How to reset the Directory Services Restore Mode administrator account password in Windows Server

This article describes how to reset the Directory Services Restore Mode (DSRM) administrator password for any server in your domain without restarting the server in DSRM.

Original product version: В Windows Server 2003
Original KB number: В 322672

Summary

Microsoft Windows 2000 uses the Setpwd utility to reset the DSRM password. In Microsoft Windows Server 2003, that functionality has been integrated into the NTDSUTIL tool. Note that you can’t use the procedure that is described in this article if the target server is running in DSRM. A member of the Domain Administrators group sets the DSRM administrator password during the promotion process for the domain controller. You can use Ntdsutil.exe to reset this password for the server on which you’re working, or for another domain controller in the domain.

Reset the DSRM administrator password

Click Start > Run, type ntdsutil, and then click OK.

At the Ntdsutil command prompt, type set dsrm password.

At the DSRM command prompt, type one of the following lines:

• To reset the password on the server on which you’re working, type reset password on server null. The null variable assumes that the DSRM password is being reset on the local computer. Type the new password when you’re prompted. Note that no characters appear while you type the password.

• To reset the password for another server, type reset password on server servername, where servername is the DNS name for the server on which you’re resetting the DSRM password. Type the new password when you’re prompted. Note that no characters appear while you type the password.

At the DSRM command prompt, type q.

At the Ntdsutil command prompt, type q to exit.

Вход в DSRM режим на контроллере домена Windows Server 2012

Несмотря на то, что в службе каталогов существует специальная корзина, куда попадают все удаленные объекты (Active Directory Recycle Bin), все-таки часть объектов AD при удалении из базы AD удаляются полностью, минуя корзину, и для их восстановления придется запускать процедуру восстановления базы AD в режиме восстановления службы каталогов DSRM (Directory Services Restore Mode).

Режим восстановления службы каталогов (Directory Services Restore Mode) специальный режим загрузки операционной системы Windows, выполняющей функции контролера домена AD (данный режим загрузки появился еще в Windows 2000). Данный режим предназначен для выполнения операции восстановления службы каталогов Active Directory, в случаях: когда база Active Directory повреждена и нуждается в исправлении, обслуживания базы AD (сжатие базы AD, анализ базы на наличие ошибок), отката на резервную копию AD, восстановлению отдельного объекта или сброса пароля администратора домена. По сути, режим DSRM – это безопасный режим работы контроллера домена Windows.

Чтобы попасть в режим восстановления службы каталогов, необходимо при загрузке сервера нажать клавишу F8, попав таким образом в экран расширенных параметров загрузки (Advanced Boot Options) в котором необходимо выбрать опцию Directory Services Restore Mode (Windows domain controllers only). От версии к версии Windows Server Microsoft меняла способ входа в режим DSRM. Так, например, в Windows Server 2008/ 2008 R2 данный пункт в меню параметров загрузки ОС по-умолчанию отсутствовал, и чтобы добавить эту опцию в меню загрузки, необходимо было в системе выполнить команду

и перезагрузиться. Отключить пункт «Directory Services Restore Mode» в Windows Server 2008 / R2 можно было с помощью команды

В новой серверной ОС Windows Server 2012 Microsoft вновь изменила процедуру входа в режим восстановления службы каталогов (DSRM).

Попасть в режим Directory Services Restore Mode из Windows Server 2012 можно двумя способами:

В командной строке с правами администратора выполните команду

После чего система перезагрузится, и после запуска автоматически откроется экран параметром загрузки Advanced Boot Options, среди вариантов загрузки будет искомый Directory Services Repair Mode

После перезагрузки вместо стандартной экрана загрузки сервера появится следующее меню:

Выберите Troubleshoot-> Advanced options->Startup Settings

Нажмите Restart

После следующей перезагрузки сервера появится «классический» экран выбора параметров загрузки ОС (Advanced Boot Options), в котором необходимо выбрать искомый Directory Services Repair Mode.

Затем нужно будет указать пароль для режима восстановления каталогов и вуаля – мы попали на контроллер домена с отключенной службой каталога и можно приступать к восстановлению базы AD.

