Corelan Cybersecurity Research

Corelan Cybersecurity Research

følgende procedure skal fungere for enhver type udstyr, men jeg har brugt (så denne procedure er også gyldig, hvis du vil konvertere en fysisk domænecontroller til ). Derudover fungerer proceduren for vinduer 2003 server, men også for vinduer (professionel)

forudsætninger :

• Asr backup .bkf-fil og ASR-disketten, der svarer til ASR-backupfilen. Hvis du vil genskabe ASR-disketten, skal du kigge på http://support.microsoft.com/kb/325854/en-us
• konverteret ASR-diskette (brug et værktøj som f .eks.ima eller .img-fil, og omdøb derefter .ima/.img fil til .flp, eller tag et kig på http://www.vmware.com/community/thread.jspa;jsessionid=9977DD123ECD2AA3C2E131C02E35998E?messageID=210767𳝏 eller http://www.vmware.com/community/thread.jspa?threadID=18046 )
• du skal være i stand til at få adgang til .BKF fil under vinduerne setup i ASR-tilstand.Dette er noget vanskeligt. De eneste 2 måder, jeg kender til det arbejde (læs : at jeg har testet mig selv), er enten tilbage til tape, og har bånddrevet og båndet tilgængeligt under ASR-gendannelsen; eller sikkerhedskopier til disken og sæt bkf på en server i VM-miljøet. Del mappen, der indeholder bkf. Bare læg ikke BKF-filen på de diske, der vil indeholde serveren bagefter, fordi alle data fjernes under ASR-opsætningen. Ifølge nogle mennesker skal du være i stand til at placere BKF-filen på en af diskene på serveren, hvor ASR kører på. Så længe den ikke sidder på den partition, der har systemfiler på den, og så længe den partition, der holder BKF-filen, også er tilgængelig i den rigtige DC, skal den fungere. (Men jeg har en tendens til ikke at tro på denne erklæring, fordi et af de første trin i processen faktisk rydder partitionerne og diskene på diskene… så disken, der indeholder BKF-filen, også tømmes… ikke ?)
• diskkonfiguration af den fysiske server (størrelse på hver disk)
• vinduer 2003 server CD
• sørg for, at VM-maskinen ikke har adgang til produktionsmaskinen, hvis du prøver dette til simulerings – /testformål. Indstil den virtuelle maskine til at bruge et internt netværk uden forbindelse til resten af netværket.
• andre backup sæt (Seneste systemtilstand, Sysvol indhold, …)

før du starter : sæt aldrig den samme maskine to gange på det samme netværk. Dette vil skabe kaos og i tilfælde af en DC, mulig ødelægge hele din annonce. Sørg for at placere “at blive gendannet” DC i et isoleret netværkssegment uden adgang til den rigtige DC.

Opret først en virtuel maskine, og sørg for at oprette virtuelle diske, der har mindst samme størrelse som diskene på serverne. (Bemærk: Jeg henviser til diske, ikke partitioner.) Hvis din DC har 3 partitioner på 12 GB, og den samlede disk er 36 GB, skal du sørge for at oprette 1 virtuel disk på mindst 36 GB.

Start computeren (boot fra vinduer 2003 server CD.) Når du bliver bedt om det, skal du trykke på F2 for at gå ind i ASR-tilstand.

når du bliver bedt om at indsætte ASR disken, montere .flp-fil, der indeholder ASR-disketten. (Eller bare monter den fysiske diskette).

vinduer opsætning fortsætter “indlæser filer…”, vent bare, indtil følgende skærmbillede vises :

tryk på “C” for at fortsætte opsætningen. Dette trin fjerner alt, hvad der er på de diske, der er angivet i denne visning.

