Ermitteln, wie die Gesamtstruktur wiederhergestellt wird

  • Artikel
  • 08/16/2021
  • 12 minuten zum Lesen
    • ich
    • v
    • d
    • v
    • e
    • +5
Ist diese Seite hilfreich?

Danke.

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 und 2012 R2, Windows Server 2008 und 2008 R2

Die Wiederherstellung einer gesamten Active Directory-Gesamtstruktur umfasst entweder die Wiederherstellung aus der Sicherung oder die Neuinstallation von Active Directory-Domänendiensten (AD DS) auf jedem Domänencontroller (DC) in der Gesamtstruktur. Wiederherstellen der Gesamtstruktur stellt den Status jeder Domäne in der Gesamtstruktur zum Zeitpunkt der letzten vertrauenswürdigen Sicherung wieder her. Folglich führt der Wiederherstellungsvorgang zum Verlust mindestens der folgenden Active Directory-Daten:

  • Alle Objekte (z. B. Benutzer und Computer), die nach der letzten vertrauenswürdigen Sicherung hinzugefügt wurden
  • Alle Aktualisierungen, die seit der letzten vertrauenswürdigen Sicherung an vorhandenen Objekten vorgenommen wurden
  • Alle Änderungen, die seit der letzten vertrauenswürdigen Sicherung entweder an der Konfigurationspartition oder an der Schemapartition in AD DS vorgenommen wurden (z. B. Schemaänderungen)

Für jede Domäne in der Gesamtstruktur wird ein Domänenadministratorkonto muss bekannt sein. Vorzugsweise ist dies das Kennwort des integrierten Administratorkontos. Sie müssen auch das DSRM-Kennwort kennen, um eine Systemstatuswiederherstellung eines DC durchzuführen. Im Allgemeinen empfiehlt es sich, den Administratorkonto- und DSRM-Kennwortverlauf an einem sicheren Ort zu archivieren, solange die Sicherungen gültig sind, d. h. innerhalb der Tombstone-Lebensdauer oder innerhalb der Lebensdauer des gelöschten Objekts, wenn der Active Directory-Papierkorb aktiviert ist. Sie können das DSRM-Kennwort auch mit einem Domänenbenutzerkonto synchronisieren, um die Erinnerung zu erleichtern. Weitere Informationen finden Sie im KB-Artikel 961320. Die Synchronisierung des DSRM-Kontos muss als Teil der Vorbereitung vor der Wiederherstellung der Gesamtstruktur erfolgen.

Hinweis

Das Administratorkonto ist standardmäßig Mitglied der integrierten Gruppe Administratoren, ebenso wie die Gruppen Domänenadministratoren und Unternehmensadministratoren. Diese Gruppe hat die volle Kontrolle über alle DCs in der Domäne.

Festlegen der zu verwendenden Sicherungen

Sichern Sie regelmäßig mindestens zwei beschreibbare DCs für jede Domäne, sodass Sie mehrere Sicherungen zur Auswahl haben. Beachten Sie, dass Sie die Sicherung eines schreibgeschützten Domänencontrollers (RODC) nicht zum Wiederherstellen eines beschreibbaren DC verwenden können. Es wird empfohlen, das DCs mithilfe von Sicherungen wiederherzustellen, die einige Tage vor dem Auftreten des Fehlers erstellt wurden. Im Allgemeinen müssen Sie einen Kompromiss zwischen der Aktualität und der Sicherheit der wiederhergestellten Daten ermitteln. Die Auswahl einer aktuelleren Sicherung stellt nützlichere Daten wieder her, kann jedoch das Risiko erhöhen, dass gefährliche Daten wieder in die wiederhergestellte Gesamtstruktur eingeführt werden.

Das Wiederherstellen von Systemstatussicherungen hängt vom ursprünglichen Betriebssystem und Server der Sicherung ab. Beispielsweise sollten Sie eine Systemstatussicherung nicht auf einem anderen Server wiederherstellen. In diesem Fall wird möglicherweise die folgende Warnung angezeigt:

„Das angegebene Backup stammt von einem anderen Server als dem aktuellen. Es wird nicht empfohlen, eine Systemstatuswiederherstellung mit der Sicherung auf einem alternativen Server durchzuführen, da der Server möglicherweise unbrauchbar wird. Sind Sie sicher, dass Sie dieses Backup für die Wiederherstellung des aktuellen Servers verwenden möchten?“

Wenn Sie Active Directory auf anderer Hardware wiederherstellen müssen, erstellen Sie vollständige Serversicherungen und planen Sie eine vollständige Serverwiederherstellung.

Wichtig

Ab Windows Server 2008 wird die Wiederherstellung der Systemstatussicherung auf einer Neuinstallation von Windows Server auf neuer oder derselben Hardware nicht mehr unterstützt. Wenn Windows Server auf derselben Hardware neu installiert wird, wie später in diesem Handbuch empfohlen, können Sie den Domänencontroller in dieser Reihenfolge wiederherstellen:

  1. Führen Sie eine vollständige Serverwiederherstellung durch, um das Betriebssystem sowie alle Dateien und Anwendungen wiederherzustellen.
  2. Führen Sie eine Systemstatuswiederherstellung mit wbadmin durch.exe, um SYSVOL als maßgebend zu markieren.

