Corelan Cybersecurity Research

Corelan Cybersecurity Research

följande procedur bör fungera för alla typer av hårdvara, men jag har använt VMWare (så den här proceduren är också giltig om du vill konvertera en fysisk domänkontrollant till VMWare). Dessutom fungerar proceduren för Windows 2003 server, men också för Windows XP (professional)

förutsättningar :

  • ASR backup .BKF-filen och ASR-disketten som motsvarar ASR-säkerhetskopian. Om du vill återskapa ASR-disketten, ta en titt på http://support.microsoft.com/kb/325854/en-us
  • konverterad ASR-diskett (använd ett verktyg som winimage för att konvertera disketten till en .ima eller .img fil, och sedan byta namn på .ima/.img-fil till .flp, eller ta en titt på http://www.vmware.com/community/thread.jspa;jsessionid=9977DD123ECD2AA3C2E131C02E35998E?messageID=210767𳝏 eller http://www.vmware.com/community/thread.jspa?threadID=18046 )
  • du måste kunna få tillgång till .bkf-fil under Windows-installationen i ASR-läge.Det här är lite knepigt. De enda 2 sätten jag känner till det arbetet (Läs: att jag har testat mig själv) är antingen tillbaka till tejp och har bandenhet och tejp tillgänglig under ASR-återställningen; eller säkerhetskopiera till disk och sätt bkf på en server i VMware-miljön. Dela mappen som innehåller bkf. Lägg bara inte BKF-filen på diskarna som innehåller Windows-servern efteråt, eftersom all data kommer att tas bort under ASR-installationen. Enligt vissa personer borde du kunna lägga bkf-filen på en av diskarna i servern där ASR kommer att köras på. Så länge det inte sitter på den partition som har systemfiler på den, och så länge som partitionen som kommer att hålla BKF-filen också är tillgänglig i den verkliga DC, borde den fungera. (Men jag brukar inte tro på detta uttalande, eftersom ett av de första stegen i processen faktiskt rensar partitionerna och volymerna på skivorna… så disken som innehåller BKF-filen skulle tömmas också… eller hur ?)
  • Diskkonfiguration av den fysiska servern (storlek på varje disk)
  • Windows 2003 server CD
  • se till att VMware-maskinen inte har tillgång till produktionsmaskinen, om du försöker detta för simulering/teständamål. Ställ in den virtuella maskinen för att använda ett vmware-internt nätverk utan anslutning till resten av nätverket.
  • andra backup uppsättningar (senaste systemtillstånd, Sysvol innehåll, …)

innan du börjar: sätt aldrig någonsin samma maskin två gånger i samma nätverk. Detta kommer att skapa förödelse och i händelse av en DC, möjligt förstöra hela din annons. Se till att sätta” återställas ” DC i ett isolerat nätverkssegment, utan tillgång till den verkliga DC.

först Alla, skapa en virtuell VMware-maskin och se till att skapa virtuella diskar som har minst samma storlek som diskarna i servrarna. (OBS: Jag hänvisar till diskar, inte partitioner.) Om din DC har 3 partitioner på 12 GB och den totala disken är 36 GB, se till att skapa 1 virtuell disk på minst 36 GB.

starta vmware-maskinen (starta från Windows 2003 server-CD.) När du uppmanas trycker du på F2 för att gå in i ASR-läge.

när du uppmanas att sätta i ASR-skivan, montera .flp-fil som innehåller ASR-disketten. (Eller bara montera den fysiska disketten).

091407_2150_Howtorestor1

Windows-installationen fortsätter ”laddar filer…”, vänta bara tills följande skärm visas :

091407_2150_howtorestor2

tryck på ”C” för att fortsätta installationen. Detta steg tar bort allt som finns på skivorna som anges i den här vyn.

därefter formateras och kontrolleras skivorna…

091407_2150_Howtorestor3

… och Windows-installationen fortsätter att kopiera filer :

091407_2150_Howtorestor4

vänta tills processen är klar.

