Corelan Cybersecurity Research

Corelan Cybersecurity Research

Das folgende Verfahren sollte für jede Art von Hardware funktionieren, aber ich habe VMware verwendet (daher ist dieses Verfahren auch gültig, wenn Sie einen physischen Domänencontroller in VMware konvertieren möchten). Darüber hinaus funktioniert das Verfahren für Windows 2003 Server, aber auch für Windows XP (Professional)

Voraussetzungen :

  • ASR-Sicherung .bkf-Datei und die ASR-Diskette, die der ASR-Sicherungsdatei entspricht. Wenn Sie die ASR-Diskette neu erstellen möchten, werfen Sie einen Blick auf http://support.microsoft.com/kb/325854/en-us
  • Konvertierte ASR-Diskette (verwenden Sie ein Tool wie winimage, um die Diskette in eine .ima oder .img-Datei, und benennen Sie dann die .ima/.img-Datei zu .flp, oder werfen Sie einen Blick auf http://www.vmware.com/community/thread.jspa;jsessionid=9977DD123ECD2AA3C2E131C02E35998E?messageID=210767𳝏 oder http://www.vmware.com/community/thread.jspa?threadID=18046 )
  • Sie müssen in der Lage sein, den Zugriff auf die haben .bkf-Datei während des Windows-Setups im ASR-Modus.Das ist etwas knifflig. Die einzigen 2 Möglichkeiten, die ich von dieser Arbeit kenne (sprich: die ich selbst getestet habe), sind entweder die Sicherung auf Band und die Verfügbarkeit des Bandlaufwerks und des Bandes während der ASR-Wiederherstellung; oder sichern Sie die Festplatte und legen Sie die bkf auf einem Server in der VMware-Umgebung ab. Geben Sie den Ordner mit dem bkf frei. Legen Sie die BKF-Datei einfach nicht auf den Datenträgern ab, die anschließend den Windows Server enthalten, da alle Daten während des ASR-Setups entfernt werden. Einigen Leuten zufolge sollten Sie in der Lage sein, die BKF-Datei auf einer der Festplatten des Servers abzulegen, auf dem ASR ausgeführt wird. Solange es sich nicht auf der Partition befindet, auf der sich Systemdateien befinden, und solange die Partition, die die BKF-Datei enthält, auch im realen DC verfügbar ist, sollte es funktionieren. (Aber ich neige dazu, diese Aussage nicht zu glauben, weil einer der ersten Schritte im Prozess tatsächlich das Löschen der Partitionen und Volumes auf den Festplatten ist … also würde die Festplatte, die die bkf-Datei enthält, auch geleert … richtig?)
  • Festplattenkonfiguration des physischen Servers (Größe jeder Festplatte)
  • Windows 2003 Server CD
  • Stellen Sie sicher, dass die VMware-Maschine keinen Zugriff auf die Produktionsmaschine hat, wenn Sie dies zu Simulations- / Testzwecken versuchen. Stellen Sie die virtuelle Maschine so ein, dass sie ein internes VMware-Netzwerk ohne Verbindung zum Rest des Netzwerks verwendet.
  • Andere Sicherungssätze (aktueller Systemstatus, Sysvol-Inhalt, …)

Bevor Sie beginnen : Stellen Sie niemals denselben Computer zweimal in dasselbe Netzwerk. Dies wird Chaos verursachen und im Falle eines DC, möglich ruinieren Sie Ihre gesamte Anzeige. Stellen Sie sicher, dass Sie den „wiederherzustellenden“ DC in einem isolierten Netzwerksegment ohne Zugriff auf den realen DC ablegen.

Erstellen Sie zunächst eine virtuelle VMware-Maschine und stellen Sie sicher, dass virtuelle Festplatten mindestens die gleiche Größe wie die Festplatten auf den Servern haben. (Hinweis: Ich beziehe mich auf Festplatten, nicht auf Partitionen.) Wenn Ihr DC 3 Partitionen von 12 GB hat und die Gesamtfestplatte 36 GB beträgt, stellen Sie sicher, dass Sie 1 virtuelle Festplatte mit mindestens 36 GB erstellen.

Starten Sie den vmware-Computer (booten Sie von der Windows 2003 Server-CD.) Wenn Sie dazu aufgefordert werden, drücken Sie F2, um den ASR-Modus aufzurufen.