Weitere Informationen finden Sie im Microsoft KB-Artikel 249694.

Wenn der Zeitpunkt des Auftretens des Fehlers unbekannt ist, untersuchen Sie weiter, um Sicherungen zu identifizieren, die den letzten sicheren Status der Gesamtstruktur enthalten. Dieser Ansatz ist weniger wünschenswert. Daher wird dringend empfohlen, täglich detaillierte Protokolle über den Integritätszustand von AD DS zu führen, damit bei einem gesamtstrukturweiten Fehler der ungefähre Fehlerzeitpunkt ermittelt werden kann. Sie sollten auch eine lokale Kopie der Sicherungen aufbewahren, um eine schnellere Wiederherstellung zu ermöglichen.

Wenn der Active Directory-Papierkorb aktiviert ist, entspricht die Lebensdauer der Sicherung dem Wert deletedObjectLifetime oder dem Wert tombstoneLifetime, je nachdem, welcher Wert niedriger ist. Weitere Informationen finden Sie unter Schritt-für-Schritt-Anleitung zum Active Directory-Papierkorb (https://go.microsoft.com/fwlink/?LinkId=178657).

Alternativ können Sie auch das Active Directory Database Mounting Tool (Dsam) verwenden.exe) und ein Lightweight Directory Access Protocol (LDAP)-Tool wie Ldp.exe- oder Active Directory-Benutzer und -Computer, um zu ermitteln, welche Sicherung den letzten sicheren Status der Gesamtstruktur aufweist. Das Active Directory-Datenbankeinbringungstool, das in Windows Server 2008 und späteren Windows Server-Betriebssystemen enthalten ist, macht Active Directory-Daten, die in Sicherungen oder Snapshots gespeichert sind, als LDAP-Server verfügbar. Anschließend können Sie ein LDAP-Tool verwenden, um die Daten zu durchsuchen. Dieser Ansatz hat den Vorteil, dass Sie keinen DC im Verzeichnisdienstwiederherstellungsmodus (Directory Services Restore Mode, DSRM) neu starten müssen, um den Inhalt der Sicherung von AD DS zu untersuchen.

Weitere Informationen zur Verwendung des Active Directory-Datenbank-Mountingtools finden Sie in der Schritt-für-Schritt-Anleitung des Active Directory-Datenbank-Mountingtools.

Sie können auch den Befehl ntdsutil snapshot verwenden, um Snapshots der Active Directory-Datenbank zu erstellen. Durch die Planung einer Aufgabe zum regelmäßigen Erstellen von Snapshots können Sie im Laufe der Zeit zusätzliche Kopien der Active Directory-Datenbank abrufen. Sie können diese Kopien verwenden, um besser zu erkennen, wann der gesamtstrukturweite Fehler aufgetreten ist, und dann die beste Sicherung für die Wiederherstellung auswählen. Verwenden Sie zum Erstellen von Snapshots die mit Windows Server 2008 gelieferte Version von ntdsutil oder die Remoteserver-Verwaltungstools (RSAT) für Windows Vista oder höher. Auf dem Ziel-DC kann eine beliebige Version von Windows Server ausgeführt werden. Weitere Informationen zur Verwendung des Befehls ntdsutil snapshot finden Sie unter Snapshot.

Bestimmen, welche Domänencontroller wiederhergestellt werden sollen

Die Leichtigkeit des Wiederherstellungsprozesses ist ein wichtiger Faktor bei der Entscheidung, welcher Domänencontroller wiederhergestellt werden soll. Es wird empfohlen, für jede Domäne einen dedizierten DC zu haben, der der bevorzugte DC für eine Wiederherstellung ist. Ein dedizierter Wiederherstellungs-DC erleichtert die zuverlässige Planung und Ausführung der Gesamtstrukturwiederherstellung, da Sie dieselbe Quellkonfiguration verwenden, die für die Durchführung von Wiederherstellungstests verwendet wurde. Sie können die Wiederherstellung skripten und nicht mit verschiedenen Konfigurationen kämpfen, z. B. ob der DC Betriebsmasterrollen enthält oder nicht oder ob es sich um einen GC- oder DNS-Server handelt oder nicht.

Hinweis

Es wird zwar aus Gründen der Einfachheit nicht empfohlen, einen Operations Master-Rolleninhaber wiederherzustellen, Einige Organisationen können sich jedoch aus anderen Gründen für die Wiederherstellung entscheiden. Das Wiederherstellen des RID-Masters kann beispielsweise dazu beitragen, Probleme beim Verwalten von RIDs während der Wiederherstellung zu vermeiden.

Wählen Sie einen DC, der die folgenden Kriterien am besten erfüllt:

  • Ein DC, der beschreibbar ist. Dies ist obligatorisch.

  • Ein DC, auf dem Windows Server 2012 als virtuelle Maschine auf einem Hypervisor ausgeführt wird, der VM-GenerationID unterstützt. Dieser DC kann als Quelle für das Klonen verwendet werden.

