none
Controlador de dominio principal no transfiere sus roles RRS feed

  • Pregunta

  • Buenas tardes a todos.

    Hemos tenido un ataque de Ranzomware y he querido tomar la precaución de sacar de funcionamiento todos los servidores, incluídos los 3 controladores de dominio 2008r2 que hay (1 Principal y 2 secundarios).

    He realizado una prueba, haciendo Snapshot en VMWare antes de realizar el procedimiento.

    Dicho procedimiento de prueba consistía en pasar los 5 roles del primario a un secundario NUEVO, luego apagar el primario y luego probar hacer logons en equipos de trabajo y una inclusión de 1 PC con Windows 7 recién formateado al dominio.

    Esta prueba no funcionó, una vez que apagué el DC principal dejó de funcionar los logons y no pude agregar el PC al dominio ya que decía que no había servidores de inicio de sesión.

    Luego por problemas eléctricos apagué los DC y restauré al estado anterior con los Snapshot de VMWare 2 de los 3 DC. Según otro técnico que haría la restauración del 3er DC, se realizó primero la restauración del snapshot de ese 3er DC y luego encendió los 3 DC.

    Sin embargo, en el "Active Directory User and Computers" se vé el DC primario en la unidad organizativa llamada "Computers" en lugar de aparecer en "Domain Controllers" y en la ficha "Member Of" le falta el grupo "Domain Controllers" y en cambio pertenece a "Domain Computers" como Primary group, al cual no debería pertenecer. Esto me hace pensar que de alguna forma loas AD de los controladores Principal y Secundario1 restaurados se sincroizaron por error con el Secundario2 que quizas no se restauró como debería haberse hecho.

    Ahora cuando creo un Servidor nuevo y lo promuevo a Secundario no se crea correctamente en "Active Directory Sites and Services" los objetos de sincronización entre DCs. Y si creo el objeto de sincronización manualmente sólo funciona la sincronización desde el DC Principal al DC Secundario, pero no al revez.

    Otro problema que hay es que no hay forma de hacer login en los otros 2 servidores DC Secundarios.

    Además de eso, y lo mas grave, es que ahora no pasan correctamente los roles del DC Principal al DC Secundario nuevo, una vez que hago el procedimiento (ya sea que lo haga por gráfico o por consola con ntdsutil) se genera un error al hacer "netdom query FSMO" y no muestra el rol que se ha transferido, así uno a uno con los 5 roles hasta que transfiero todos los roles y da error la consulta de "netdom query FSMO" para todos los roles.

    No se si hay una forma manual de corregir los registros afectados para poder transferir los roles y que otro DC existente o nuevo asuma como DC Principal, y así apagar y eliminar el DC Principal actual que está parcialmente afectado por el encriptado de archivos del Ransomware.

    Muchos les sabría agradecer alguna herramienta de reparación de AD o procedimiento manual para éstas reparaciones o limpiezas.

    Sin mas.

    Atte.


    • Editado markbowhill sábado, 27 de abril de 2019 18:38 Error de tipeo en una letra
    sábado, 27 de abril de 2019 18:35

Respuestas

  • Hola markbowhill, lamentablemente estás aprendiendo por las malas lo que no se debe hacer, pero vamos a ver si se puede solucionar

    Primero que nada a los Controladores de Dominio no se le puede hacer un "snapshot" y que luego vuelvan a funcionar correctamente, tanto porque W2008 no está preparado para que le "congelen" una operación inconclusa, como que no cualquier hypervisor está preparado para esa función

    Recién a partir de W2012 a un Controlador de Dominio se le pueden hacer "snapshots", pero siempre y cuando el hypervisor soporte algo llamado "VM Generation ID"

    Si quieres ver un ejemplo mira el siguiente enlace:

    Windows Server 2012: Restaurar un Controlador de Dominio Desde una Instantánea (Domain Controller Restore Snapshot) | WindowServer
    https://windowserver.wordpress.com/2012/07/18/windows-server-2012-restaurar-un-controlador-de-dominio-desde-una-instantnea-domain-controller-restore-snapshot/ 

    No es tan grave el hecho de no poder mover los "FSMO Roles" ya que eventualmente puedes hacer que uno se apropie en forma forzada de los mismo, el problema grave entiendo que pasa por otro lado

    Y creo que a esta altura ya deberías darte cuenta de una verdad que pocos le dan la importancia que dice: "Nada nada reemplaza a una copia de seguridad (Backup) completa de un servidor, y además estar seguro que se puede recuperar"