Wenn Sie aufgefordert werden, die ASR-Disk einzulegen, montieren Sie die .flp-Datei, die die ASR-Diskette enthält. (Oder mounten Sie einfach die physische Diskette).

091407_2150_Howtorestor1

Windows Setup setzt „Dateien laden …“ fort, warten Sie einfach, bis der folgende Bildschirm angezeigt wird :

091407_2150_Howtorestor2

Drücken Sie „C“, um die Einrichtung fortzusetzen. Dieser Schritt entfernt alles, was sich auf den in dieser Ansicht aufgelisteten Datenträgern befindet.

Als nächstes werden die Festplatten formatiert und überprüft…

091407_2150_Howtorestor3

… und Windows Setup wird weiterhin Dateien kopieren :

091407_2150_Howtorestor4

Warten Sie, bis dieser Vorgang abgeschlossen ist.

091407_2150_Howtorestor5

Das System wird in den grafischen Modus des ASR-Prozesses neu gestartet. Stellen Sie sicher, dass Sie das BIOS so ändern, dass es nicht von CD oder Diskette startet. (oder drücken Sie ESC beim Booten, um das Boot-Menü anzuzeigen). Sie landen auf dem ASR-Begrüßungsbildschirm. Klicken Sie auf Weiter, um fortzufahren (oder warten Sie einfach 90 Sekunden)

091407_2150_Howtorestor6

Wählen Sie den Pfad aus, der die ASR enthält .bkf-Datei. Wenn Sie die Datei auf einem Dateiserver in Ihrer VMware-Umgebung abgelegt haben, sollten Sie in der Lage sein, den UNC-Pfad zum Ordner (\\ ip \ sharename) einzugeben und den Wiederherstellungsprozess über das Netzwerk fortzusetzen. Wenn Sie dies auf einem physischen Server tun und das asr-Backup auf Band gespeichert haben, sollte der Server in der Lage sein, das Band zu erkennen und das asr-Backup automatisch zu finden. Natürlich können Sie auch über das Netzwerk zur BKF-Datei navigieren, wenn Sie eine Bare-Metal-Wiederherstellung auf einem physischen Server durchführen.

Noch ein kurzer Hinweis zum Zugriff auf einen Dateiserver im Netzwerk. Der Netzwerktreiber wird im ASR-Modus geladen, Sie müssen jedoch sicherstellen, dass sich ein DHCP-Server im Netzwerk befindet. Wenn Sie dies in einer isolierten Umgebung tun, können Sie einen anderen 2003-Server in derselben isolierten VMware-Umgebung bereitstellen und DHCP auf diesem Computer installieren. Der DHCP-Server sollte zum Zeitpunkt des Starts des „wiederherzustellenden“ Servers in den ASR-Grafikmodus betriebsbereit sein. Wenn DHCP nicht funktioniert, können Sie sich auch auf APIPA verlassen. Verwenden Sie einen Sniffer (Wireshark) auf dem Dateiserver, um die APIPA-Adresse des „wiederherzustellenden“ Servers anzuzeigen :

091407_2150_Howtorestor7

Geben Sie dem Dateiserver eine Apipa-Adresse im selben Netzwerkbereich, und die beiden sollten in der Lage sein, miteinander zu sprechen. In meinem Beispiel hat der Dateiserver (es ist eigentlich ein Windows XP) IP 169.254.145.192, der Server hat 169.254.145.191 (ich habe diese Adresse vom Sniffer erhalten)

091407_2150_Howtorestor8

Gehen Sie zurück zum ASR-Prozess. Wenn Sie sich im Dialogfenster befinden, um Ihre Sicherungsdatei auszuwählen, klicken Sie auf „Durchsuchen“ und geben Sie den UNC-Pfad zur Freigabe auf dem Server ein. In meinem Beispiel ist das \\169.254.145.192\data . Geben Sie einen Benutzer / Passwort zu verbinden, wenn gefragt.

091407_2150_Howtorestor9

Wählen Sie die auf dem Server gespeicherte bkf-Datei aus und klicken Sie auf „Öffnen“

091407_2150_Howtorestor10

091407_2150_Howtorestor11
Klicken Sie auf „Weiter“, um den Vorgang fortzusetzen

Klicken Sie auf „Fertig stellen“, um mit der Wiederherstellung zu beginnen

091407_2150_Howtorestor12

091407_2150_Howtorestor13

Warten Sie, bis der Vorgang abgeschlossen ist. Die ntbackup-Anwendung wird geschlossen und der Server wird automatisch neu gestartet.

