- Nustatykite, ar domeno valdiklis užrakintas saugiuoju režimu, ir atskirkite minimalų paleidimą, paleidimą iš tinklo ir katalogų paslaugų taisymo režimą.
- Norėdami atkurti saugų įkrovimą ir prieigą prie sistemos, naudokite „msconfig“, „bcdedit“ ir paslėptą administratoriaus paskyrą.
- Patikrinkite, ar nėra atnaujinimų klaidų, laisvos vietos sistemai rezervuotame skaidinyje ir galimų konfliktų su atsarginių kopijų kūrimo programine įranga.
- Kai pagrindinių priemonių nepakanka, naudokite „WinRE“, sistemos atkūrimą ir oficialią „Microsoft“ dokumentaciją.
Kai domeno valdiklis paleidžiamas saugiuoju režimu arba užstringa bandant prisijungti Taisyti „Active Directory“ saugiuoju režimuGali kilti įvairiausių problemų: įkrovos ciklai, klaidos diegiant naujinimus, prisijungimo problemos arba negalėjimas naudotis tinklu. Nors tai gali atrodyti kaip katastrofa, daugeliu atvejų sistemą galima atkurti naudojant „Windows“ įrankius, komandas ir kai kuriuos pagrindinius disko vietos bei programinės įrangos patikrinimus.
Šiame straipsnyje išsamiai ir paprastai apžvelgsime, kaip elgtis, kai domenas netikėtai pereina į saugųjį režimą, kaip jį išjungti, ką daryti, jei problema kyla po „Windows Server“ atnaujinimo, ir kaip pasinaudoti... išplėstinės atkūrimo parinktys ir paslėptą administratoriaus vartotoją, ir kokios alternatyvos egzistuoja, jei nė vienas iš jų neveikia. Idėja yra pateikti jums išsamų vadovą, nuo paprasčiausio iki sudėtingiausio, tiek klientų kompiuteriams, tiek „Windows“ serveriams, veikiantiems kaip domeno valdikliai.
Kas yra saugusis režimas ir kodėl jis veikia „Active Directory“?
Saugus režimas yra minimali įkrovos aplinka, kurioje „Windows“ įkelia tik pagrindinius komponentus. duomenų valdytojai ir esminės paslaugosServeriuose, veikiančiuose kaip domeno valdikliai, tai gali trikdyti „Active Directory“ paslaugas, replikaciją, grupės politiką ir vartotojų prieigą prie tinklo.
Kai domeno valdiklis paleidžiamas saugiuoju režimu be tinklo, „Active Directory“ tarnyba gali būti paleista labai ribotoje būsenoje arba net nebus prieinama klientams ir kitiems valdytojamsKompiuteriuose ir nešiojamuosiuose kompiuteriuose saugusis režimas taip pat turi įtakos prisijungimui, ypač jei autentifikavimui naudojamos „Microsoft“ paskyros arba tinklo paslaugos.
Reikia atskirti du pagrindinius variantus: standartinį saugųjį režimą, kuris paleidžiamas be tinklo, ir saugųjį režimą su tinklu, kuriame „Windows“ įkelia reikiamas tvarkykles ir paslaugas, kad turėtų tinklo galimybes. pagrindinis ryšysNorint dirbti su „Active Directory“ ir tikrinti replikaciją ar prieigą, beveik visada domina saugus režimas su tinklu.
Kai kuriuose „Active Directory“ taisymo scenarijuose kalbama apie „DS taisymo režimą“ arba „katalogų paslaugų atkūrimo režimą (DSRM)“, kuris yra specialus įkrovos režimas, kuriame DC neveikia kaip įprastas domeno valdiklis, bet yra naudojamas priežiūros ir restauravimo darbaiJei serveris užstringa nuolat paleidžiamas šiuo režimu, vartotojai negalės įprastai autentifikuotis ir domenas gali būti paveiktas.
