- Nosakiet, vai domēna kontrolleris ir bloķēts drošajā režīmā, un nošķiriet minimālo sāknēšanas, tīkla sāknēšanas un direktoriju pakalpojumu labošanas režīmu.
- Lai atjaunotu drošo sāknēšanu un atgūtu piekļuvi sistēmai, izmantojiet msconfig, bcdedit un slēpto administratora kontu.
- Pārbaudiet atjaunināšanas kļūmes, vietu sistēmai rezervētajā nodalījumā un iespējamos konfliktus ar dublēšanas programmatūru.
- Ja pamata pasākumi nav pietiekami, paļaujieties uz WinRE, sistēmas atjaunošanu un oficiālo Microsoft dokumentāciju.
Kad domēna kontrolleris startējas drošajā režīmā vai iestrēgst, mēģinot Labot Active Directory drošajā režīmāVar rasties visdažādākās problēmas: sāknēšanas cilpas, kļūdas atjauninājumu instalēšanas laikā, pieteikšanās problēmas vai nespēja izmantot tīklu. Lai gan tas var šķist katastrofa, vairumā gadījumu sistēmu var atjaunot, izmantojot Windows rīkus, komandas un dažas pamata diska vietas un programmatūras pārbaudes.
Šajā rakstā mēs ļoti detalizēti un vienkāršā valodā aplūkosim, kā rīkoties, ja domēns negaidīti pāriet drošajā režīmā, kā no tā iziet, ko darīt, ja problēma rodas pēc Windows Server atjaunināšanas, un kā izmantot… uzlabotas atkopšanas iespējas un slēpto administratora lietotāju, un kādas alternatīvas pastāv, ja nekas no tā nedarbojas. Ideja ir sniegt jums pilnīgu rokasgrāmatu, sākot no vienkāršākā līdz vismodernākajam, gan klientu datoriem, gan Windows serveriem, kas darbojas kā domēna kontrolleri.
Kas ir drošais režīms un kāpēc tas ietekmē Active Directory?
Drošais režīms ir minimāla sāknēšanas vide, kurā Windows ielādē tikai svarīgākās sastāvdaļas. kontrolieri un būtiskie pakalpojumiServeros, kas darbojas kā domēna kontrolleri, tas var traucēt Active Directory pakalpojumiem, replikācijai, grupas politikai un lietotāju piekļuvei tīklam.
Kad domēna kontrolleris tiek startēts drošajā režīmā bez tīkla savienojuma, Active Directory pakalpojums var tikt startēts ļoti ierobežotā stāvoklī vai pat nebūs pieejams klientiem un citiem kontrolieriemDarbstacijās vai klēpjdatoros drošais režīms ietekmē arī pieteikšanos, īpaši, ja autentifikācijai tiek izmantoti Microsoft konti vai tīkla pakalpojumi.
Ir divas galvenās variācijas, kas jānošķir: standarta drošais režīms, kas tiek palaists bez tīkla izveides, un drošais režīms ar tīkla izveidi, kurā Windows ielādē nepieciešamos draiverus un pakalpojumus, lai nodrošinātu tīkla izveides iespējas. pamata savienojamībaLai strādātu ar Active Directory un pārbaudītu replikāciju vai piekļuvi, gandrīz vienmēr interesē drošais režīms ar tīklošanu.
Dažos Active Directory labošanas scenārijos tiek runāts par "DS labošanas režīmu" vai "Directory Services Restore Mode (DSRM)", kas ir īpašs sāknēšanas režīms, kurā DC nedarbojas kā parasts domēna kontrolleris, bet tiek izmantots apkopes un atjaunošanas darbiJa serveris vienmēr iestrēgst, startējot šajā režīmā, lietotāji nevarēs autentificēties normāli, un domēns var tikt ietekmēts.