Windows: как перейти в безопасный режим?

Приветствую Вас, уважаемые читатели! В настоящее время на большинстве настольных ПК и ноутбуках установлена операционная система Windows. И наверняка многие из Вас сталкивались с проблемой, что она (Windows) не загружается. Но не все знают, что решить проблему загрузки операционной системы можно в безопасном режиме. Сегодня мы и поговорим о том как загрузиться в безопасном режиме и что это вообще за такой режим.

Что такое безопасный режим

Безопасный режим в Windows (Safe Mode) — это специальный режим работы системы, который служит для устранения неполадок, вызванных некорректной работной программных и аппаратных ресурсов персонального компьютера (ПК). В безопасном режиме Windows загружает минимальный набор драйверов устройств и системных служб.

Поэтому всякий раз, когда у вас не получается загрузить Windows в следствии заражения компьютерными вирусами или после установки нового драйвера и программного обеспечения, то вы всегда можете загрузить ПК в безопасном режиме и устранить неисправности. Загрузившись в Safe Mode у вас появится возможность просканировать компьютер на наличие вирусов, удалить драйвер или программу после установки которых Windows перестала загружаться, либо вообще выполнить откат системы. Обычно этих действий хватает для восстановления работоспособности операционной системы. Кстати о том как удалять программы в безопасном режиме вы можете почитать в этом посте.

Как загрузить Windows 7 в безопасном режиме

Чтобы загрузить систему в безопасном режиме достаточно несколько раз нажать клавишу F8 при загрузке компьютера. В случае успеха на экране появится меню выбора вариантов загрузки:

Примечание: на некоторых компьютерах если при загрузке нажать клавишу F8 может появиться меню выбора устройства с которого производить загрузку. В этом случае выбираете нужный жесткий диск на котором установлена операционная система, нажимаете Enter и продолжаете нажимать F8. После этого появиться экран с меню выбора дополнительных вариантов загрузки.

В меню выбора способов загрузки есть несколько вариантов:

Безопасный режим (Safe Mode) — загрузка операционной системы Windows только с основными драйверами и службами необходимыми для запуска системы.

Далее с помощью клавиш со стрелками выбираете «Безопасный режим» и нажимаете клавишу «Enter». В случае необходимости можно выбрать «Безопасный режим с поддержкой командной строки» или «Безопасный режим с загрузкой сетевых драйверов» и также нажать «Enter».

После этого система загрузиться в безопасном режиме — с черным фоном рабочего стола и надписью «Безопасный режим» в углах экрана. Далее проводите необходимые операции: делаете откат системы, удаляете конфликтные драйверы или программы и другие действия.

На этом все! До новых встреч на страницах блога.

Заметки сисадмина о интересных вещах из мира IT, инструкции и рецензии. Настраиваем Компьютеры/Сервера/1С/SIP-телефонию в Москве

Восстановление каталога Active Directory

Восстановление каталога AD

Служба Active Directory (AD) недаром считается краеугольным камнем новых технологий, реализованных в Windows 2000. AD служит центральным хранилищем и точкой доступа к огромным объемам информации, поэтому безупречное состояние и постоянная готовность этой службы являются непременным условием бесперебойной работы сети. Если каталог AD выйдет из строя, то, скорее всего, от всей инфраструктуры служб IT не будет никакого толку. Отсюда вывод: тщательно продуманный план восстановления службы AD просто необходим.

При правильном подходе к делу планирование мероприятий по восстановлению данных после сбоя начинается задолго до того, как случится что-то серьезное. План восстановления службы AD может включать в себя создание кластеров, дисковых массивов RAID и процедур резервного копирования и восстановления. Кроме того, следует позаботиться о том, чтобы в каждом домене и в каждом географическом регионе имелось достаточное количество контроллеров доменов (DC). В этой статье я хочу познакомить читателей с основными принципами резервирования, а также рассказать о том, как выбрать оптимальный метод восстановления и при необходимости вернуть к жизни службу AD.

Решающее звено – контроллеры доменов

В любом домене каждый DC содержит копию контекста именования AD данного домена. Поэтому план восстановления службы AD после сбоя по сути является планом подготовки к восстановлению (или замене) одного или нескольких DC.