Dernæst vil diskene blive formateret og kontrolleret…

… og vinduer setup vil fortsætte med at kopiere filer :

vent, indtil denne proces er afsluttet.

systemet genstarter i ASR-processens grafiske tilstand. Sørg for at ændre BIOS for ikke at starte fra CD eller diskette. (eller tryk på ESC på starttidspunktet for at vise Startmenuen). Du ender på ASR velkomstskærmen. Klik på Næste for at fortsætte (eller bare vent 90 sekunder)

Vælg den sti, der indeholder ASR .BKF-fil. Hvis du har lagt filen på en filserver i dit VM-miljø, skal du kunne indsætte UNC-stien til mappen (\\ip\sharename) og fortsætte gendannelsesprocessen over netværket. Hvis du gør dette på en fysisk server, og hvis du har lagt asr-sikkerhedskopien på bånd, skal serveren være i stand til at registrere båndet og finde asr-sikkerhedskopien automaticall. Selvfølgelig kan du også gå til BKF-filen over netværket, når du udfører en bare metalgendannelse på en fysisk server.

endnu en hurtig note om adgang til en filserver på netværket. Netværksdriveren indlæses i ASR-tilstand, men du skal sørge for, at der er en DHCP-server i netværket. Hvis du gør dette i et isoleret miljø, kan du placere en anden 2003-server i det samme isolerede VM-miljø og installere DHCP på den pågældende maskine. DHCP ‘ en skal være i gang på det tidspunkt, hvor serveren “skal gendannes” starter i ASR grafisk tilstand. Hvis DHCP ikke fungerer, kan du også stole på APIPA. Brug en sniffer på filserveren til at se APIPA-adressen på serveren “der skal gendannes” :

Giv filserveren en apipa-adresse i samme netværksområde, og de to skal kunne tale med hinanden. I mit eksempel har filserveren (det er faktisk et vindue) IP 169.254.145.192, serveren har 169.254.145.191 (jeg fik den adresse fra snifferen)

gå tilbage til ASR-processen. Når du er i dialogvinduet for at vælge din sikkerhedskopifil, skal du klikke på “Gennemse” og indtaste UNC-stien til delingen på serveren. I mit eksempel er det \\169.254.145.192 \ data. Giv en bruger / adgangskode til at oprette forbindelse, når du bliver spurgt.

Vælg den BKF-fil, der er gemt på serveren, og klik på “Åbn”

Klik på” Næste “for at fortsætte processen

Klik på “Udfør” for at starte gendannelse

vent, indtil processen er afsluttet. Ntbackup-applikationen lukkes, og serveren genstarter automatisk.

når maskinen genstarter, kan der ske et par ting

1. serveren starter og fungerer fint. Tillykke. Selvom du har brug for at installere displaydrivere eller nogle andre drivere efter opstarten, har du stadig gjort det med succes. Og hvis du planlagde disse typer scenarier, kunne du gendanne din DC om en halv time eller deromkring…
2. serveren starter ikke. Prøv at reparere installationen ved at starte med 2003-server-cd ‘ en og gå i reparationstilstand. (Du kan vælge at reparere installationen af vinduer, når installationsprocessen har registreret en eksisterende installation af vinduer). Hvis det ikke virker, skal du kigge på følgende Microsoft KB ‘ er :
   1. http://support.microsoft.com/kb/325375/en-us
   2. http://support.microsoft.com/kb/842009/en-us
   3. http://support.microsoft.com/kb/811944/en-us
   4. http://support.microsoft.com/kb/836421/en-us

hvis du får din DC til at arbejde, skal du bare kontrollere egenskaberne for netværksgrænsefladen. Hvis du gør en ASR gendannelse, odds er, at brandmuren vil blive tændt igen. Sørg for at slukke for det, hvis det er det, du har brug for. Du skal muligvis genstarte for at få AD til at køre korrekt.

hændelseslog : MSDTC-fejl/advarsler

endelig skal du kontrollere hændelsesloggen. Der er en ret god chance for, at du vil se MSDTC-fejl/advarsler i hændelsesloggen. Du kan rydde disse op ved hjælp af følgende procedurer :

fejl EventID 53258

hvis Hændelseslogprogrammet indeholder :

kilde: MSDTC
type: advarsel
Kategori: SVC
Hændelses-ID: 53258
beskrivelse: MS DTC kunne ikke behandle en DC-promoverings – /Degraderingshændelse korrekt. MS DTC vil fortsætte med at fungere og vil bruge de eksisterende sikkerhedsindstillinger. Fejlspecifikationer: % 1

start Udstyrskomponenttjenester (Start – Programmer – Administrative værktøjer).
Udvid Komponent Tjenester.
Udvid sektion computere.
Højreklik på denne Computer, vælg Egenskaber, fanen MSDTC.
Vælg sikkerhedskonfiguration, og derefter OK.
vælg OK igen.
Højreklik på denne Computer, og vælg Stop MS DTC. Dette vil stoppe den distribuerede Transaktionskoordinator.
højreklik igen på denne Computer, og vælg Start MS DTC.