Bieži sastopamas problēmas, labojot Active Directory drošajā režīmā
Viena no tipiskākajām problēmām ir tā, ka pēc sāknēšanas konfigurāciju, atjauninājumu vai dublējumu pielāgošanas DC sāk tieši ielādējiet drošajā režīmā vai Active Directory labošanas režīmā bez jūsu pieprasījuma. Tas var izraisīt paniku, īpaši, ja tas ir saistīts ar primāro domēna kontrolleri (PDC) vai kritiskās infrastruktūras kontrolleri.
Vēl viens izplatīts scenārijs ir tāds, ka dators, neatkarīgi no tā, vai tas ir serveris vai klients, pāriet drošajā režīmā bez tīkla iespējām. Šajā kontekstā, ja mēģināsiet pieteikties ar Microsoft kontu vai jums būs nepieciešams savienojums ar domēna kontrolleri, jūs saskarsieties ar... paroles kļūdas vai nederīgi akreditācijas dati, lai gan patiesībā problēma ir vienkārši tā, ka nav pieejams tīkls.
Windows Server ir novērota arī bīstama kombinācija: mēģinājums instalēt noteiktus kumulatīvos atjauninājumus (piemēram, 2022. gada februāra drošības atjauninājumu Server 2012 R2), kamēr darbojas Veeam dublēšanas process vai ja sistēmai rezervētā nodalījumā nav brīvas vietas. Tas var izraisīt atjaunināšanas kļūdas, ziņojumi “Kļūda atjauninājumos… izmaiņu atjaunošana” un neparasta startēšana drošajā režīmā.
Kad sistēmas rezervētais nodalījums ir pilnībā pilns, operētājsistēmai Windows nav vietas, kur ierakstīt ielāpa instalēšanas laikā nepieciešamos datus. Ja ir pieejama arī dublēšanas programmatūra, kas uzrauga diska izmaiņas (piemēram, Rapid Recovery vai citi dublēšanas aģenti), tā var vēl vairāk aizpildīt nodalījumu un radīt problēmas. kaskādes kļūmes atjaunināšanas laikā, ar atbilstošu biedu, kad DC neieslēdzas kā parasti.
Iziešana no drošā režīma: pamata metodes operētājsistēmā Windows
Klientu datoros vai serveros, kas jau var piekļūt darbvirsmai, vienkāršākais veids, kā iziet no drošā režīma, ir izmantot sistēmas konfigurācijas rīku, ja vien jums ir piekļuve sesijai ar administratora privilēģijām un sistēma reaģē normāli, pat ja tā ir ieslēgta. minimālais zābaks.
Tipiskā metode ietver dialoglodziņa “Palaist” atvēršanu, konfigurācijas utilītas palaišanu un atzīmes noņemšanu no izvēles rūtiņas “Droša sāknēšana”. Ja viss norit labi, pēc restartēšanas operētājsistēmai Windows vajadzētu startēties normālā režīmā, atsākt ierasto draiveru ielādi un, domēna kontrollera gadījumā, aktivizēt Active Directory pakalpojumus parastais.
Daudzos gadījumos, lai izietu no drošā režīma, pietiek ar datora restartēšanu, īpaši, ja atbilstošais ieraksts sāknēšanas konfigurācijā nav pastāvīgi atlasīts. Tomēr, ja sistēma ir skaidri konfigurēta startēšanai drošajā režīmā (piemēram, izmantojot msconfig vai bcdedit), būs nepieciešamas papildu darbības. atjaunot šo iestatījumu Boot.
Šī pamata pieeja ir derīga gan Windows 10/11 darbstacijām, gan Windows Server 2012 R2, 2016, 2019, 2022 un jaunākām versijām, ja vien grafiskais lietotāja interfeiss ir pieejams un nav nopietns failu sistēmas bojājums vai pašā sākumā.
Izmantojot msconfig, lai atspējotu drošo sāknēšanu
Viena no tiešākajām procedūrām, lai piespiestu Windows pārtraukt startēšanu drošajā režīmā, ir sistēmas konfigurācijas rīka izmantošana, kam var piekļūt ar komandu msconfigTā ir ērta metode, ja varat piekļūt darbvirsmai pat tad, ja pašlaik atrodaties drošajā režīmā.
