Discussione:
sostituzione domain controller (il vecchio e' rotto o ...)
(troppo vecchio per rispondere)
Marco
2005-07-30 09:40:32 UTC
Permalink
ciao a tutti,

il mio dc w2k3 si e' rotto (bruciato, rubato, inutilizzabile completamente)
e voglio metterne uno nuovo di pacca nella mia rete xp: lo attacco, e tutti
i client non fanno il login e non posso nemmeno fare il join al dominio

come fare?

ho guglato a fondo ma non ho trovato una soluzione (tutti i precedenti
messaggi parlano di affiancare e sostituire)

chiedo troppo? (o chiedo una cosa stupida?)

ciao e grazie, marco
Edoardo Benussi [MVP]
2005-07-30 10:00:44 UTC
Permalink
Post by Marco
ciao a tutti,
il mio dc w2k3 si e' rotto (bruciato, rubato, inutilizzabile
completamente) e voglio metterne uno nuovo di pacca nella mia rete
xp: lo attacco, e tutti i client non fanno il login e non posso
nemmeno fare il join al dominio
come fare?
ho guglato a fondo ma non ho trovato una soluzione (tutti i precedenti
messaggi parlano di affiancare e sostituire)
chiedo troppo? (o chiedo una cosa stupida?)
ciao e grazie, marco
l'unico modo di recuperare il dominio,
nel caso di dc "sparato con lo shuttle in orbita",
è comprare un server possibilemente uguale al precedente
e fare un ripristino del backup completo di system state
che tu certamente avrai su nastro (vero ? )
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
Marco
2005-07-30 10:41:36 UTC
Permalink
Edoardo Benussi [MVP]...
Post by Edoardo Benussi [MVP]
l'unico modo di recuperare il dominio,
nel caso di dc "sparato con lo shuttle in orbita",
è comprare un server possibilemente uguale al precedente
deve essere identico?
Post by Edoardo Benussi [MVP]
e fare un ripristino del backup completo di system state
che tu certamente avrai su nastro (vero ? )
ho il backup del system state, ma funzionerebbe il solo ripristino?

ciao, marco
Edoardo Benussi [MVP]
2005-07-30 10:45:50 UTC
Permalink
Post by Marco
Edoardo Benussi [MVP]...
Post by Edoardo Benussi [MVP]
l'unico modo di recuperare il dominio,
nel caso di dc "sparato con lo shuttle in orbita",
è comprare un server possibilemente uguale al precedente
deve essere identico?
possibilmente significa "se voglio lavorare il meno possibile" ;-)
Post by Marco
Post by Edoardo Benussi [MVP]
e fare un ripristino del backup completo di system state
che tu certamente avrai su nastro (vero ? )
ho il backup del system state, ma funzionerebbe il solo ripristino?
è l'unica soluzione altrimenti
come ha scritto Andrea devi rifare tutto.
Post by Marco
ciao, marco
ciao.
--
Edoardo Benussi - ***@mvps.org
Microsoft® MVP - Windows Server
http://mvp.support.microsoft.com
Marco
2005-07-30 15:18:45 UTC
Permalink
Edoardo Benussi [MVP]...
[cut] ciao.
grazie mille, esauriente e gentilissimo

ciao, marco
Andrea Gallazzi [MVP]
2005-07-30 10:04:52 UTC
Permalink
Post by Marco
chiedo troppo? (o chiedo una cosa stupida?)
Direi che chiedi troppo.
Ipotizzo tu abbia ricreato un dominio da 0 con lo stesso nome.
Se funzionasse, non credi sarebbe una pesante falla nella sicurezza?
Io potrei arrivare nel tuo ufficio con un mio portatile, avviare una
macchina virtuale con 2003, creare un dominio con il tuo stesso nome, creare
gli account macchina che mi servono nella mia AD, generare un DoS al tuo
attuale DC e a questo punto diventerei tranquillamente un Domain Admin!
Ti ruberei tutto ciò che voglio, cancellerei tutto quanto, anche le mie
tracce e sparirei lasciandoti la rete in un bel casino.
E per fare tutto ciò mi bastano pochissime informazioni!

Torniamo alla tua questione.
La cosa fonamentale da capire in un dominio è... che non bisogna mai (e dico
mai) perderlo!
Ovvero bisogna fare frequentemente e in modo efficace e *sicuro* un (o
meglio molteplici) backup del system state dei DC.
Da questo backup è possibile ripristinare (e non ricreare!) AD.
Ci sono dei SID che non è possibile in altro modo riallineare.

