Corelan Cybersecurity Research

Corelan Cybersecurity Research

La procédure suivante devrait fonctionner pour tout type de matériel, mais j’ai utilisé VMware (cette procédure est donc également valable si vous souhaitez convertir un contrôleur de domaine physique en VMware). De plus, la procédure fonctionne pour Windows 2003 server, mais aussi pour Windows XP (professionnel)

Prérequis :

  • Sauvegarde ASR.fichier bkf et la disquette ASR qui correspond au fichier de sauvegarde ASR. Si vous souhaitez recréer la disquette ASR, jetez un œil à http://support.microsoft.com/kb/325854/en-us
  • Disquette ASR convertie (utilisez un outil tel que winimage pour convertir la disquette en a.ima ou.fichier img, puis renommez le.IMA/.fichier img à.flp, ou jetez un oeil à http://www.vmware.com/community/thread.jspa;jsessionid=9977DD123ECD2AA3C2E131C02E35998E?messageID=210767𳝏 ou http://www.vmware.com/community/thread.jspa?threadID=18046 )
  • Vous devrez pouvoir avoir accès au.fichier bkf lors de la configuration de Windows en mode ASR.C’est un peu délicat. Les 2 seules façons que je connais de ce travail (lisez: que j’ai testé moi-même) sont soit de sauvegarder sur bande, et d’avoir le lecteur de bande et la bande disponibles pendant la restauration ASR; ou sauvegardez sur le disque et placez le bkf sur un serveur de l’environnement vmware. Partagez le dossier contenant le bkf. Il suffit de ne pas mettre le fichier bkf sur les disques qui contiendront le serveur Windows par la suite, car toutes les données seront supprimées lors de la configuration de l’ASR. Selon certaines personnes, vous devriez pouvoir placer le fichier bkf sur l’un des disques du serveur sur lequel ASR s’exécutera. Tant qu’il ne repose pas sur la partition qui contient des fichiers système, et tant que la partition qui contiendra le fichier bkf est également disponible dans le vrai DC, cela devrait fonctionner. (Mais j’ai tendance à ne pas croire cette affirmation, car l’une des premières étapes du processus consiste en fait à effacer les partitions et les volumes sur les disques so donc le disque contenant le fichier bkf serait également vidé right non?)
  • Configuration du disque du serveur physique (taille de chaque disque)
  • CD serveur Windows 2003
  • Assurez-vous que la machine vmware n’a pas accès à la machine de production, si vous essayez cela à des fins de simulation/test. Configurez la machine virtuelle pour qu’elle utilise un réseau interne vmware, sans connexion au reste du réseau.
  • Autres jeux de sauvegarde (État récent du système, contenu de Sysvol, …)

Avant de commencer : Ne mettez jamais la même machine deux fois sur le même réseau. Cela va créer des ravages et en cas de DC, ruiner toute votre ANNONCE. Assurez-vous de placer le courant continu « à restaurer » dans un segment de réseau isolé, sans accès au courant continu réel.

Tout d’abord, créez une machine virtuelle VMware et assurez-vous de créer des disques virtuels ayant au moins la même taille que les disques des serveurs. (Remarque: Je parle de disques, pas de partitions.) Si votre DC a 3 partitions de 12 Go et que le disque total est de 36 Go, assurez-vous de créer 1 disque virtuel d’au moins 36 Go.

Démarrez la machine vmware (démarrez à partir du CD du serveur Windows 2003.) Lorsque vous y êtes invité, appuyez sur F2 pour entrer en mode ASR.

Lorsque vous êtes invité à insérer le disque ASR, montez le .fichier flp contenant la disquette ASR. (Ou montez simplement la disquette physique).

091407_2150_Howtorestor1

La configuration de Windows continuera « chargement des fichiers… », attendez que l’écran suivant apparaisse :

091407_2150_Howtorestor2

Appuyez sur « C » pour continuer la configuration. Cette étape supprimera tout ce qui se trouve sur les disques répertoriés dans cette vue.

Ensuite, les disques seront formatés et vérifiés…

091407_2150_affichage du magasin 3

… et la configuration de Windows continuera à copier les fichiers :

091407_2150_Howtorestor4

Attendez que ce processus soit terminé.

