Настройка пароля администратора для входа на узлы AD в режиме восстановления служб каталогов (DSRM) — система платформы аналитики
Режим восстановления служб каталогов (DSRM) — это режим загрузки для восстановления или восстановления домен Active Directory служб (AD DS). Он используется для входа на узлы AD устройств после сбоя AD DS или при необходимости восстановления AD DS. Пароль для DSRM был инициализирован во время настройки устройства на сайте поставщика оборудования и должен быть изменен администратором устройства. Система аналитики платформы имеет два AD DS (контроллеры домена); appliance_domain-AD01 и appliance_domain-AD02. Для каждого узла AD устройства Active Directory измените пароль DSRM, выполнив следующие действия.
Сброс пароля администратора
Откройте окно командной строки на узле AD устройства appliance_domain-AD_xx_виртуальной машине.
В командной строке введите новый пароль.
Повторите шаги 1-5 выше для каждой виртуальной машины устройства AD.
Система аналитики платформы не поддерживает знак доллара ($) в паролях администратора домена или локального администратора. Пароль, содержащий знак доллара, будет проверяться и быть пригодным для использования, но может блокировать операции обновления и обслуживания.
Если службы домен Active Directory или виртуальная машина повреждены для конкретной виртуальной машины AD, то рекомендуется выполнить действия по исправлению, запустив реплацевм для затронутой ВИРТУАЛЬНОЙ машины AD. Обратитесь в службу поддержки пользователей.
Applies To: Windows Server 2003, Windows Server 2008, Windows Server 2003 R2, Windows Server 2012, Windows Server 2003 with SP1, Windows 8
Resets the Directory Services Restore Mode (DSRM) password on a domain controller. At the Reset DSRM Administrator Password: prompt, type any of the parameters listed under “Syntax.”
This is a subcommand of Ntdsutil and Dsmgmt. Ntdsutil and Dsmgmt are command-line tools that are built into Windows ServerВ 2008 and Windows ServerВ 2008В R2. Ntdsutil is available if you have the ActiveВ Directory Domain Services (ADВ DS) or ActiveВ Directory Lightweight Directory Services (ADВ LDS) server role installed. Dsmgmt is available if you have the ADВ LDS server role installed. These tools are also available if you install the ActiveВ Directory Domain Services Tools that are part of the Remote Server Administration Tools (RSAT). For more information, see How to Administer Microsoft Windows Client and Server Computers Locally and Remotely (https://go.microsoft.com/fwlink/?LinkID=177813).
To use either of these tools, you must run them from an elevated command prompt. To open an elevated command prompt, click Start, right-click Command Prompt, and then click Run as administrator.
For examples of how to use this command, see Examples.
Syntax
Parameters
Reset Password on server %s
Prompts for a new DSRM password for a domain controller. Use NULL as the domain controller name to reset the DSRM password on the current server. After you enter this parameter, the Please type password for DS Restore Mode Administrator Account: prompt appears. At this prompt, type the desired new DSRM password.
Sync from domain account %s
Note
This parameter is available on domain controllers that run Windows ServerВ 2008В R2 or Windows ServerВ 2008 with Service PackВ 3 or later or have installed hotfix 961320 (https://go.microsoft.com/fwlink/?LinkId=197407).
Perform one-time password synchronization from the specified user name %s from this Active Directory domain to the DSRM administrator account on the local computer. For a link to more information, see Remarks section.
An alphanumeric variable, such as a domain or domain controller name.
Takes you back to the previous menu, or exits the utility.
Displays Help at the command prompt.
Displays Help at the command prompt.
Remarks
The DSRM password on a domain controller is initially set when the ActiveВ Directory Installation Wizard (Dcpromo) is run on a server to promote it to a domain controller.
If the domain controller is in DSRM, you cannot reset the DSRM password on a domain controller using Ntdsutil.
For more information about how to synchronize the DSRM account password on a local domain controller with the password of a domain user account, see DS Restore Mode Password Maintenance (https://go.microsoft.com/fwlink/?LinkId=197408).
Ntdsutil does not correctly handle special characters, such as the apostrophe character (‘), that you can enter at the ntdsutil: prompt at the command line. In some situations, there may be an alternative workaround. For more information, see local roles.
Examples
To reset the DSRM password on a domain controller named DC2, type the following command, and then press ENTER:
Applies To: Windows Server 2003, Windows Server 2008, Windows Server 2003 R2, Windows Server 2012, Windows Server 2003 with SP1, Windows 8
Deletes an object of a specific type or any general object from the directory.