Se tu non hai un backup del system state... beh, non ti resta altro che
ricominciare tutto da capo.
Rifare il dominio (che forse hai già), ricreare gli account utenti, fare di
nuovo il join delle macchine, rifare tutte le ACL sulle risorse di dominio,
ricreare le policy... e quant'altro avevi nel dominio vecchio.
Sulle singole macchine client dovrai inoltre migrare il dominio di ogni
utente sull'account nuovo... infatti anche qui vale la regola dei SID
differenti!

Un dominio non è semplice da gestire, bisogna sempre sapere cosa fare e
specialmente cosa NON fare.
Testare in un lab prima di farlo in produzione e sperimentare operazioni di
Disaster Recovery.
Se non fai tutto ciò, potranno capitarti situazioni nelle quali non puoi
tornare indietro e avrai perso tutto quanto.
Buon lavoro!
--
Andrea Gallazzi
Microsoft MVP (Security) http://italy.mvps.org/
*** Guida per microsoft.public.it.winserver ***
http://www.krisopea.it/mvp
Andrea Gallazzi [MVP]
2005-07-30 10:27:35 UTC
Permalink
Post by Andrea Gallazzi [MVP]
Sulle singole macchine client dovrai inoltre migrare il dominio di
ogni utente sull'account nuovo... infatti anche qui vale la regola
dei SID differenti!
Correggo: "dovrai inoltre migrare il PROFILO di ogni utente".
Scusa, ciao!
--
Andrea Gallazzi
Microsoft MVP (Security) http://italy.mvps.org/
*** Guida per microsoft.public.it.winserver ***
http://www.krisopea.it/mvp
Marco
2005-07-30 10:55:08 UTC
Permalink
Andrea Gallazzi [MVP]...
[cut] E per fare tutto ciò mi bastano pochissime informazioni!
hai completamente ragione
Ovvero bisogna fare frequentemente e in modo efficace e *sicuro* un (o
meglio molteplici) backup del system state dei DC.
ho i backup
Da questo backup è possibile ripristinare (e non ricreare!) AD.
Ci sono dei SID che non è possibile in altro modo riallineare.
oggi provo a ripristinarli sul nuovo dc
Se tu non hai un backup del system state... beh, non ti resta altro che
ricominciare tutto da capo.
Rifare il dominio (che forse hai già), ricreare gli account utenti, fare
di nuovo il join delle macchine, rifare tutte le ACL sulle risorse di
dominio, ricreare le policy... e quant'altro avevi nel dominio vecchio.
ieri sera non mi riusciva a fare il join col nuovo dc
i client erano in workgroup, ma ad ogni tentativo di entrare nel nuovo
dominio mi restituiva un errore
Sulle singole macchine client dovrai inoltre migrare il dominio di ogni
utente sull'account nuovo... infatti anche qui vale la regola dei SID
differenti!
questa cosa non l'ho capita, puoi per favore aiutarmi?
Se non fai tutto ciò, potranno capitarti situazioni nelle quali non puoi
tornare indietro e avrai perso tutto quanto.
aaargh mi aspetta un luuungo e caaaaldo fine settimana (fortuna che ho pochi
client)

ciao e grazie, marco
Andrea Gallazzi [MVP]
2005-07-30 12:05:35 UTC
Permalink
Post by Marco
ho i backup
Ottimo!
Post by Marco
oggi provo a ripristinarli sul nuovo dc
Ecco un link utile:
http://support.microsoft.com/default.aspx?scid=kb;en-us;263532
Post by Marco
ieri sera non mi riusciva a fare il join col nuovo dc
i client erano in workgroup, ma ad ogni tentativo di entrare nel nuovo
dominio mi restituiva un errore
Aspetta a farlo, prima ripristina AD.
Comunque le cause possibili sono molteplici, devi guardare sempre negli
eventi per avere chiaro quale sia il problema.
Ricordati sempre il servizio DNS attivo e che i client puntino ad esso.
Post by Marco
Post by Andrea Gallazzi [MVP]
Sulle singole macchine client dovrai inoltre migrare il dominio di
ogni utente sull'account nuovo... infatti anche qui vale la regola
dei SID differenti!
questa cosa non l'ho capita, puoi per favore aiutarmi?
Nell'ipotesi tu non avessi più l'AD vecchia avresti perso i Security
IDentifiers.
Ogni oggetto AD ha un SID associato che è unico, esso è costruito tramite il
SID del dominio e ciò lo rende unico.
Quindi anche se tu creassi un utente con lo stesso nome, in un dominio con
lo stesso nome... questo non implicherebbe che abbia lo stesso SID.
Quindi la macchina vedendo l'utente fare login confronterebbe i SID
associati ai profili, non lo troverebbe e creerebbe un profilo nuovo.
Non farti trarre in inganno dal nome della cartella dove si trovano i
profili, è solo una convenzione che si chiamino come l'utente.
Essa infatti viene costruita in questo modo:
http://support.microsoft.com/?kbid=228445

