Logo faq-o-matic.net
Logo faq-o-matic.net

Wie stelle ich das AD wieder her?

von veröffentlicht am17. November 2003, 15:22 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Active Directory, Datensicherung, Wiederherstellung   Translate with Google Translate Translate EN   Die angezeigte Seite drucken
Zuletzt aktualisiert: 23. Juni 2017

Grundsätzlich ist ein Restore des AD in einer richtig aufgebauten Umgebung nur dann nötig, wenn versehentlich Änderungen oder Löschungen durchgeführt wurden. Sollte „nur“ ein DC ausgefallen sein, reicht es, einen weiteren Server mit dcpromo zum DC zu befördern. Er repliziert dann automatisch das komplette AD. Eine ausführliche Darstellung der Thematik mit Praxistipps (Stand: Windows Server 2003 SP1) bietet mein TechNet-Webcast zum Thema.

Wenn hingegen wirklich ein Restore-Fall eintritt, braucht man zweierlei:

  1. Ein aktuelles bzw. passendes Backup des AD
  2. Eine Textübersicht über die Elemente des AD zum Zeitpunkt des Backup

Das AD kann nur im Restore-Mode (Modus zur Verzeichnisdienstwiederherstellung) restauriert werden. Dazu startet man den Server neu und drückt F8. Im Restore-Modus spielt man dann das gewünschte Backup des Systemstatus wieder ein (das idealerweise von derselben Maschine stammt – da der Systemstatus auch die komplette Registry umfasst, kann es kritisch sein, ihn auf einer anderen Maschine wiederherzustellen). Vor dem Neustart muss nun noch festgelegt werden, welche AD-Objekte aus dem Backup wiederhergestellt werden sollen. Würde man nach dem einfachen Restore nur neu starten, wäre nämlich das wiederhergestellte AD „älter“ als alle anderen replikate, und damit würden die unerwünschten Änderungen erhalten bleiben (denn sie sind ja nach dem Backup erfolgt und damit „jünger“). Daher ist das „Authoritative Restore“ notwendig. Dies wird über ntdsutil ausgeführt.

Superkurzanleitung

Um ein Authoritative Restore durchzuführen:

  • DC im Restore-Modus starten (beim Systemstart mit F8 auswählen)
  • Backup des Systemstatus wiederherstellen
  • Nicht neu starten!
  • In einem CMD-Fenster „ntdsutil“ aufrufen
  • Eingeben: „activate instance ntds
  • Eingeben: „authoritative restore
  • Für jedes gelöschte Objekt (einzelne/r User/Gruppe, ganze OU usw.) eingeben: „restore subtree <LDAP-Name>„. Dabei ist <LDAP-Name> die komplette LDAP-Notation des Objekts, z. B. „CN=Nils Kaczenski,OU=Consulting,DC=kaczenski,DC=de„. Um diesen Namen herleiten zu können, ist es zwingend erforderlich, einen Textauszug des AD zur Hand zu haben (vgl. AD-Backup), denn auf dem bearbeiteten DC kann man nicht ins AD reinsehen und auf anderen DCs ist das wiederherzustellende Objekt ja nicht mehr vorhanden.
  • DC normal neu booten
  • Nun ist der DC wieder auf dem Stand des Backup. Die wiederhergestellten Objekte haben eine höhere Sequenznummer als alle Objekte auf den anderen DCs und werden daher auf alle anderen DCs repliziert. Dadurch sind sie wiederhergestellt.

Einen sehr ausführlichen Artikel mit Schritt-für-Schritt-Anleitungen zur Wiederherstellung von Benutzern, Gruppen und Gruppenmitgliedschaften – besonders interessant in größeren Umgebungen, wenn versehentlich größere Mengen von Objekten gelöscht wurden – gibt es in Microsofts Knowledge Base unter der Nummer 840001: How to restore deleted user accounts and their group memberships in Active Directory.

Wie stelle ich AD wieder her, ohne alle aktuellen Registry-Einstellungen zu verlieren?

Problematisch am Restore des Systemstatus ist, dass die komplette Registry auf den Stand des Bakcup zurückgesetzt wird. Damit sind u. U. auch neuere Konfigurationen, Treiber usw. verloren. Um dieses Problem zu umgehen, verfahre man wie folgt:

  1. Systemstatus aktuell sichern
  2. DS-Repair-Modus starten
  3. alten Systemstatus wiederherstellen (Registry ist „alt“)
  4. autorisierende Wiederherstellung definieren
  5. normal hochfahren, replizieren lassen
  6. DS-Repair-Modus starten
  7. unter 1. gesicherten Systemstatus wiederherstellen (Registry ist „aktuell“)
  8. normal booten

Was muss ich bei der Wiederherstellung von Benutzern und Gruppen beachten?

Kritisch beim Recovery von Benutzer- und Gruppenobjekten sind die Gruppenmitgliedschaften. Eine ausführliche Darstellung der Problematik und von Lösungsansätzen findet sich im KB-Artikel 840001. Mit SP1 von Windows Server 2003 bietet ntdsutil eine eigene Hilfestellung, indem es bei Bedarf eine LDIF-Datei erzeugt, die für die Wiederherstellung der Gruppenmitgliedschaften sorgt.

© 2005-2017 bei faq-o-matic.net. Alle Rechte an den Texten liegen bei deren Autorinnen und Autoren.

Jede Wiederveröffentlichung der Texte oder von Auszügen daraus - egal ob kommerziell oder nicht - bedarf der ausdrücklichen Genehmigung durch die jeweiligen Urheberinnen oder Urheber.

Das Impressum findet sich unter: http://www.faq-o-matic.net/impressum/

Danke, dass du faq-o-matic.net nutzt. Du hast ein einfaches Blog sehr glücklich gemacht!