091407_2150_Howtorestor5

systemet startar om i det grafiska läget för ASR-processen. Se till att ändra BIOS för att inte starta från CD eller diskett. (eller tryck på ESC vid starttid för att visa startmenyn). Du kommer att hamna på Asr välkomstskärmen. Klicka på Nästa för att fortsätta (eller vänta bara 90 sekunder)

091407_2150_Howtorestor6

Välj sökvägen som innehåller ASR .bkf-fil. Om du har lagt filen på en filserver i din vmware-miljö bör du kunna lägga in UNC-sökvägen till mappen (\\ip\sharename) och fortsätta återställningsprocessen över nätverket. Om du gör detta på en fysisk server och om du har lagt asr-säkerhetskopian på band, ska servern kunna upptäcka bandet och hitta asr-säkerhetskopian automaticall. Naturligtvis kan du också bläddra till BKF-filen över nätverket när du utför en ren metallåterställning på en fysisk server.

ytterligare en snabb anteckning om åtkomst till en filserver i nätverket. Nätverksdrivrutinen laddas i ASR-läge, men du måste se till att det finns en DHCP-server i nätverket. Om du gör detta i en isolerad miljö kan du lägga en annan 2003-server i samma isolerade vmware-miljö och installera DHCP på den maskinen. DHCP ska vara igång när servern” som ska återställas ” startar i ASR-grafiskt läge. Om DHCP inte fungerar kan du också lita på APIPA. Använd en sniffer (wireshark) på filservern för att se APIPA-adressen till servern ”att återställas” :

091407_2150_Howtorestor7

ge filservern en apipa-adress i samma nätverksintervall, och de två ska kunna prata med varandra. I mitt exempel har filservern (det är faktiskt en Windows XP) IP 169.254.145.192, servern har 169.254.145.191 (jag fick den adressen från sniffer)

091407_2150_Howtorestor8

gå tillbaka till ASR-processen. När du är i dialogfönstret för att välja din säkerhetskopia klickar du på ”Bläddra” och anger UNC-sökvägen till delningen på servern. I mitt exempel är det \ \ 169.254.145.192 \ data. Ange en användare / lösenord för att ansluta, när du blir ombedd.

091407_2150_Howtorestor9

Välj BKF-filen som är lagrad på servern och klicka på ”öppna”

091407_2150_Howtorestor10

091407_2150_Howtorestor11
klicka på ”Nästa” för att fortsätta processen

klicka på ”Slutför” för att starta återställning

091407_2150_Howtorestor12

091407_2150_Howtorestor13

vänta tills processen är klar. NTBackup-programmet stängs och servern startas om automatiskt.

när maskinen startas om kan ett par saker hända

  1. servern startar och fungerar bra. Grattis. Även om du behöver installera bildskärmsdrivrutiner eller några andra drivrutiner efter starten, gjorde du det fortfarande framgångsrikt. Och om du planerat för dessa typer av scenarier, du kan återställa din DC i en halvtimme eller så…
  2. servern startar inte. Försök att reparera installationen genom att starta med 2003 server-cd: n och gå till reparationsläge. (Du kan välja att reparera Windows-installationen efter installationsprocessen har upptäckt en befintlig Windows-installation). Om det inte fungerar, ta en titt på följande Microsoft KB: s :
    1. http://support.microsoft.com/kb/325375/en-us
    2. http://support.microsoft.com/kb/842009/en-us
    3. http://support.microsoft.com/kb/811944/en-us
    4. http://support.microsoft.com/kb/836421/en-us

om du får din DC att fungera, kolla bara nätverksgränssnittets egenskaper. Om du gör en ASR-återställning är oddsen att brandväggen slås på igen. Se till att stänga av den om det är vad du behöver. Du kan behöva starta om för att få AD att köras korrekt.

091407_2150_Howtorestor14

händelseloggen : MSDTC fel/varningar

slutligen, kontrollera händelseloggen. Det finns en ganska bra chans att du kommer att se MSDTC-fel/varningar i händelseloggen. Du kan rensa upp dessa med hjälp av följande procedurer :

fel EventID 53258

om händelseloggen Programmet innehåller :

källa: MSDTC
Typ: Varning
Kategori: SVC
Händelse-ID: 53258
beskrivning: MS DTC kunde inte korrekt bearbeta en DC marknadsföring/degradering händelse. MS DTC fortsätter att fungera och kommer att använda de befintliga säkerhetsinställningarna. Felspecifikationer: %1

starta Komponenttjänster för utrustning (Start – Program – Administrativa verktyg).
Utöka Komponenttjänster.
expandera avsnitt datorer.
högerklicka på den här datorn, välj Egenskaper, MSDTC-fliken.
Välj säkerhetskonfiguration och sedan OK.
välj OK igen.
högerklicka på den här datorn och välj stoppa MS DTC. Detta kommer att stoppa den distribuerade Transaktionskoordinatorn.
högerklicka igen på den här datorn och välj Starta MS DTC.

