Corelan Cybersecurity Research

a következő eljárásnak bármilyen típusú hardverhez működnie kell, de a VMWare-t használtam (tehát ez az eljárás akkor is érvényes, ha fizikai tartományvezérlőt szeretne konvertálni VMWare-re). Ezenkívül az eljárás Windows 2003 server, De Windows XP (professional) esetén is működik

előfeltételek :

  • ASR Mentés .bkf fájl és az ASR floppy, amely megfelel az ASR biztonsági mentési fájlnak. Ha újra szeretné létrehozni az ASR hajlékonylemezt, nézze meg a http://support.microsoft.com/kb/325854/en-us
  • konvertált ASR hajlékonylemezt (használjon olyan eszközt, mint a winimage a hajlékonylemez konvertálásához .ima vagy .img fájlt, majd nevezze át a .ima/.img fájlt .flp, vagy nézd meg http://www.vmware.com/community/thread.jspa;jsessionid=9977DD123ECD2AA3C2E131C02E35998E?messageID=210767𳝏 vagy http://www.vmware.com/community/thread.jspa?threadID=18046 )
  • Önnek képesnek kell lennie arra, hogy hozzáférjen a .bkf fájl a Windows telepítése során ASR módban.Ez kissé trükkös. Az egyetlen 2 módja annak, hogy tudom, hogy a munka (olvassa el : hogy teszteltem magam) vagy vissza a szalagot, és a szalagos meghajtó és a szalag alatt elérhető az ASR visszaállítása; vagy készítsen biztonsági másolatot a lemezre, és tegye a bkf-et egy szerverre a vmware környezetben. Ossza meg a bkf-et tartalmazó mappát. Csak ne tegye a bkf fájlt azokra a lemezekre, amelyek utána tartalmazzák a Windows szervert, mert az ASR telepítése során minden adat eltávolításra kerül. Egyesek szerint képesnek kell lennie arra, hogy a BKF fájlt a szerver egyik lemezére tegye, ahol az ASR fut. Mindaddig, amíg nem ül azon a partíción, amelyen rendszerfájlok vannak, és amíg a BKF fájlt tároló partíció a valódi DC-ben is elérhető, működnie kell. (De inkább nem hiszem el ezt az állítást, mert a folyamat egyik első lépése valójában a partíciók és kötetek törlése a lemezeken… így a BKF fájlt tartalmazó lemez is kiürül… igaz ?)
  • a fizikai kiszolgáló Lemezkonfigurációja (az egyes lemezek mérete)
  • Windows 2003 server CD
  • ellenőrizze, hogy a vmware gépnek nincs-e hozzáférése a gyártógéphez, ha ezt szimulációs/tesztelési célokra próbálja ki. Állítsa be a virtuális gépet vmware belső hálózat használatára, anélkül, hogy csatlakozna a hálózat többi részéhez.
  • egyéb biztonsági készletek (legutóbbi rendszerállapot, Sysvol tartalom, …)

mielőtt elkezdené: soha ne tegye ugyanazt a gépet kétszer ugyanarra a hálózatra. Ez létre pusztítást, és abban az esetben, DC, lehetséges tönkre a teljes hirdetés. Ügyeljen arra, hogy a” visszaállítandó ” DC-t egy elszigetelt hálózati szegmensbe tegye, anélkül, hogy hozzáférne a valódi DC-hez.

először is hozzon létre egy VMware virtuális gépet, és győződjön meg róla, hogy olyan virtuális lemezeket hoz létre, amelyek legalább akkora méretűek, mint a kiszolgálók lemezei. (Megjegyzés: lemezekre utalok, nem partíciókra.) Ha a DC-nek 3 12 GB-os partíciója van, és a teljes lemez 36 GB, győződjön meg róla, hogy 1 legalább 36 GB-os virtuális lemezt hoz létre.

indítsa el a vmware gépet (indítás A Windows 2003 server CD-ről.) Amikor a rendszer kéri, nyomja meg az F2 billentyűt az ASR módba való belépéshez.

amikor a rendszer kéri az ASR lemez behelyezését, csatlakoztassa a .az ASR floppyt tartalmazó flp fájl. (Vagy csak szerelje fel a fizikai hajlékonylemezt).

