Oefening baart kunst - deel 2

Windows Server 2008 Active Directory Forest Recovery

Oefening baart kunst - deel 2 Richard Schiks, Marcel Bakx

In dit deel worden de stappen in het Active Directory Forest Recovery plan beschreven. Er zijn drie stappen: Pre-Recovery, Recovery en Post-Recovery. Eerst aandacht voor de stappen die worden uitgevoerd voordat u met de daadwerkelijke Active Directory Forest Recovery kunt beginnen:

Krbtgt wachtwoord resetten, trust wachtwoorden resetten, de metadata van de overige Domain Controllers opruimen.

Administrator account en DSRM wachtwoorden gegevens ophalen Er wordt de aanname gedaan dat geen enkele Domain Controller in het forest functioneert. Voor elk domein dat zich in het forest bevindt is een Administrator account benodigd. Het Administrator account is het enige account dat zonder de beschikbaarheid van een Global

Read-Only Domain Controllers hoeven niet te worden uitgezet omdat deze geen Active Directory wijzigingen kunnen wegsturen naar andere Domain Controllers.

Catalog in het forest kan inloggen. Daarnaast is voor elke Domain Controller die van de backup wordt teruggezet het DSRM password nodig. Domain Controllers kiezen Kies de Domain Controllers uit het forest waarvan de backup wordt vertrouwd. Van elk domein moet één Domain Controller worden gekozen. Domain Controllers uitzetten De overige Domain Controllers die niet worden teruggezet van de backup, moeten worden uitgezet. Dit garandeert dat mogelijke verkeerde data niet terug wordt gerepliceerd in het “nieuwe” forest. In een grote omgeving met meerdere locaties kan dit een probleem zijn. In het Active Directory Forest Recovery proces worden echter verdere maatregelen genomen om replicatie te voorkomen, zoals: Computeraccount wachtwoorden resetten.

64

mei 2010

Netwerkverbinding verbreken Wanneer de eerste Domain Controller van de backup wordt teruggezet mag er geen netwerkverbinding zijn. Hiermee wordt voorkomen dat corrupte data kan worden teruggerepliceerd. Voor de zekerheid moet van alle Domain Controllers in het forest de netwerkverbinding worden verbroken. Recovery stappen Wanneer de Domain Controllers zijn geselecteerd om terug te zetten van de backup, de overige Domain Controllers zijn uitgezet, kan worden begonnen met de daadwerkelijke Active Directory Forest Recovery. De volgende stappen dienen te worden uitgevoerd: In het forest root de eerste Domain Controller terugzetten van backup De opbouw van het “nieuwe” forest begint met het terugzetten van de Domain Controller in het forest root. DDNS installeren en configureren Active Directory is afhankelijk van een goed werkende DNS infrastructuur. Omdat er geen netwerk connectiviteit is, moet er in het forest root een DNS infrastruc-

tuur worden opgezet. De overige Domain Controllers die worden teruggezet van backup zullen later naar deze DNS infrastructuur gaan verwijzen. In de overige domeinen de eerste Domain Controller terugzetten van backup Als het forest root correct functioneert, kunnen van de overige domeinen de Domain Controllers worden teruggezet van de backup. Een Global Catalog toevoegen Er moet een Global Catalog worden toegevoegd aan het forest. Een Global Catalog is vereist voor o.a.: • D  e mogelijkheid dat gebruikers kunnen inloggen. • Het registeren van de DNS records door de Net Logon service op elke Domain Controller. Na de installatie van een Global Catalog is er een gezond “mini” forest. Van dit “mini” forest kan nu een backup worden gemaakt. De overige Domain Controllers installeren De laatste stap is het gehele forest uitbreiden met de overige Domain Controllers. Post-Recovery stappen Voer de volgende stappen uit indien nodig: Nadat het forest opnieuw is opgebouwd, kan er weer worden teruggevallen op de originele DNS configuratie. Overbodige DNS records moeten worden opgeruimd, verwijder overbodige WINS records, verplaatst de FSMO rollen, voeg additionele Global Catalog servers toe. Omdat het forest is teruggezet naar een bepaald punt in het verleden, zijn de wijzigingen hierna verloren gegaan. Deze moeten weer worden opgevoerd. Als de reden van het uitvoeren van de TechNet Magazine

