Active-Directory-Daten online wiederherstellen

Grabsteine beleben mit Werding

Das Problem

Eben schnell das Windows-Anmeldekonto des Praktikanten gelöscht, der vor einigen Wochen seinen letzten Tag hatte & upps! Versehentlich das falsche Objekt erwischt, und schon kann die Vertriebschefin sich nicht mehr anmelden.
Verlorene Objekte des Active Directory wiederherzustellen, kann in ziemlichen Aufwand ausarten: Das passende Band mit der Datensicherung heraussuchen, einen Domänencontroller in den Wiederherstellungsmodus starten, Datensicherung einspielen, mit ntdsutil die gewünschten Objekte markieren und danach den Domänencontroller neu starten. Selbst unter günstigen Umständen dauert das mindestens eine halbe Stunde – wer wenig Übung hat, wird schnell einen halben Arbeitstag investieren müssen. Das vollständige Verfahren ist in unserem Artikel „Wie stelle ich das ad wieder her“ überblicksweise beschrieben.

Die Alternative

Seit Windows Server 2003 gibt es aber eine andere Möglichkeit: Über den „Tombstone“, den ein gelöschtes Objekt in Active Directory hinterlässt, ist die Wiederherstellung auch online möglich.

Der Tombstone wird zur Replikation gelöschter Objekte genutzt und enthält einige Rumpfdaten wie den Objektnamen und vor allem die Sicherheitskennung (Security ID, SID). Windows Server 2003 enthält eine Schnittstelle, über den sich ein Tombstone wiederbeleben lässt. Leider allerdings enthält das Betriebssystem kein Programm, mit dem sich diese Schnittstelle nutzen lässt. Drittanbieter bieten aber Applikationen, die diese Technik einsetzen – zu teils sehr hohen Preisen. Eine kostenlose Alternative ist „ADrestore“ von Sysinternals, das seit Sommer 2006 zu Microsot gehört. Das kleine Werkzeug lässt sich über die TechNet-Webseite herunterladen: http://www.microsoft.com/technet/sysinternals/Networking/AdRestore.mspx. Eine grafische Alternative gibt es mit ADRestore.NET von Guy Teverovsky (letztere funktioniert leider nicht immer).

Der Nachteil von ADrestore: Es reanimiert nur den Tombstone selbst, stellt aber keine weiteren Daten wieder her. Dadurch fehlen nicht nur fast alle erweiterten Namensfelder, die Adressinformationen oder Organisationsdaten, sondern vor allem die Gruppenmitgliedschaften. Es ist also Handarbeit angesagt, die fehlenden Einträge wiederherzustellen.

An dieser Stelle setzt Werding ein: Das kleine VB-Skript „Werding.vbs“ liest die fehlenden Daten aus einem CSV-Textexport des AD sowie aus einer XML-Datei aus und trägt sie ins AD ein. Schon nach wenigen Sekunden ist das Objekt so mit den wichtigsten Daten gefüllt und kann wieder eingesetzt werden. Ein zweites Einsatzgebiet: Auch wenn das fragliche Objekt nicht gelöscht worden war, sondern nur einzige Datenfelder fehlerhaft bearbeitet wurden, können die vorherigen Werte mit Werding restauriert werden. Die erste Version von Werding wurde im Oktober 2006 in der Fachzeitschrift IT-Administrator veröffentlicht (http://www.it-administrator.de/artikel/16746.html). Die neue Version 2 „Werding v2“ ist nun auch in der Lage, Gruppenmitgliedschaften vollständig wiederherzustellen, außerdem kümmert sie sich auch gleich um die Datensicherung.

Update August 2008: Nach Hinweisen von Andy Wendel (danke, Andy!) habe ich im Folgenden ein paar Korrekturen an der Werding-Kommandozeile aufgenommen.