 091407_2150_Howtorestor1

A Windows telepítése folytatódik “fájlok betöltése…”, csak várjon, amíg megjelenik a következő képernyő :

 091407_2150_Howtorestor2

nyomja meg a “C” gombot a Beállítás folytatásához. Ez a lépés eltávolít mindent, ami az ebben a nézetben felsorolt lemezeken található.

ezután a lemezek formázásra és ellenőrzésre kerülnek…

091407_2150_Howtorestor3

… A Windows telepítője folytatja a fájlok másolását:

091407_2150_Howtorestor4

várjon, amíg ez a folyamat befejeződik.

 091407_2150_Howtorestor5

a rendszer újraindul az ASR folyamat grafikus módjába. Ne felejtse el megváltoztatni a BIOS-t, hogy ne CD-ről vagy hajlékonylemezről induljon. (vagy nyomja meg az ESC indításkor, hogy megjelenjen a boot menü). Akkor a végén az ASR üdvözlő képernyőn. Kattintson a Tovább gombra a folytatáshoz (vagy csak várjon 90 másodpercet)

091407_2150_Howtorestor6

válassza ki az ASR-t tartalmazó elérési utat .bkf fájl. Ha a fájlt egy fájlkiszolgálóra helyezte a vmware környezetben, akkor képesnek kell lennie arra, hogy az UNC elérési utat (\\ip\sharename) helyezze el, és folytassa a visszaállítási folyamatot a hálózaton keresztül. Ha ezt fizikai kiszolgálón teszi, és az asr biztonsági mentést szalagra helyezte, akkor a kiszolgálónak képesnek kell lennie a szalag észlelésére és az ASR biztonsági mentés automatikus megtalálására. Természetesen a hálózaton keresztül is böngészhet a BKF fájlban, amikor csupasz fém visszaállítást hajt végre egy fizikai szerverre.

még egy gyors megjegyzés A Fájlkiszolgáló eléréséről a hálózaton. A hálózati illesztőprogram ASR módban lesz betöltve, de meg kell győződnie arról, hogy van-e DHCP-kiszolgáló a hálózatban. Ha ezt elszigetelt környezetben teszi, akkor egy másik 2003-as kiszolgálót is elhelyezhet ugyanabban az elszigetelt vmware környezetben, és telepítheti a DHCP-t arra a gépre. A DHCP – nek akkor kell működnie, amikor a “visszaállítandó” kiszolgáló ASR grafikus módba indul. Ha a DHCP nem működik, akkor az APIPA-ra is támaszkodhat. A fájlkiszolgálón található sniffer (wireshark) segítségével megtekintheti a “visszaállítandó” kiszolgáló APIPA-címét :

091407_2150_Howtorestor7

adjon meg a fájlszervernek egy apipa-címet ugyanabban a hálózati tartományban, és a kettő képes legyen beszélni egymással. Példámban a fájlkiszolgáló (valójában egy Windows XP) IP 169.254.145.192, a szerver 169.254.145.191 (ezt a címet a szippantótól kaptam)

091407_2150_Howtorestor8

térjen vissza az ASR folyamathoz. Amikor a párbeszédablakban kiválasztja a biztonsági mentési fájlt, kattintson a “Tallózás” gombra, majd írja be az UNC elérési útját a kiszolgálón lévő megosztáshoz. A példámban ez \ \ 169.254.145.192 \ data. Adjon meg egy felhasználót/jelszót a csatlakozáshoz, amikor megkérdezik.

 091407_2150_Howtorestor9

válassza ki a szerveren tárolt bkf fájlt, majd kattintson a “Megnyitás ” gombra”

091407_2150_Howtorestor10

091407_2150_Howtorestor11
a folyamat folytatásához kattintson a “Tovább” gombra

a visszaállítás megkezdéséhez kattintson a “Befejezés” gombra

 091407_2150_Howtorestor12

091407_2150_Howtorestor13

várjon, amíg a folyamat befejeződik. Az ntbackup alkalmazás bezáródik, és a kiszolgáló automatikusan újraindul.