Active Directory Forest Recovery is veroorzaakt door misbruik, moeten de wachtwoorden van alle leden in de Enterprise Admins en Domain Admins groepen opnieuw worden gezet. Read-Only Domain Controllers moeten opnieuw worden opgebouwd. De Active Directory Forest Recovery Procedure Deze procedure gaat uit van een leeg forest root (Domein1) en een nieuwe domain tree met daarin Domein2 (parent) en Domein3 (child). Uiteraard geldt in iedere andere situatie een aangepaste procedure. Voordat wordt begonnen aan de daadwerkelijke Active Directory Forest Recovery moeten als eerst de volgende stappen worden gedaan: Pre-Recovery stappen Identificeer de vertrouwde backup. Voor elk domein in het forest moet een Domain Controller worden geselecteerd die een betrouwbare backup van de Active Directory heeft van dat domein. De voorkeur gaat uit naar een backup van dezelfde datum. Het is belangrijk dat de Domain Controller die wordt teruggezet van de backup betrouwbare data bevat. Als de dag van de geïntroduceerde problemen bekend is wordt aanbevolen om een backup te selecteren die een paar dagen daarvoor is gemaakt. Een backup van een aantal dagen geleden terugzetten betekent verlies van data. Accounts Het administrator account en de DSRM wachtwoorden voor elk domein en Domain Controller in het forest zijn benodigd. Het Administrator account (Well-known SID 500) is het enige account dat zonder Global Catalog op een Domain Controller kan inloggen. Wanneer een Enterprise FSMO rol (zoals de Schema Master) moet worden overgenomen is een account met Enterprise rechten benodigd.

TechNet Magazine

Zie bijlage Procedures voor de procedure “Backup van een Domain Controller terugzetten”.

Wanneer er geen Global Catalog beschikbaar is, krijgt het account evengoed een “Access is denied” melding. Het is niet direct noodzakelijk om deze FSMO rol beschikbaar te hebben vanwege het feit dat tijdens de Active Directory Forest Recovery er geen schema gerelateerde zaken worden uitgevoerd. Nadien kan deze FSMO rol alsnog worden toegekend.

Wanneer de server is opgestart ziet Active Directory automatisch dat de database van een backup is teruggezet. De integriteit van de database wordt gecontroleerd en daarnaast worden nieuwe indices gemaakt. Deze processen kosten tijd en hebben invloed op de opstarttijd van de Domain Controller. Ook na het beschikbaar hebben van de console is de server nog ongeveer 15 minuten bezig met nabewerkingen.

Domain Controllers uitzetten Alle Domain Controllers moeten worden uitgezet zodat, wanneer de teruggezette Domain Controllers van de backup weer worden aangezet en zijn verbonden met het netwerk, er geen corrupte data in het “nieuwe” forest terug kan repliceren.

Indien nodig, installeer de softwarematige loopback-adapter.

In het geval er Domain Controllers verspreid zijn over meerdere locaties, en er niet van uit kan worden gegaan dat deze uitstaan, worden in deze procedure andere maatregelen genomen om eventuele replicatie van corrupte data tegen te gaan. Onder alle omstandigheden dient de maximale inspanning geleverd te worden om Domain Controllers fysiek uit te zetten. Netwerkverbinding verbreken

Nadat de server is opgestart dient een loopback-adapter te worden geïnstalleerd. Zie bijlage Procedures voor de procedure “Installeren softwarematige loopbackadapter”. Zet de SYSVOL authoritief terug. DFS-R: In het geval van een SYSVOL die m.b.v. DFS-R wordt gerepliceerd (Active Directory 2008 Domain Functional Level is vereist) moet deze met wbadmin authoritief worden teruggezet. Voer hiervoor de volgende stappen uit:

Van alle Domain Controllers in het forest moet de netwerkverbinding worden verbroken. Wanneer de eerste Domain Controller van de backup wordt teruggezet mag er geen netwerkverbinding zijn. Hiermee wordt voorkomen dat corrupte data kan worden teruggerepliceerd.