Dažniausios problemos taisant „Active Directory“ saugiuoju režimu
Viena iš tipiškiausių problemų yra ta, kad atlikus pakeitimus su įkrovos konfigūracijomis, atnaujinimais ar atsarginėmis kopijomis, DC pradeda... paleiskite tiesiai į saugųjį režimą arba „Active Directory“ taisymo režimu be jūsų prašymo. Tai gali sukelti paniką, ypač jei tai susiję su pagrindiniu domeno valdikliu (PDC) arba kritinės infrastruktūros valdikliu.
Kitas dažnas scenarijus yra tas, kad kompiuteris, nesvarbu, ar serveris, ar klientas, pereina į saugųjį režimą neįjungus tinklo. Tokiu atveju, jei bandysite prisijungti naudodami „Microsoft“ paskyrą arba jums reikės ryšio su domeno valdikliu, susidursite su... slaptažodžio klaidos arba neteisingi prisijungimo duomenys, kai iš tikrųjų problema yra tiesiog ta, kad nėra tinklo.
„Windows Server“ sistemoje taip pat pastebėtas pavojingas derinys: bandymas įdiegti tam tikrus kaupiamuosius naujinimus (pvz., 2022 m. vasario mėn. saugos naujinimą, skirtą „Server 2012 R2“), kai vykdomas „Veeam“ atsarginių kopijų kūrimo procesas arba kai sistema rezervuoja skaidinį, kuriame nėra laisvos vietos. Dėl to gali kilti problemų. atnaujinimo klaidos, pranešimai „Atnaujinimų klaida… atšaukiami pakeitimai“ ir neįprasti paleidimai saugiuoju režimu.
Kai sistemos rezervuotas skaidinys yra visiškai užpildytas, „Windows“ neturi vietos įrašyti duomenų, kurių reikia diegiant pataisas. Jei yra ir atsarginių kopijų kūrimo programinė įranga, stebinti disko pakeitimus (pvz., „Rapid Recovery“ ar kiti atsarginių kopijų kūrimo agentai), ji gali dar labiau užpildyti skaidinį ir sukelti problemų. kaskadiniai gedimai atnaujinimo metu, su atitinkamu išgąsčiu, kai nuolatinės srovės srovė neįsijungia kaip įprasta.
Išėjimas iš saugaus režimo: pagrindiniai metodai sistemoje „Windows“
Klientų kompiuteriuose arba serveriuose, kurie jau gali pasiekti darbalaukį, lengviausias būdas išeiti iš saugaus režimo yra naudoti sistemos konfigūravimo įrankį, jei turite prieigą prie sesijos su administratoriaus teisėmis ir sistema reaguoja normaliai, net jei ji yra saugiuoju režimu. minimalus įkrovimas.
Įprastas metodas apima dialogo lango „Vykdyti“ atidarymą, konfigūravimo įrankio paleidimą ir parinkties „Saugus įkrovimas“ žymėjimo panaikinimą. Jei viskas klostysis gerai, paleidus iš naujo, „Windows“ turėtų paleisti įprastu režimu, tęsti įprastą tvarkyklių įkėlimą ir, domeno valdiklio atveju, aktyvuoti „Active Directory“ paslaugas įprastas.
Daugeliu atvejų, norint išeiti iš saugaus režimo, pakaks tiesiog paleisti kompiuterį iš naujo, ypač jei atitinkamas įrašas įkrovos konfigūracijoje nebuvo pasirinktas visam laikui. Tačiau jei sistema buvo aiškiai sukonfigūruota paleisti saugiuoju režimu (pvz., naudojant msconfig arba bcdedit), reikės imtis tolesnių veiksmų. grąžinti tą nustatymą Batas.
Šis pagrindinis metodas galioja tiek „Windows 10/11“ darbo stotims, tiek „Windows Server 2012 R2“, 2016, 2019, 2022 ir naujesnėms versijoms, jei grafinė sąsaja yra prieinama ir nėra rimta žala failų sistemai arba pačioje pradžioje.
Naudojant msconfig, norint išjungti saugų įkrovą
Vienas iš tiesioginių būdų, kaip priversti „Windows“ nustoti veikti saugiuoju režimu, yra naudoti sistemos konfigūravimo įrankį, pasiekiamą naudojant komandą msconfigTai patogus būdas, kai galite pasiekti darbalaukį, net jei šiuo metu esate saugiuoju režimu.
