Windows-NT-Architektur und die Registrierung

Reales Szenario: Wiederherstellung eines Domänenservers nach kritischer Korruption der SYSTEM-Struktur

Ein kritischer Domänencontroller lässt sich nach einem Stromausfall nicht mehr starten. Das System zeigt einen Bluescreen (BSOD) mit dem Code BAD_SYSTEM_CONFIG_INFO. Dieser technische Fehler weist darauf hin, dass die Registrierungsstruktur „SYSTEM“ während der Kernel-Ladephase korrupt oder unlesbar ist. Da es sich um einen physischen Server ohne aktuelle Image-Backups handelt, müssen wir eine chirurgische Reparatur der Registrierungsarchitektur durchführen.

Schritt 1: Zugriff über die Wiederherstellungsumgebung (WinRE). Wir starten den Server von einem Windows Server-Installationsmedium. Wir wählen „Computerreparaturoptionen“ und öffnen die Eingabeaufforderung. In diesem Zustand ist das Dateisystem meist auf Laufwerk D: oder E: gemountet. Wir lokalisieren das Verzeichnis C:\Windows\System32\config.

Schritt 2: Analyse der Hives. Hives sind Binärdateien ohne Erweiterung. Die Datei SYSTEM enthält die für den Start erforderlichen Treiber und Dienste. Wir prüfen die Größe; bei 0 KB ist die Korruption total. Glücklicherweise nutzt Windows Schattenkopien (VSS). Wir verwenden eine manuelle Austauschtechnik.

Schritt 3: Wiederherstellung aus Schattenkopien via CMD. Da der Ordner RegBack in modernen Versionen oft leer ist, nutzen wir vssadmin, um verfügbare Schattenkopien aufzulisten. Wir identifizieren einen Snapshot vom Vortag. Wir kopieren die gesunde SYSTEM-Datei an den ursprünglichen Speicherort. Dieser Prozess erfordert absolute Präzision, um Sicherheitsdaten (SAM) nicht zu überschreiben.

Schritt 4: BCD-Reparatur und HAL-Verifizierung. Nach der Wiederherstellung der Registrierung führen wir bootrec /rebuildbcd aus, damit der Bootloader den Kernel ntoskrnl.exe korrekt findet. Schließlich starten wir den Server neu. Das System lädt den HAL, initialisiert die Treiber aus dem wiederhergestellten SYSTEM-Hive und der Server ist wieder online.