Vispārīgās darbības, kas attiecas gan uz Windows 10, gan daudziem Windows Server izdevumiem, ir šādas: vispirms atveriet dialoglodziņu Palaist, izmantojot atbilstošo īsinājumtaustiņu, ierakstiet utilītas komandu un apstipriniet. Kad tiek atvērts logs Sistēmas konfigurācija, dodieties uz operētājsistēmas startēšanas cilni.
Šajā cilnē atradīsiet sāknēšanas opciju sadaļu, kurā varat atzīmēt vai noņemt atzīmi no izvēles rūtiņas “Droša sāknēšana”. Svarīgi ir pārliecināties, vai šī opcija ir atlasīta. "Drošā sāknēšana" ir atspējotaTas attiecas gan uz gadījumiem, kad konfigurācija tika veikta minimālā režīmā, gan ar tīkla funkcijām. Pēc izmaiņu piemērošanas un pieņemšanas sistēma parasti liks jums restartēt datoru.
Kad dators ir restartēts un ja nav konfigurēti citi īpaši sāknēšanas ieraksti, izmantojot bcdedit vai citus rīkus, operētājsistēmai Windows vajadzētu atgriezties parastajā darbības režīmā, ielādējot visus pakalpojumus, tostarp Active Directory komponenti domēna kontrollera gadījumā.
Aktivizējiet slēpto administratora kontu ārkārtas situācijām
Situācijās, kad jūsu parastais profils neļauj pieteikties vai kad jūsu parastais konts ir apdraudēts, noderīga stratēģija ir izmantot... Integrēts administratora konts kuru Windows pēc noklusējuma tur paslēptu. Šim kontam, aktivizējot to, parasti nav nepieciešama parole, ja tas iepriekš nekad nav ticis iestatīts.
Lai to izdarītu, parasti tiek palaists atkopšanas vidē vai, ja sistēma atļauj komandu sesiju, tiek atvērta konsole ar paaugstinātām privilēģijām. Šajā komandrindā var izmantot klasisko tīkla lietotāju pārvaldības komandu, lai aktivizētu iebūvēto pārvaldnieku, padarot to pieejamu pieteikšanās ekrānā.
Tipiska procedūra ietver komandas ierakstīšanu, kas aktivizē kontu un atzīmē tā statusu kā aktīvu. Kad atbilstošā komanda ir izpildīta, vienkārši restartējiet datoru un sākuma ekrānā atlasiet administratora lietotāju, kurš tagad, šķiet, var pieteikties. Piekļuve bez paroles (ar nosacījumu, ka tāds nav iepriekš izveidots).
Šis konts ir īpaši noderīgs, ja mēģināt iziet no drošā režīma cilpas vai jāmaina kritiski sāknēšanas parametri, un lietotājs, ar kuru mēģināt to izdarīt, ir bloķēts, ir aizmirsis paroli vai pat nav pieejams, kad sistēma tiek startēta.
Atkopšanas vides (WinRE) atvēršana un papildu opciju izmantošana
Ja sistēma Windows netiek startēta pareizi vai iestrēgst starp restartēšanu un labošanas ziņojumiem, gudrākais rīcības plāns ir izmantot Papildu atkopšanas opcijas (WinRE). Šī izvēlne ļauj piekļūt komandrindai, atjaunot sistēmu, atinstalēt problemātiskos atjauninājumus vai pat veikt rūpnīcas datu atiestatīšanu.
Ir vairāki veidi, kā piekļūt WinRE. Viens no tiem ir no pašas Windows, noklikšķinot uz barošanas ikonas un turot nospiestu taustiņu Shift, vienlaikus noklikšķinot uz Restart (Restartēt). Tas norāda sistēmai atvērt papildu atkopšanas izvēlni, nevis veikt parastu restartēšanu.
