Corelan Cybersecurity Research

Corelan Cybersecurity Research

次の手順は、任意のタイプのハードウェアで機能するはずですが、VMWareを使用しました(物理ドメ さらに、この手順はWindows2003serverでも機能しますが、Windows XP(professional)

の前提条件でも機能します:

  • ASRバックアップ。BKFファイルおよびASRバックアップファイルに対応するASRフロッピー。 ASRフロッピーを再作成する場合は、http://support.microsoft.com/kb/325854/en-us
  • 変換されたASRフロッピーを見てください(フロッピーをaに変換するにはwinimageなどのツールを使用してください。imaまたは。imgファイル、および名前を変更します。ima/.imgファイルへ。flp、またはhttp://www.vmware.com/community/thread.jspa;jsessionid=9977DD123ECD2AA3C2E131C02E35998E?messageID=210767𳝏を見て、またはhttp://www.vmware.com/community/thread.jspa?threadID=18046 )
  • あなたはへのアクセス権を持つことができる必要があります。ASRモードでのWindowsセットアップ中のbkfファイル。これはやや難しいです。 私がその仕事について知っている唯一の2つの方法(読んでください:私は自分自身をテストしました)は、テープにバックアップし、ASRの復元中にテープド; または、ディスクにバックアップして、vmware環境のサーバーにbkfを配置します。 Bkfを含むフォルダを共有します。 ASRのセットアップ中にすべてのデータが削除されるため、後でWindowsサーバーを含むディスクにbkfファイルを配置しないでください。 一部の人によると、ASRが実行されるサーバー内のディスクの1つにbkfファイルを配置できるはずです。 システムファイルがあるパーティションに座っておらず、bkfファイルを保持するパーティションが実際のDCでも利用できる限り、動作するはずです。 (しかし、プロセスの最初のステップの一つは、実際にディスク上のパーティションとボリュームをクリアしているので、私は、この文を信じていない傾向)
  • 物理サーバーのディスク構成(各ディスクのサイズ)
  • Windows2003server CD
  • シミュレーション/テスト目的でこれを試している場合は、vmwareマシンが実稼働マシンにアクセ ネットワークの残りの部分に接続せずに、vmware内部ネットワークを使用するように仮想マシンを設定します。
  • その他のバックアップセット(最近のシステム状態、Sysvolの内容, …)

開始する前に:これまでに二度同じネットワーク上に同じマシンを入れてはいけません。 これは大混乱を作成し、DCの場合には、あなたの全体の広告を台無しにする可能性があります。 実際のDCにアクセスすることなく、分離されたネットワークセグメントに”復元する”DCを配置してください。

まず、VMWare仮想マシンを作成し、サーバー内のディスクと少なくとも同じサイズの仮想ディスクを作成するようにしてください。 (注:私はパーティションではなくディスクを参照しています。)DCに12gbのパーティションが3つあり、ディスクの合計が36gbの場合は、少なくとも36gbの仮想ディスクを1つ作成してください。

vmwareマシンを起動します(Windows2003server CDから起動します。)プロンプトが表示されたら、F2を押してASRモードに入ります。

ASRディスクを挿入するように求められたら、ASRディスクをマウントします。ASRフロッピーを含むflpファイル。 (または単に物理フロッピーをマウントします)。

091407_2150_howtorestor1

Windowsセットアップは”ファイルの読み込み…”を続行し、次の画面が表示されるまで待ちます :

091407_2150_howtorestor2

“C”を押してセットアップを続行します。 この手順では、このビューにリストされているディスク上にあるすべてのものが削除されます。

次に、ディスクがフォーマットされ、チェックされます…

091407_2150_3

… Windowsセットアップではファイルのコピーが続行されます:

091407_2150_howtorestor4

このプロセスが完了するまで待ちます。

091407_2150_howtorestor5

システムがASRプロセスのグラフィカルモードで再起動します。 CDまたはフロッピーから起動しないようにBIOSを変更してください。 (またはブートメニューを表示するには、起動時にESCキーを押します)。 ASRのようこそ画面が表示されます。 [次へ]をクリックして続行します(または90秒待つだけです)。)