Wie Werding funktioniert

Werding v2 hat zwei Betriebsarten: Sicherung und Wiederherstellung. Zur Sicherung reicht es aus, das Programm ohne Kommandozeilenschalter aufzurufen:

cscript werding.vbs

Werding erzeugt dann zwei Dateien: Eine Textdatei, die einen CSV-Textexport des Active Directory enthält, und eine XML-Datei, die sämtliche Gruppenmitgliedschaften umfasst. Der CSV-Export wird mit dem Programm csvde.exe erzeugt, das in Windows Server 2003 enthalten ist. Beide erzeugten Dateien werden im selben Ordner gespeichert, in dem auch werding.vbs liegt; zur eindeutigen Identifizierung sind sie mit einem Zeitstempel benannt (Beispiel: werding_20061119170126.txt und werding_20061119170126.xml). Die Werding-Datensicherung kann z.B. über den Taskplaner automatisiert werden.

Die Wiederherstellung erfordert zwei oder drei Kommandozeilenparameter. Achtung: Auf x64-Systemen schlägt die einfache Kommandozeile mit einem ADODS-Fehler fehl. Dort muss cscript.exe aus dem SysWOW64-Ordner verwendet werden.

32-Bit-Server:

cscript werding.vbs /o:<Objekt-DN> /d:<CSV-Datei> [/g:nein]

64-Bit-Server:

%systemroot%\SysWOW64\cscript.exe werding.vbs /o:<Objekt-DN> /d:<CSV-Datei> [/g:nein]

• /o: Angabe des DN (LDAP-Pfad) eines existierenden Objekts in Active Directory. Die DN-Angabe muss exakt so sein, wie Active Directory sie selbst erzeugt (insbes. Groß- und Kleinschreibung sowie Leerzeichen).
• /d: Pfad zu einer CSVDE-Exportdatei in ANSI-Format. Der Name der XML-Datei wird nicht angegeben, sondern automatisch aus dem Namen der CSV-Datei erzeugt.
• /g: (optional) Angabe, ob Gruppenmitgliedschaften des Objekts restauriert werden sollen. Standard: Gruppenmitgliedschaften werden restauriert. Nur bei der Angabe „/g:nein“ werden Gruppenmitgliedschaften ignoriert; jede andere Angabe oder das Fortlassen werden als „ja“ interpretiert.

Die DN- und Dateiangaben sollten in Anführungsstrichen stehen. Beispiel (eine zusammenhängende Zeile!):

cscript werding.vbs /o:“CN=User007,OU=Benutzer,DC=domain,DC=com“
/d:“C:\Daten\Werding_20090813095711.txt“

Werding muss also für jedes einzelne wiederherzustellende Objekt einmal mit dem passenden DN aufgerufen werden. Es erzeugt bei der Wiederherstellung recht umfangreiche Meldungen, die z. B. in eine Datei umgeleitet werden können.

Achtung: Werding ersetzt keine „normale“ Datensicherung des Active Directory. Es darf nur ergänzend dazu eingesetzt werden!

Voraussetzungen

Zur Datensicherung benötigt Werding v2 die Datei csvde.exe. Unter Windows Server 2003 steht diese automatisch zur Verfügung und wird über den Suchpfad gefunden. Soll Werding v2 auf einem XP- oder Vista-System laufen, so sollte die Datei csvde.exe von einem Server in den Ordner kopiert werden, in dem auch werding.vbs liegt.

In der Regel wird Werding eingesetzt, um fehlende Tombstone-Daten zu ergänzen. Das Programm ADrestore ist nicht in Werding enthalten, sondern muss separat eingesetzt werden (Download siehe oben).

Beispiel

Hier ein Beispiel, in dem das Benutzerobjekt „Prokop, Sonja“ mit ADrestore und Werding v2 wiederhergestellt wird. Die Besonderheit besteht hier in dem Komma im Objektnamen, der eine Maskierung per Backslash erfordert („Prokop\, Sonja“). Die Ausgabe des Skripts ist der Übersicht halber unvollständig in dem Screenshot abgebildet.

Einsatz

Werding v2 ist sorgfältig entwickelt und getestet worden. Trotzdem kann ich keinerlei Gewährleistung übernehmen. Der Einsatz von Werding v2 erfolgt vollständig auf eigene Gefahr. Ich hafte nicht für evtl. Datenverluste, die aus der Benutzung von Werding v2 resultieren könnten.

Download

Werding v2 steht zum Download bereit: 

  Werding v2: Online-Wiederherstellung von Active-Directory-Objekten (326,1 KiB, 5.610-mal heruntergeladen, letzte Änderung am 19. November 2006)