091407_2150_Howtorestor5

Le système redémarre en mode graphique du processus ASR. Assurez-vous de changer le BIOS pour ne pas démarrer à partir d’un CD ou d’une disquette. (ou appuyez sur ECHAP au démarrage pour afficher le menu de démarrage). Vous vous retrouverez à l’écran d’accueil ASR. Cliquez sur suivant pour continuer (ou attendez 90 secondes)

091407_2150_Howtorestor6

Sélectionnez le chemin qui contient l’ASR.fichier bkf. Si vous avez placé le fichier sur un serveur de fichiers dans votre environnement vmware, vous devriez pouvoir insérer le chemin UNC vers le dossier (\\ip\sharename) et poursuivre le processus de restauration sur le réseau. Si vous faites cela sur un serveur physique et si vous avez mis la sauvegarde asr sur bande, le serveur devrait pouvoir détecter la bande et trouver automatiquement la sauvegarde asr. Bien sûr, vous pouvez également accéder au fichier bkf sur le réseau lorsque vous effectuez une restauration bare metal sur un serveur physique.

Encore une note rapide sur l’accès à un serveur de fichiers sur le réseau. Le pilote réseau sera chargé en mode ASR, mais vous devrez vous assurer qu’il y a un serveur DHCP sur le réseau. Si vous effectuez cette opération dans un environnement isolé, vous pouvez placer un autre serveur 2003 dans le même environnement vmware isolé et installer DHCP sur cette machine. Le DHCP devrait être opérationnel au moment où le serveur « à restaurer » démarre en mode graphique ASR. Si DHCP ne fonctionne pas, vous pouvez également compter sur APIPA. Utilisez un renifleur (wireshark) sur le serveur de fichiers pour voir l’adresse APIPA du serveur « à restaurer :

091407_2150_Howtorestor7

Donnez au serveur de fichiers une adresse apipa dans la même plage de réseau, et les deux devraient pouvoir se parler. Dans mon exemple, le serveur de fichiers (c’est en fait un Windows XP) a IP 169.254.145.192, le serveur a 169.254.145.191 (j’ai eu cette adresse du renifleur)

091407_2150_Howtorestor8

Retournez au processus ASR. Lorsque vous êtes dans la fenêtre de dialogue pour sélectionner votre fichier de sauvegarde, cliquez sur « parcourir » et entrez le chemin UNC vers le partage sur le serveur. Dans mon exemple, c’est \\169.254.145.192 \ data. Fournissez un utilisateur/mot de passe pour vous connecter, lorsqu’on vous le demande.

091407_2150_Howtorestor9

Sélectionnez le fichier bkf stocké sur le serveur et cliquez sur « ouvrir »

091407_2150_maintenantestor10

091407_2150_Howtorestor11
Cliquez sur « suivant » pour continuer le processus

Cliquez sur « Terminer » pour commencer la restauration

091407_2150_Howtorestor12

091407_2150_Howtorestor13

Attendez que le processus soit terminé. L’application ntbackup se fermera et le serveur redémarrera automatiquement.

Lorsque la machine redémarre, plusieurs choses peuvent se produire

  1. Le serveur démarre et fonctionne correctement. Félicitation. Même si vous devez installer des pilotes d’affichage ou d’autres pilotes après le démarrage, vous l’avez toujours fait avec succès. Et si vous aviez prévu ce type de scénario, vous pourriez restaurer votre DC en une demi-heure environ…
  2. Le serveur ne démarre pas. Essayez de réparer l’installation en démarrant avec le CD du serveur 2003 et passez en mode réparation. (Vous pouvez choisir de réparer l’installation de Windows une fois que le processus de configuration a détecté une installation Windows existante). Si cela ne fonctionne pas, jetez un œil aux ko Microsoft suivants :
    1. http://support.microsoft.com/kb/325375/en-us
    2. http://support.microsoft.com/kb/842009/en-us
    3. http://support.microsoft.com/kb/811944/en-us
    4. http://support.microsoft.com/kb/836421/en-us

Si vous faites fonctionner votre DC, vérifiez simplement les propriétés de l’interface réseau. Si vous effectuez une restauration ASR, il y a de fortes chances que le pare-feu soit réactivé. Assurez-vous de l’éteindre si c’est ce dont vous avez besoin. Vous devrez peut-être redémarrer pour que AD fonctionne correctement.

091407_2150_Howtorestor14

Journal des événements: Erreurs / avertissements MSDTC

Enfin, vérifiez le journal des événements. Il y a de fortes chances que vous voyiez des erreurs / avertissements MSDTC dans le journal des événements. Vous pouvez les nettoyer en utilisant les procédures suivantes :

Erreur EventID 53258

Si l’application du journal des événements contient :

Source: MSDTC
Type: Avertissement
Catégorie: SVC
ID d’événement: 53258
Description : MS DTC n’a pas pu traiter correctement un événement de promotion / rétrogradation DC. MS DTC continuera à fonctionner et utilisera les paramètres de sécurité existants. Détails d’erreur : %1

Démarrer les Services de composants d’équipement (Démarrer – Programmes – Outils d’administration).
Développez les services de composants.
Développez la section Ordinateurs.
Faites un clic droit sur Poste de travail, sélectionnez Propriétés, onglet MSDTC.
Sélectionnez Configuration de sécurité, puis OK.
Sélectionnez à nouveau OK.
Faites un clic droit sur Poste de travail et sélectionnez Arrêter MS DTC. Cela arrêtera le Coordinateur des transactions distribuées.
Cliquez à nouveau avec le bouton droit de la souris sur Poste de travail et sélectionnez Démarrer MS DTC.