Start de server in DSRM mode. Log in met het lokale DSRM Administrator account.

Recovery stappen Voer de stappen uit wanneer de machine niet verbonden is met het netwerk. De machine moet volledig zijn geïsoleerd. Plaats in de actieve netwerkkaart een fysieke“loopback-adapter” of installeer een softwarematige. Dit wordt gedaan vanwege het feit dat de DNS rol niet kan worden geïnstalleerd zonder een actieve netwerkverbinding (KB975654). Wijk niet af van de beschreven stappen. Gebruik altijd het Administrator account. Zet de eerste Domain Controller in het forest root terug van backup

Wanneer een Domain Controller in DSRM mode wordt gestart, en de Domain Controller is verbonden met het netwerk, zal authenticatie met elk domein account mogelijk zijn. De Domain Controller gedraagt zich als normale member server wanneer andere Domain Controllers van hetzelfde domein beschikbaar zijn. Wanneer de Domain Controller niet is verbonden met het netwerk kan dus alleen worden ingelogd met het lokale DSRM Administrator account. Open een command prompt (‘Run as Administrator’). Klik op Continue. Voer in: wbadmin get versions

Zet de backup terug.



mei 2010

65

Windows Server 2008 Active Directory Forest Recovery Met version identifier wordt de backup geïdentificeerd. Voer in (  )wbadmin start systemstaterecovery –version: -authsysvol FRS: Wanneer de SYSVOL wordt gerepliceerd met FRS, moet er een D4 worden geïnitieerd. Bij de eerste keer opstarten wordt er automatisch een D2 (niet-authoritieve restore) uitgevoerd. Het kan enige tijd duren voordat deze volledig is uitgevoerd. De volgende stappen moeten worden uitgevoerd: Ga naar de SYSVOL locatie. Open de Domain folder. Verifieer dat de folders Policies en Scripts zijn verplaatst naar de folder NTFRS_ Preexisting… Verplaats deze folder (move) direct onder de folder Domain. Start Regedit (‘Run as Administrator’). Ga naar de registrykey: HKLM\System\CurrentControlSet\Services\NTFRS\Parameters\Backup and Restore\Process at startup Wijzig de Burflags key met de waarde D4 (hex). Herstart de server. Het wbadmin commando detecteert wanneer de SYSVOL wordt gerepliceerd met FRS. Een authoritieve restore met wbadmin gaat dus ook. Hier zijn echter meer stappen voor nodig. Backup de IP configuratie. Open een command prompt (‘Run as Administrator’). Klik op Continue. Voer in (  ): ipconfig /all > c:\ip.txt Installeer de DNS rol. In het geval dat de Domain Controller al de rol als DNS server heeft, moeten alle DNS zones worden opgeschoond. De Domain Controllers registeren auto­ matisch weer de nieuwe DNS records. Wanneer de Domain Controller niet de rol als DNS heeft moet deze worden geïnstalleerd. Zie bijlage Procedures voor de procedure “Installeren van de DNS rol”.

66

mei 2010

Voer eventuele DNS records op.

Start -> All Programs -> Administrative Tools -> Active Directory Sites and Services. Klik op Continue. Open Sites. Open de betreffende site. Open Servers. Open de betreffende Domain Controller. Klik rechts op NTDS Settings en selecteer Properties. Haal het vinkje weg bij Global Catalog.

Wanneer Domain Controllers hun DNS records niet dynamisch mogen registeren moeten deze handmatig worden opgevoerd. Dit kan met een registrykey zijn uitgezet.

Negeer de berichten over het niet langer meer aanwezig zijn van Global Catalogs in het forest. Een event ID 1160 wordt gegeneerd dat de Global Catalog partitities niet meer aanwezig zijn.

