zdroj: MSDTC
Typ: varování
Kategorie: SVC
ID události: 53258
popis: MS DTC nemohl správně zpracovat událost DC Promotion / Demotion. MS DTC bude i nadále fungovat a bude používat stávající nastavení zabezpečení. Specifika chyby: %1

spusťte služby komponent zařízení (Start-Programy-nástroje pro správu).
Rozbalte Služby Komponent.
rozbalte sekci počítače.
klikněte pravým tlačítkem myši na tento počítač, vyberte možnost Vlastnosti, karta MSDTC.
vyberte možnost Konfigurace Zabezpečení a poté OK.
znovu vyberte OK.
klikněte pravým tlačítkem myši na tento počítač a vyberte možnost zastavit MS DTC. Tím se zastaví koordinátor distribuovaných transakcí.
klikněte znovu pravým tlačítkem myši na tento počítač a vyberte Spustit MS DTC.

také se ujistěte, že „síťová služba“ má plnou kontrolu nad HKLM\Software \ Microsoft \ MSDTC a vším níže uvedeným. Poté restartujte server.

chyba EventID 4404

zdroj: MSDTC
Typ: chyba
Kategorie: trasovací infrastruktura
ID události: 4404
popis: MS DTC trasovací infrastruktura: inicializace trasovací infrastruktury selhala. Interní informace: msdtc_trace: soubor: d:\srvrtm\com\complus\dtc\dtc\trace\src\tracelib.cpp, linka: 1107, StartTrace selhala, hr=0x80070070

spusťte služby komponent zařízení (Start-Programy-nástroje pro správu).
Rozbalte Služby Komponent.
klikněte pravým tlačítkem myši na tento počítač, vyberte možnost Vlastnosti, karta MSDTC.
Zvolte Možnosti Trasování.
vyberte dvakrát zastavit relaci, novou relaci, vyprázdnit Data a OK.
klikněte pravým tlačítkem myši na tento počítač a vyberte možnost zastavit MS DTC. Tím se zastaví koordinátor distribuovaných transakcí.
klikněte znovu pravým tlačítkem myši na tento počítač a vyberte Spustit MS DTC.

Chyby EventID 1058, 1030

Zdroj: Userenv
Typ: Chyba
ID události: 1058
popis: Systém Windows nemá přístup k souboru gpt.ini pro GPO CN = {31B2F340-016D-11D2-945F-00C04FB984F9}, CN=politiky, CN=systém, DC=test, DC=net. Soubor musí být přítomen na místě . (Umístění sítě nelze dosáhnout. Informace o řešení problémů se sítí naleznete v nápovědě systému Windows.). Zpracování zásad skupiny přerušeno.

nebo také

zdroj: Userenv
Typ: chyba
ID události: 1030
popis: Systém Windows nemůže dotazovat na seznam objektů zásad skupiny. Zkontrolujte protokol událostí pro možné zprávy dříve zaznamenané nástrojem zásad, který popisuje důvod.

úplný popis řešení je obsažen v článku Microsoft #842804 na http://support.microsoft.com/?id=842804 . Ujistěte se, že:
jsou spuštěny služby Netlogon a DFS.
řadič platné domény čte a používá pravidla ze zásad řadičů domény.
práva NTFS ke společnému prostředku Sysvol jsou správně nakonfigurována.
záznamy DNS na serveru DNS jsou správné.

další problémy

pokud se pokusíte otevřít AD u&C a zobrazí se následující chyba: „informace o pojmenování Nelze najít, protože zadaná doména buď neexistuje, nebo ji nelze kontaktovat. Obraťte se na správce systému a ověřte, zda je vaše doména správně nakonfigurována a je aktuálně online.“, zkontrolujte službu Windows Time a ujistěte se, že je spuštěna. Zkontrolujte DNS a ujistěte se, že neobsahuje žádné odkazy na DC, které nejsou k dispozici. Vyčistěte reklamu (odstraňte mrtvé DC) pomocí ntdsutil (viz http://support.microsoft.com/kb/216498) a odstraněním záznamů v DNS. Restartujte počítač a chvíli počkejte.