091407_2150_howtorestor6

ASRを含むパスを選択します。ファイル:example.bkf ファイルをvmware環境のファイルサーバーに配置した場合は、フォルダ(\\ip\sharename)へのUNCパスに配置して、ネットワーク経由で復元プロセスを続行できるはずです。 物理サーバーでこれを実行していて、asrバックアップをテープに配置している場合、サーバーはテープを検出してasrバックアップを自動的に見つけることがで もちろん、物理サーバーにベアメタル復元を実行しているときに、ネットワーク経由でbkfファイルを参照することもできます。

ネットワーク上のファイルサーバーにアクセスする際のもう一つの簡単なメモ。 ネットワークドライバーはASRモードでロードされますが、ネットワークにDHCPサーバーがあることを確認する必要があります。 分離された環境でこれを行う場合は、同じ分離されたvmware環境に別の2003サーバを配置し、そのマシンにDHCPをインストールできます。 DHCPは、”復元する”サーバーがASRグラフィカルモードで起動した時点で起動して実行されている必要があります。 DHCPが機能しない場合は、APIPAに頼ることもできます。 ファイルサーバー上のスニファ(wireshark)を使用して、「復元する」サーバーのAPIPAアドレスを確認します:

091407_2150_howtorestor7

ファイルサーバーに同じネットワーク範囲内のapipaアドレスを指定すると、2つは互いに通信できるはずです。 私の例では、ファイルサーバー(実際にはWindows XPです)にはIP169.254.145.192があり、サーバーには169.254.145.191があります(スニファからそのアドレスを取得しました)

091407_2150_howtorestor8

ASRプロセスに戻ります。 バックアップファイルを選択するダイアログウィンドウにいるときは、”参照”をクリックし、サーバー上の共有へのUNCパスを入力します。 私の例では、それは\\169.254.145.192\dataです。 要求されたときに、接続するユーザー/パスワードを提供します。

091407_2150_howtorestor9

サーバーに保存されているbkfファイルを選択し、”開く”をクリックします”

091407_2150_10

091407_2150_howtorestor11
“次へ”をクリックしてプロセスを続行します

“完了”をクリックして復元を開始します

091407_2150_howtorestor12

091407_2150_howtorestor13

プロセスが完了するまで待ちます。 Ntbackupアプリケーションが終了し、サーバーが自動的に再起動します。

マシンが再起動すると、いくつかのことが起こる可能性があります

  1. サーバーが起動して正常に動作します。 おめでとう!. ブート後にディスプレイドライバやその他のドライバをインストールする必要がある場合でも、それでも正常に動作しました。 あなたはシナリオのこれらのタイプのために計画している場合や、あなたは半時間かそこらであなたのDCを復元することができます…
  2. サーバーが起動しません。 2003server cdを使用して起動してインストールを修復し、修復モードに入ります。 (セットアッププロセスで既存のWindowsインストールが検出された後に、Windowsインストールを修復することを選択できます)。 それがうまくいかない場合は、次のMicrosoft KBを見てください:
    1. http://support.microsoft.com/kb/325375/en-us
    2. http://support.microsoft.com/kb/842009/en-us
    3. http://support.microsoft.com/kb/811944/en-us
    4. http://support.microsoft.com/kb/836421/en-us

あなたのDCが動作するように取得する場合は、単にネットワークインターフェースプロパティを確認してください。 ASRの復元を行うと、ファイアウォールが再びオンになる可能性があります。 それはあなたが必要なものである場合は、それをオフにしてください。 ADを正常に実行するには、再起動が必要な場合があります。

091407_2150_howtorestor14

イベントログ:MSDTCエラー/警告

最後に、イベントログを確認します。 イベントログにMSDTCエラー/警告が表示される可能性が非常に高いです。 9205>

エラー EventID53258

イベントログアプリケーションが含まれている場合:

ソース:MSDTC
種類:警告
カテゴリ:SVC
イベントID:53258
説明:MS DTCはDC昇格/降格イベントを正しく処理できませんでした。 MS DTCは引き続き機能し、既存のセキュリティ設定を使用します。 エラーの詳細:%1