Vēl viena metode, kas pieejama modernajās Windows 10 un Windows Server versijās, ietver Sistēmas iestatījumu (System Settings) atvēršanu, Atjaunināšanu un drošību (Atjaunināšana un drošība) un pēc tam sadaļu Atkopšana (Recovery). Šajā izvēlnē ir opcija, kas ļauj uzlabots sākums kas ļauj pārstartēt datoru tieši WinRE vidē, neizmantojot ārējos līdzekļus.
Varat arī piespiesti piekļūt atkopšanas videi, izmantojot komandrindas instrukciju, piemēram, izslēgšanas komandu, kas liek sistēmai restartēties papildu opciju režīmā. Kad būsiet ielīduši WinRE, varēsiet piekļūt tādiem rīkiem kā komandrinda, sistēmas atjaunošana, startēšanas labošana un citām svarīgām utilītprogrammām. novērst palaišanas un apkalpošanas problēmas.
Izmantojot komandrindu: taustiņu komandas bcdedit un net user
Komandrinda, neatkarīgi no tā, vai tā ir no Windows vai WinRE, ir būtisks rīks, mēģinot novērst piespiedu palaišanu drošajā režīmā vai labot Active Directory domēna kontrollerī. Šeit tiek izmantotas divu veidu komandas: tās, kas saistītas ar... sāknēšana (bcdedit) un lietotāju pārvaldība (tīkla lietotājs).
Lai atspējotu pastāvīgo drošo sāknēšanu, kas konfigurēta sāknēšanas datu krātuvē, varat izmantot rīku bcdedit. Dažās procedūrās ieteicams palaist komandu, kas noņem drošās sāknēšanas vērtību, kas saistīta ar noklusējuma ierakstu, lai sistēma vairs nebūtu spiesta vienmēr sāknēties drošajā režīmā neatkarīgi no tā, vai tas ir minimālais vai dsrepair režīms.
Tipiskā komanda ir vērsta uz sāknēšanas pārvaldnieka {default} ierakstu un noņem drošās sāknēšanas atslēgu, kas piespieda šo darbību. Kad šī komanda ir izpildīta un sistēma ir restartēta, domēna kontrollerim vajadzētu pārtraukt sāknēšanu drošajā režīmā un atgriezties pie parastā sāknēšanas procesa, atkal ļaujot Pilna domēna pakalpojumu ielāde.
Paralēli rīks “net user” ļauj aktivizēt iebūvēto administratora kontu, kā jau minēts. Komandrindā tā statusu var iestatīt uz “aktīvs”, izmantojot komandu, kas skaidri norāda, ka kontam jābūt pieejamam pieteikšanās procesam. Šī “bcdedit” un “net user” kombinācija parasti ir pietiekama, lai… atgūt kontroli pār sistēmu vairumā scenāriju.
Problēmas ar Windows Server atjauninājumiem un sāknēšanas cilpām
Ražošanas vidēs ar Windows Server 2012 R2, 2016 vai 2019 ir stāsti par administratoriem, kuri pēc noteiktu kumulatīvo drošības ielāpu instalēšanas atklāja, ka domēna kontrolleris tiek palaists drošajā režīmā vai tiek parādīts nepārtrauktas atjaunināšanas kļūmesDažreiz tas ir saistīts ar konkrētiem ielāpiem konkrētā mēnesī.
Vienā praktiskā piemērā janvāra atjauninājumi tika ignorēti bažu dēļ par dokumentētu sāknēšanas ciklu, un tā vietā tika instalēti februāra atjauninājumi. Pēc šo atjauninājumu piemērošanas domēna kontrolleris sāka startēt drošajā režīmā, kas radīja ievērojamas bažas. Izmeklēšanas laikā tika atklāts, ka drošības apkopojuma pabeigšana faktiski nebija pabeigta.
Šādā scenārijā administrators pārbaudīja sāknēšanas konfigurāciju un manuāli noņēma visas drošā režīma sāknēšanas opcijas vai direktoriju pakalpojuma atjaunošanu, atjaunojot serveri šķietami normālā stāvoklī. Active Directory sinhronizācija tika apstiprināta kā veiksmīga, un piesardzības nolūkos tika nolemts uz laiku atlikt neizdevušos atjauninājumu atkārtota instalēšana.