amikor a gép újraindul, néhány dolog történhet

  1. a szerver elindul és jól működik. Gratulálok. Még akkor is, ha a rendszerindítás után telepítenie kell a display illesztőprogramokat vagy más illesztőprogramokat, még mindig sikeresen tette. Ha pedig ilyen típusú forgatókönyveket tervezel, körülbelül fél óra alatt visszaállíthatod a DC-t…
  2. a szerver nem indul. Próbálja meg javítani a telepítést a 2003 server cd-vel történő indítással, majd lépjen javítási módba. (Dönthet úgy, hogy javítja a Windows telepítését, miután a telepítési folyamat észlelt egy meglévő Windows telepítést). Ha ez nem működik, nézze meg a következő Microsoft KB-kat :
    1. http://support.microsoft.com/kb/325375/en-us
    2. http://support.microsoft.com/kb/842009/en-us
    3. http://support.microsoft.com/kb/811944/en-us
    4. http://support.microsoft.com/kb/836421/en-us

ha működésbe hozza a DC-t, csak ellenőrizze a hálózati interfész tulajdonságait. Ha ASR visszaállítást végez, akkor valószínű, hogy a tűzfal újra be lesz kapcsolva. Győződjön meg róla, hogy kapcsolja ki, ha ez az, amire szüksége van. Lehet, hogy újra kell indítania, hogy a hirdetés megfelelően működjön.

 091407_2150_Howtorestor14

Eseménynapló : MSDTC hibák/figyelmeztetések

végül ellenőrizze az Eseménynaplót. Nagyon jó esély van arra, hogy MSDTC hibákat/figyelmeztetéseket fog látni az eseménynaplóban. Ezeket a következő eljárásokkal tisztíthatja meg:

Error EventID 53258

ha az Eseménynapló alkalmazás tartalmazza :

forrás: MSDTC
Típus: figyelem
Kategória: SVC
Eseményazonosító: 53258
Leírás: Az MS DTC nem tudta megfelelően feldolgozni a DC Promóciós/lefokozási eseményt. Az MS DTC továbbra is működni fog, és a meglévő biztonsági beállításokat fogja használni. Hibajellemzők: %1

berendezéskomponens – Szolgáltatások indítása (Start – Programok-Felügyeleti eszközök).
Bontsa Ki A Komponensszolgáltatásokat.
bontsa ki a szakaszt számítógépek.
kattintson a jobb gombbal a Sajátgép elemre, válassza a Tulajdonságok, MSDTC fület.
válassza a biztonsági konfiguráció lehetőséget, majd az OK lehetőséget.
válassza újra az OK lehetőséget.
kattintson a jobb gombbal a Sajátgép elemre, majd válassza az MS DTC leállítása lehetőséget. Ez leállítja az elosztott tranzakciós koordinátort.
kattintson ismét a jobb gombbal a Sajátgép elemre, majd válassza az MS DTC indítása lehetőséget.

győződjön meg arról is, hogy a “Network Service” teljes mértékben ellenőrzi a HKLM\Software\Microsoft\MSDTC-t és az alábbiakat. Ezután indítsa újra a szervert.

Error EventID 4404

forrás: MSDTC
Típus: Error
Kategória: nyomkövetési infrastruktúra
Eseményazonosító: 4404
leírás: MS DTC nyomkövetési infrastruktúra: a nyomkövetési infrastruktúra inicializálása nem sikerült. Belső információ: msdtc_trace: File: d:\srvrtm\com\complus\dtc\dtc\trace\src\tracelib.cpp, vonal: 1107, StartTrace sikertelen, hr=0x80070070

indítsa el a berendezéskomponens – szolgáltatásokat (Start – Programok-Felügyeleti eszközök).
Bontsa Ki A Komponensszolgáltatásokat.
kattintson a jobb gombbal a Sajátgép elemre, válassza a Tulajdonságok, MSDTC fület.
Válassza A Nyomkövetési Beállításokat.
válassza a Stop Session, New Session, Flush Data, majd OK kétszer lehetőséget.
kattintson a jobb gombbal a Sajátgép elemre, majd válassza az MS DTC leállítása lehetőséget. Ez leállítja az elosztott tranzakciós koordinátort.
kattintson ismét a jobb gombbal a Sajátgép elemre, majd válassza az MS DTC indítása lehetőséget.

