Corelan Cybersecurity Research
de volgende procedure zou moeten werken voor elk type hardware, maar Ik heb VMWare gebruikt (dus deze procedure is ook geldig als u een fysieke domeincontroller naar VMWare wilt converteren). Bovendien werkt de procedure voor Windows 2003 server, maar ook voor Windows XP (professional)
:
- ASR backup .BKF-bestand en de ASR-diskette die overeenkomt met het ASR-back-upbestand. Als je de ASR diskette opnieuw wilt aanmaken, kijk dan op http://support.microsoft.com/kb/325854/en-us
- geconverteerde ASR diskette (gebruik een tool zoals winimage om de diskette om te zetten in een .ima or .img-bestand, en hernoem vervolgens de .ima/.img-bestand naar .flp, of kijk naar http://www.vmware.com/community/thread.jspa;jsessionid=9977DD123ECD2AA3C2E131C02E35998E?messageID=210767 of http://www.vmware.com/community/thread.jspa?threadID=18046 )
- u moet in staat zijn om toegang te hebben tot de .bkf bestand tijdens de Windows setup in ASR mode.Dit is een beetje lastig. De enige 2 manieren die ik ken van dat werk (lees: dat ik mezelf heb getest) is ofwel een back – up naar tape, en hebben de tape drive en tape beschikbaar tijdens de ASR restore; of maak een back-up naar schijf en zet de bkf op een server in de VMware-omgeving. Deel de map met de bkf. Zet het BKF-bestand alleen niet op de schijven die de Windows server daarna zullen bevatten, omdat alle gegevens zullen worden verwijderd tijdens de ASR-setup. Volgens sommige mensen zou je het BKF bestand op een van de schijven in de server moeten kunnen zetten waar ASR op draait. Zolang het niet op de partitie zit die systeembestanden bevat, en zolang de partitie die het BKF-bestand bevat ook beschikbaar is in de echte DC, moet het werken. (Maar ik heb de neiging om deze verklaring niet te geloven, omdat een van de eerste stappen in het proces is eigenlijk het opruimen van de partities en volumes op de schijven… dus de schijf met het BKF-bestand zou ook worden geleegd… toch ?)
- schijfconfiguratie van de fysieke server (grootte van elke schijf)
- Windows 2003 server CD
- zorg ervoor dat de VMware-machine geen toegang heeft tot de productiemachine, als u dit probeert voor simulatie/testdoeleinden. Stel de virtuele machine in om een intern VMware-netwerk te gebruiken, zonder verbinding met de rest van het netwerk.
- andere back-upsets (recente systeemstatus, Syvol-inhoud, …)
voordat u begint : zet nooit en te nimmer dezelfde machine twee keer op hetzelfde netwerk. Dit zal ravage veroorzaken en in het geval van een DC, mogelijk ruïneren uw hele advertentie. Zorg ervoor dat u de “te herstellen” DC in een geïsoleerd netwerksegment plaatst, zonder toegang tot de echte DC.
maak eerst een virtuele VMware-machine en zorg ervoor dat u virtuele schijven maakt die minstens even groot zijn als de schijven op de servers. (Opmerking: Ik heb het over schijven, niet over partities.) Als je DC 3 partities van 12Gb heeft, en de totale schijf 36Gb is, zorg er dan voor dat je 1 virtuele schijf van minstens 36Gb maakt.
start de VMware-machine op (opstart vanaf de Windows 2003 server-CD.) Wanneer daarom wordt gevraagd, druk op F2 om de ASR-modus in te voeren.
wanneer u wordt gevraagd om de Asr-schijf in te voegen, koppel de .flp-bestand met de ASR-diskette. (Of gewoon de fysieke diskette mounten).
Windows setup zal doorgaan met ” bestanden laden…”, wacht gewoon tot het volgende scherm verschijnt :
druk op ” C ” om de installatie voort te zetten. Deze stap verwijdert alles wat zich op de in deze weergave vermelde schijven bevindt.
vervolgens worden de schijven geformatteerd en gecontroleerd…
… en Windows setup zal doorgaan met het kopiëren van bestanden :
wacht tot dit proces is voltooid.
