In dem Buch „Windows Server 2003 – Die Expertentipps“ wird eine Beispieldomäne namens contoso.com verwendet, in der es eine Menge Objekte gibt. Für Testzwecke können sicher viele Admins solche Demodaten auch gut gebrauchen. Sie stehen jetzt zum Download zur Verfügung:

  Contoso-Domänenobjekte für AD-Demos (8,6 KiB, 6.403-mal heruntergeladen, letzte Änderung am 13. Mai 2007)

… weiterlesen

Vorabversionen von Windows Server 2008 sind jetzt allgemein verfügbar. Neben vielen interessanten Features rückt damit auch eine neue Windows-Variante in den Blickpunkt: Windows Server Core, ein Windows-Server, der auf das Allernötigste abgespeckt ist. Server Core ist kein separates Produkt, sondern eine Installationsvariante, die mit jeder erhältlichen Edition von Windows Server 2008 eingerichtet werden kann.

Server Core eignet sich nur für wenige spezielle Serverrollen, die insbesondere in Außenstellen interessant sein können: Dateiserver, Druckserver, Anmelde- und Infrastrukturdienste sowie einige Kleinigkeiten mehr. Einen Überblick über das neue Server-Windows im Allgemeinen sowie über Server Core im Speziellen bietet mein iX-Artikel aus der Mai-Ausgabe 2007, der auch vollständig online verfügbar ist (http://www.heise.de/ix/artikel/2007/05/106/). Aktuelle Korrektur dazu: Seit der Beta 3 (und damit wohl auch im Endprodukt) sind auch Druckdienste möglich.

… weiterlesen

(Dies ist die am 28. Februar 2009 überarbeitete Fassung des Artikels, der ursprünglich auf der Beta 3 von Windows Server 2008 beruhte.)

Ein feines Feature ist im Windows Server 2008 verfügbar. Es können Snapshots der Active-Directory-Datenbank gemacht werden um später, evtl. im Falle einer versehentlichen Löschung von Objekten, den alten Zustand zu prüfen.

Diese Informationen sind ein unschätzbarer Vorteil bei der Wiederherstellung („Reanimierung“) von AD-DS-Objekten aus dem Tombstone-Bereich. BuiltIn- und 3rd-Party-Tools ermöglichen die Reanimierung eines gelöschten Objekts in Verbindung mit der Ergänzung der verlorenen Attribute aus dem Snapshot.

Um dieses Feature zu verwenden, sind folgende Schritte notwendig:

Snapshot erzeugen (regelmäßig z.B. wöchentlich per Taskplaner)

• Snapshot mounten oder eine ältere Version des AD DS aus dem Backup wiederherstellen (natürlich an eine alternative Stelle im Dateisystem)
• Snaphot oder wiederhergestelltes AD DS bereitstellen
• Inhalt mit LDP, „adsiedit.msc“ oder AD Benutzer & Computer analysieren

Snapshot erzeugen

Der AD Snapshot wird mit „ntdsutil“ erzeugt:

ntdsutil: snapshot
snapshot: activate instance NTDS
snapshot: create
Creating snapshot ...
Snapshot set {4ec66502-d944-4290-b6b5-62c3dbfee9a2} generated successfully.

Dieser Zustand ist jetzt festgehalten und kann später immer wieder zu Vergleichen herangezogen werden.

Abbildung 1: Snapshot mit „ntdsutil“ erzeugen

Snapshot finden und mounten

Ein Snapshot der AD-DS-Datenbank kann jetzt im Dateisystem bereitgestellt werden. Alle vorhandenen Snapshots können aufgelistet werden, um den richtigen zu finden:

snapshot: list all

Der „list all“-Befehl nummeriert alle vorhandenen Snapshots durch. Der „mount“ des Snapshots kann sehr einfach mit der laufenden Nummer durchgeführt werden. Ob man jetzt die „11″ oder die „12″ nimmt spielt keine Rolle.

snapshot: mount 11
Snapshot {ef83f91c-4324-47a2-a2ff-b8e1f99075ae} mounted as C:\$SNAP_200704291352_VOLUMEC$\

Abbildung 2: Snapshot mit „ntdsutil“ mounten

Abbildung 3: Vom Snapshot bereitgestellte AD DS Datenbank

Den Zustand der AD-DS-Datenbank kann man in dem $snap..\windows\ntds Verzeichnis mit „esentutl /mh ntds.dit“ prüfen. Dort sollte die „ntds.dit“ den Zustand „clean shutdown“ besitzen.

Abbildung 4: AD-DS-Datenbank ist „clean shutdown“

Snapshot AD DS Bereitstellen

Nachdem jetzt die Datenbankdatei bereitgestellt wurde, kann ein temporärer Verzeichnisprozess gestartet werden. Dazu wird „dsamain.exe“ verwendet. Man denkt sich dabei eine Portnummer aus, die noch von keinem anderen Prozess verwendet wird, und legt ein temporäres Verzeichnis an, das als Logverzeichnis verwendet wird.

