Corelan Cybersecurity Research

Corelan Cybersecurity Research

seuraavan menettelyn pitäisi toimia minkä tahansa laitteiston osalta, mutta olen käyttänyt VMwarea (joten tämä menettely on voimassa myös, jos haluat muuntaa fyysisen verkkotunnuksen ohjaimen vmwareksi). Lisäksi menettely toimii Windows 2003-palvelimelle, mutta myös Windows XP (professional)

Edeltävät opinnot :

• apuvoimia .bkf-tiedosto ja ASR-levyke, joka vastaa ASR-varmuuskopiotiedostoa. Jos haluat luoda ASR-levykettä uudelleen, Katso http://support.microsoft.com/kb/325854/en-us
• muunnettu ASR-levyke (käytä winimagen kaltaista työkalua muuntaaksesi levyke a: ksi .ima tai .IMG-tiedosto, ja sitten nimetä uudelleen .ima/.IMG-tiedosto .flp, tai katso http://www.vmware.com/community/thread.jspa;jsessionid=9977DD123ECD2AA3C2E131C02E35998E?messageID=210767𳝏 tai http://www.vmware.com/community/thread.jspa?threadID=18046 )
• sinun on voitava saada pääsy.bkf-tiedosto Windowsin asennuksen aikana ASR-tilassa.Tämä on hieman hankalaa. Ainoa 2 tapoja tiedän, että työ (lue: että olen testannut itseäni) on joko takaisin teipillä, ja on nauha-asema ja nauha käytettävissä aikana ASR palauttaa; tai varmuuskopioida levylle ja laittaa bkf palvelimelle vmware ympäristössä. Jaa bkf: n sisältävä kansio. Älä vain laita bkf-tiedostoa levyille, jotka sisältävät Windows-palvelimen jälkeenpäin, koska kaikki tiedot poistetaan ASR-asennuksen aikana. Mukaan jotkut ihmiset, sinun pitäisi pystyä laittamaan bkf-tiedoston yksi levyt palvelimelle, jossa ASR toimii. Niin kauan kuin se ei istu osion, joka on järjestelmätiedostoja sitä, ja niin kauan kuin osio, joka pitää bkf tiedosto on myös saatavilla todellinen DC, sen pitäisi toimia. (Mutta minulla ei ole tapana uskoa tätä toteamusta, koska yksi ensimmäisistä vaiheista prosessissa on todella clearing osiot ja volyymit levyt … joten levy sisältää bkf tiedosto olisi tyhjennetty samoin … oikea ?)
• fyysisen palvelimen Levykokoonpano (kunkin levyn koko)
• Windows 2003 server CD
• varmista, että VMware-koneella ei ole pääsyä tuotantokoneeseen, jos yrität tätä simulointi – /testaustarkoituksiin. Aseta virtuaalikone käyttämään VMwaren sisäistä verkkoa ilman yhteyttä muuhun verkkoon.
• muut varmuuskopiointijoukot (järjestelmän viimeisin tila, sysvolin sisältö, …)

ennen kuin aloitat : älä koskaan laita samaa konetta kahdesti samaan verkkoon. Tämä aiheuttaa tuhoa ja jos DC, mahdollisesti pilata koko mainoksen. Varmista laittaa” palautettava ” DC eristetty verkon segmentti, ilman pääsyä todellinen DC.

luo ensin VMware-virtuaalikone ja varmista, että luo virtuaalilevyjä, jotka ovat vähintään samankokoisia kuin palvelimien levyt. (Huomautus: tarkoitan levyjä, ei osioita.) Jos DC on 3 osioita 12Gb, ja koko levy on 36Gb, varmista luoda 1 virtuaalinen levy vähintään 36Gb.

Käynnistä vmware-kone (käynnistys Windows 2003 server-CD: ltä.) Kun pyydetään, paina F2 siirtyäksesi ASR-tilaan.

kun sinua pyydetään asettamaan ASR-levy, asenna se .flp-tiedosto, joka sisältää ASR-levykkeen. (Tai vain asentaa fyysinen levyke).