het systeem zal opnieuw opstarten in de grafische modus van het ASR-proces. Zorg ervoor dat de BIOS niet van CD of diskette opstart. (of druk op ESC tijdens het opstarten om het opstartmenu te tonen). Je eindigt op het welkomstscherm van ASR. Klik op Volgende om verder te gaan (of wacht gewoon 90 seconden)
Selecteer het pad dat de ASR bevat .BKF bestand. Als u het bestand op een fileserver in uw VMware-omgeving hebt geplaatst, moet u in staat zijn om het UNC-pad naar de map (\\ip\sharename) in te voeren en het herstelproces over het netwerk voort te zetten. Als je dit doet op een fysieke server en als je de asr backup op tape hebt gezet, moet de server in staat zijn om de tape te detecteren en de ASR backup automatisch te vinden. Natuurlijk kun je ook naar het BKF bestand bladeren via het netwerk wanneer je een bare metal herstel uitvoert op een fysieke server.
nog een snelle opmerking over het openen van een bestandsserver op het netwerk. Het netwerkstuurprogramma wordt in ASR-modus geladen, maar u moet ervoor zorgen dat er een DHCP-server in het netwerk is. Als u dit in een geïsoleerde omgeving doet, kunt u een andere 2003-server in dezelfde geïsoleerde vmware-omgeving plaatsen en DHCP op die machine installeren. De DHCP zou actief moeten zijn op het moment dat de “te herstellen” server opstart in ASR grafische modus. Als DHCP niet werkt, kunt u ook op APIPA vertrouwen. Gebruik een sniffer (wireshark) op de bestandsserver om het APIPA-adres van de “te herstellen” server te zien :
Geef de bestandsserver een apipa-adres in hetzelfde netwerkbereik, en de twee moeten met elkaar kunnen praten. In mijn voorbeeld, de bestandsserver (het is eigenlijk een Windows XP) heeft IP 169.254.145.192, de server heeft 169.254.145.191 (ik heb dat adres van de sniffer)
Ga terug naar het ASR-proces. Wanneer u in het dialoogvenster bent om uw back-upbestand te selecteren, klikt u op “browse” en voert u het UNC-pad naar de share Op de server in. In mijn voorbeeld is dat \ \ 169.254.145.192 \ data. Geef een gebruiker / wachtwoord om verbinding te maken, indien gevraagd.
Selecteer de bkf bestand dat is opgeslagen op de server en klik op “openen”
Klik op “volgende” om verder te gaan met het proces
Klik op “voltooien” om te beginnen herstellen
Wacht tot het proces is voltooid. De ntbackup applicatie zal sluiten en de server zal automatisch herstarten.
wanneer de machine opnieuw opstart, kunnen een paar dingen gebeuren
- de server opstart en werkt prima. Felicitatie. Zelfs als u display drivers of andere drivers na het opstarten moet installeren, hebt u het nog steeds met succes gemaakt. En als je dit soort scenario ‘ s hebt gepland, kun je je DC in een half uur of zo herstellen….
-
de server start niet op. Probeer de installatie te repareren door op te starten met de 2003 server cd en ga in de reparatiemodus. (U kunt ervoor kiezen om de Windows-installatie te repareren nadat het installatieproces een bestaande Windows-installatie heeft gedetecteerd). Als dat niet werkt, kijk dan eens naar de volgende Microsoft KB ‘ s :
- http://support.microsoft.com/kb/325375/en-us
- http://support.microsoft.com/kb/842009/en-us
- http://support.microsoft.com/kb/811944/en-us
-
http://support.microsoft.com/kb/836421/en-us
als je DC aan het werk krijgt, controleer dan gewoon de eigenschappen van de netwerkinterface. Als je een ASR restore doet, is de kans groot dat de Firewall weer wordt ingeschakeld. Zorg ervoor om het uit te zetten als dat is wat je nodig hebt. Het kan nodig zijn om opnieuw op te starten om AD goed te laten werken.
gebeurtenislogboek: MSDTC-fouten / waarschuwingen
controleer ten slotte het gebeurtenislogboek. Er is een vrij goede kans dat u MSDTC fouten/waarschuwingen in het gebeurtenislogboek ziet. U kunt deze opschonen met de volgende procedures:
Error EventID 53258
als het gebeurtenislogboek de toepassing bevat:
bron: MSDTC
Type: waarschuwing
Categorie: SVC
Event ID: 53258
beschrijving: MS DTC kan een DC-promotie/demotie-gebeurtenis niet correct verwerken. MS DTC zal blijven functioneren en zal de bestaande beveiligingsinstellingen gebruiken. Foutspecificaties: %1
start equipment Component Services (Start-Programs-Administrative Tools).
Breid Component Services Uit.
breid sectie Computers uit.