Mocht de Domain Controller wel zelf zijn DNS records registeren moeten de volgende commando’s worden uitgevoerd: Open een command prompt (‘Run as Administrator’). Klik op Continue. Voer in: net stop netlogon & net start netlogon

Pas de tijdconfiguratie aan. Omdat de Domain Controller niet meer aan het netwerk hangt, moet de tijd configuratie worden geconfigureerd als Domain based.

Bij de terug te zetten Domain Controllers van de overige domeinen zal deze DNS server worden gebruikt. Configureer de Domain Controller met de lokale DNS server. Wijzig de primaire DNS server in 127.0.0.1 in de TCP/IP configuratie.

Neem eventuele FSMO rollen over. Met behulp van netdom query FSMO op een command prompt wordt er een overzicht gegeven van de FSMO rollen en hun Domain Controller. Open een command prompt (‘Run as Administrator’). Klik op Continue. Voer in (  ): ntdsutil   roles   connections   connect to server <Server FQDN> <Server FQDN> is de ”fully qualified domain name” van de Domain Controller, bijvoorbeeld: dc1.domein1.nl Voer in (  ) quit   seize (zie onderstaand overzicht voor de rol en de benodigde rechten). Bij afwezigheid van een Global Catalog is het niet mogelijk de FSMO rol Schema Master over te nemen. Het overnemen zal een “Access is denied” melding geven. Verwijder de Global Catalog.

Open een command prompt (‘Run as Administrator’). Klik op Continue. Voer in (  ) de volgende commando’s: net stop w32time w32tm /unregister w32tm /register net start w32time Verhoog de RID pool met 100.000. Nadat de backup is gemaakt, zijn er hoogstwaarschijnlijk nieuwe objecten in Active Directory aangemaakt. Door het terugzetten van de backup bestaan deze objecten niet meer, maar hebben mogelijk nog wel rechten gekregen. Als de RID pool niet wordt verhoogd, kunnen nieuw gemaakte objecten onterecht rechten verkrijgen doordat deze hetzelfde ID krijgen. Door de RID pool met 100.000 te verhogen is de kans hierop zeer klein. Zie bijlage Procedures voor de procedure “Verhogen RID pool met 100.000”. Ruim de metadata op van de overige Domain Controllers in het forest root domein. De eigen Domain Controller mag niet worden verwijderd. Het opruimen van de metadata voorkomt dubbele NTDS-settings objecten als nieuwe Domain Controllers worden TechNet Magazine

geïnstalleerd. Daarnaast is de Knowledge Consistency Checker minder tijd bezig met replicatielinks aanleggen met Domain Controllers die er niet meer zijn. Mocht een andere Domain Controller de rol van RID master hebben zal de Domain Controller deze rol niet op zich nemen totdat de metadata van die Domain Controller is opgeruimd. Er wordt dan een event ID 16650 gegenereerd. Bij het succesvol uitvoeren van de rol wordt een event ID 16648 gegenereerd. Open een command prompt (‘Run as Administrator’). Klik op Continue. Voer in (  ) ntdsutil   metadata cleanup   connections   connect to server <Server FQDN> <Server FQDN> is de ”fully qualified domain name” van de Domain Controller, bijvoorbeeld: dc1.domein1.nl Voer in (  ) quit   select operation target   list domains De lijst van domeinen wordt weergegeven.   select domain is het nummer van het domein (weergegeven in het overzicht) waarin zich de Domain Controller bevindt. Voer in (  ) list sites De lijst van alle sites wordt weergegeven.   select site is het nummer van de site waarin zich de Domain Controller bevindt. Voer in (  ) list servers for domain in site De lijst van de Domain Controller in de site wordt weergegeven.   select server is het nummer van het domein waarin zich de Domain Controller bevindt.   quit   remove selected server Bevestig met Yes om de metadata van de Domain Controller te wissen. Verwijder het server object van de overige Domain Controllers in het forest root domein. De eigen Domain Controller mag niet worden verwijderd.

TechNet Magazine

Dit object is niet meer nodig omdat bij de installatie van een nieuwe Domain Controller deze automatisch wordt aangemaakt.

Het wachtwoord moet twee keer worden gewijzigd zodat ook het vorige wachtwoord wordt overschreven.