sørg også for, at “netværkstjeneste” har fuld kontrol over HKLM\Microsoft\MSDTC og alt nedenfor. Genstart derefter serveren.

fejl EventID 4404

kilde: MSDTC
Type: fejl
Kategori: Sporingsinfrastruktur
Hændelses-ID: 4404
beskrivelse: MS DTC-Sporingsinfrastruktur: initialiseringen af sporingsinfrastrukturen mislykkedes. Interne oplysninger: Msdtc_trace: fil: d:\srvrtm\com\complus\dtc\dtc\trace\src\tracelib.CPP, linje: 1107, StartTrace mislykkedes, hr=0h80070070

start udstyr komponent tjenester (Start – Programmer – Administrative værktøjer).
Udvid Komponent Tjenester.
Højreklik på denne Computer, vælg Egenskaber, fanen MSDTC.
Vælg Sporingsindstillinger.
vælg Stop Session, ny Session, Flush Data og OK to gange.
Højreklik på denne Computer, og vælg Stop MS DTC. Dette vil stoppe den distribuerede Transaktionskoordinator.
højreklik igen på denne Computer, og vælg Start MS DTC.

Fejl EventID 1058, 1030

Kilde: Userenv
Type: Fejl
Hændelses-ID: 1058
beskrivelse: vinduer har ikke adgang til filen gpt.ini til GPO CN = {31B2F340-016d-11d2-945f-00c04fb984f9}, CN=politikker, CN=System, DC=test, DC=net. Filen skal være til stede på stedet . (Netværksplaceringen kan ikke nås . Du kan finde oplysninger om fejlfinding på netværket i Hjælp til vinduer.). Behandling af Gruppepolitik afbrudt.

eller også

kilde: Userenv
Type: fejl
Hændelses-ID: 1030
beskrivelse: vinduer kan ikke forespørge om listen over gruppepolitiske objekter. Tjek hændelsesloggen for mulige meddelelser, der tidligere er logget af den politikmotor, der beskriver årsagen til dette.

en fuldstændig beskrivelse af løsningen findes i artiklen Microsoft #842804 på http://support.microsoft.com/?id=842804. Vær sikker på at:
Netlogon og DFS tjenester er startet.
controlleren af domænet gyldigt læser og anvender regler fra Domænecontrollers politik.
NTFS-rettighederne til fælles ressource Sysvol er konfigureret korrekt.
DNS-poster på server DNS er korrekte.

andre problemer

hvis du forsøger at åbne AD U& C, og du får følgende fejl : “Navngivningsoplysninger kan ikke findes, fordi det angivne domæne enten ikke findes eller ikke kan kontaktes. Kontakt din systemadministrator for at kontrollere, at dit domæne er korrekt konfigureret og i øjeblikket er online.”, tjek vinduerne tid service og sørg for, at det kører. Kontroller DNS, og sørg for, at den ikke indeholder nogen henvisninger til DC ‘ er, der ikke er tilgængelige. Ryd op AD (fjern døde DC ‘ er) ved hjælp af ntdsutil (se http://support.microsoft.com/kb/216498) og ved at fjerne poster i DNS. Genstart og vent lidt.

kontroller derefter, om sysvol-og netlogon-aktier er tilgængelige. Hvis ikke, tjek http://www.jsifaq.com/SF/Tips/Tip.aspx?id=7979, http://support.microsoft.com/kb/316790, http://support.microsoft.com/kb/836421 og http://support.microsoft.com/kb/315457/.
genstart og se hvad der sker. Hvis det virker, skal du fylde sysvol-mappen med sysvol-backupen (så du har dine scripts og gpo ‘ s tilbage) .