se också till att” Network Service ” har full kontroll på HKLM\Software\Microsoft\MSDTC och allt nedan. Starta sedan om servern.

fel EventID 4404

källa: MSDTC
Typ: fel
Kategori: Spårningsinfrastruktur
Händelse-ID: 4404
beskrivning: MS DTC Spårningsinfrastruktur: initieringen av spårningsinfrastrukturen misslyckades. Intern Information: msdtc_trace: fil: d:\srvrtm\com\complus\dtc\dtc\trace\src\tracelib.cpp, linje: 1107, StartTrace misslyckades, hr = 0x80070070

start equipment Component Services (Start-Program-Administrativa verktyg).
Utöka Komponenttjänster.
högerklicka på den här datorn, välj Egenskaper, MSDTC-fliken.
Välj Spårningsalternativ.
välj Stoppa Session, ny Session, spola Data och OK två gånger.
högerklicka på den här datorn och välj stoppa MS DTC. Detta kommer att stoppa den distribuerade Transaktionskoordinatorn.
högerklicka igen på den här datorn och välj Starta MS DTC.

Fel EventID 1058, 1030

Källa: Userenv
Typ: Fel
Händelse-ID: 1058
beskrivning: Windows kan inte komma åt filen gpt.ini för GPO CN = {31B2F340-016D-11d2-945F-00c04fb984f9}, CN=politik, CN=System, DC=test, DC=netto. Filen måste vara närvarande på platsen . (Nätverksplatsen kan inte nås. Mer information om felsökning i nätverket finns i Windows Hjälp.). Grupprincip bearbetning avbruten.

eller också

källa: Userenv
Typ: fel
Händelse-ID: 1030
beskrivning: Windows kan inte söka efter listan över grupprincipobjekt. Kontrollera händelseloggen för eventuella meddelanden som tidigare loggats av policymotorn som beskriver orsaken till detta.

en fullständig beskrivning av lösningen finns i artikel Microsoft #842804 på http://support.microsoft.com/?id=842804 . Se till att:
Netlogon och DFS-tjänster startas.
den registeransvarige för den giltiga domänen läser och tillämpar regler från Domänkontrollanters Policy.
NTFS-rättigheterna till common resource Sysvol är korrekt konfigurerade.
DNS-poster på serverns DNS är korrekta.

andra problem

om du försöker öppna AD U &C, och du får följande felmeddelande: ”Namninformation kan inte hittas eftersom den angivna domänen antingen inte existerar eller inte kan kontaktas. Kontakta din systemadministratör för att verifiera att din domän är korrekt konfigurerad och för närvarande är online.”, kontrollera Windows Time-tjänsten och se till att den körs. Kontrollera DNS och se till att den inte innehåller några referenser till DC som inte är tillgängliga. Rensa upp AD (ta bort döda DC: er) med ntdsutil (se http://support.microsoft.com/kb/216498) och genom att ta bort poster i DNS. Starta om och vänta ett tag.

kontrollera sedan om sysvol-och netlogon-aktier är tillgängliga. Om inte, kolla http://www.jsifaq.com/SF/Tips/Tip.aspx?id=7979, http://support.microsoft.com/kb/316790, http://support.microsoft.com/kb/836421 och http://support.microsoft.com/kb/315457/.
starta om och se vad som händer. Om det fungerar fyller du i SYSVOL-mappen med SYSVOL-säkerhetskopian (så du får dina skript och gpo: s tillbaka) .