Bendrieji veiksmai, taikomi tiek „Windows 10“, tiek daugeliui „Windows Server“ leidimų, yra šie: pirmiausia atidarykite dialogo langą „Vykdyti“ naudodami atitinkamą spartųjį klavišą, įveskite naudingumo komandą ir patvirtinkite. Kai atsidarys langas „Sistemos konfigūracija“, eikite į operacinės sistemos paleidimo skirtuką.
Tame skirtuke rasite įkrovos parinkčių skyrių, kuriame galite pažymėti arba panaikinti žymėjimą langelyje „Saugus įkrovimas“. Svarbiausia įsitikinti, kad ši parinktis pasirinkta. „Saugus įkrovimas“ yra išjungtasTai taikoma neatsižvelgiant į tai, ar sistema buvo sukonfigūruota minimaliu režimu, ar su tinklo funkcijomis. Pritaikius ir patvirtinus pakeitimus, sistema paprastai paragins paleisti iš naujo.
Kai kompiuteris bus paleistas iš naujo ir jei nebus jokių kitų specialių įkrovos įrašų, sukonfigūruotų naudojant „bcdedit“ ar kitus įrankius, „Windows“ turėtų grįžti į įprastą veikimo režimą, įkeldama visas paslaugas, įskaitant „Active Directory“ komponentai domeno valdiklio atveju.
Įjunkite paslėptą administratoriaus paskyrą avarinėms situacijoms
Tais atvejais, kai jūsų įprastas profilis neleidžia prisijungti arba kai jūsų įprasta paskyra buvo pažeista, naudinga strategija yra griebtis... Integruota administratoriaus paskyra kurią „Windows“ pagal numatytuosius nustatymus laiko paslėptą. Šiai paskyrai, kai ji aktyvuota, paprastai nereikia slaptažodžio, jei ji niekada nebuvo nustatyta anksčiau.
Norėdami tai padaryti, įprastas būdas yra paleisti sistemą atkūrimo aplinkoje arba, jei sistema leidžia komandų sesiją, atidaryti konsolę su padidintomis teisėmis. Šioje komandų eilutėje galite naudoti klasikinę tinklo vartotojų valdymo komandą, kad suaktyvintumėte integruotą tvarkyklę ir ji būtų pasiekiama prisijungimo ekrane.
Įprasta procedūra apima komandos, kuri įgalina paskyrą ir pažymi jos būseną kaip aktyvią, įvedimą. Kai atitinkama komanda bus įvykdyta, tiesiog paleiskite kompiuterį iš naujo ir pasveikinimo ekrane pasirinkite administratoriaus vartotoją, kuris dabar gali prisijungti. Prieiga be slaptažodžio (jei toks nebuvo nustatytas anksčiau).
Ši paskyra ypač naudinga, kai bandote išeiti iš saugaus režimo ciklo arba reikia pakeisti svarbius įkrovos parametrus, o vartotojas, su kuriuo bandote tai padaryti, yra užblokuotas, pamiršo slaptažodį arba net nepasiekiamas, kai sistema paleidžiama.
Įėjimas į atkūrimo aplinką („WinRE“) ir išplėstinės parinktys
Jei „Windows“ nepaleidžiama tinkamai arba užstringa tarp paleidimų iš naujo ir taisymo pranešimų, išmintingiausia būtų kreiptis į Išplėstinės atkūrimo parinktys (WinRE). Šis meniu leidžia pasiekti komandų eilutę, atkurti sistemą, pašalinti probleminius naujinimus arba net atlikti gamyklinių parametrų atkūrimą.
Yra keli būdai pasiekti „WinRE“. Vienas iš jų – pačioje „Windows“ sistemoje spustelėjus maitinimo piktogramą ir laikant nuspaustą „Shift“ klavišą, kai spustelėjama „Paleisti iš naujo“. Tai nurodo sistemai atidaryti išplėstinį atkūrimo meniu, o ne įprastą paleidimą iš naujo.