„dsamain“ erhöht die Portnummern für die weiteren drei notwendigen Ports einfach um „eins“. Diese weiteren Ports können natürlich auch als Befehlszeilenoption von „dsamain“ angegeben werden, „dsamain /?“ hilft.

dsamain -dbpath C:\$SNAP_200802161155_VOLUMEC$\Windows\NTDS\ntds.dit
       -logpath c:\temp
       -ldapport 15000

Abbildung 5: Snapshot der AD DS Datenbank bereitgestellt

Inhalt mit LDP prüfen

Jetzt kann man sich mit LDP zum LDAP-Port (in diesem Fall Port 15000) verbinden und in aller Seelenruhe den AD-DS-Zustand im Snapshot begutachten.

Abbildung 6: Verbinden mit LDP (hier Port: 15000)

Abbildung 7: Analysieren mit LDP

Inhalt mit „adsiedit.msc“ oder AD Benutzer & Computer prüfen

Nicht nur „ldp“ gibt die alten Informationen her. Auch „adsiedit.msc“ oder AD Benutzer & Computer können verwendet werden.

Abbildung 8: Analysieren mit „adsiedit.msc“

Abbildung 9: Analysieren mit AD Benutzer & Computer

Objekt reanimieren und aus dem Snapshot vervollständigen

In diesem Zustand kann die Information aus dem bereitgestellten Snapshots verwendet werden, um ein reanimiertes Objekt mit den Snapshot Informationen zu vervollständigen. „oirecmgr“ von http://www.one-identity.net/tools/snapshot/ bietet diese Möglichkeit. Als Identifikator des wiederherzustellenden Objekts dient dessen GUID. Diese GUID kann entweder aus dem Snapshot ermittelt werden oder auch aus dem Live-AD-DS, wenn man die gelöschten Objekte anzeigt.

Abbildung 10: ObjectGUID eines Benutzers

Diese GUID wird nun zur Reanimierung verwendet. Nach der Reanimierung werden alle Attribute und Gruppenmitgliedschaft automatisch aus dem Snapshot übernommen.

oirecmgr -o cf114d4c-c536-4c7c-9a8c-4d38540ec181 -sh longhorn:15000 -ol -real

Abbildung 11: Reanimierung und Zuordnung der Attribute aus dem Snapshot

Aufräumen

Nachdem die notwendigen Informationen aus dem Snapshot gewonnen wurden, kann die Bereitstellung des Snapshots aufgehoben werden. Folgende Schritte sind dazu notwendig:

• dsamain mit ctrl-c beenden

• Snapshot dismounten (wieder mit "ntdsutil")

snapshot: list mounted
1: 2008/02/16:11:55 {4ec66502-d944-4290-b6b5-62c3dbfee9a2}
2: C: {41e10137-c425-403f-b42f-64f99a466b4a} C:\$SNAP_200802161155_VOLUMEC$\
snapshot : unmount 1
Snapshot {41e10137-c425-403f-b42f-64f99a466b4a} unmounted.

Abbildung 12: Beenden von „dsamain“ mit Ctrl-C

Abbildung 13: Snapshot mit „ntdsutil“ dismounten

Snapshots verwalten

Im „snapshot“-Kontext von „ntdsutil“ gibt es noch die Kommandos:

• list all: um alle Snapshots anzuzeigen
• list mounted: um alle bereitgestellten Snapshots anzuzeigen
• delete: um einzelne Snapshots zu löschen

AD DS Daten aus einer Datensicherung wiederherstellen

Im Normalbetrieb eines DC wird hoffentlich regelmäßig eine Datensicherung des AD DS durchgeführt. Die AD-DS-Datenbank muss nicht unbedingt durch einen Snapshop bereitgestellt werden. Auch die „ntds.dit“ aus der Sicherung kann wie ein Snapshot gemountet werden. Zu diesem Zweck stellt man die „ntds.dit“ an einer alternativen Stelle im Dateisystem bereit.

Abbildung 14: Bereitstellen der „ntds.dit“ aus der Datensicherung

Jetzt kann man, wie ab dem Punkt „Snapshot AD DS Bereitstellen“ beschrieben, fortfahren und diese „ntds.dit“ bereitstellen.

Active Directory nutzt zur Steuerung seiner Replikation so genannte Standorte (Sites). Ein Standort repräsentiert dabei einen zusammenhängenden Netzwerkbereich mit hoher Bandbreite. Üblicherweise wird ein geografischer Standort eines Unternehmens als AD-Standort definiert, weil verschiedene Standorte meist mit Leitungen geringer Bandbreite verbunden sind. Auf der Netzwerkebene wird ein Standort gebildet aus einem oder mehreren IP-Subnetzen, die nur an dem jeweiligen Standort genutzt werden. Mehr zu diesem Konzept beschreiben z. B. folgende Artikel:

… weiterlesen

Vista wird viel gescholten: Es gebe kaum Treiber, alte Hardware könne man nicht damit nutzen, und überhaupt sei ja alles unausgegoren und langsam. Offen gestanden, kann ich fast nichts davon aus eigener Erfahrung bestätigen. Jüngst konnte ich mit etwas Community-Hilfe sogar zwei scheinbar aussichtslose Fälle lösen und alte Hardware zur Mitarbeit bewegen – Comsumergeräte, keine High-End-Ware mit erweitertem Herstellersupport. Die Beschreibung ist vielleicht auch in anderen Fällen hilfreich.