Assurez-vous également que « Service réseau » a le contrôle total sur HKLM\Software\Microsoft\MSDTC et tout ce qui suit. Redémarrez ensuite le serveur.

Erreur EventID 4404

Source : MSDTC
Type : Erreur
Catégorie : Infrastructure de traçage
ID D’événement : 4404
Description : Infrastructure de traçage MS DTC : l’initialisation de l’infrastructure de traçage a échoué. Informations internes : msdtc_trace: Fichier: d:\srvrtm\com\complus\dtc\dtc\trace\src\tracelib .rpc, Ligne: 1107, Échec de StartTrace, hr = 0x80070070

Démarrer les Services de composants d’équipement (Démarrer – Programmes – Outils d’administration).
Développez les services de composants.
Faites un clic droit sur Poste de travail, sélectionnez Propriétés, onglet MSDTC.
Choisissez les options de traçage.
Sélectionnez Arrêter la session, Nouvelle Session, Vider les données et OK deux fois.
Faites un clic droit sur Poste de travail et sélectionnez Arrêter MS DTC. Cela arrêtera le Coordinateur des transactions distribuées.
Cliquez à nouveau avec le bouton droit de la souris sur Poste de travail et sélectionnez Démarrer MS DTC.

Erreurs EventID 1058, 1030

Source: Userenv
Type: Erreur
ID D’événement: 1058
Description: Windows ne peut pas accéder au fichier gpt.ini pour GPO CN = {31B2F340-016D-11D2-945F-00C04FB984F9}, CN = Politiques, CN= Système, DC= test, DC= net. Le dossier doit être présent à l’emplacement. (L’emplacement du réseau n’est pas accessible. Pour plus d’informations sur le dépannage réseau, consultez l’aide de Windows.). Le traitement de la stratégie de groupe est interrompu.

ou aussi

Source : Userenv
Type : Erreur
ID d’événement : 1030
Description : Windows ne peut pas interroger la liste des objets de stratégie de groupe. Vérifiez dans le journal des événements les éventuels messages précédemment enregistrés par le moteur de stratégie qui en décrit la raison.

Une description complète de la solution est contenue dans l’article Microsoft #842804 à http://support.microsoft.com/?id=842804. Assurez-vous que :
Les services Netlogon et DFS sont démarrés.
Le contrôleur du domaine valide lit et applique les règles de la stratégie des contrôleurs de domaine.
Les droits NTFS sur la ressource commune Sysvol sont configurés correctement.
Les enregistrements DNS sur le serveur DNS sont corrects.

Autres problèmes

Si vous essayez d’ouvrir AD U & C et que vous obtenez l’erreur suivante :  » Les informations de nommage ne peuvent pas être localisées car le domaine spécifié n’existe pas ou ne peut pas être contacté. Contactez votre administrateur système pour vérifier que votre domaine est correctement configuré et qu’il est actuellement en ligne. », vérifiez le service de temps Windows et assurez-vous qu’il est en cours d’exécution. Vérifiez le DNS et assurez-vous qu’il ne contient aucune référence aux DC qui ne sont pas disponibles. Nettoyez AD (supprimez les DC morts) à l’aide de ntdsutil (voir http://support.microsoft.com/kb/216498) et en supprimant les entrées dans DNS. Redémarrez et attendez un peu.

Ensuite, vérifiez si les partages sysvol et netlogon sont disponibles. Sinon, vérifiez http://www.jsifaq.com/SF/Tips/Tip.aspx?id=7979, http://support.microsoft.com/kb/316790, http://support.microsoft.com/kb/836421 et http://support.microsoft.com/kb/315457/.
Redémarrez et voyez ce qui se passe. Si cela fonctionne, remplissez le dossier sysvol avec la sauvegarde sysvol (vous aurez donc vos scripts et les gpo de retour).