Kitas metodas, prieinamas šiuolaikinėse „Windows 10“ ir „Windows Server“ versijose, apima eiimą į Sistemos nustatymai, Naujinimas ir sauga, o tada į Atkūrimo skyrių. Tame meniu yra parinktis išplėstinė pradžia kuri leidžia tiesiogiai paleisti iš naujo „WinRE“ sistemoje, nenaudojant išorinių priemonių.
Taip pat galite priverstinai patekti į atkūrimo aplinką naudodami komandinės eilutės instrukciją, pvz., išjungimo komandą, kuri nurodo sistemai paleisti iš naujo išplėstinių parinkčių režimu. Patekę į „WinRE“, turėsite prieigą prie tokių įrankių kaip komandinė eilutė, sistemos atkūrimas, paleisties taisymas ir kitos svarbios priemonės. ištaisyti paleidimo ir aptarnavimo problemas.
Naudojant komandinę eilutę: pagrindinės komandos bcdedit ir net user
Komandinė eilutė, tiek iš „Windows“, tiek iš „WinRE“, yra pagrindinė priemonė bandant ištaisyti priverstinį paleidimą saugiuoju režimu arba taisyti „Active Directory“ domeno valdiklyje. Čia naudojamos dviejų tipų komandos: susijusios su... įkrova (bcdedit) ir vartotojų valdymas (grynasis vartotojas).
Norėdami išjungti nuolatinį saugų paleidimą, sukonfigūruotą paleidimo duomenų saugykloje, galite naudoti įrankį „bcdedit“. Kai kuriose procedūrose rekomenduojama paleisti komandą, kuri pašalina saugaus paleidimo reikšmę, susietą su numatytuoju įrašu, kad sistema nebebūtų verčiama visada paleisti saugiuoju režimu – minimaliu arba „dsrepair“ režimu.
Įprasta komanda nukreipiama į įkrovos tvarkyklės {default} įrašą ir pašalina saugaus paleidimo raktą, kuris lėmė šį elgesį. Kai ši komanda vykdoma ir sistema paleista iš naujo, DC turėtų nustoti paleisti saugiuoju režimu ir grįžti prie įprasto paleidimo proceso, vėl leisdamas Pilnas domeno paslaugų įkėlimas.
Tuo pačiu metu „net user“ įrankis leidžia aktyvuoti integruotą administratoriaus paskyrą, kaip jau minėta. Komandinėje eilutėje jos būseną galima nustatyti į aktyvią naudojant komandą, kuri aiškiai nurodo, kad paskyra turėtų būti prieinama prisijungimui. Šis „bcdedit“ ir „net user“ derinys paprastai yra pakankamas atgauti sistemos kontrolę daugumoje scenarijų.
Problemos, susijusios su „Windows Server“ naujinimais ir įkrovos ciklais
Gamybos aplinkose su „Windows Server 2012 R2“, 2016 arba 2019 yra istorijų apie administratorius, kurie, įdiegę tam tikrus kaupiamuosius saugos pataisymus, aptiko, kad DC paleidžiamas saugiuoju režimu arba rodomas nuolatiniai atnaujinimo sutrikimaiKartais tai buvo susieta su konkrečiais tam tikro mėnesio pataisymais.
Vienu praktiniu pavyzdžiu sausio mėnesio atnaujinimai buvo vengiami dėl susirūpinimo dėl dokumentuoto įkrovos ciklo ir vietoj to buvo įdiegti vasario mėnesio atnaujinimai. Įdiegus šiuos atnaujinimus, domeno valdiklis pradėjo paleisti sistemą saugiuoju režimu, o tai sukėlė didelį nerimą. Atlikus tyrimą paaiškėjo, kad saugos paketo įdiegimas iš tikrųjų nepavyko.
Tokiu atveju administratorius patikrino įkrovos konfigūraciją ir rankiniu būdu pašalino visas saugaus režimo įkrovos parinktis arba katalogų tarnybos atkūrimą, sugrąžindamas serverį į, regis, įprastą būseną. „Active Directory“ sinchronizavimas buvo patvirtintas kaip sėkmingas ir atsargumo sumetimais buvo nuspręsta laikinai atidėti nepavykusių naujinimų diegimas iš naujo.