… weiterlesen

Active Directory speichert die Informationen über alle Domänen seines Forests in der Konfigurationspartition. In deren Container "Partitions" ist für jede beteiligte Domäne ein Objekt der Klasse "crossRef" gespeichert, in dem einige Basisinformationen zu den Domänen abgelegt sind. Auf diese Weise kann der gesamte Forest schnell dargestellt werden, ohne dass alle Domänen einzeln abgeklappert werden müssen.

… weiterlesen

Es ist gar nicht so einfach, alle Domänencontroller (DC) aufzulisten, die gleichzeitig auch Global Catalog Server (GC) sind. Allerdings gibt es gleich mehrere Möglichkeiten, die je nach Situation genutzt werden können. Einerseits erlaubt das AD-Doku-Werkzeug José im jüngsten Release, die DC-Sonderfunktionen anzuzeigen. Da José aber auf umfassende Dokumentationen ausgelegt ist, zeigt er immer alle Computerkonten an (oder gar keine), sodass je nach Aufgabenstellung viel zu viel ausgegeben wird. Eine zweite Möglichkeit nutzt DNS und die Tatsache, dass alle GCs einer Domäne sich mit ihrer IP-Adresse in dem DNS-Eintrag "gc" verewigen. Das folgende Kommando in einem CMD-Fenster zeigt also die gewünschten Server an:

… weiterlesen

ReadPol.vbs liest und schreibt (!) registry.pol-Dateien, die in Gruppenrichtlinien verwendet werden. Mit readpol.vbs in Verbindung mit GPMC-Scripting sind Administratoren in der Lage, die Erstellung von Gruppenrichtlinien vollständig zu automatisieren. Zusätzlich bietet es einen einfachen Weg, „Zusätzl. Reg.-einst.“ aus GPOs wieder loszuwerden. Das sind „verwaiste“ Registry-Keys, die in den ADM-Vorlagen nicht mehr vorhanden sind. Normalerweise wird man die nur los, indem man entweder die GPO komplett neu erstellt oder ein passendes ADM dazu schreibt – ärgerlich …

… weiterlesen

Das Erstellungsdatum eines Benutzerobjekts kann aus dem Active Directory abgefragt werden. Das Attribut, in dem das Datum gespeichert wird, nennt sich When-Created und wird auf andere Domänencontroller sowie in den globalen Katalog (Global Catalog, GC) repliziert.
http://msdn2.microsoft.com/en-us/library/ms680924.aspx

… weiterlesen

So leistungsfähig Active Directory ist: Leider sind die mit Windows 2000 und 2003 gelieferten Verwaltungswerkzeuge nicht immer so praktisch, wie man es sich wünscht. Insbesondere die Dokumentation des Verzeichnisses ist mit den mitgelieferten Programmen nicht besonders gut zu bewerkstelligen. Hier setzt José an: Er liest das Verzeichnis einer Domäne von oben nach unten aus und berücksichtigt dabei alle Verschachtelungen der Ordnerstruktur. Informationen über Benutzerkonten, Gruppen, Kontakte, Computer, Drucker und andere Daten werden in einer HTML-Datei übersichtlich ausgegeben. Diese Datei lässt sich zu Dokumentationszwecken als Snapshot archivieren.

José legt Wert auf einfache Bedienung und große Konfigurierbarkeit: Um einen Standardbericht anzufertigen, einfach das Programm aufrufen (Doppelklick auf „jose.hta“), den Button klicken und ein paar Momente warten. Sollen nur bestimmte Informationen angezeigt werden, lässt sich jedes vorgesehene Datenfeld abschalten. Sind mehr Daten gewünscht, lassen sich Felder hinzuschalten.

José liest das Verzeichnis nur aus und ändert nichts daran. Es lässt sich von jedem Windows-2000-, XP-, 2003-, Vista- oder 2008-Computer aufrufen, der Mitglied einer Active-Directory-Domäne ist. Und, klar: José ist kostenlos.

Gewähr und Support leiste ich aber natürlich nicht!

Co-Autor: Nils Weinhold
Vermutlich ist es genau das, wovon man als … naja … Hobby-Programmierer träumt. Man bastelt sich ein kleines Tool, veröffentlicht es, und ungefragt kommt jemand daher und macht einfach mit. So ist es mir mit José ergangen: Eines Tages bekam ich eine Mail von Nils Weinhold (kein Fake – er hat wirklich denselben Vornamen wie ich), der José verbessert hatte, um es im Job einzusetzen. Die Änderungen waren ziemlich klasse, und daher habe ich sie von Nils übernmmen (ich liebe solche Wortspiele).

Es gibt eine neue Version von José. Bitte nutze die Suchfunktion!