Start Adsiedit.msc (‘Run as Administrator’). Klik op Continue. Klik rechts op ADSI edit en selecteer Connect to... Selecteer bij Select a well known Naming Context de optie Configuration. Klik op OK. Open Configuration. Open cn=Configuration,dc=. Open cn=Sites. Open de betreffende site. Open cn=Servers. Verwijder het server object.

Open een command prompt (‘Run as Administrator’). Klik op Continue. Voer in: netdom resetpwd /server:<Server FQDN> /userD:Administrator /passwordd:* <Server FQDN> is de ”fully qualified domain name” van de Domain Controller, bijvoorbeeld: dc1.domein1.nl Reset het krbtgt account wachtwoord twee keer. Het wachtwoord moet twee keer worden gewijzigd zodat ook het vorige wachtwoord wordt overschreven.

Indien nodig, verwijder het computer object van de overige Domain Controllers in het forest root domein. Belangrijk: De eigen Domain Controller mag niet worden verwijderd!

Start -> All Programs -> Administrative Tools -> Active Directory Users and Computers. Klik op Continue. Open het betreffende domein. Open de container Users. Klik met rechts op het krbtgt account. Selecteer Reset Password... en vul een willekeurig wachtwoord in. Zet het vinkje uit bij User must change Password at next logon. Klik op OK.

Dit object is niet meer nodig omdat bij de installatie van een nieuwe Domain Controller deze automatisch wordt aangemaakt. Het kan zijn dat het computer object al is verwijderd. Start Adsiedit.msc (‘Run as Administrator’). Klik op Continue. Klik rechts op ADSI edit en selecteer Connect to... Selecteer bij Select a well known Naming Context de optie Default naming context. Klik op OK. Open Default naming context. Open DC=. Open OU=Domain Controllers. Verwijder het computer object.

Reset het trust wachtwoord voor alle trusts tussen dit domein en alle andere domeinen. Open een command prompt (‘Run as Administrator’). Klik op Continue. Voer in: netdom trust <parent domain> /domain: /resetOneSide /PasswordT:<password> / userO:Administrator /passwordO:*

Reset het wachtwoord van het computer account van de Domain Controller twee keer.

PasswordT moet hetzelfde wachtwoord krijgen aan beide kanten van de trust. Deze stappen moeten worden uitgevoerd met elk domein die onder het forest root domein is geplaatst. Het commando hoeft maar één keer worden uitgevoerd omdat het automatisch twee keer het wachtwoord wijzigt.

De volgende drie stappen zorgen ervoor dat de Domain Controller niet gaat repliceren met de andere Domain Controllers in het domein. Zo wordt voorkomen dat corrupte data wordt terug gerepliceerd. Wanneer nieuwe Domain Controllers worden toegevoegd aan het domein krijgen deze automatisch het nieuwe wachtwoord.

mei 2010

67

Windows Server 2008 Active Directory Forest Recovery Zet de eerste Domain Controller van de overige domeinen terug van backup Zet de backup terug. Zie bijlage Procedures voor de procedure “Backup van een Domain Controller terugzetten”. Indien nodig, installeer de software matige loopback-adapter. Nadat de server is opgestart dient een loopback-adapter te worden geïnstalleerd. Zie bijlage Procedures voor de procedure “Installeren softwarematige loopbackadapter”.

zijn verplaatst naar de folder NTFRS_ Preexisting… Verplaats deze folder (move) direct onder de folder Domain. Start Regedit (‘Run as Administrator’). Ga naar de registrykey: HKLM\System\CurrentControlSet\Services\NTFRS\Parameters\Backup and Restore\Process at startup Wijzig de Burflags key met de waarde D4 (hex). Herstart de server.

Negeer de berichten over het niet langer meer aanwezig zijn van Global Catalogs in het forest. Een event ID 1160 wordt gegeneerd dat de Global Catalog partitities niet meer aanwezig zijn. Verifieer de W32Time service. Verifieer of de service w32time is gestart. Wanneer de service niet is gestart, doe dit dan alsnog. Configuur de server met de nieuwe DNS server.