Windowsin asennus jatkuu ” ladataan tiedostoja…”, odota vain, kunnes seuraava näyttö ilmestyy :

paina” C ” jatkaaksesi asennusta. Tämä vaihe poistaa kaiken, mitä on tässä näkymässä luetelluilla levyillä.

seuraavaksi levyt muotoillaan ja tarkistetaan…

… ja Windows setup jatkaa tiedostojen kopiointia :

odota, kunnes tämä prosessi on valmis.

järjestelmä käynnistyy uudelleen ASR-prosessin graafiseen tilaan. Varmista, että BIOS ei käynnisty CD: ltä tai levykkeeltä. (tai paina Esc käynnistyksen aikana näyttää käynnistysvalikon). Päädyt ASR: n Tervetuliaisnäytölle. Klikkaa Seuraava jatkaaksesi (tai vain odottaa 90 sekuntia)

valitse polku, joka sisältää ASR: n .bkf-tiedosto. Jos olet laittanut tiedoston tiedostopalvelimelle vmware-ympäristössäsi, sinun pitäisi pystyä asettamaan UNC-polku kansioon (\\ip\sharename) ja jatkamaan palautusprosessia verkon yli. Jos teet tämän fyysisellä palvelimella ja jos olet laittanut asr-varmuuskopion nauhalle, palvelimen pitäisi pystyä tunnistamaan nauha ja löytämään asr-varmuuskopioinnin Automaattinen puhelu. Tietenkin, voit myös selata bkf-tiedoston verkon yli, kun suoritat bare metal palauttaa päälle fyysinen palvelin.

vielä yksi nopea huomautus tiedostopalvelimen käytöstä verkossa. Verkko-ohjain Ladataan ASR-tilassa, mutta sinun on varmistettava, että verkossa on DHCP-palvelin. Jos teet tämän eristetyssä ympäristössä, voit laittaa toisen 2003-palvelimen samaan eristettyyn VMware-ympäristöön ja asentaa DHCP: n kyseiseen koneeseen. DHCP: n pitäisi olla toiminnassa silloin, kun ”palautettava” palvelin käynnistyy ASR-graafiseen tilaan. Jos DHCP ei toimi, voit luottaa myös APIPAAN. Käytä nuuskijaa (Wireshark) tiedostopalvelimessa nähdäksesi ”palautettava” – palvelimen APIPA-osoitteen :

Anna tiedostopalvelimelle apipa-osoite samalla verkkoalueella, ja näiden kahden pitäisi pystyä keskustelemaan keskenään. Minun esimerkki, tiedostopalvelin (se on itse asiassa Windows XP) on IP 169.254.145.192, palvelin on 169.254.145.191 (sain että osoite sniffer)

palaa ASR-prosessiin. Kun olet valintaikkunassa valita varmuuskopiotiedoston, valitse ”Selaa”, ja kirjoita UNC polku jaetun palvelimen. Esimerkissäni se on \\169.254.145.192\data. Anna pyydettäessä käyttäjä / salasana yhteyden muodostamiseksi.

valitse palvelimelle tallennettu bkf-tiedosto ja napsauta ”Avaa”

klikkaa ”Seuraava” jatkaaksesi prosessia

napsauta ”Valmis” aloittaaksesi palauttamisen

odota, kunnes prosessi on valmis. Ntbackup-sovellus sulkeutuu ja palvelin käynnistyy uudelleen automaattisesti.

kun kone käynnistyy uudelleen, pari asiaa saattaa tapahtua

1. palvelin käynnistyy ja toimii hyvin. Onneksi olkoon. Vaikka sinun täytyy asentaa Näyttöohjaimet tai joitakin muita ajureita käynnistyksen jälkeen, olet silti tehnyt sen onnistuneesti. Jos suunnittelit tällaisia skenaarioita, voisit palauttaa DC: n puolessa tunnissa….
2. palvelin ei käynnisty. Yritä korjata asennus käynnistämällä 2003 server cd ja mennä korjaus tilassa. (Voit korjata Windowsin asennuksen sen jälkeen, kun asennusprosessi on havainnut olemassa olevan Windowsin asennuksen). Jos se ei toimi, katso seuraavat Microsoft KB: t :
   1. http://support.microsoft.com/kb/325375/en-us
   2. http://support.microsoft.com/kb/842009/en-us
   3. http://support.microsoft.com/kb/811944/en-us
   4. http://support.microsoft.com/kb/836421/en-us

jos saat DC: n toimimaan, tarkista vain verkkoliittymän ominaisuudet. Jos teet ASR-palautuksen, on todennäköistä, että palomuuri otetaan uudelleen käyttöön. Varmista sammuttaa se, jos se on mitä tarvitset. Saatat joutua käynnistämään uudelleen saada AD toimimaan kunnolla.

tapahtumaloki : MSDTC-virheet/varoitukset

tarkista lopuksi tapahtumaloki. On melko hyvä mahdollisuus, että näet MSDTC virheet/varoitukset tapahtumalokissa. Voit puhdistaa nämä käyttämällä seuraavia menettelyjä:

Error EventID 53258

jos Tapahtumalokihakemus sisältää:

lähde: MSDTC
Tyyppi: Varoitus
Luokka: SVC
Tapahtuman tunnus: 53258
kuvaus: MS DTC ei voinut oikein käsitellä DC: n promootio – /Alennustapahtumaa. MS DTC jatkaa toimintaansa ja käyttää olemassa olevia suojausasetuksia. Virhetiedot: %1