Citos domēna kontrolleros tajā pašā organizācijā (piemēram, vienā domēna kontrollerī ar Windows Server 2016 un citā ar 2012 R2) tie paši atjauninājumi tika lietoti bez problēmām, lai gan tika atzīmēts, ka pēc stundas šie serveri joprojām nebija restartēti, kas radīja bažas par iepriekšējā incidenta atkārtošanās iespējamību.
Sistēmas rezervētā nodalījuma pilnīga un dublēšanas programmatūra
Turpinot izmeklēt neizdevušos atjauninājumus, administrators atklāja otru galveno faktoru: sistēmai rezervētais nodalījums bija pilnībā pilns, un nulle brīvu baituŠis nodalījums ir būtisks atjauninājumu palaišanai un instalēšanai, jo operētājsistēmai Windows tajā ir jāieraksta noteikti sāknēšanas un atkopšanas faili.
Iemesls, kāpēc nodalījums bija 100% noslogots, tika izsekots līdz vecai dublēšanas programmatūrai, šajā gadījumā Rapid Recovery aģentam, kas joprojām bija instalēts serverī. Šāda veida rīki var mēģināt izsekot izmaiņām un ģenerēt izsekošanas datus, kas nonāk rezervētajā nodalījumā, aizpildot to, ja tā parametri nav pareizi konfigurēti vai ja tas tiek pamests un netiek atinstalēts, migrējot uz citu risinājumu.
Administrators, kurš iepriekš bija novērojis šāda veida dublēšanas risinājuma darbību sistēmas nodalījumā, pilnībā atinstalēja Rapid Recovery aģentu. Pēc tam viņš restartēja domēna kontrolleri un pārliecinājās, ka rezervētajā nodalījumā tagad ir pietiekami daudz brīvas vietas, lai Windows darbotos. pārvaldīt startēšanu un atjauninājumus normāli.
Analizējot cbs.log failus, tika apstiprinātas kļūdas "nepietiekama vieta" un skaidri ziņojumi, kas norādīja, ka atjauninājumi neizdevās nepietiekamas vietas dēļ sistēmas nodalījumā. Kad šī vieta bija atbrīvota, tika mēģināts vēlreiz instalēt jaunus ielāpus (šajā gadījumā marta atjauninājumus), un pēc nakts testēšanas tika apstiprināts, ka process ir veiksmīgi pabeigts, neizraisot turpmākus drošā režīma palaišanas laikus.
Sistēmas atjaunošana, paroles atiestatīšana un citas izejas
Ja pēc WinRE, bcdedit izmantošanas, administratora konta paslēpšanas un vietas pārbaudes veikšanas domēna kontrollera vai klienta datora problēmas joprojām pastāv, jums jāsāk apsvērt radikālākas iespējas, piemēram, sistēmas atjaunošana līdz brīdim pirms neveiksmes rašanās.
No papildu atkopšanas opcijām varat izvēlēties automātiski vai manuāli izveidotu atjaunošanas punktu un atgriezt sistēmu iepriekšējā stāvoklī. Tas var atsaukt reģistra izmaiņas, problemātiskus atjauninājumus vai dublējuma programmatūras instalācijas, kas, iespējams, ir ietekmējušas sensitīvas sistēmas zonas.
Datoros ar lokālu kontu, kurā parole ir aizmirsta vai pēc remonta drošajā režīmā ir zaudēta parasta piekļuve, pastāv iespēja, ka atiestatīt paroli ievērojot oficiālās Microsoft procedūras. Windows 10 gadījumā ar lokālu kontu atbalsta dokumentācijā ir aprakstīts, kā atgūt vai mainīt paroli izmantojot drošības jautājumus vai citas metodes.
Ja problēma ietekmē pievienotu Microsoft kontu, parasti ir jāpārliecinās, vai drošais režīms ir palaists ar tīkla savienojumu, lai dators varētu sazināties ar autentifikācijas serveriem mākonī. Ja dators tika palaists režīmā bez tīkla savienojuma, tiks parādīti kļūdas ziņojumi ar šķietami nepareizām parolēm, pat ja patiesā problēma ir savienojamības trūkums.