Backup de IP configuratie. Open een command prompt (‘Run as Administrator’). Klik op Continue. Voer in (  ) ipconfig /all > c:\ip.txt

Wijzig de primaire DNS server in de TCP/ IP configuratie met het IP-adres van de Domain Controller in het forest root. Verhoog de RID pool met 100.000.

Zet de SYSVOL authoritief terug. Neem eventuele FSMO rollen over. DFS-R: In het geval van een SYSVOL die m.b.v. DFS-R wordt gerepliceerd (Active Directory 2008 Domain Funtional Level is vereist) moet deze m.b.v. wbadmin authoritief worden teruggezet. Voer hiervoor de volgende stappen uit: Start de server in DSRM mode. Log in met het lokale DSRM Administrator account. Open een command prompt (‘Run as Administrator’). Klik op Continue. Voer in (  ) wbadmin get versions Met version identifier wordt de backup geïdentificeerd.   wbadmin start systemstaterecovery –version:< version identifier> -authsysvol FRS: Wanneer de SYSVOL wordt gerepliceerd met FRS moet er een D4 worden geïnitieerd. Bij de eerste keer opstarten wordt er automatisch een D2 (niet-authoritieve restore) uitgevoerd. Het kan enige tijd duren voordat deze volledig is uitgevoerd. De volgende stappen moeten worden uitgevoerd: Ga naar de SYSVOL lokatie. Open de Domain folder. Verifieer dat de folders Policies en Scripts

68

mei 2010

Met netdom query FSMO op een command prompt wordt er een overzicht gegeven van de FSMO rollen en hun Domain Controller. Open een command prompt (‘Run as Administrator’). Klik op Continue. Voer in: ntdsutil Voer in: roles Voer in: connections Voer in: connect to server <Server FQDN> <Server FQDN> is de ”fully qualified domain name” van de Domain Controller, bijvoorbeeld: dc1.domein1.nl Voer in: quit Voer in: seize (zie onderstaand overzicht voor de rol en de benodigde rechten). Verwijder de Global Catalog. Start -> All Programs -> Administrative Tools -> Active Directory Sites and Services. Klik op Continue. Open Sites. Open de betreffende site. Open Servers. Open de betreffende Domain Controller. Klik rechts op NTDS Settings en selecteer Properties. Haal het vinkje weg bij Global Catalog.

Zie bijlage Procedures voor de procedure “Verhogen RID pool met 100.000”. Ruim de metadata op van de overige Domain Controllers in het domein. De eigen Domain Controller mag niet worden verwijderd. Open een command prompt (‘Run as Administrator’). Klik op Continue. Voer in (  ) ntdsutil   metadata cleanup   connections   connect to server <Server FQDN> <Server FQDN> is de ”fully qualified domain name” van de Domain Controller, bijvoorbeeld: dc1.domein1.nl Voer in (  ) quit   select operation target   list domains De lijst van domeinen wordt weergegeven.   select domain is het nummer van het domein (weergegeven in het overzicht) waarin zich de Domain Controller bevindt. Voer in (  ) list sites De lijst van alle sites wordt weergegeven.   select site is het nummer van de site (weergegeven in het overzicht) waarin zich de Domain Controller bevindt. Voer in (  ) list servers for domain in site De lijst van de Domain Controller in de site wordt weergegeven. TechNet Magazine

  select server   quit   remove selected server Bevestig met Yes om de metadata van de Domain Controller te wissen. Verwijder het serverobject van de overige Domain Controllers in het domein. De eigen Domain Controller mag niet worden verwijderd. Start Adsiedit.msc (‘Run as Administrator’). Klik op Continue. Klik rechts op ADSI edit en selecteer Connect to... Selecteer bij Select a well known Naming Context de optie Configuration. Klik op OK. Open Configuration. Open cn=Configuration,dc=. Open cn=Sites. Open de betreffende site. Open cn=Servers. Verwijder het server object. Indien nodig, verwijder het computerobject van de overige Domain Controllers in het domein. De eigen Domain Controller mag niet worden verwijderd. Start Adsiedit.msc (‘Run as Administrator’). Klik op Continue. Klik rechts op ADSI edit en selecteer Connect to... Selecteer bij Select a well known Naming Context de optie Default naming context. Klik op OK. Open Default naming context. Open DC=. Open OU=Domain Controllers. Verwijder het computerobject.