Start equipment Component Services (Start – Programs – Administrative Tools).
Laajenna Komponenttipalvelut.
Laajenna jakso tietokoneita.
Napsauta tietokonettani hiiren kakkospainikkeella, valitse Ominaisuudet, MSDTC-välilehti.
valitse Suojauskokoonpano, sitten OK.
Valitse uudelleen OK.
Napsauta tietokonettani hiiren kakkospainikkeella ja valitse Pysäytä MS DTC. Tämä pysäyttää hajautetun Tapahtumakoordinaattorin.
Napsauta tietokonettani uudelleen hiiren kakkospainikkeella ja valitse Käynnistä MS DTC.

varmista myös, että” verkkopalvelulla ” on täysi hallinta HKLM\Software\Microsoft\MSDTC: ssä ja kaikessa alla. Käynnistä sitten palvelin uudelleen.

Error EventID 4404

Source: MSDTC
Type: Error
Category: Tracing Infrastructure
Event ID: 4404
Description: MS DTC Tracing infrastructure: jäljitysinfrastruktuurin alustaminen epäonnistui. Sisäiset tiedot: msdtc_trace: File: d:\srvrtm\com\complus\dtc\dtc\trace\src\tracelib.CPP, Line: 1107, StartTrace epäonnistui, hr=0x80070070

Start equipment Component Services (Start – Programs – Administrative Tools).
Laajenna Komponenttipalvelut.
Napsauta tietokonettani hiiren kakkospainikkeella, valitse Ominaisuudet, MSDTC-välilehti.
Valitse Jäljitysvaihtoehdot.
valitse Pysäytä istunto, uusi istunto, Huuhtelutiedot ja OK kahdesti.
Napsauta tietokonettani hiiren kakkospainikkeella ja valitse Pysäytä MS DTC. Tämä pysäyttää hajautetun Tapahtumakoordinaattorin.
Napsauta tietokonettani uudelleen hiiren kakkospainikkeella ja valitse Käynnistä MS DTC.

Virheet EventID 1058, 1030

Lähde: Userenv
Tyyppi: Virhe
Tapahtuman tunnus: 1058
kuvaus: Windows ei voi käyttää tiedostoa gpt.ini: GPO CN={31B2F340-016D-11D2-945F-00C04FB984F9}, CN=Policies, CN=System, DC=test, DC = net. Tiedoston On oltava paikalla . (Verkon sijaintiin ei pääse. Lisätietoja verkon vianetsinnästä on ohjeaiheessa Windowsin Ohje.). Ryhmäkäytännön käsittely keskeytetty.

tai myös

lähde: Userenv
Type: Error
Event ID: 1030
Description: Windows ei voi kysellä ryhmäkäytäntöobjektien luetteloa. Tarkista tapahtumalokista mahdolliset viestit, jotka on aiemmin kirjannut tähän syy kuvaava policy engine.

ratkaisun täydellinen kuvaus on artikkelissa Microsoft #842804 osoitteessa http://support.microsoft.com/?id=842804 . Varmista, että:
Netlogon-ja DFS-palvelut käynnistetään.
kelvollisen toimialueen rekisterinpitäjä lukee ja soveltaa toimialueen valvojien käytäntöä koskevia sääntöjä.
NTFS-oikeudet yhteiseen resurssiin Sysvol on määritetty oikein.
palvelimen DNS-tietueet ovat oikein.

muita ongelmia

jos yrität avata AD U&C: n, ja saat seuraavan virheen: ”Nimeämistietoja ei voida paikantaa, koska määriteltyä verkkotunnusta ei joko ole olemassa tai siihen ei voi ottaa yhteyttä. Ota yhteyttä järjestelmänvalvojaan ja varmista, että verkkotunnuksesi on määritetty oikein ja on tällä hetkellä verkossa.”, Tarkista Windows Time-palvelu ja varmista, että se on käynnissä. Tarkista DNS ja varmista, että se ei sisällä viittauksia DC: n, jotka eivät ole käytettävissä. Clean up AD (poista kuolleet DC: t) käyttäen ntdsutil (katso http://support.microsoft.com/kb/216498) ja poistamalla merkinnät DNS. Käynnistä uudelleen ja odota hetki.

tarkista seuraavaksi, onko sysvolin ja netlogonin osakkeita saatavilla. Jos ei, tarkista http://www.jsifaq.com/SF/Tips/Tip.aspx?id=7979, http://support.microsoft.com/kb/316790, http://support.microsoft.com/kb/836421 ja http://support.microsoft.com/kb/315457/.
Käynnistä uudelleen ja katso mitä tapahtuu. Jos se toimii, täytä sysvol-kansio sysvol-varmuuskopiolla (joten sinulla on skriptit ja gpo: n selkä) .