機器コンポーネントサービス(スタート–プログラム–管理ツール)を開始します。
コンポーネントサービスを展開します。
セクションコンピュータを展開します。
マイコンピュータを右クリックし、プロパティ、MSDTCタブを選択します。
[セキュリティ設定]を選択し、[OK]を選択します。
もう一度[OK]を選択します。
My Computerを右クリックし、Stop MS DTCを選択します。 これにより、分散トランザクションコーディネータが停止されます。
マイコンピュータを再度右クリックし、Ms DTCの起動を選択します。

また、”Network Service”がHKLM\Software\Microsoft\MSDTCと以下のすべてを完全に制御していることを確認してください。 次に、サーバーを再起動します。

エラー EventID4404

ソース:MSDTC
種類:エラー
カテゴリ:トレーシングインフラストラクチャ
イベントID:4404
説明:MS DTCトレーシングインフラストラクチャ:トレーシングインフラストラクチャの初期化に失敗しました。 内部情報:msdtc_trace:ファイル:d:\srvrtm\com\complus\dtc\dtc\trace\src\tracelib…..cpp、ライン: 1107、StartTraceに失敗しました、hr=0x80070070

機器コンポーネントサービスを開始します(Start–Programs–Administrative Tools)。
コンポーネントサービスを展開します。
マイコンピュータを右クリックし、プロパティ、MSDTCタブを選択します。
トレースオプションを選択します。
“セッションの停止”、”新規セッション”、”データのフラッシュ”、”OK”を2回選択します。
My Computerを右クリックし、Stop MS DTCを選択します。 これにより、分散トランザクションコーディネータが停止されます。
マイコンピュータを再度右クリックし、Ms DTCの起動を選択します。

エラー EventID1058,1030

ソース:Userenv
タイプ: エラー
イベントID:1058
説明:windowsはgptファイルにアクセスできません。gpo CN={31B2F340-016D-11D2-945F-00C04FB984F9}のini,CN=Policies,CN=System,DC=test,DC=net. ファイルはその場所に存在する必要があります。 (ネットワークの場所には到達できません。 ネットワークのトラブルシューティングの詳細については、Windowsのヘルプを参照してください。). グループポリシーの処理が中止されました。

または

ソース:Userenv
種類:エラー
イベントID:1030
説明:Windowsはグループポリシーオブジェクトのリストを照会できません。 この理由を説明するポリシーエンジンによって以前にログに記録された可能性のあるメッセージがないか、イベントログを確認します。

ソリューションの詳細な説明は、マイクロソフト#842804のhttp://support.microsoft.com/?id=842804の記事に記載されています。
NetlogonおよびDFSサービスが開始されていることを確認してください。
ドメイン有効のコントローラは、ドメインコントローラーポリシーからルールを読み取り、適用します。
共通リソースSysvolに対するNTFS権限が正しく構成されています。
サーバー DNSのDNSレコードが正しい。

その他の問題

AD U&Cを開こうとすると、次のエラーが表示されます。”指定されたドメインが存在しないか、連絡できないため、名前付け情報が見つかりません。 ドメインが適切に構成されており、現在オンラインであることを確認するには、システム管理者に連絡してください。”、Windowsタイムサービスを確認し、それが実行されていることを確認してください。 DNSをチェックし、利用できないDCへの参照が含まれていないことを確認してください。 Ntdsutil(http://support.microsoft.com/kb/216498を参照)を使用し、DNSのエントリを削除してADをクリーンアップします(死んだDCを削除します)。 再起動して少し待ってください。

次に、sysvolとnetlogonの共有が利用可能かどうかを確認します。 そうでない場合は、チェックしてくださいhttp://www.jsifaq.com/SF/Tips/Tip.aspx?id=7979, http://support.microsoft.com/kb/316790, http://support.microsoft.com/kb/836421 とhttp://support.microsoft.com/kb/315457/。
再起動し、何が起こるかを確認します。 それが動作する場合は、sysvolフォルダにsysvolバックアップを入れてください(スクリプトとgpoのバックアップがあります)。