endelig skal du passe på begivenheder i Katalogtjenestehændelsesloggen, der siger, at Netlogon-tjenesten blev sat på pause. (NTDs Event ID 2103: Active Directory-databasen er blevet gendannet ved hjælp af en ikke-understøttet gendannelsesprocedure. Active Directory kan ikke logge på brugere, mens denne tilstand fortsætter. Som et resultat er Net Logon-tjenesten sat på pause.) Hvis du starter netlogon-tjenesten manuelt, skal du have en fungerende DC (men du har ikke løst problemet – men det er ok for nu. Hvis du virkelig også vil løse dette USN-Tilbagekaldsproblem, skal du kontrollere http://blogs.dirteam.com/blogs/jorge/archive/2006/03/08/597.aspx, http://blogs.technet.com/petergal/archive/2006/02/04/418779.aspx, http://support.microsoft.com/kb/885875, http://www.ureader.com/message/1270504.aspx, http://www.mcse.ms/message1743890.html. Held og lykke)

Kør nu en dcdiag og kig efter fejl og advarsler.

2 flere hurtige noter :

1. ASR Backup / Restore er baseret på en ASR backup. Odds er, at ASR backup er lidt ældre end den sidste system State backup, så det kan være en god ide at tage de sidste NTD ‘ er.Dette fil, og udføre en autoritativ gendannelse på denne DC.
2. hvis du skulle gendanne en af DC ‘ erne, fordi alle de andre døde i en katastrofe, og den DC, du gendanner, ikke var den primære DC, skal du gribe FSMO-rollerne til denne DC. (afhængigt af dit miljø, hvis dette er den eneste DC i skoven tilbage for eksempel, skal du gribe alle FSMO-rollerne til denne DC. Du kan gøre dette ved hjælp af ntdsutil). http://support.microsoft.com/kb/255504 :

Derudover, hvis dette er den eneste DC, der vil blive tilbage, bliver du nødt til at rydde op i alle de andre (hvis nogen), før du promoverer nye servere til domænet. Ellers vil du ende med mange fejl og advarsler, timeouts, … når denne genoprettede DC forsøger at kontakte andre DC ‘ er, der ikke er der længere. Se på Microsoft KB 216498 for at fjerne de døde DC ‘ er

Links:

hvordan til at flytte en Vinduer installation til forskellige isenkram : http://support.microsoft.com/kb/249694
Sådan udføres en disaster recovery restaurering af Active Directory på en computer med en anden udstyrskonfiguration : http://support.microsoft.com/?id=263532
sådan genopbygges SYSVOL-træet og dets indhold i et domæne : http://support.microsoft.com/kb/315457/
Sysvol-og Netlogon-aktierne mangler, når du gendanner en domænecontroller fra Backup : http://support.microsoft.com/kb/316790
en domænecontroller fungerer ikke korrekt? : http://www.jsifaq.com/SF/Tips/Tip.aspx?id=8320
vinduer _bare_metal_recovery: ntbackup: http://wiki.bacula.org/doku.php?id=windows_bare_metal_recovery:ntbackup
Gendan fra en systemfejl ved hjælp af automatiseret Systemgendannelse: http://technet2.microsoft.com/windowsserver/en/library/e96185f5-50b7-4b14-a2fd-0155d6b174f91033.mspx?mfr=true
Sådan fungerer ASR : http://technet2.microsoft.com/windowsserver/en/library/7b4f0436-cc90-4b52-b6ab-064f9db8d2721033.mspx?mfr=true
Gendannelse af en domænecontroller gennem geninstallation: http://technet2.microsoft.com/WindowsServer/en/Library/2f44ad0e-f84d-47a2-956b-df3f8554ea541033.mspx
udførelse af en autoritativ Gendannelse af Active Directory-objekter: http://technet2.microsoft.com/WindowsServer/en/library/690730c7-83ce-4475-b9b4-46f76c9c7c901033.mspx
Sådan fungerer backup : http://technet2.microsoft.com/windowsserver/en/library/9143ba85-587e-409d-b612-617e6617fece1033.mspx?mfr=true

3. parts værktøjer :
http://www.stratesave.com/html/htmlhelp/meba2d89.htm