varo lopuksi hakemistopalvelun tapahtumalokin tapahtumia, jotka kertovat, että net logon-palvelu on keskeytetty. (Ntds Event ID 2103: Active Directory-tietokanta on palautettu käyttäen ei-tuettua palautusmenettelyä. Active Directory ei voi kirjautua käyttäjiin tämän edellytyksen jatkuessa. Tämän seurauksena netin Kirjautumispalvelu on pysähtynyt.) Jos aloitat netlogon palvelun manuaalisesti, sinulla pitäisi olla toimiva DC (mutta et ole ratkaissut ongelmaa – mutta se on ok nyt. Jos todella haluat ratkaista tämän USN Rollback ongelma samoin, tarkista http://blogs.dirteam.com/blogs/jorge/archive/2006/03/08/597.aspx, http://blogs.technet.com/petergal/archive/2006/02/04/418779.aspx, http://support.microsoft.com/kb/885875, http://www.ureader.com/message/1270504.aspx, http://www.mcse.ms/message1743890.html. Good luck)

Suorita nyt dcdiag ja etsi virheitä ja varoituksia.

2 lisää pikasäveliä :

1. ASR Varmuuskopiointi/palautus perustuu ASR varmuuskopiointi. Kertoimet ovat, että ASR backup on hieman vanhempi kuin viimeinen järjestelmän State backup, joten se voi olla hyvä idea ottaa viimeinen ntds.dit tiedosto, ja suorittaa arvovaltainen palauttaa tämän DC.
2. jos sinun piti palauttaa yksi DC: stä, koska kaikki muut kuolivat katastrofissa, eikä palauttamasi DC ollut ensisijainen DC, sinun täytyy tarttua FSMO: n rooleihin tähän DC: hen. (riippuen ympäristöstä, jos tämä on ainoa DC metsässä jäljellä esimerkiksi, sinun täytyy tarttua kaikki FSMO roolit tähän DC. Voit tehdä tämän käyttämällä ntdsutil). http://support.microsoft.com/kb/255504 :

Lisäksi, jos tämä on ainoa DC, joka jää yli, sinun täytyy puhdistaa kaikki muut (jos niitä on) ennen kuin edistät uusia palvelimia verkkotunnukseen. Muuten saat paljon virheitä ja varoituksia, aikalisiä, … kun tämä palautettu DC yrittää ottaa yhteyttä muihin DC: hen, joita ei enää ole. Katso Microsoft KB 216498 poistaa kuollut DC: n

linkit:

miten Windows-asennus siirretään eri laitteistoihin : http://support.microsoft.com/kb/249694
miten Active Directoryn katastrofin palautus suoritetaan tietokoneella, jolla on erilainen laitteistokokoonpano: http://support.microsoft.com/?id=263532
miten sysvol-puu ja sen sisältö rakennetaan uudelleen toimialueelle: http://support.microsoft.com/kb/315457/
sysvol-ja Netlogon-osakkeet puuttuvat, kun olet palauttanut Toimialueohjaimen varmuuskopiosta: http://support.microsoft.com/kb/316790
toimialueen ohjain ei toimi oikein? : http://www.jsifaq.com/SF/Tips/Tip.aspx?id=8320
windows_bare_metal_recovery: ntbackup: http://wiki.bacula.org/doku.php?id=windows_bare_metal_recovery:ntbackup
Recover from a system failure using Automated System Recovery: http://technet2.microsoft.com/windowsserver/en/library/e96185f5-50b7-4b14-a2fd-0155d6b174f91033.mspx?mfr=true
How ASR Works : http://technet2.microsoft.com/windowsserver/en/library/7b4f0436-cc90-4b52-b6ab-064f9db8d2721033.mspx?mfr=true
toimialueen ohjaimen palauttaminen uudelleenasennuksen avulla: http://technet2.microsoft.com/WindowsServer/en/Library/2f44ad0e-f84d-47a2-956b-df3f8554ea541033.mspx
Active Directory-objektien arvovaltaisen palauttamisen suorittaminen: http://technet2.microsoft.com/WindowsServer/en/library/690730c7-83ce-4475-b9b4-46f76c9c7c901033.mspx
varmuuskopiointi toimii : http://technet2.microsoft.com/windowsserver/en/library/9143ba85-587e-409d-b612-617e6617fece1033.mspx?mfr=true

kolmannen osapuolen työkalut :
http://www.stratesave.com/html/htmlhelp/meba2d89.htm