Всякий способный взаимодействовать со службой AD контроллер домена Windows 2000 включает в себя доступную для чтения и записи копию ее каталога, а для того, чтобы все изменения передавались на другие DC домена, в нем применяется метод репликации с несколькими владельцами (multimaster). Напомним, что для функционирования сети Windows 2000 нет необходимости в каждом домене иметь основной контроллер домена (PDC). Поэтому можно сказать, что Windows 2000 лучше масштабируется и более устойчива к отказам, нежели система Windows NT. С другой стороны, использование модели репликации с несколькими владельцами существенно усложняет выполнение некоторых типов операций по восстановлению, так что от администратора требуется понимание процесса репликации данных службой AD.

Что нужно резервировать

Для успешного проведения операции восстановления нужно знать, какие именно данные следует копировать. Как известно, каталог AD хранится на контроллерах доменов сети, поэтому полное восстановление AD предполагает наличие полных резервных копий каждого контроллера домена. И уж во всяком случае для всех доменов леса нужно иметь резервные копии всех серверов глобальных каталогов (Global Catalog, GC) и всех контроллеров, отвечающих за исполнение операций (Operations Masters). В идеале требуется полное резервирование этих машин, однако нужно иметь в виду, что все данные, необходимые для резервирования каждого DC, содержатся на системном разделе диска и в сведениях о состоянии системы System State. Эта информация для контроллера домена включает данные AD, а также файлы для работы взаимодействующих с AD служб (например, файлы реестра, загрузочные файлы, файлы каталога Sysvol, базы данных службы сертификатов Certificate Services и службы Microsoft Cluster). Как известно, служба DNS имеет большое значение для функционирования AD, поэтому в данные состояния System State включаются только зоны, интегрированные с AD. Это одна из причин необходимости резервирования системного раздела, где и расположены стандартные зоны (читатели, желающие получить дополнительную информацию о резервировании System State, могут обратиться к перечню «Материалы по теме»).

На рынке представлен целый ряд сертифицированных для работы в среде Windows 2000 программ, обеспечивающих резервное копирование, однако будет вполне достаточно средств резервирования, поставляемых с этой операционной системой. Для Windows 2000 специалисты Microsoft подготовили усовершенствованную версию утилиты резервирования. Она обеспечивает копирование не только на ленточное устройство, но и на другие носители, а также позволяет выполнять резервирование через определенные промежутки времени без использования командного файла. Чтобы с помощью этой программы создать резервную копию состояния системы System State контроллера домена, нужно на этом контроллере последовательно выбрать элементы Start, Programs, Accessories и Backup. Существует и другая возможность: щелкнуть на элементах Start, Run, а затем в текстовом окне Open ввести с клавиатуры ntbackup. В открывшемся окне Backup нужно выставить флажок у System State в левой панели на закладке Backup, как показано на Экране 1. Копировать System State могут только члены групп Backup Operators или Administrators; право восстанавливать данные о состоянии системы предоставляется только членам локальной группы Administrators. Резервирование данных System State возможно только в режиме Normal (т. е. режимы Copy, Daily, Differential или Incremental не применяются). Процедура создания копии в режиме Normal отнимает больше времени, нежели при использовании других видов резервирования, зато ее можно проводить в оперативном режиме. Правда, утилита резервного копирования системы Windows 2000 имеет один недостаток, не свойственный изделиям независимых поставщиков: она позволяет выполнять резервирование только локальных копий каталога AD; копировать данные о состоянии удаленной машины с помощью этой утилиты невозможно.

Дополнительная информация

Подробный план восстановления данных после сбоя системы предусматривает не только меры по обеспечению резервного копирования, но и предоставление обновленных данных, которые позволяют контроллерам доменов выступать в роли серверов GC и Operations Masters. Напомню, что каждый сервер GC содержит копию каждого объекта леса, и это обстоятельство обеспечивает возможность поиска по AD без обращения к контроллерам доменов в каждом домене. Определить, на каком контроллере домена хранится глобальный каталог, можно с помощью оснастки Active Directory Sites and Services консоли управления Microsoft Management Console (MMC). Активизировав консоль, нужно щелкнуть правой кнопкой мыши на объекте Ntds интересующего сервера и выбрать пункт Properties. Если данный сервер является сервером GC, в открывшемся диалоговом окне будет выставлен флажок Global Catalog.