Klik met de rechtermuisknop op mijn Computer, selecteer Eigenschappen, tabblad MSDTC.
Selecteer Beveiligingsconfiguratie en vervolgens OK.
Selecteer opnieuw OK.
Klik met de rechtermuisknop op mijn Computer en selecteer Stop MS DTC. Dit zal de Distributed Transaction Coordinator stoppen.
klik opnieuw met de rechtermuisknop op mijn Computer en selecteer Start MS DTC.
zorg er ook voor dat “Network Service” volledige controle heeft over HKLM\Software\Microsoft\MSDTC en alles hieronder. Start vervolgens de server opnieuw op.
Error EventID 4404
bron: MSDTC
Type: Error
Categorie: Tracing Infrastructure
Event ID: 4404
beschrijving: MS DTC Tracing infrastructure: the initialization of the tracing infrastructure failed. Interne informatie: msdtc_trace: File: d:\srvrtm\com\complus\dtc\dtc\trace\src\tracelib.cpp, lijn: 1107, StartTrace mislukt, hr = 0x80070070
start equipment Component Services (Start – Programs – Administrative Tools).
Breid Component Services Uit.
Klik met de rechtermuisknop op mijn Computer, selecteer Eigenschappen, tabblad MSDTC.
Kies Traceeropties.
Selecteer sessie stoppen, nieuwe sessie, Gegevens wissen en twee keer OK.
Klik met de rechtermuisknop op mijn Computer en selecteer Stop MS DTC. Dit zal de Distributed Transaction Coordinator stoppen.
klik opnieuw met de rechtermuisknop op mijn Computer en selecteer Start MS DTC.
Fouten EventID 1058, 1030
Bron: Userenv
Type: Fout
Gebeurtenis-ID: 1058
omschrijving: Windows kan het bestand gpt niet openen.ini voor GPO CN = {31B2F340-016D-11D2-945F-00C04FB984F9}, CN = beleid, CN = systeem, DC = test, DC = net. Het bestand moet aanwezig zijn op de locatie . (De netwerklocatie kan niet worden bereikt. Zie Windows Help voor meer informatie over het oplossen van netwerkproblemen.). Verwerking groepsbeleid afgebroken.
of ook
Source: Userenv
Type: Error
Event ID: 1030
Description: Windows kan de lijst met groepsbeleidsobjecten niet opvragen. Controleer het gebeurtenislogboek op mogelijke berichten die eerder zijn geregistreerd door de beleidsengine die de reden hiervoor beschrijft.
een volledige beschrijving van de oplossing is opgenomen in artikel Microsoft #842804 op http://support.microsoft.com/?id=842804 . Zorg ervoor dat:
Netlogon en DFS services worden gestart.
de Controller van het geldige domein leest en past regels van het domeincontrollers-beleid toe.
de NTFS-rechten voor Common resource Syvol zijn correct geconfigureerd.
DNS-records op server DNS zijn correct.
andere problemen
als u probeert AD U&C te openen, en u krijgt de volgende fout : “Naamgevingsinformatie kan niet worden gevonden omdat het opgegeven domein niet bestaat of niet gecontacteerd kan worden. Neem Contact op met uw systeembeheerder om te controleren of uw domein correct is geconfigureerd en momenteel online is.”, controleer de Windows Time service en zorg ervoor dat het wordt uitgevoerd. Controleer DNS en zorg ervoor dat het geen verwijzingen bevat naar DC ‘ s die niet beschikbaar zijn. Opruimen AD (verwijderen dode DC ‘ s) met behulp van ntdsutil (zie http://support.microsoft.com/kb/216498) en door het verwijderen van items in DNS. Herstart en wacht een tijdje.
controleer vervolgens of syvol-en netlogon-shares beschikbaar zijn. Zo niet, controleer dan http://www.jsifaq.com/SF/Tips/Tip.aspx?id=7979, http://support.microsoft.com/kb/316790, http://support.microsoft.com/kb/836421 en http://support.microsoft.com/kb/315457/.
herstarten en zien wat er gebeurt. Als het werkt, vult u de sysvol-map met de sysvol-back-up (zodat u uw scripts en gpo ‘ s terug hebt) .
