Troubleshooting, Disaster Protection & Recovery Active Directory
Per effettuare operazioni di “manutenzione straordinaria” su un server, e soprattutto su un DC, è necessario riavviare il computer premendo il tasto F8 in fase di startup. Ciò provoca la comparsa del menu “Advanced Startup Options” indicato in tabella 2.
Table 2: Menu opzioni di startup avanzate per un computer Win2K/XP/2K3
***F8*** Menu delle opzioni avanzate modalità provvisoria (safe-mode) ***F8***
Safe Mode |
Carica i dispositivi e driver di base senza i servizi di rete |
Safe Mode with Networking |
Safe Mode con i servizi di rete |
Safe Mode with Command Prompt |
Safe Mode senza interfaccia grafica (GUI) e senza servizi di rete |
Enable Boot Logging |
Effettua il log del caricamento di driver e servizi |
Enable VGA Mode |
Carica un driver universale per la scheda di rete |
Last Known Good Configuration |
Utilizza l’ultima configurazione “buona” conosciuta e che ha permesso di effettuare una procedura di logon con successo fino ad arrivare sulla shell del sistema operativo (Explorer) |
Directory Service Restore Mode (DSRM): : solo per i domain controller |
Permette di effettuare manutenzione sul database AD di un domain controller |
Debugging Mode |
Abilita la modalità di debug |
Per operazioni di manutenzione su un DC è necessario selezionare la voce Directory Service Restore Mode (DSRM). Questa scelta determina l’avvio del sistema operativo in una modalità particolare, nella quale tutte le funzionalità Active Directory sono disabilitate (e.g.: servizi Netlogon, Kerberos KDC, File Replication Service (FRS), Intersite Messaging, ecc.). In questa modalità, il DC si comporta come un server stand-alone caratterizzato da una “SAM (Security Account Manager) Off-Line” valida solo per gestire l’accesso in DSRM, nella quale esiste, di default, solamente l’account administrator (oltre a guest disabilitato) a cui corrisponde la password specificata al momento della promozione del server a DC tramite l’utility DCPROMO. Infatti, effettuando la procedura di logon (sequenza di tasti Control+Alt+Del o Secure Attention Sequence (SAS), il terzo campo “Log on to:” non è disponibile.
![]() |
Come effettuare il reset della password DSRM in ambiente Win2K3 Per forzare il reset della password di DSRM è necessario utilizzare l’utility NTDSUTIL nel seguente modo:
Attenzione: non è possibile modificare la password di DSRM mediante l’utility NTDSUTIL nel mentre si opera in DSRM (Errore: “Setting password failed. Win32 Error Code: 0x32. Error Message: The request is not supported.”). Viceversa è possibile farlo da DSRM mediante la sequenza di tasti Control+Alt+Del e cliccando sul bottone “Change Password...” oppure inserendo il comando seguente: “net user Administrator *”. Come effettuare il reset della password DSRM in ambiente Win2K Dal SP4 in poi di Win2K è disponibile l’utility setpwd che permette di forzare il cambio password per la modalità DSRM. |
![]() |
Aggiungere utenti “amministrativi” al gruppo locale Administrators utilizzato in modalità DSRM Di default l’utente administrator è l’unico (oltre guest) ad essere presente nella “SAM-Off-Line” utilizzata in modalità DSRM (per consultare la lista degli utenti è sufficiente eseguire il comando “net user” dal prompt dei comandi una volta che si è effettuata l’autenticazione in DSRM come utente administrator). Per aggiungere ulteriori utenti amministratori per la gestione della modalità DSRM è necessario procedere nel seguente modo:
Creazione di un floppy disk di ripristino della password (Password Reset Disk) di un utente administrator per l’accesso in modalità DSRM Oltre alla possibilità vista in precedenza di reset della password dell’utente administrator della SAM-Off-line è possibile generare un floppy disk di ripristino password, dalla finestra Windows Security dopo avere inserito la sequenza di tasti Control+Alt+Del, nel seguente modo:
Successivamente verrà presentata la finestra Reset the User Account Password nella quale occorre inserire la nuova password ed una “frase da utilizzare come hint”. |