Исполнители ролей Operations Masters — это контроллеры доменов, выполняющие в своих доменах или лесах особые задачи по обслуживанию важнейших функций AD, которые не используют применяемый в AD метод репликации с несколькими владельцами. К примеру, схема AD определяет, какие типы объектов могут создавать пользователи, а контроллер — исполнитель роли владельца схемы (Schema Master) — является единственным на весь лес контроллером домена, уполномоченным принимать изменения в схеме. Определить, какие контроллеры доменов выступают в качестве Operations Masters, можно с помощью оснастки Active Directory Users and Computers консоли MMC. Это касается контроллеров, исполняющих любые роли, кроме роли мастера схемы Schema Master; в этом случае следует обратиться к оснастке Schema Manager консоли MMC. Чтобы выяснить, какие контроллеры доменов играют роль Operations Masters, нужно запустить оснастку Active Directory Users and Computers, щелкнуть правой кнопкой мыши на имени домена в левой панели консоли и в контекстном меню выбрать пункт Operations Masters. Кроме того, можно использовать утилиту командной строки Ntdsutil.

Даже если первый контроллер в корневом домене (иначе говоря, первый контроллер домена, созданный в лесу) не является ни сервером GC, ни Operations Master, скорее всего, ему отведена важная роль в процессе синхронизации времени, необходимом для аутентификации по протоколу Kerberos. Так что следует обязательно позаботиться о резервировании и этой системы.

Восстановление отказавшего контроллера домена

Теперь, когда известно, какие именно данные требуется резервировать на контроллере домена и какие контроллеры доменов сети нужно резервировать в любом случае, можно переходить к выбору метода восстановления. В зависимости от ситуации восстановление службы AD и возвращение в строй отказавшего контроллера домена можно осуществлять с помощью повторной установки или восстановления с резервной копии непринудительным (nonauthoritative) или принудительным (authoritative) методом.

Восстановление AD посредством повторной установки

Если на одном из контроллеров домена сети нарушена целостность файлов или базы данных, для восстановления службы AD проще всего переустановить Windows 2000 и затем запустить мастер Active Directory Installation Wizard (DCPromo). В процессе выполнения DCPromo система связывается с другим контроллером в рамках того же домена и получает от него новейшую копию каталога AD.

В сущности, этот процесс равнозначен созданию нового контроллера домена, однако следует принять во внимание несколько дополнительных соображений. Если возникшие проблемы были настолько серьезными, что потребовалась повторная установка, вероятно, нельзя будет понизить статус сервера-контроллера домена до переустановки Windows 2000. Стало быть, информация в AD, относящаяся к этому контроллеру, будет неверной и нельзя исключать возможности конфликта имен. В таком случае для нового контроллера, созданного после переустановки системы, нужно задать новое имя, отличное от имени вышедшего из строя контроллера домена. Если это решение приемлемо, можно просто удалить первоначальное имя сервера из соответствующего узла в оснастке Active Directory Sites and Services, а также из организационной единицы контроллеров домена в оснастке Active Directory Users and Computers.

Но если требуется дать переустановленному контроллеру домена то же имя, что было у предыдущего (скажем, в случае, когда на данном контроллере размещается приложение, к которому пользователи обращаются по имени или с помощью буквы накопителя), нужно удалить объект ntdsDSA вышедшей из строя машины из AD на одном из оставшихся контроллеров домена. Для удаления объекта можно воспользоваться утилитой командной строки Ntdsutil, которая обслуживает базу данных хранилища AD, управляет ролями исполнителей операций (Flexible Single-Master Operation, FSMO) и удаляет метаданные, оставшиеся после сбоя контроллера домена. Чтобы запустить утилиту, нужно выбрать Start, Run и ввести с клавиатуры