Beim Neustart des Computers können einige Dinge passieren

  1. Der Server startet und funktioniert einwandfrei. Herzlichen Glückwunsch. Auch wenn Sie Display-Treiber oder einige andere Treiber nach dem Booten installieren müssen, haben Sie es immer noch erfolgreich gemacht. Und wenn Sie für diese Art von Szenarien geplant haben, können Sie Ihren DC in etwa einer halben Stunde wiederherstellen…
  2. Der Server bootet nicht. Versuchen Sie, die Installation zu reparieren, indem Sie mit der 2003 Server-CD booten, und wechseln Sie in den Reparaturmodus. (Sie können die Windows-Installation reparieren, nachdem der Setup-Prozess eine vorhandene Windows-Installation erkannt hat). Wenn das nicht funktioniert, schauen Sie sich die folgenden Microsoft-KBS an :
    1. http://support.microsoft.com/kb/325375/en-us
    2. http://support.microsoft.com/kb/842009/en-us
    3. http://support.microsoft.com/kb/811944/en-us
    4. http://support.microsoft.com/kb/836421/en-us

Wenn Sie Ihren DC zum Laufen bringen, überprüfen Sie einfach die Eigenschaften der Netzwerkschnittstelle. Wenn Sie eine ASR-Wiederherstellung durchführen, besteht die Möglichkeit, dass die Firewall wieder eingeschaltet wird. Stellen Sie sicher, dass Sie es ausschalten, wenn Sie dies benötigen. Möglicherweise müssen Sie neu starten, damit AD ordnungsgemäß ausgeführt wird.

091407_2150_Howtorestor14

Ereignisprotokoll : MSDTC-Fehler / Warnungen

Überprüfen Sie abschließend das Ereignisprotokoll. Es besteht eine ziemlich gute Chance, dass Sie MSDTC-Fehler / Warnungen im Ereignisprotokoll sehen. Sie können diese mit den folgenden Verfahren bereinigen:

Error EventID 53258

Wenn die Ereignisprotokollanwendung Folgendes enthält:

Quelle: MSDTC
Typ: Warning
Kategorie: SVC
Ereignis-ID: 53258
Beschreibung: MS DTC konnte ein DC-Beförderungs- / Herabstufungsereignis nicht korrekt verarbeiten. MS DTC funktioniert weiterhin und verwendet die vorhandenen Sicherheitseinstellungen. Fehlerbeschreibung: %1

Starten Sie die Gerätekomponentendienste (Start – Programme – Verwaltung).
Komponentendienste erweitern.
Erweitern Sie den Abschnitt Computer.
Klicken Sie mit der rechten Maustaste auf Arbeitsplatz, wählen Sie Eigenschaften, Registerkarte MSDTC.
Wählen Sie Sicherheitskonfiguration und dann OK.
Wählen Sie erneut OK.
Rechtsklick auf Arbeitsplatz, und wählen Sie Stop MS DTC. Dadurch wird der verteilte Transaktionskoordinator gestoppt.
Klicken Sie erneut mit der rechten Maustaste auf Arbeitsplatz und wählen Sie MS DTC starten.

Stellen Sie außerdem sicher, dass „Network Service“ die volle Kontrolle über HKLM \ Software \ Microsoft \ MSDTC und alles darunter hat. Starten Sie dann den Server neu.

Fehler EventID 4404

Quelle: MSDTC
Typ: Fehler
Kategorie: Ablaufverfolgungsinfrastruktur
Ereignis-ID: 4404
Beschreibung: MS DTC-Ablaufverfolgungsinfrastruktur: Die Initialisierung der Ablaufverfolgungsinfrastruktur ist fehlgeschlagen. Interne Informationen: msdtc_trace: Datei: d:\srvrtm\com\complus\dtc\dtc\trace\src\tracelib.cpp, Linie: 1107, StartTrace fehlgeschlagen, hr=0x80070070

Gerätekomponentendienste starten (Start – Programme – Verwaltung).
Komponentendienste erweitern.
Klicken Sie mit der rechten Maustaste auf Arbeitsplatz, wählen Sie Eigenschaften, Registerkarte MSDTC.
Wählen Sie Ablaufverfolgungsoptionen.
Wählen Sie zweimal Sitzung beenden, Neue Sitzung, Daten löschen und OK.
Rechtsklick auf Arbeitsplatz, und wählen Sie Stop MS DTC. Dadurch wird der verteilte Transaktionskoordinator gestoppt.
Klicken Sie erneut mit der rechten Maustaste auf Arbeitsplatz und wählen Sie MS DTC starten.