    Vamos a ver si se puede solucionar, comento alguna alterrnativa. Buscar que aunque sea uno de los tres Controladores de Dominio funcione correctamente. Si lo encuentras ya hay esperanza de recuperar

    Dejas este Controlador de Dominio en la red y eliminas los otros dos en forma forzada

    Eliminar un Controlador de Dominio Que Ya No Existe (Fácil) | WindowServer
    https://windowserver.wordpress.com/2012/06/02/eliminar-un-controlador-de-dominio-que-ya-no-existe-fcil/

    Se no tiene los "FSMO Roles" puedes hacer que se apodere de los mismos, revisa

    Windows Server 2012 (R2): Crear un Dominio – “FSMO Roles”: Ver, Mover y Apoderarse (Novedades) | WindowServer
    https://windowserver.wordpress.com/2015/01/06/windows-server-2012-r2-crear-un-dominio-fsmo-roles-ver-mover-y-apoderarse-novedades/

    A los otros dos, los reinstalas desde cero, y luego si quieres los vuelves a promover como adicionales

     

    Y si todo llega a funcionar, lo más importante de todo, ya mismo haz un "Backup full - metal recovery" de por lo menos uno de los Controladores de Dominio :)

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    sábado, 27 de abril de 2019 20:09
    Moderador
  • Hola "markbowhill",

    Como todo virus se propaga por la red... recomiendo oberserves que es:

    Ransomware: Cómo entender el riesgo
    https://blogs.technet.microsoft.com/seguridad/2016/05/02/ransomware-como-entender-el-riesgo/

    Ransomware – Qué es, cómo se ve y cómo funciona?
    https://blogs.technet.microsoft.com/seguridad/2015/02/04/ransomware-qu-es-cmo-se-ve-y-cmo-funciona/

    Realiza:

    1 - Ejecuta:

    Microsoft Safety Scanner
    https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/safety-scanner-download

    2 - Aplica:

    KB4012212 http://www.catalog.update.microsoft.com/search.aspx?q=kb4012212
    o
    KB4012215 http://www.catalog.update.microsoft.com/search.aspx?q=kb4012215

    Si quieres saber mas sobre seguridad:

    Building the security operations center of tomorrow—better insights with compound detection
    https://www.microsoft.com/security/blog/ransomware/

    Saludos.
    domingo, 28 de abril de 2019 6:39
  • Mega agradecido con tu rápida respuesta.

    Respondiendo a tu recomendación de buscar si alguno de los 2 controladores funciona te comento que, en ninguno de los 2 DC secundarios se puede hacer login, siempre dice usuario o contraseña incorrecta, en ambos DC y con varios usuarios super administradores que probamos. Tampoco puedo hacer login con el Administrator local, me dice lo mismo. Además de eso en "Active Directory Sites and Services" solo funciona la sincronización desde el DC Primario hacia los secundarios, pero no a la inversa, da error.

    Creé un 3er DC Secundario desde cero y lo promoví, cuando reviso en "Active Directory Sites and Services" ese nuevo DC Secundario que creé no contiene ningun peer de sincronización automático, y en el DC Primario tamoco se crea automáticamente el peer de sincronización con mi nuevo DC.

    A pesar de ello intento pasar los roles con ntdsutil desde el nuevo DC Secundario que creé. Utilizo "seize" después de hacer connect to server "nombre de mi DC nuevo". Cuando comienzo a realizar un seize con cada rool en otra consola voy haciendo la consulta "netdom query fsmo" y veo que esos roles que voy pasando ya no se muestra quien los tiene y da error de sintaxis, solo mostrando los roles que aún no he pasado.

    No se si algo de ésto es una señal o pista de en qué consiste este problema y si habrá algún procedimieto o forma de salvar el Active Directory para no hacer todos los grupos, usuarios, GP y configuraciones desde cero.

    Estamos totalmente deacuerdo con lo del Backup, te cuento que estaba a pundo de empezar a hacerse respaldos en cinta, ya estaba comprado el hardware y las cintas y sólo faltaba selecionar el software, implementarlo y comenzar a hacer Backups en cinta de VMs, BD y Data, una gran impotencia es lo que da.

    Agradecido de toda idea que me pueda guiar hacia posibles soluciones.