Hibák EventID 1058, 1030

Forrás: Userenv
Típus: Hiba
Eseményazonosító: 1058
Leírás: A Windows nem tudja elérni a gpt fájlt.ini a GPO CN = {31B2F340-016D-11D2-945F-00C04FB984F9}, CN=házirendek, CN=rendszer, DC=teszt, DC=nettó. A fájlnak jelen kell lennie a helyszínen . (A hálózati hely nem érhető el. A hálózati hibaelhárításról további információt a Windows súgójában talál.). A csoportházirend feldolgozása megszakadt.

vagy

forrás: Userenv
Típus: hiba
Eseményazonosító: 1030
Leírás: A Windows nem tudja lekérdezni a Csoportházirend-objektumok listáját. Ellenőrizze az eseménynaplóban az ennek okát leíró házirend-motor által korábban naplózott lehetséges üzeneteket.

a megoldás teljes leírását a Microsoft #842804 cikk tartalmazza a http://support.microsoft.com/?id=842804 címen . Győződjön meg róla, hogy:
a Netlogon és a DFS szolgáltatások elindultak.
az érvényes tartomány vezérlője beolvassa és alkalmazza a tartományvezérlők házirendjének szabályait.
a common resource Sysvol NTFS-jogai megfelelően vannak konfigurálva.
a kiszolgáló DNS-rekordjai helyesek.

egyéb problémák

ha megpróbálja megnyitni az AD U& C fájlt, és a következő hibaüzenet jelenik meg : “az elnevezési információk nem találhatók, mert a megadott tartomány vagy nem létezik, vagy nem lehet kapcsolatba lépni velük. Lépjen kapcsolatba a rendszergazdával, hogy ellenőrizze, hogy a tartomány megfelelően van-e konfigurálva, és jelenleg online van-e.”, ellenőrizze a Windows idő szolgáltatást, és győződjön meg róla, hogy fut. Ellenőrizze a DNS-t, és győződjön meg róla, hogy nem tartalmaz olyan hivatkozásokat a DC-kre, amelyek nem állnak rendelkezésre. Tisztítsa meg az AD-t (távolítsa el az elhalt DC-ket) az ntdsutil használatával (lásd http://support.microsoft.com/kb/216498) és a DNS-bejegyzések eltávolításával. Indítsa újra és várjon egy kicsit.

Ezután ellenőrizze, hogy rendelkezésre állnak-e sysvol és netlogon megosztások. Ha nem, ellenőrizze http://www.jsifaq.com/SF/Tips/Tip.aspx?id=7979, http://support.microsoft.com/kb/316790, http://support.microsoft.com/kb/836421 és http://support.microsoft.com/kb/315457/.
indítsa újra, és nézze meg, mi történik. Ha működik, töltse ki a sysvol mappát a sysvol biztonsági mentéssel (így megkaphatja a szkripteket és a gpo-kat) .

végül figyeljen azokra az eseményekre a címtárszolgáltatás eseménynaplójában, amelyek szerint a hálózati bejelentkezési szolgáltatás szünetelt. (NTDS Eseményazonosító 2103: az Active Directory-adatbázis visszaállítása nem támogatott helyreállítási eljárással történt. Az Active Directory nem tud bejelentkezni a felhasználókba, amíg ez a feltétel fennáll. Ennek eredményeként a Net bejelentkezési szolgáltatás szünetel.) Ha manuálisan indítja el a netlogon szolgáltatást, akkor rendelkeznie kell egy működő DC – vel (de nem oldotta meg a problémát-de ez egyelőre rendben van. Ha valóban meg akarja oldani ezt az USN visszagörgetési problémát is, ellenőrizze http://blogs.dirteam.com/blogs/jorge/archive/2006/03/08/597.aspx, http://blogs.technet.com/petergal/archive/2006/02/04/418779.aspx, http://support.microsoft.com/kb/885875, http://www.ureader.com/message/1270504.aspx, http://www.mcse.ms/message1743890.html. Good luck)

most futtasson egy dcdiag-ot, és keresse meg a hibákat és figyelmeztetéseket.