Galu galā, ja instalācija ir pārāk bojāta vai nav iespējams atjaunot direktoriju pakalpojumu ar pieņemamu ticamības līmeni, jums būs jāapsver atjaunot domēna kontrolleri no citas veselīgas kopijas vai pat veikt pilnīgu atjaunošanu no pārbaudītas dublējuma, ievērojot AD atkopšanas labākā prakse.
Drošības brīdinājumi un neoficiālas atbalsta vietnes
Meklējot risinājumus Active Directory labošanai drošajā režīmā, bieži vien nonākam forumos, tehniskos emuāros un trešo pušu tīmekļa vietnēs, kurās ir izskaidrotas noderīgas komandas un procedūras. Daudzas no šīm vietnēm, pat ja tās nav no Microsoft, sniedz precīzu informāciju un paļaujas uz... administratoru reālā pieredze kuri ir saskārušies ar tām pašām problēmām.
Tomēr vienmēr ir jābūt piesardzīgam: šīs vietnes var rādīt reklāmas produktiem, kas bieži tiek atzīmēti kā potenciāli nevēlamas programmas (PUP). Pirms jebkura rīka lejupielādes vai instalēšanas, kas reklamēts kopā ar rokasgrāmatu, ir svarīgi rūpīgi izpētīt tā reputāciju, izlasīt lietotāju atsauksmes un pārliecināties, vai tas patiešām ir likumīgs. Tie piešķir vērtību jūsu videi vai ja tie varētu izraisīt vairāk galvassāpju.
Neatkarīgo konsultantu un Microsoft kopienas locekļu atbildēs bieži ir iekļautas saites uz oficiālu dokumentāciju, MVP videoklipiem vai ražotāju pamācībām (piemēram, dažiem HP izveidotiem videoklipiem, kas faktiski ir piemērojami jebkuram zīmolam). Šie resursi ir labs sākumpunkts, taču tie vienmēr jāpielāgo jūsu konkrētajai videi. Windows Server un Active Directoryņemot vērā versijas, lomas un pašreizējo konfigurāciju.
Oficiālās atbildēs bieži tiek precizēts, ka tās ir tulkotas automātiski, kas var izraisīt nedaudz neparastas izteiksmes vai gramatiskas kļūdas. Tas nepadara tehnisko saturu nederīgu, taču ieteicams rūpīgi izlasīt, pārbaudīt komandas un, ja rodas šaubas, salīdzināt informāciju ar oriģinālo angļu valodas dokumentāciju vai citiem uzticamiem avotiem, pirms veicat būtiskas izmaiņas. ražošanas domēna kontrolleris.
Galu galā Active Directory labošana drošajā režīmā un domēna kontrollera, kas sāk darboties nepareizi, atkopšana ietver vairāku elementu apvienošanu: rūpīgu sistēmas sāknēšanas veida izpratni, msconfig vai bcdedit izmantošanu, lai izietu no drošā režīma, nepieciešamības gadījumā paļaušanos uz slēpto administratoru, rezervētā nodalījuma vietas pārbaudi, dublējumu ietekmes uzraudzību un papildu atkopšanas opciju, sistēmas atjaunošanas un oficiālās dokumentācijas pieejamību — tas viss tiek darīts pārdomāti un nesteidzoties izdarīt secinājumus, pamatojoties uz satraucošiem kļūdu ziņojumiem.
Kaislīgs rakstnieks par baitu pasauli un tehnoloģiju kopumā. Man patīk dalīties savās zināšanās rakstot, un tieši to es darīšu šajā emuārā, parādot visu interesantāko informāciju par sīkrīkiem, programmatūru, aparatūru, tehnoloģiju tendencēm un daudz ko citu. Mans mērķis ir palīdzēt jums vienkāršā un izklaidējošā veidā orientēties digitālajā pasaulē.