Fehler EventID 1058, 1030

Quelle: Userenv
Typ: Fehler
Ereignis-ID: 1058
Beschreibung: Windows kann nicht auf die Datei gpt zugreifen.ini für Gruppenrichtlinienobjekt CN = {31B2F340-016D-11D2-945F-00C04FB984F9}, CN = Richtlinien, CN = System, DC = Test, DC = Netz. Die Datei muss am Speicherort vorhanden sein. (Der Netzwerkstandort kann nicht erreicht werden. Informationen zur Fehlerbehebung im Netzwerk finden Sie in der Windows-Hilfe.). Gruppenrichtlinienverarbeitung abgebrochen.

oder auch

Quelle: Userenv
Typ: Fehler
Ereignis-ID: 1030
Beschreibung: Windows kann die Liste der Gruppenrichtlinienobjekte nicht abfragen. Überprüfen Sie das Ereignisprotokoll auf mögliche Nachrichten, die zuvor vom Richtlinienmodul protokolliert wurden und die den Grund dafür beschreiben.

Eine vollständige Beschreibung der Lösung finden Sie im Artikel Microsoft #842804 unter http://support.microsoft.com/?id=842804 . Stellen Sie sicher, dass:
Netlogon- und DFS-Dienste gestartet sind.
Der Controller der Domänenrichtlinie liest und wendet Regeln aus der Domänencontrollerrichtlinie an.
Die NTFS-Rechte auf Common Resource Sysvol sind korrekt konfiguriert.
DNS-Einträge auf Server DNS sind korrekt.

Andere Probleme

Wenn Sie versuchen, AD U& C zu öffnen, wird die folgende Fehlermeldung angezeigt: „Namensinformationen können nicht gefunden werden, da die angegebene Domäne entweder nicht vorhanden ist oder nicht kontaktiert werden kann. Wenden Sie sich an Ihren Systemadministrator, um zu überprüfen, ob Ihre Domäne ordnungsgemäß konfiguriert und derzeit online ist.“, überprüfen Sie den Windows-Zeitdienst und stellen Sie sicher, dass er ausgeführt wird. Überprüfen Sie DNS und stellen Sie sicher, dass es keine Verweise auf DCS enthält, die nicht verfügbar sind. Bereinigen Sie AD (entfernen Sie tote DCS) mit ntdsutil (siehe http://support.microsoft.com/kb/216498) und entfernen Sie Einträge in DNS. Starten Sie neu und warten Sie eine Weile.

Überprüfen Sie als Nächstes, ob sysvol- und Netlogon-Freigaben verfügbar sind. Wenn nicht, überprüfen Sie http://www.jsifaq.com/SF/Tips/Tip.aspx?id=7979, http://support.microsoft.com/kb/316790, http://support.microsoft.com/kb/836421 und http://support.microsoft.com/kb/315457/.
Neustart und sehen, was passiert. Wenn es funktioniert, füllen Sie den sysvol-Ordner mit dem sysvol-Backup (damit Sie Ihre Skripte und Gruppenrichtlinienobjekte zurück haben).

Achten Sie schließlich auf Ereignisse im Verzeichnisdienst-Ereignisprotokoll, die besagen, dass der Netzanmeldedienst angehalten wurde. (NTDS-Ereignis-ID 2103 : Die Active Directory-Datenbank wurde mit einem nicht unterstützten Wiederherstellungsverfahren wiederhergestellt. Active Directory kann Benutzer nicht anmelden, solange diese Bedingung weiterhin besteht. Infolgedessen wurde der Netzanmeldedienst angehalten.) Wenn Sie den Netlogon-Dienst manuell starten, sollten Sie einen funktionierenden DC haben (aber Sie haben das Problem nicht gelöst – aber das ist vorerst in Ordnung. Wenn Sie dieses USN-Rollback-Problem wirklich lösen möchten, überprüfen Sie http://blogs.dirteam.com/blogs/jorge/archive/2006/03/08/597.aspx, http://blogs.technet.com/petergal/archive/2006/02/04/418779.aspx, http://support.microsoft.com/kb/885875, http://www.ureader.com/message/1270504.aspx, http://www.mcse.ms/message1743890.html. Viel Glück)

Führen Sie nun ein dcdiag aus und suchen Sie nach Fehlern und Warnungen.

