Troubleshooting, Disaster Protection & Recovery Active Directory

  • Articolo

Avvio di un server in modalità provvisoria

Per effettuare operazioni di “manutenzione straordinaria” su un server, e soprattutto su un DC, è necessario riavviare il computer premendo il tasto F8 in fase di startup. Ciò provoca la comparsa del menu “Advanced Startup Options” indicato in tabella 2.

Table 2: Menu opzioni di startup avanzate per un computer Win2K/XP/2K3

***F8*** Menu delle opzioni avanzate modalità provvisoria (safe-mode) ***F8***

Safe Mode

Carica i dispositivi e driver di base senza i servizi di rete

Safe Mode with Networking

Safe Mode con i servizi di rete

Safe Mode with Command Prompt

Safe Mode senza interfaccia grafica (GUI) e senza servizi di rete

Enable Boot Logging

Effettua il log del caricamento di driver e servizi

Enable VGA Mode

Carica un driver universale per la scheda di rete

Last Known Good Configuration

Utilizza l’ultima configurazione “buona” conosciuta e che ha permesso di effettuare una procedura di logon con successo fino ad arrivare sulla shell del sistema operativo (Explorer)

Directory Service Restore Mode (DSRM): : solo per i domain controller

Permette di effettuare manutenzione sul database AD di un domain controller

Debugging Mode

Abilita la modalità di debug

Per operazioni di manutenzione su un DC è necessario selezionare la voce Directory Service Restore Mode (DSRM). Questa scelta determina l’avvio del sistema operativo in una modalità particolare, nella quale tutte le funzionalità Active Directory sono disabilitate (e.g.: servizi Netlogon, Kerberos KDC, File Replication Service (FRS), Intersite Messaging, ecc.). In questa modalità, il DC si comporta come un server stand-alone caratterizzato da una “SAM (Security Account Manager) Off-Line” valida solo per gestire l’accesso in DSRM, nella quale esiste, di default, solamente l’account administrator (oltre a guest disabilitato) a cui corrisponde la password specificata al momento della promozione del server a DC tramite l’utility DCPROMO. Infatti, effettuando la procedura di logon (sequenza di tasti Control+Alt+Del o Secure Attention Sequence (SAS), il terzo campo “Log on to:” non è disponibile.

  attenzione

Come effettuare il reset della password DSRM in ambiente Win2K3

Per forzare il reset della password di DSRM è necessario utilizzare l’utility NTDSUTIL nel seguente modo:

  • Aprire una sessione Command Prompt:

  • Lanciare il comando NTDSUTIL.EXE:

  • Dal prompt di NTDSUTIL inserire il comando Set DSRM Password (o le iniziali Set d p).

    • Dal prompt “Reset DSRM Administrator Password” inserire il comando seguente per reinserire la password per il DC locale (null):

      reset password on server null

      oppure:

      reset password on server <AltroDC>

      per forzare il cambio della password DSRM per un DC remoto.

    • Inserire e confermare la nuova password e digitare QUIT per uscire dal contesto “Reset DSRM Administrator Password”.

  • Digitare QUIT per uscire da NTDSUTIL

Attenzione: non è possibile modificare la password di DSRM mediante l’utility NTDSUTIL nel mentre si opera in DSRM (Errore: “Setting password failed. Win32 Error Code: 0x32. Error Message: The request is not supported.”). Viceversa è possibile farlo da DSRM mediante la sequenza di tasti Control+Alt+Del e cliccando sul bottone “Change Password...” oppure inserendo il comando seguente: “net user Administrator *”.

Come effettuare il reset della password DSRM in ambiente Win2K

Dal SP4 in poi di Win2K è disponibile l’utility setpwd che permette di forzare il cambio password per la modalità DSRM.
  attenzione

Aggiungere utenti “amministrativi” al gruppo locale Administrators utilizzato in modalità DSRM

Di default l’utente administrator è l’unico (oltre guest) ad essere presente nella “SAM-Off-Line” utilizzata in modalità DSRM (per consultare la lista degli utenti è sufficiente eseguire il comando “net user” dal prompt dei comandi una volta che si è effettuata l’autenticazione in DSRM come utente administrator).

Per aggiungere ulteriori utenti amministratori per la gestione della modalità DSRM è necessario procedere nel seguente modo:

  • Riavviare il DC in modalità DSRM.

  • Aprire una sessione Command Prompt ed eseguire i comandi seguenti:

    • Net user <NomeUtente> /add <Password>

      Esempio: net user simoneR /add P@ssw0rd

      NB : anche se non è richiesta nessuna password per la creazione di un nuovo account ciò non è un buon motivo per non inserirla !!!

    • Net localgroup Administrators /add <NomeUtente>

      Esempio: net localgroup Administrators /add simoneR

Creazione di un floppy disk di ripristino della password (Password Reset Disk) di un utente administrator per l’accesso in modalità DSRM

Oltre alla possibilità vista in precedenza di reset della password dell’utente administrator della SAM-Off-line è possibile generare un floppy disk di ripristino password, dalla finestra Windows Security dopo avere inserito la sequenza di tasti Control+Alt+Del, nel seguente modo:

  • cliccare sul bottone “Change Password...”.

  • Cliccare sul bottone Backup...

  • Inserire un FD

  • Il FD può essere utilizzato all’atto del logon nel caso in cui venga smarrita la password. In questo caso al primo tentativo di logon fallito per l’utente per il quale è stato generato il FD di reset della password, verrà visualizzata una finestra nella quale sio chiede di inserire il FD e di cliccare sul bottone Reset...

Successivamente verrà presentata la finestra Reset the User Account Password nella quale occorre inserire la nuova password ed una “frase da utilizzare come hint”.