最後に、ディレクトリサービスのイベントログで、net logonサービスが一時停止されたことを示すイベントに注意してください。 (NTDSイベントID2103:サポートされていない復元手順を使用してActive Directoryデータベースが復元されました。 この状態が続くと、Active Directoryはユーザーにログオンできません。 その結果、Net Logonサービスが一時停止しました。)Netlogonサービスを手動で起動する場合は、動作するDCが必要です(ただし、問題は解決していませんが、今のところ問題ありません。 このUSNロールバックの問題も本当に解決したい場合は、次の点を確認してくださいhttp://blogs.dirteam.com/blogs/jorge/archive/2006/03/08/597.aspx, http://blogs.technet.com/petergal/archive/2006/02/04/418779.aspx, http://support.microsoft.com/kb/885875, http://www.ureader.com/message/1270504.aspx, http://www.mcse.ms/message1743890.html. 幸運)

今dcdiagを実行し、エラーと警告を探します。

さらに2つの簡単なメモ:

  1. ASRバックアップ/復元は、ASRバックアップに基づいています。 Asrバックアップは最後のシステム状態のバックアップよりも少し古いため、最後のntdsを使用することをお勧めします。ditファイルを作成し、このDCで権限のある復元を実行します。 他のすべてのDCが災害で死亡したためにDCの1つを復元する必要があり、復元するDCがプライマリDCではなかった場合は、このDCにFSMOの役割を接 (環境によっては、たとえば、これが残っているフォレスト内の唯一のDCである場合は、このDCにすべてのFSMOロールを強制する必要があります。 これはntdsutilを使用して行うことができます)。 http://support.microsoft.com/kb/255504 :

ntdsutil
ntdsutil:roles
fsmo maintenance:connections
server connections:サーバー yourservernameに接続します
yourservernameにバインドします…
ローカルにログオンしたユーザーの資格情報を使用してyourservernameに接続します。
サーバー接続:q
fsmoメンテナンス:ドメイン命名マスターの取得
fsmoメンテナンス:インフラストラクチャマスターの取得
fsmoメンテナンス:PDCの取得
fsmoメンテ: q
yourservernameから切断する…

さらに、これが残っている唯一のDCである場合は、新しいサーバーをドメインに昇格させる前に、他のすべてのDC(存在する場合)をクリーンアップする必要が それ以外の場合は、この復元されたDCがもう存在しない他のDCと連絡を取ろうとすると、多くのエラーや警告、タイムアウトが発生します。 死んだDCを削除するには、Microsoft KB216498を見てください

リンク:

Windowsのインストールを別のハードウェアに移動する方法 : http://support.microsoft.com/kb/249694
異なるハードウェア構成を持つコンピュータ上でActive Directoryのディザスタリカバリ復元を実行する方法:http://support.microsoft.com/?id=263532
ドメイン内のSYSVOLツリーとその内容を再構築する方法:http://support.microsoft.com/kb/315457/
バックアップからドメインコントローラを復元した後にSysvolとNetlogon共有が欠落しています:http://support.microsoft.com/kb/316790
ドメインコントローラが正しく機能していませんか? :http://www.jsifaq.com/SF/Tips/Tip.aspx?id=8320
windows_bare_metal_recovery:ntbackup:http://wiki.bacula.org/doku.php?id=windows_bare_metal_recovery:ntbackup
自動システムリカバリを使用したシステム障害からのリカバリ:http://technet2.microsoft.com/windowsserver/en/library/e96185f5-50b7-4b14-a2fd-0155d6b174f91033.mspx?mfr=true
ASRの動作方法 : http://technet2.microsoft.com/windowsserver/en/library/7b4f0436-cc90-4b52-b6ab-064f9db8d2721033.mspx?mfr=true
再インストールによるドメインコントローラの復元:http://technet2.microsoft.com/WindowsServer/en/Library/2f44ad0e-f84d-47a2-956b-df3f8554ea541033.mspx
Active Directoryオブジェクトの権限のある復元の実行:http://technet2.microsoft.com/WindowsServer/en/library/690730c7-83ce-4475-b9b4-46f76c9c7c901033.mspx
バックアップの仕組み: http://technet2.microsoft.com/windowsserver/en/library/9143ba85-587e-409d-b612-617e6617fece1033.mspx?mfr=true

サードパーティ製ツール:
http://www.stratesave.com/html/htmlhelp/meba2d89.htm

Leave a Reply

メールアドレスが公開されることはありません。