dále zkontrolujte, zda jsou k dispozici akcie sysvol a netlogon. Pokud ne, zkontrolujte http://www.jsifaq.com/SF/Tips/Tip.aspx?id=7979, http://support.microsoft.com/kb/316790, http://support.microsoft.com/kb/836421 a http://support.microsoft.com/kb/315457/.
restartujte počítač a uvidíte, co se stane. Pokud to funguje, vyplňte složku sysvol zálohou sysvol (takže budete mít své skripty a gpo zpět).

nakonec si dejte pozor na události v protokolu událostí adresářové služby, které říkají, že služba přihlášení k síti byla pozastavena. (ID události NTDS 2103: databáze služby Active Directory byla obnovena pomocí nepodporovaného postupu obnovy. Služba Active Directory se nebude moci přihlásit k uživatelům, dokud tato podmínka přetrvává. V důsledku toho se služba přihlášení k síti pozastavila.) Pokud spustíte službu netlogon ručně, měli byste mít funkční DC (ale problém nevyřešíte-ale to je prozatím v pořádku. Pokud opravdu chcete vyřešit tento problém s vrácením USN, zkontrolujte http://blogs.dirteam.com/blogs/jorge/archive/2006/03/08/597.aspx, http://blogs.technet.com/petergal/archive/2006/02/04/418779.aspx, http://support.microsoft.com/kb/885875, http://www.ureader.com/message/1270504.aspx, http://www.mcse.ms/message1743890.html. Hodně štěstí)

Nyní spusťte dcdiag a vyhledejte chyby a varování.

2 další rychlé poznámky :

1. zálohování/obnovení ASR je založeno na zálohování ASR. Je pravděpodobné, že záloha ASR je o něco starší než poslední záloha stavu systému, takže by mohlo být dobré vzít poslední ntds.dit soubor, a provést autoritativní obnovení na tomto DC.
2. pokud jste museli obnovit jeden z DC, protože všechny ostatní zemřely při katastrofě a DC, který obnovujete, nebyl primární DC, pak musíte využít role FSMO tomuto DC. (v závislosti na vašem prostředí, pokud je to například jediný DC v lese, budete muset využít všechny role FSMO tomuto DC. Můžete to provést pomocí ntdsutil). http://support.microsoft.com/kb/255504 :

navíc, pokud je to jediný DC, který zůstane, budete muset vyčistit všechny ostatní (pokud existují) před propagací nových serverů do domény. V opačném případě skončíte se spoustou chyb a varování, časových limitů, … když se tento obnovený DC pokusí kontaktovat jiné DC, které tam už nejsou. Podívejte se na Microsoft KB 216498 a odstraňte mrtvé DC

odkazy:

jak přesunout instalaci systému Windows na jiný hardware : http://support.microsoft.com/kb/249694
jak provést obnovu po havárii obnovení služby Active Directory v počítači s jinou hardwarovou konfigurací: http://support.microsoft.com/?id=263532
jak obnovit strom SYSVOL a jeho obsah v doméně: http://support.microsoft.com/kb/315457/
akcie Sysvol a Netlogon chybí po obnovení řadiče domény ze zálohy: http://support.microsoft.com/kb/316790
řadič domény nefunguje správně? : http://www.jsifaq.com/SF/Tips/Tip.aspx?id=8320
windows_bare_metal_recovery: ntbackup: http://wiki.bacula.org/doku.php?id=windows_bare_metal_recovery:ntbackup
obnovit ze selhání systému pomocí automatické obnovení systému: http://technet2.microsoft.com/windowsserver/en/library/e96185f5-50b7-4b14-a2fd-0155d6b174f91033.mspx?mfr=true
jak ASR funguje : http://technet2.microsoft.com/windowsserver/en/library/7b4f0436-cc90-4b52-b6ab-064f9db8d2721033.mspx?mfr=true
obnovení řadiče domény prostřednictvím reinstalace: http://technet2.microsoft.com/WindowsServer/en/Library/2f44ad0e-f84d-47a2-956b-df3f8554ea541033.mspx
provedení autoritativní obnovy objektů služby Active Directory: http://technet2.microsoft.com/WindowsServer/en/library/690730c7-83ce-4475-b9b4-46f76c9c7c901033.mspx
jak funguje zálohování: http://technet2.microsoft.com/windowsserver/en/library/9143ba85-587e-409d-b612-617e6617fece1033.mspx?mfr=true

nástroje 3. strany:
http://www.stratesave.com/html/htmlhelp/meba2d89.htm