    Slds.

    domingo, 28 de abril de 2019 13:25
  • Hola markbowhill, con respecto al tema de los objetos conexión para replicación ¿se ha esperado el tiempo adecuado? porque normalmente demora casi 30 minutos, y además hay que darle a F5 varias veces para que se vean

    El problema de base con lo "bichos" es que aunque luego puedas quitarlo, nunca sabes dónde ha "tocado". Lo sacas pero quedan archivos del sistema modificados o borrados. Por eso y por mi experiencia, cuando entra un "bicho", se recupera de un Backup, o se formatea y reinstala

    Por lo que dices ninguno de los tres DCs está funcionando correctamente así que me parece que no te queda alternativa :(

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    lunes, 29 de abril de 2019 11:35
    Moderador

Todas las respuestas

  • Hola markbowhill, lamentablemente estás aprendiendo por las malas lo que no se debe hacer, pero vamos a ver si se puede solucionar

    Primero que nada a los Controladores de Dominio no se le puede hacer un "snapshot" y que luego vuelvan a funcionar correctamente, tanto porque W2008 no está preparado para que le "congelen" una operación inconclusa, como que no cualquier hypervisor está preparado para esa función

    Recién a partir de W2012 a un Controlador de Dominio se le pueden hacer "snapshots", pero siempre y cuando el hypervisor soporte algo llamado "VM Generation ID"

    Si quieres ver un ejemplo mira el siguiente enlace:

    Windows Server 2012: Restaurar un Controlador de Dominio Desde una Instantánea (Domain Controller Restore Snapshot) | WindowServer
    https://windowserver.wordpress.com/2012/07/18/windows-server-2012-restaurar-un-controlador-de-dominio-desde-una-instantnea-domain-controller-restore-snapshot/ 

    No es tan grave el hecho de no poder mover los "FSMO Roles" ya que eventualmente puedes hacer que uno se apropie en forma forzada de los mismo, el problema grave entiendo que pasa por otro lado

    Y creo que a esta altura ya deberías darte cuenta de una verdad que pocos le dan la importancia que dice: "Nada nada reemplaza a una copia de seguridad (Backup) completa de un servidor, y además estar seguro que se puede recuperar"

    Vamos a ver si se puede solucionar, comento alguna alterrnativa. Buscar que aunque sea uno de los tres Controladores de Dominio funcione correctamente. Si lo encuentras ya hay esperanza de recuperar

    Dejas este Controlador de Dominio en la red y eliminas los otros dos en forma forzada

    Eliminar un Controlador de Dominio Que Ya No Existe (Fácil) | WindowServer
    https://windowserver.wordpress.com/2012/06/02/eliminar-un-controlador-de-dominio-que-ya-no-existe-fcil/

    Se no tiene los "FSMO Roles" puedes hacer que se apodere de los mismos, revisa

    Windows Server 2012 (R2): Crear un Dominio – “FSMO Roles”: Ver, Mover y Apoderarse (Novedades) | WindowServer
    https://windowserver.wordpress.com/2015/01/06/windows-server-2012-r2-crear-un-dominio-fsmo-roles-ver-mover-y-apoderarse-novedades/

    A los otros dos, los reinstalas desde cero, y luego si quieres los vuelves a promover como adicionales

     

    Y si todo llega a funcionar, lo más importante de todo, ya mismo haz un "Backup full - metal recovery" de por lo menos uno de los Controladores de Dominio :)

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    sábado, 27 de abril de 2019 20:09
    Moderador
  • Hola "markbowhill",

    Como todo virus se propaga por la red... recomiendo oberserves que es:

    Ransomware: Cómo entender el riesgo
    https://blogs.technet.microsoft.com/seguridad/2016/05/02/ransomware-como-entender-el-riesgo/

    Ransomware – Qué es, cómo se ve y cómo funciona?
    https://blogs.technet.microsoft.com/seguridad/2015/02/04/ransomware-qu-es-cmo-se-ve-y-cmo-funciona/

    Realiza:

    1 - Ejecuta:

    Microsoft Safety Scanner
    https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/safety-scanner-download

    2 - Aplica:

    KB4012212 http://www.catalog.update.microsoft.com/search.aspx?q=kb4012212
    o
    KB4012215 http://www.catalog.update.microsoft.com/search.aspx?q=kb4012215

    Si quieres saber mas sobre seguridad:

    Building the security operations center of tomorrow—better insights with compound detection
    https://www.microsoft.com/security/blog/ransomware/

    Saludos.
    domingo, 28 de abril de 2019 6:39
  • Mega agradecido con tu rápida respuesta.