Kituose tos pačios organizacijos domeno valdikliuose (pavyzdžiui, viename DC su „Windows Server 2016“, o kitame – su „2012 R2“) tie patys atnaujinimai buvo įdiegti be problemų, nors buvo pastebėta, kad po valandos šie serveriai vis dar nebuvo paleisti iš naujo, todėl kilo susirūpinimas dėl ankstesnio incidento pasikartojimo galimybės.
Sistemos rezervuoto skaidinio pilno ir atsarginių kopijų kūrimo programinė įranga
Toliau tyrinėdamas nepavykusius atnaujinimus, administratorius atrado antrą svarbų veiksnį: sistemai rezervuotas skaidinys buvo visiškai užpildytas, nulis laisvų baitųŠis skaidinys yra būtinas norint paleisti ir įdiegti naujinimus, nes „Windows“ turi į jį įrašyti tam tikrus įkrovos ir atkūrimo failus.
Priežastis, kodėl skaidinys buvo 100 % užimtas, buvo siejama su sena atsarginių kopijų kūrimo programine įranga, šiuo atveju – „Rapid Recovery“ agentu, kuris vis dar buvo įdiegtas serveryje. Šio tipo įrankiai gali bandyti sekti pakeitimus ir generuoti sekimo duomenis, kurie patenka į rezervuotą skaidinį, jį užpildydami, jei jo parametrai nėra tinkamai sukonfigūruoti arba jei jis apleidžiamas ir neišdiegtas migruojant į kitą sprendimą.
Administratorius, anksčiau pastebėjęs tokio tipo atsarginių kopijų kūrimo sprendimo elgesį sistemos skaidinyje, visiškai pašalino „Rapid Recovery“ agentą. Vėliau jis iš naujo paleido domeno valdiklį ir patikrino, ar rezervuotame skaidinyje dabar yra pakankamai laisvos vietos, kad „Windows“ veiktų. valdyti paleidimą ir atnaujinimus paprastai.
Analizuojant cbs.log failus, buvo patvirtintos klaidos „nepakanka vietos“ ir aiškūs pranešimai, rodantys, kad atnaujinimai nepavyko dėl nepakankamos vietos sistemos skaidinyje. Atlaisvinus vietą, buvo bandyta dar kartą įdiegti naujus pataisymus (šiuo atveju kovo mėnesio atnaujinimus), o po naktinio bandymo buvo patvirtinta, kad procesas sėkmingai užbaigtas, nesukeliant jokių papildomų paleidimo saugiuoju režimu.
Sistemos atkūrimas, slaptažodžio nustatymas iš naujo ir kiti išėjimai
Jei panaudojus „WinRE“, „bcdedit“, paslėpus administratoriaus paskyrą ir atlikus vietos patikrinimus, DC arba kliento kompiuteryje vis dar kyla problemų, reikia pradėti svarstyti drastiškesnes priemones, pvz., sistemos atkūrimas iki taško, esančio prieš gedimo atsiradimą.
Iš išplėstinių atkūrimo parinkčių galite pasirinkti automatiškai „Windows“ arba rankiniu būdu sukurtą atkūrimo tašką ir grąžinti sistemą į ankstesnę būseną. Tai gali atkurti registro pakeitimus, probleminius atnaujinimus arba atsarginės programinės įrangos diegimus, kurie galėjo paveikti jautrias sistemos sritis.
Kompiuteriuose su vietine paskyra, kuriuose pamirštas slaptažodis arba prarasta įprasta prieiga po taisymo saugiuoju režimu, yra galimybė, kad iš naujo nustatyti slaptažodį laikantis oficialių „Microsoft“ procedūrų. Jei naudojate „Windows 10“ su vietine paskyra, palaikymo dokumentuose aprašoma, kaip tai padaryti atkurti arba pakeisti slaptažodį per saugumo klausimus ar kitais būdais.