2 weitere Kurznotizen :

  1. Das ASR Backup/Restore basiert auf einem ASR Backup. Die Chancen stehen gut, dass die ASR-Sicherung etwas älter ist als die letzte Sicherung des Systemstatus, daher ist es möglicherweise eine gute Idee, die letzten NTDS zu verwenden.dit-Datei, und führen Sie eine vollständige Wiederherstellung auf diesem DC durch.
  2. Wenn Sie einen der DC wiederherstellen mussten, weil alle anderen bei einer Katastrophe ums Leben kamen und der DC, den Sie wiederherstellen, nicht der primäre DC war, müssen Sie die FSMO-Rollen für diesen DC übernehmen. (abhängig von Ihrer Umgebung müssen Sie, wenn dies beispielsweise der einzige DC in der Gesamtstruktur ist, ALLE FSMO-Rollen für diesen DC übernehmen. Sie können dies mit ntdsutil tun). http://support.microsoft.com/kb/255504 :

ntdsutil
ntdsutil: Rollen
fsmo-Wartung: Verbindungen
Serververbindungen: Verbindung zum Server yourservername
Bindung an yourservername …
Verbindung zu yourservername mithilfe der Anmeldeinformationen des lokal angemeldeten Benutzers
.
serververbindungen: q
fsmo-Wartung: Domänennamen-Master
fsmo-Wartung: Infrastruktur-Master
fsmo-Wartung: PDC
fsmo-Wartung: RID-Master
fsmo-Wartung: Schema-Master
fsmo-Wartung: q
ntdsutil: q
Trennen von yourservername…

Wenn dies der einzige DC ist, der übrig bleibt, müssen Sie außerdem alle anderen (falls vorhanden) bereinigen, bevor Sie neue Server in die Domäne hochstufen. Andernfalls erhalten Sie viele Fehler und Warnungen, Zeitüberschreitungen usw., wenn dieser wiederhergestellte DC versucht, andere DCS zu kontaktieren, die nicht mehr vorhanden sind. Schauen Sie sich Microsoft KB 216498 an, um die toten DCS zu entfernen

Links :

So verschieben Sie eine Windows-Installation auf andere Hardware : http://support.microsoft.com/kb/249694
So führen Sie eine Notfallwiederherstellung von Active Directory auf einem Computer mit einer anderen Hardwarekonfiguration durch: http://support.microsoft.com/?id=263532
So erstellen Sie die SYSVOL-Struktur und ihren Inhalt in einer Domäne neu: http://support.microsoft.com/kb/315457/
Die Sysvol- und Netlogon-Freigaben fehlen, nachdem Sie einen Domänencontroller aus der Sicherung wiederhergestellt haben : http://support.microsoft.com/kb/316790
Ein Domänencontroller funktioniert nicht ordnungsgemäß? : http://www.jsifaq.com/SF/Tips/Tip.aspx?id=8320
windows_bare_metal_recovery:ntbackup : http://wiki.bacula.org/doku.php?id=windows_bare_metal_recovery:ntbackup
Wiederherstellen eines Systemfehlers mit automatisierter Systemwiederherstellung : http://technet2.microsoft.com/windowsserver/en/library/e96185f5-50b7-4b14-a2fd-0155d6b174f91033.mspx?mfr=true
Wie ASR funktioniert : http://technet2.microsoft.com/windowsserver/en/library/7b4f0436-cc90-4b52-b6ab-064f9db8d2721033.mspx?mfr=true
Wiederherstellen eines Domänencontrollers durch Neuinstallation : http://technet2.microsoft.com/WindowsServer/en/Library/2f44ad0e-f84d-47a2-956b-df3f8554ea541033.mspx
Durchführen einer autorisierenden Wiederherstellung von Active Directory-Objekten : http://technet2.microsoft.com/WindowsServer/en/library/690730c7-83ce-4475-b9b4-46f76c9c7c901033.mspx
Funktionsweise der Sicherung : http://technet2.microsoft.com/windowsserver/en/library/9143ba85-587e-409d-b612-617e6617fece1033.mspx?mfr=true

3rd-Party-Werkzeuge :
http://www.stratesave.com/html/htmlhelp/meba2d89.htm

Leave a Reply

Deine E-Mail-Adresse wird nicht veröffentlicht.