ten slotte, let op gebeurtenissen in het gebeurtenislogboek van de Directory Service die aangeven dat de Net logon-service is gepauzeerd. (NTDS Event ID 2103: de Active Directory-database is hersteld met behulp van een niet-ondersteunde herstelprocedure. Active Directory kan gebruikers niet aanmelden zolang deze voorwaarde aanhoudt. Als gevolg hiervan is de Net Logon service onderbroken.) Als je de NetLogon service handmatig start, moet je een werkende DC hebben (maar je zult het probleem niet hebben opgelost – maar dat is ok voor nu. Als u echt wilt dit USN Rollback probleem ook op te lossen, check http://blogs.dirteam.com/blogs/jorge/archive/2006/03/08/597.aspx, http://blogs.technet.com/petergal/archive/2006/02/04/418779.aspx, http://support.microsoft.com/kb/885875, http://www.ureader.com/message/1270504.aspx, http://www.mcse.ms/message1743890.html. Good luck)
Voer nu een dcdiag uit en zoek naar fouten en waarschuwingen.
2 meer snelle notities :
- de ASR Backup / Restore is gebaseerd op een ASR backup. De kans is groot dat de ASR backup een beetje ouder is dan de laatste systeemstatus backup, dus het is misschien een goed idee om de laatste ntds te nemen.dit bestand, en het uitvoeren van een gezaghebbende herstel op deze DC.
- als je een van de DC ‘ s moest herstellen omdat alle andere stierven in een ramp, en de DC die je aan het herstellen bent was niet de primaire DC, dan moet je de FSMO rollen naar deze DC grijpen. (afhankelijk van je omgeving, als dit bijvoorbeeld de enige DC in het bos is die over is, moet je alle FSMO-rollen naar deze DC grijpen. U kunt dit doen met behulp van ntdsutil). http://support.microsoft.com/kb/255504 :
ntdsutil
ntdsutil: rollen
FSMO onderhoud: verbindingen
serververbindingen: verbinding maken met server uwservernaam
Binding met uwservernaam …
verbonden met uwservernaam met behulp van referenties van
lokaal ingelogde gebruiker.
serververbindingen: q
FSMO onderhoud: seize domain naming master
FSMO onderhoud: seize infrastructure master
FSMO onderhoud: seize PDC
FSMO onderhoud: seize RID master
FSMO onderhoud: seize schema master
FSMO onderhoud: q
ntdsutil: q
verbinding met uw servernaam verbreken…
bovendien, als dit de enige DC is die overblijft, moet je alle andere (indien aanwezig) opruimen voordat je nieuwe servers in het domein promoot. Anders zal je eindigen met een hoop fouten en waarschuwingen, timeouts, … wanneer deze herstelde DC probeert contact op te nemen met andere DC ‘ s die er niet meer zijn. Kijk naar Microsoft KB 216498 om de dode DC ‘ s te verwijderen
Links:
een Windows-installatie verplaatsen naar andere hardware : http://support.microsoft.com/kb/249694
herstel van Active Directory bij rampen op een computer met een andere hardwareconfiguratie : http://support.microsoft.com/?id=263532
hoe de syvol-boomstructuur en de inhoud ervan in een domein opnieuw opbouwen: http://support.microsoft.com/kb/315457/
de Syvol-en Netlogon-Shares ontbreken nadat u een domeincontroller vanuit een back-up hebt hersteld: http://support.microsoft.com/kb/316790
een domeincontroller functioneert niet correct? : http://www.jsifaq.com/SF/Tips/Tip.aspx?id=8320
windows_bare_metal_recovery: ntbackup: http://wiki.bacula.org/doku.php?id=windows_bare_metal_recovery:ntbackup
herstellen van een systeemfout met behulp van geautomatiseerd Systeemherstel: http://technet2.microsoft.com/windowsserver/en/library/e96185f5-50b7-4b14-a2fd-0155d6b174f91033.mspx?mfr=true
Hoe werkt ASR : http://technet2.microsoft.com/windowsserver/en/library/7b4f0436-cc90-4b52-b6ab-064f9db8d2721033.mspx?mfr=true
een domeincontroller herstellen door herinstallatie: http://technet2.microsoft.com/WindowsServer/en/Library/2f44ad0e-f84d-47a2-956b-df3f8554ea541033.mspx
een autoritaire herstel van Active Directory-objecten uitvoeren: http://technet2.microsoft.com/WindowsServer/en/library/690730c7-83ce-4475-b9b4-46f76c9c7c901033.mspx
back-up werkt : http://technet2.microsoft.com/windowsserver/en/library/9143ba85-587e-409d-b612-617e6617fece1033.mspx?mfr=true
3rd party tools :
http://www.stratesave.com/html/htmlhelp/meba2d89.htm