Dsrm is a command-line tool that is built into Windows ServerВ 2008. It is available if you have the ActiveВ Directory Domain Services (ADВ DS) or ActiveВ Directory Lightweight Directory Services (ADВ LDS) server role installed. To use dsrm, you must run the dsrm command from an elevated command prompt. To open an elevated command prompt, click Start, right-click Command Prompt, and then click Run as administrator.
For examples of how to use this command, see Examples.
Syntax
Parameters
Required. Specifies the distinguished names of objects to delete. If no value is entered at the command prompt, the value will be obtained through standard input.
Specifies that both the object and all objects contained in the subtree under that object should be deleted. If you specify the -exclude parameter, you must also specify the -subtree parameter. When you specify both parameters, dsrm excludes from deletion the base object that the parameter supplies when it deletes the objects under the subtree. By default, dsrm deletes only the base object specified.
Sets the optional silent mode, which prevents prompts that ask you to confirm deletion of each object. By default, dsrm prompts you to confirm each deletion.
Connects a computer to a remote server or domain that you specify. By default, dsrm connects the computer to the domain controller in the logon domain.
Specifies the user name with which the user logs on to a remote server. By default, -u uses the user name with which the user logged on. You can use any of the following formats to specify a user name:
user name (for example, Linda)
domain\user name (for example, widgets\Linda)
user principal name (UPN) (for example, Linda@widgets.contoso.com)
Specifies to use either a password or an asterisk (*) to log on to a remote server. If you type *, dsrm prompts you for a password.
Reports errors, but continues with the next object in the argument list when you specify multiple target objects (continuous operation mode). If you do not supply this parameter, dsrm exits when the first error occurs.
Suppresses all output to standard output (quiet mode).
Specifies that dsrm formats output or input data in Unicode. The following list explains each format.
-uc: Specifies a Unicode format for input from or output to a pipe (|).
-uco : Specifies a Unicode format for output to a pipe (|) or a file.
-uci: Specifies a Unicode format for input from a pipe (|) or a file.
Displays help at the command prompt.
Remarks
If a value that you supply contains spaces, use quotation marks around the text, for example, «CN=MikeВ Danseglio,CN=Users,DC=Contoso,DC=Com».
If you supply multiple values for a parameter, use spaces to separate the values, for example, a list of distinguished names.
Examples
To remove an organizational unit (OU) named Marketing and all the objects under that OU, type:
To remove all objects under an OU named Marketing, but leave the OU intact, type:
Вход в DSRM режим на контроллере домена Windows Server 2012
Несмотря на то, что в службе каталогов существует специальная корзина, куда попадают все удаленные объекты (Active Directory Recycle Bin), все-таки часть объектов AD при удалении из базы AD удаляются полностью, минуя корзину, и для их восстановления придется запускать процедуру восстановления базы AD в режиме восстановления службы каталогов DSRM (Directory Services Restore Mode).
Режим восстановления службы каталогов (Directory Services Restore Mode) специальный режим загрузки операционной системы Windows, выполняющей функции контролера домена AD (данный режим загрузки появился еще в Windows 2000). Данный режим предназначен для выполнения операции восстановления службы каталогов Active Directory, в случаях: когда база Active Directory повреждена и нуждается в исправлении, обслуживания базы AD (сжатие базы AD, анализ базы на наличие ошибок), отката на резервную копию AD, восстановлению отдельного объекта или сброса пароля администратора домена. По сути, режим DSRM – это безопасный режим работы контроллера домена Windows.
Чтобы попасть в режим восстановления службы каталогов, необходимо при загрузке сервера нажать клавишу F8, попав таким образом в экран расширенных параметров загрузки (Advanced Boot Options) в котором необходимо выбрать опцию Directory Services Restore Mode (Windows domain controllers only). От версии к версии Windows Server Microsoft меняла способ входа в режим DSRM. Так, например, в Windows Server 2008/ 2008 R2 данный пункт в меню параметров загрузки ОС по-умолчанию отсутствовал, и чтобы добавить эту опцию в меню загрузки, необходимо было в системе выполнить команду
и перезагрузиться. Отключить пункт «Directory Services Restore Mode» в Windows Server 2008 / R2 можно было с помощью команды
В новой серверной ОС Windows Server 2012 Microsoft вновь изменила процедуру входа в режим восстановления службы каталогов (DSRM).