Kai problema paveikia prijungtą „Microsoft“ paskyrą, paprastai svarbiausia įsitikinti, kad saugusis režimas buvo paleistas su tinklu, kad kompiuteris galėtų susisiekti su autentifikavimo serveriais debesyje. Jei kompiuteris buvo paleistas ne tinklo režimu, bus rodomi klaidų pranešimai su, regis, neteisingais slaptažodžiais, nors tikroji problema yra ta, kad ryšio trūkumas.
Galiausiai, jei diegimas yra per daug sugadintas arba nėra jokio būdo atkurti katalogų tarnybos su priimtinu patikimumo lygiu, turėsite apsvarstyti atkurti domeno valdiklį iš kitos sveikos kopijos arba netgi atlikti visišką atkūrimą iš patikrintos atsarginės kopijos, vadovaujantis geriausia AD atkūrimo praktika.
Saugumo įspėjimai ir neoficialios pagalbos svetainės
Ieškant sprendimų, kaip taisyti „Active Directory“ saugiuoju režimu, dažnai aptinkama forumuose, techniniuose tinklaraščiuose ir trečiųjų šalių svetainėse, kuriose paaiškinamos naudingos komandos ir procedūros. Daugelyje šių svetainių, net jei jos nėra iš „Microsoft“, pateikiama tiksli informacija ir jos remiasi... reali administratorių patirtis kurie susidūrė su tomis pačiomis problemomis.
Vis dėlto visada verta būti atsargiems: šios svetainės gali rodyti produktų, dažnai žymimų kaip potencialiai nepageidaujamos programos (PUP), skelbimus. Prieš atsisiųsdami ar įdiegdami bet kokį įrankį, reklamuojamą kartu su vadovu, svarbu atidžiai ištirti jo reputaciją, perskaityti vartotojų atsiliepimus ir patikrinti, ar jis iš tikrųjų teisėtas. Jie prideda vertės jūsų aplinkai arba jei jie gali sukelti daugiau galvos skausmų.
Nepriklausomų konsultantų ir „Microsoft“ bendruomenės narių atsakymuose dažnai pateikiamos nuorodos į oficialią dokumentaciją, MVP vaizdo įrašus arba gamintojų mokymo programas (pvz., kai kuriuos HP sukurtus vaizdo įrašus, kurie iš tikrųjų taikomi bet kuriam prekės ženklui). Šie ištekliai yra gera pradžia, tačiau visada turėtumėte juos pritaikyti prie savo konkrečios aplinkos. „Windows Server“ ir „Active Directory“atsižvelgiant į versijas, vaidmenis ir dabartinę konfigūraciją.
Oficialiuose atsakymuose taip pat dažnai nurodoma, kad jie buvo išversti automatiškai, todėl gali pasitaikyti neįprastų posakių ar gramatinių klaidų. Tai nepanaikina techninio turinio, tačiau patartina atidžiai perskaityti, patikrinti komandas ir, jei abejojate, palyginti informaciją su originalia anglų kalbos dokumentacija ar kitais patikimais šaltiniais prieš taikant reikšmingus pakeitimus. gamybos srities valdiklis.
Galiausiai, norint atkurti „Active Directory“ saugiuoju režimu ir atkurti neįprastai įsijungusį domeno valdiklį, reikia derinti kelis elementus: kruopščiai suprasti sistemos įkrovos tipą, naudoti „msconfig“ arba „bcdedit“ norint išeiti iš saugaus režimo, prireikus pasitelkti paslėptą administratorių, patikrinti rezervuoto skaidinio vietą, stebėti atsarginių kopijų poveikį ir turėti lengvai prieinamas išplėstines atkūrimo parinktis, sistemos atkūrimą ir oficialią dokumentaciją – visa tai daroma apgalvotai ir neskubant daryti išvadų, pagrįstų nerimą keliančiais klaidų pranešimais.
Aistringas rašytojas apie baitų pasaulį ir technologijas apskritai. Man patinka dalytis savo žiniomis rašydamas, būtent tai ir darysiu šiame tinklaraštyje, parodysiu jums įdomiausius dalykus apie programėles, programinę įrangą, techninę įrangą, technologijų tendencijas ir kt. Mano tikslas – padėti jums paprastai ir smagiai naršyti skaitmeniniame pasaulyje.