slutligen, se upp för händelser i katalogtjänsten händelseloggen som säger att net logon tjänsten pausades. (NTDs Event ID 2103: Active Directory-databasen har återställts med hjälp av en återställningsprocedur som inte stöds. Active Directory kan inte logga in på användare medan detta villkor kvarstår. Som ett resultat har Net Logon-tjänsten pausat.) Om du startar netlogon-tjänsten manuellt bör du ha en fungerande DC (men du har inte löst problemet – men det är ok för nu. Om du verkligen vill lösa detta USN Rollback-problem också, kolla http://blogs.dirteam.com/blogs/jorge/archive/2006/03/08/597.aspx, http://blogs.technet.com/petergal/archive/2006/02/04/418779.aspx, http://support.microsoft.com/kb/885875, http://www.ureader.com/message/1270504.aspx, http://www.mcse.ms/message1743890.html. Lycka till)

kör nu en dcdiag och leta efter fel och varningar.

2 fler snabba anteckningar :

  1. Asr Backup / Restore är baserad på en ASR backup. Oddsen är att ASR backup är lite äldre än den senaste System State backup, så det kan vara bra att ta de senaste NTD: erna.dit fil, och utföra en auktoritativ återställning på denna DC.
  2. om du var tvungen att återställa en av DC: erna eftersom alla andra dog i en katastrof, och DC du återställer inte var den primära DC, måste du ta FSMO-rollerna till denna DC. (beroende på din miljö, om det här är den enda DC i skogen kvar, måste du ta alla FSMO-roller till denna DC. Du kan göra detta med ntdsutil). http://support.microsoft.com/kb/255504 :

ntdsutil
ntdsutil: Roller
FSMO underhåll: anslutningar
serveranslutningar: Anslut till servern ditt servernamn
bindning till ditt servernamn …
ansluten till ditt servernamn med referenser för
lokalt inloggad användare.
serveranslutningar: q
FSMO underhåll: beslagta domännamn master
FSMO underhåll: beslagta Infrastruktur master
FSMO underhåll: beslagta PDC
FSMO underhåll: beslagta RID master
FSMO underhåll: beslagta schema master
FSMO underhåll: q
ntdsutil: q
koppla från ditt servernamn…

dessutom, om det här är den enda DC som kommer att vara kvar, måste du städa upp alla andra (om några) innan du marknadsför nya servrar till domänen. Annars kommer du att sluta med många fel och varningar, timeouts, … när den här återställda DC försöker kontakta andra DC som inte finns där längre. Titta på Microsoft KB 216498 för att ta bort de döda DC: erna

länkar:

hur man flyttar en Windows-installation till olika hårdvaror : http://support.microsoft.com/kb/249694
hur man utför en återställning av Active Directory på en dator med en annan hårdvarukonfiguration: http://support.microsoft.com/?id=263532
hur man bygger om SYSVOL-trädet och dess innehåll i en domän : http://support.microsoft.com/kb/315457/
Sysvol-och Netlogon-aktierna saknas när du har återställt en domänkontrollant från säkerhetskopiering : http://support.microsoft.com/kb/316790
en domänkontrollant fungerar inte korrekt? : http://www.jsifaq.com/SF/Tips/Tip.aspx?id=8320
windows_bare_metal_recovery: NTBackup: http://wiki.bacula.org/doku.php?id=windows_bare_metal_recovery:ntbackup
Återställ från ett systemfel med hjälp av automatiserad Systemåterställning: http://technet2.microsoft.com/windowsserver/en/library/e96185f5-50b7-4b14-a2fd-0155d6b174f91033.mspx?mfr=true
hur ASR fungerar : http://technet2.microsoft.com/windowsserver/en/library/7b4f0436-cc90-4b52-b6ab-064f9db8d2721033.mspx?mfr=true
återställa en domänkontrollant genom ominstallation: http://technet2.microsoft.com/WindowsServer/en/Library/2f44ad0e-f84d-47a2-956b-df3f8554ea541033.mspx
utföra en auktoritativ återställning av Active Directory-objekt: http://technet2.microsoft.com/WindowsServer/en/library/690730c7-83ce-4475-b9b4-46f76c9c7c901033.mspx
hur säkerhetskopiering fungerar : http://technet2.microsoft.com/windowsserver/en/library/9143ba85-587e-409d-b612-617e6617fece1033.mspx?mfr=true

3: e parts verktyg :
http://www.stratesave.com/html/htmlhelp/meba2d89.htm

Leave a Reply

Din e-postadress kommer inte publiceras.