Enfin, faites attention aux événements dans le journal des événements du service d’annuaire qui indiquent que le service d’ouverture de session nette a été mis en pause. (ID d’événement NTDS 2103 : La base de données Active Directory a été restaurée à l’aide d’une procédure de restauration non prise en charge. Active Directory ne pourra pas ouvrir de session tant que cette condition persiste. En conséquence, le service d’ouverture de session nette s’est arrêté.) Si vous démarrez le service netlogon manuellement, vous devriez avoir un DC fonctionnel (mais vous n’aurez pas résolu le problème – mais c’est ok pour l’instant. Si vous souhaitez également résoudre ce problème de restauration USN, vérifiez http://blogs.dirteam.com/blogs/jorge/archive/2006/03/08/597.aspx, http://blogs.technet.com/petergal/archive/2006/02/04/418779.aspx, http://support.microsoft.com/kb/885875, http://www.ureader.com/message/1270504.aspx, http://www.mcse.ms/message1743890.html. Bonne chance)

Exécutez maintenant un dcdiag et recherchez les erreurs et les avertissements.

2 autres notes rapides :

  1. La sauvegarde/restauration ASR est basée sur une sauvegarde ASR. Il y a de fortes chances que la sauvegarde ASR soit un peu plus ancienne que la dernière sauvegarde de l’État du système, il pourrait donc être judicieux de prendre les derniers NTDS.fichier dit, et effectuer une restauration faisant autorité sur ce DC.
  2. Si vous deviez restaurer l’un des DC parce que tous les autres sont morts dans une catastrophe et que le DC que vous restaurez n’était pas le DC principal, alors vous devez saisir les rôles FSMO à ce DC. (selon votre environnement, si c’est le seul DC de la forêt qui reste par exemple, vous devrez saisir TOUS les rôles FSMO de ce DC. Vous pouvez le faire en utilisant ntdsutil). http://support.microsoft.com/kb/255504 :

ntdsutil
ntdsutil: rôles
maintenance fsmo: connexions
connexions au serveur: connectez-vous au serveur yourservername
Liaison à yourservername …
Connecté à yourservername à l’aide des informations d’identification de
utilisateur connecté localement.
connexions serveur : q
maintenance fsmo : maître de nommage de domaine seize
maintenance fsmo : maître d’infrastructure seize
maintenance fsmo : PDC seize
maintenance fsmo : maître RID seize
maintenance fsmo : maître de schéma seize
maintenance fsmo : q
ntdsutil: q
Déconnexion de votre nom de serveur…

De plus, s’il s’agit du seul DC qui restera, vous devrez nettoyer tous les autres (le cas échéant) avant de promouvoir de nouveaux serveurs dans le domaine. Sinon, vous vous retrouverez avec beaucoup d’erreurs et d’avertissements, de délais d’attente, when lorsque ce DC restauré essaie de contacter d’autres DC qui ne sont plus là. Regardez Microsoft KB 216498 pour supprimer les DC morts

Liens:

Comment déplacer une installation Windows vers un matériel différent : http://support.microsoft.com/kb/249694
Comment effectuer une restauration après sinistre d’Active Directory sur un ordinateur avec une configuration matérielle différente : http://support.microsoft.com/?id=263532
Comment reconstruire l’arborescence SYSVOL et son contenu dans un domaine : http://support.microsoft.com/kb/315457/
Les partages Sysvol et Netlogon Sont manquants Après la Restauration d’un Contrôleur de domaine à partir d’une Sauvegarde : http://support.microsoft.com/kb/316790
Un contrôleur de domaine ne fonctionne pas correctement ? : http://www.jsifaq.com/SF/Tips/Tip.aspx?id=8320
windows_bare_metal_recovery: ntbackup: http://wiki.bacula.org/doku.php?id=windows_bare_metal_recovery:ntbackup
Récupérer d’une défaillance du système à l’aide de la récupération automatisée du système: http://technet2.microsoft.com/windowsserver/en/library/e96185f5-50b7-4b14-a2fd-0155d6b174f91033.mspx?mfr=true
Comment fonctionne ASR : http://technet2.microsoft.com/windowsserver/en/library/7b4f0436-cc90-4b52-b6ab-064f9db8d2721033.mspx?mfr=true
Restauration d’un Contrôleur de domaine Par Réinstallation : http://technet2.microsoft.com/WindowsServer/en/Library/2f44ad0e-f84d-47a2-956b-df3f8554ea541033.mspx
Exécution d’une restauration faisant autorité des objets Active Directory : http://technet2.microsoft.com/WindowsServer/en/library/690730c7-83ce-4475-b9b4-46f76c9c7c901033.mspx
Fonctionnement de la sauvegarde : http://technet2.microsoft.com/windowsserver/en/library/9143ba85-587e-409d-b612-617e6617fece1033.mspx?mfr=true

outils tiers :
http://www.stratesave.com/html/htmlhelp/meba2d89.htm

Leave a Reply

Votre adresse e-mail ne sera pas publiée.