Het wachtwoord moet twee keer worden gewijzigd zodat ook het vorige wachtwoord wordt overschreven. Open een command prompt (‘Run as Administrator’). Klik op Continue. Voer in (  ): netdom resetpwd /server:<Server FQDN> / userD:Administrator /passwordd:*

De replicatie moet er nu voor zorgen dat de gewiste Domain Controllers in elk domein kenbaar wordt gemaakt bij de Domain Controllers van de andere domeinen. Het result is te zien in Active Directory Sites and Services. De Knowledge Consistency Checker (KCC) zal enige tijd nodig hebben om de correcte Connection objecten aan te maken. Deze draait standaard ieder kwartier. Eerst zullen de overbodige Connection objecten als verwijderde items worden gemarkeerd. Vervolgens wordt de nieuwe topology actief gemaakt. Om het proces te versnellen kan de KCC handmatig worden gestart. Voeg de eerste Global Catalog toe aan het forest root domein. Wij adviseren om van elke Domain Controller een Global Catalog te maken, maar één enkele Global Catalog is voldoende.

<Server FQDN> is de ”fully qualified domain name” van de Domain Controller, bijvoorbeeld: dc1.domein1.nl Reset het krbtgt account wachtwoord twee keer.

Het wachtwoord moet twee keer worden gewijzigd zodat ook het vorige wachtwoord wordt overschreven. Start -> All Programs -> Administrative Tools -> Active Directory Users and Computers. Klik op Continue. Open het betreffende domein. Open de container Users. Klik met rechts op het krbtgt account. Selecteer Reset Password... en vul een willekeurig wachtwoord in. Zet het vinkje uit bij User must change Password at next logon. Klik op OK.

In een van de volgende edities volgt het derde en laatste deel van deze oefening.

Reset het trust wachtwoord voor alle trusts tussen dit domein en alle ander domeinen.

Reset het wachtwoord van het computeraccount van de Domain Controller twee keer.

Open een command prompt (‘Run as Administrator’). Klik op Continue. Voer in (  ) netdom trust <parent domain> /domain: / resetOneSide /PasswordT:<password> / userO:Administrator /passwordO:*

De volgende drie stappen zorgen ervoor dat de Domain Controller niet gaat repliceren met de andere Domain Controllers in het domein. Zo wordt voorkomen dat corrupte data wordt terug gerepliceerd. Wanneer nieuwe Domain Controllers worden toegevoegd aan het domein krijgen deze automatisch het nieuwe wachtwoord.

PasswordT moet hetzelfde wachtwoord krijgen aan beide kanten van de trust. Deze stappen moeten worden uitgevoerd met elk domein die zich hier onder bevindt en daarboven. In het geval dat er een domein boven staat, is het huidige domein de parent. Verbind alle teruggezette Domain Controllers van de backup met het netwerk.

TechNet Magazine

Op dit moment is er één Domain Controller in het forest root en één Domain Controller in elk van de domeinen onder het forest root. De Domain Controllers moeten nu aan het netwerk worden gekoppeld. Verifieer of de replicatie onderling correct verloopt

R ichard Schiks is in het dagelijks leven druk met discussiëren. In zijn vrije tijd kijkt hij veel films, verder houdt hij heel veel van zijn vrouw Bettina en is bereikbaar op r.schiks@ rn.rabobank.nl. Marcel Bakx is in het dagelijks leven ICT Specialist bij Rabobank Nederland. In zijn vrije tijd laadt hij zich op met de ATB in de bossen, en gaat hij visjes kijken onder water. Hij wordt blij als dingen pragmatisch en doelgericht geregeld kunnen worden. Marcel is bereikbaar op [email protected] .

mei 2010

69