Попасть в режим Directory Services Restore Mode из Windows Server 2012 можно двумя способами:
После чего система перезагрузится, и после запуска автоматически откроется экран параметром загрузки Advanced Boot Options, среди вариантов загрузки будет искомый Directory Services Repair Mode
После перезагрузки вместо стандартной экрана загрузки сервера появится следующее меню:
Выберите Troubleshoot-> Advanced options->Startup Settings Нажмите Restart После следующей перезагрузки сервера появится «классический» экран выбора параметров загрузки ОС (Advanced Boot Options), в котором необходимо выбрать искомый Directory Services Repair Mode.
Затем нужно будет указать пароль для режима восстановления каталогов и вуаля – мы попали на контроллер домена с отключенной службой каталога и можно приступать к восстановлению базы AD.
Вход на контроллер домена под локальным аккаунтом DSRM
После того, как на сервер установлена роль контроллера домена, войти на него под локальной учетной записью становится невозможно, т.к. локальная база учетных записей (SAM) сервера перестает быть доступной. Однако в этом правиле есть одно исключение.
На котроллерах домена имеется специальный режим загрузки — режим восстановления служб каталогов (DSRM). Этот режим используется для выполнения различных операций обслуживания и восстановления Active Directory в следующих случаях: когда база данных Active Directory повреждена и нуждается в исправлении ошибок, различных задачах обслуживания базы данных AD (сжатие базы данных, ее анализе на наличие ошибок и т. д.), восстановлению AD из резервной копии / снимка, восстановление отдельных объектов или сброс пароля администратора домена.
Для доступа к DC в этом режиме используется специальная учетная запись администратора DSRM, которая является единственной локальной учетной записью на контроллере домена.
Как установить пароль DSRM
Пароль для режима DSRM задается в процессе развертывания контроллера домена.
Однако острой необходимости запоминать и хранить пароли DSRM для всех контроллеров домена нет. В случае необходимости вы можете легко сбросить этот пароль с помощью утилиты ntdsutil. Чтобы сбросить пароль DSRM, вы должны войти на контроллер домена (естественно с правами администратор домена) и выполнить команды:
ntdsutil set dsrm password reset password on server NULL [новый_пароль_dsrm] [подтверждение_нового_пароля] quit quit
Если вам необходимо изменить пароль DSRM на удаленном DC, можно указать имя сервера следующим образом:
reset password on server msk-dc3
В Windows Server 2008 SP 2 (и выше) есть еще один способ задать пароль администратора DSRM — путем копирования (синхронизации) пароля с определённого доменного аккаунта. Для синхронизации вы можете выбрать любого существующего пользователя или создать нового.
Например, я создал нового доменного пользователя с именем DSRMsync.
Чтобы синхронизировать пароль DSRM текущего DC с данной учетной записью, выполните команды:
ntdsutil set dsrm password sync from domain account DSRMsync q q
Теперь пароль администратора DSRM соответствует паролю учетной записи DSRMsync. Имейте в виду, что синхронизация пароля выполняется разово, и изменения пароля учетной записи DSRMsync никем не отслеживает. Поэтому для регулярной синхронизации пароля, желательно создать задание планировщика, выполняющего данную команды с определенной периодичностью.
Можно ли войти на контроллер домена под администратора DSRM в обычном режиме?
В предыдущих версиях Windows Server войти на контроллер домена под администратором DSRM можно только при загрузке его в режиме DSRM. Начиная с Windows Server 2008 появилась возможность остановки служб Active Directory Domain Services прямо из консоли управления службами (services.msc) без необходимости перезагрузки сервера. Соответственно, у администратора DSRM теперь есть возможность подключиться к контроллеру домена и в обычном (не DSRM) режиме.
Для этого на контроллере домена необходимо в ветке HKLM\System\CurrentControlSet\Control\Lsa создать параметр типа DWORD с именем DsrmAdminLogonBehavior. Значение параметра может быть следующим:
Параметр DsrmAdminLogonBehavior можно установить через графический редактор реестра или командой:
.jpeg "Dsrm password что это. Смотреть фото Dsrm password что это. Смотреть картинку Dsrm password что это. Картинка про Dsrm password что это. Фото Dsrm password что это")
Note
После чего система перезагрузится, и после запуска автоматически откроется экран параметром загрузки Advanced Boot Options, среди вариантов загрузки будет искомый Directory Services Repair Mode