    Respondiendo a tu recomendación de buscar si alguno de los 2 controladores funciona te comento que, en ninguno de los 2 DC secundarios se puede hacer login, siempre dice usuario o contraseña incorrecta, en ambos DC y con varios usuarios super administradores que probamos. Tampoco puedo hacer login con el Administrator local, me dice lo mismo. Además de eso en "Active Directory Sites and Services" solo funciona la sincronización desde el DC Primario hacia los secundarios, pero no a la inversa, da error.

    Creé un 3er DC Secundario desde cero y lo promoví, cuando reviso en "Active Directory Sites and Services" ese nuevo DC Secundario que creé no contiene ningun peer de sincronización automático, y en el DC Primario tamoco se crea automáticamente el peer de sincronización con mi nuevo DC.

    A pesar de ello intento pasar los roles con ntdsutil desde el nuevo DC Secundario que creé. Utilizo "seize" después de hacer connect to server "nombre de mi DC nuevo". Cuando comienzo a realizar un seize con cada rool en otra consola voy haciendo la consulta "netdom query fsmo" y veo que esos roles que voy pasando ya no se muestra quien los tiene y da error de sintaxis, solo mostrando los roles que aún no he pasado.

    No se si algo de ésto es una señal o pista de en qué consiste este problema y si habrá algún procedimieto o forma de salvar el Active Directory para no hacer todos los grupos, usuarios, GP y configuraciones desde cero.

    Estamos totalmente deacuerdo con lo del Backup, te cuento que estaba a pundo de empezar a hacerse respaldos en cinta, ya estaba comprado el hardware y las cintas y sólo faltaba selecionar el software, implementarlo y comenzar a hacer Backups en cinta de VMs, BD y Data, una gran impotencia es lo que da.

    Agradecido de toda idea que me pueda guiar hacia posibles soluciones.

    Slds.

    domingo, 28 de abril de 2019 13:25
  • Buenos días Ignacio. Agradecido por ésta valiosa información. Estaré revisándola con detenimiento.

    Un abrazo.

    Slds.

    domingo, 28 de abril de 2019 13:29
  • Hola markbowhill, con respecto al tema de los objetos conexión para replicación ¿se ha esperado el tiempo adecuado? porque normalmente demora casi 30 minutos, y además hay que darle a F5 varias veces para que se vean

    El problema de base con lo "bichos" es que aunque luego puedas quitarlo, nunca sabes dónde ha "tocado". Lo sacas pero quedan archivos del sistema modificados o borrados. Por eso y por mi experiencia, cuando entra un "bicho", se recupera de un Backup, o se formatea y reinstala

    Por lo que dices ninguno de los tres DCs está funcionando correctamente así que me parece que no te queda alternativa :(

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    lunes, 29 de abril de 2019 11:35
    Moderador
  • Guillermo, buenos días. Tu apreciación creo que es muy acertada, y ya han aceptado mi sugerencia de rehacer el dominio desde cero en un ambiente de desarrollo mientras el personal sigue trabajando temporalmente en este dominio afectado.

    Vamos a hacerlo de ésta forma para no detener las actividades del negocio y cuando estemos listos switchamos en unas horas en coordinación con el departamento de soporte que agregará los PC limpios (formateados) al nuevo dominio.

    Muy agradecido por el apoyo y la rápida respuesta, además de la excelente disposición, a pesar de que no hemos llegado a un final feliz.

    Gracias Guillermo.

    Slds.

    lunes, 29 de abril de 2019 12:46
  • Si tienes tiempo para probar algo mas "fuerda de horario laboral", realiza:

    1 - Backup completo de unico DC que funciona bien a nivel de VM y OS
    2 - Separar de la red el DC (privado) !
    3 - Agregar un DC con el mismo OS (sin updates)

    Utiliza estas notas:

    AD Forest Recovery - Performing a full server recovery
    https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/manage/ad-forest-recovery-perform-a-full-recovery

    Perform initial recovery
    https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/manage/ad-forest-recovery-perform-initial-recovery

    Saludos.
    • Propuesto como respuesta eRiver1 miércoles, 1 de mayo de 2019 0:03
    lunes, 29 de abril de 2019 19:29
  • Así lo haré, tenía pensado pasar esos DC a un ambiente de Laboratorio aislado para hacer pruebas así que me viene bien tu información. Veremos que se puede sacar de bueno de todo ésto.

    La VM la pensaba clonar como Backup full y no fiarme de los snapshots de VMWare.

    Slds.

    martes, 30 de abril de 2019 0:54