2 további gyors megjegyzések :

  1. az ASR biztonsági mentés / visszaállítás egy ASR biztonsági mentésen alapul. Valószínű, hogy az ASR biztonsági mentés egy kicsit régebbi, mint az utolsó rendszerállapot-biztonsági mentés, ezért érdemes lehet az utolsó ntds-t venni.dit fájlt, és hajtson végre egy hiteles visszaállítást ezen a DC-n.
  2. ha vissza kellett állítanod az egyik DC-t, mert az összes többi katasztrófában meghalt, és a visszaállított DC nem volt az elsődleges DC, akkor meg kell ragadnod az FSMO szerepeket ehhez a DC-hez. (a környezettől függően, ha például ez az egyetlen DC az erdőben, akkor meg kell ragadnia az összes FSMO szerepet ehhez a DC-hez. Ezt az ntdsutil használatával teheti meg). http://support.microsoft.com/kb/255504 :

ntdsutil
ntdsutil: szerepek
fsmo karbantartás: kapcsolatok
szerver kapcsolatok: csatlakozás a kiszolgálónévhez
kötés a kiszolgálónévhez …
kapcsolódás a kiszolgálónévhez
helyileg bejelentkezett felhasználó hitelesítő adataival.
szerver kapcsolatok: q
fsmo karbantartás: seize domain naming master
fsmo karbantartás: seize infrastructure master
fsmo karbantartás: seize PDC
fsmo karbantartás: seize rid master
fsmo karbantartás: seize schema master
fsmo karbantartás: q
ntdsutil: q
leválasztás a kiszolgálónévről…

ezenkívül, ha ez az egyetlen DC, amely megmarad, akkor meg kell tisztítania az összes többit (ha van ilyen), mielőtt új szervereket népszerűsítene a domainben. Ellenkező esetben sok hibát és figyelmeztetést, időtúllépést fog kapni, … amikor ez a visszaállított DC megpróbál kapcsolatba lépni más DC-kkel, amelyek már nincsenek ott. Nézd meg a Microsoft KB 216498, hogy távolítsa el a halott DC

linkek:

A Windows telepítésének áthelyezése különböző hardverekre : http://support.microsoft.com/kb/249694
hogyan hajtható végre az Active Directory katasztrófa utáni helyreállítása egy másik hardverkonfigurációval rendelkező számítógépen : http://support.microsoft.com/?id=263532
hogyan lehet újraépíteni a SYSVOL fát és annak tartalmát egy tartományban : http://support.microsoft.com/kb/315457/
a Sysvol és a Netlogon megosztások hiányoznak a tartományvezérlő biztonsági mentésből történő visszaállítása után : http://support.microsoft.com/kb/316790
a tartományvezérlő nem működik megfelelően? : http://www.jsifaq.com/SF/Tips/Tip.aspx?id=8320
windows_bare_metal_recovery: ntbackup: http://wiki.bacula.org/doku.php?id=windows_bare_metal_recovery:ntbackup
rendszerhiba helyreállítása az automatikus rendszer-helyreállítás segítségével: http://technet2.microsoft.com/windowsserver/en/library/e96185f5-50b7-4b14-a2fd-0155d6b174f91033.mspx?mfr=true
az ASR működése : http://technet2.microsoft.com/windowsserver/en/library/7b4f0436-cc90-4b52-b6ab-064f9db8d2721033.mspx?mfr=true
tartományvezérlő visszaállítása újratelepítéssel: http://technet2.microsoft.com/WindowsServer/en/Library/2f44ad0e-f84d-47a2-956b-df3f8554ea541033.mspx
az Active Directory objektumok hiteles visszaállítása: http://technet2.microsoft.com/WindowsServer/en/library/690730c7-83ce-4475-b9b4-46f76c9c7c901033.mspx
a biztonsági mentés működése : http://technet2.microsoft.com/windowsserver/en/library/9143ba85-587e-409d-b612-617e6617fece1033.mspx?mfr=true

3rd party eszközök :
http://www.stratesave.com/html/htmlhelp/meba2d89.htm

Leave a Reply

Az e-mail-címet nem tesszük közzé.