Ma se tu ripristini AD, questo non accadrà.
Post by Marco
aaargh mi aspetta un luuungo e caaaaldo fine settimana (fortuna che
ho pochi client)
Buon lavoro e buona ricerca!
--
Andrea Gallazzi
Microsoft MVP (Security) http://italy.mvps.org/
*** Guida per microsoft.public.it.winserver ***
http://www.krisopea.it/mvp
Marco
2005-07-30 15:20:28 UTC
Permalink
Andrea Gallazzi [MVP]...
Post by Andrea Gallazzi [MVP]
Buon lavoro e buona ricerca!
ammazza quanto siete bravi! che dieta seguite? ;)

grazie mille e ciao, marco
Gabriele Del Giovine [MVP]
2005-07-31 15:51:05 UTC
Permalink
Post by Marco
Andrea Gallazzi [MVP]...
Post by Andrea Gallazzi [MVP]
Buon lavoro e buona ricerca!
ammazza quanto siete bravi! che dieta seguite? ;)
Mediterranea.

Comunque un consiglio:

Fatti una Virtual Machine e falla diventare DC aggiuntivo.
Facile da manutenere e da backuppare.
Ed il backup riparte sempre.
Andrea Gallazzi [MVP]
2005-08-01 08:06:12 UTC
Permalink
Post by Gabriele Del Giovine [MVP]
Fatti una Virtual Machine e falla diventare DC aggiuntivo.
Facile da manutenere e da backuppare.
Ed il backup riparte sempre.
Esatto, molto meglio.
Infatti la procedura che ti ho indicato non è affatto indolore, più la
macchina è differente più problemi avrai.
Inoltre non avrai mai un DC pulito.

Potresti pensare di provare un restore su una virtuale e poi utilizzare la
replica per aggiornare il tuo nuovo DC.
--
Andrea Gallazzi
Microsoft MVP (Security) http://italy.mvps.org/
*** Guida per microsoft.public.it.winserver ***
http://www.krisopea.it/mvp
Marco
2005-08-02 23:07:34 UTC
Permalink
Andrea Gallazzi [MVP]...
Post by Andrea Gallazzi [MVP]
Post by Gabriele Del Giovine [MVP]
Fatti una Virtual Machine e falla diventare DC aggiuntivo.
Infatti la procedura che ti ho indicato non è affatto indolore, più la
macchina è differente più problemi avrai.
infatti, il restore del system state non ha fatto che piantarmi
l'installazione del nuovo dc

ma quello che non capisco e' perche' non riesco a far uscire i vecchi client
dal vecchio dominio e farli rientrare nel nuovo...

per il resto amen, sono dieci client e quindi rifaccio tutto in due o tre
ore rimettendo un nuovo dc,ma i client manco a pagarli vogliono fare il join
al nuovo dominio...

di certo la prima cosa dopo aver risolto il tutto e' fare una macchina
virtuale con un dc aggiuntivo (ma poi mi servono due licenze? ...) uff

ciao e grazie, marco
Andrea Gallazzi [MVP]
2005-08-03 07:57:50 UTC
Permalink
Post by Marco
infatti, il restore del system state non ha fatto che piantarmi
l'installazione del nuovo dc
Difatti bisogna fare una riparazione tramite CD dopo questa operazione.
Post by Marco
ma quello che non capisco e' perche' non riesco a far uscire i vecchi
client dal vecchio dominio e farli rientrare nel nuovo...
Ovvero?
Errori?
Post by Marco
di certo la prima cosa dopo aver risolto il tutto e' fare una macchina
virtuale con un dc aggiuntivo (ma poi mi servono due licenze? ...) uff
Sì.
--
Andrea Gallazzi
Microsoft MVP (Security) http://italy.mvps.org/
*** Guida per microsoft.public.it.winserver ***
http://www.krisopea.it/mvp
Loading...