  • Ein DC, auf den entweder physisch oder in einem virtuellen Netzwerk zugegriffen werden kann und der sich vorzugsweise in einem Rechenzentrum befindet. Auf diese Weise können Sie es während der Wiederherstellung der Gesamtstruktur problemlos vom Netzwerk isolieren.

  • Ein DC mit einem guten vollständigen Server-Backup. Ein gutes Backup ist ein Backup, das erfolgreich wiederhergestellt werden kann, einige Tage vor dem Fehler erstellt wurde und so viele nützliche Daten wie möglich enthält.

  • Ein DC, der vor dem Ausfall ein DNS-Server (Domain Name System) war. Dies spart Zeit für die Neuinstallation von DNS.

  • Wenn Sie auch Windows-Bereitstellungsdienste verwenden, wählen Sie einen DC aus, der nicht für die Verwendung der BitLocker-Netzwerkfreischaltung konfiguriert ist. In diesem Fall wird die BitLocker-Netzwerkfreischaltung nicht für den ersten DC unterstützt, den Sie während einer Gesamtstrukturwiederherstellung aus der Sicherung wiederherstellen.

    BitLocker Network Unlock as the only key protector kann nicht auf DCs verwendet werden, in denen Sie Windows Deployment Services (WDS) bereitgestellt haben, da dies zu einem Szenario führt, in dem für den ersten DC Active Directory und WDS erforderlich sind, um die Entsperrung zu ermöglichen. Bevor Sie jedoch den ersten DC wiederherstellen, ist Active Directory für WDS noch nicht verfügbar, sodass es nicht entsperrt werden kann.

    Um festzustellen, ob ein DC für die Verwendung der BitLocker-Netzwerkfreischaltung konfiguriert ist, überprüfen Sie, ob im folgenden Registrierungsschlüssel ein Netzwerkfreischaltungszertifikat angegeben ist:

    HKEY_LOCAL_MACHINESOFTWAREPOLICIESMICROSOFTSYSTEMZERTIFIKATEFVE_NKP

Pflegen Sie Sicherheitsverfahren bei der Handhabung oder Wiederherstellung von Sicherungsdateien, die Active Directory enthalten. Die Dringlichkeit, die mit der Wiederherstellung von Wäldern einhergeht, kann unbeabsichtigt dazu führen, dass Best Practices für die Sicherheit übersehen werden. Weitere Informationen finden Sie im Abschnitt „Einrichten von Sicherungs- und Wiederherstellungsstrategien für Domänencontroller“ in Best Practice Guide for Securing Active Directory Installations and Day-to-Day Operations: Part II.

Ermitteln der aktuellen Gesamtstrukturstruktur und der DC-Funktionen

Ermitteln Sie die aktuelle Gesamtstrukturstruktur, indem Sie alle Domänen in der Gesamtstruktur identifizieren. Erstellen Sie eine Liste aller DCs in jeder Domäne, insbesondere der DCs mit Sicherungen und virtualisierten DCs, die eine Quelle für das Klonen sein können. Eine Liste der DCs für die Stammdomäne der Gesamtstruktur ist am wichtigsten, da Sie diese Domäne zuerst wiederherstellen. Nachdem Sie die Stammdomäne der Gesamtstruktur wiederhergestellt haben, können Sie mithilfe von Active Directory-Snap-Ins eine Liste der anderen Domänen, DCs und Standorte in der Gesamtstruktur abrufen.

Bereiten Sie eine Tabelle vor, die die Funktionen jedes DC in der Domäne zeigt, wie im folgenden Beispiel gezeigt. Auf diese Weise können Sie nach der Wiederherstellung zur Konfiguration der Gesamtstruktur vor dem Ausfall zurückkehren.

DC-Name Betriebssystem FSMO GC RODC Sicherung DNS Serverkern VM VM-GenID
DC_1 Windows Server 2012 Schemamaster, Domänenbenennungsmaster Ja Nein Ja Nein Nein Ja Ja
DC_2 Windows Server 2012 Keine Ja Nein Ja Ja Nein Ja Ja
DC_3 Windows Server 2012 Infrastrukturmaster Nein Nein Nein Ja Ja Ja Ja
DC_4 Windows Server 2012 PDC-Emulator, RID-Master Ja Nein Nein Nein Nein Ja Nein
DC_5 Windows Server 2012 Keine Keine Keine Ja Ja Nein Ja Ja
RODC_1 Windows Server 2008 R2 Keine Ja Ja Ja Ja Ja Ja >Nein
RODC_2 Windows Server 2008 Keine Ja Ja Nein Ja Ja Ja Nein

Identifizieren Sie für jede Domäne in der Gesamtstruktur einen einzelnen beschreibbaren DC, der über eine vertrauenswürdige Sicherung der Active Directory-Datenbank für diese Domäne verfügt. Seien Sie vorsichtig, wenn Sie ein Backup zum Wiederherstellen eines DC auswählen. Wenn der Tag und die Ursache des Fehlers ungefähr bekannt sind, wird allgemein empfohlen, ein Backup zu verwenden, das einige Tage vor diesem Datum erstellt wurde.

In diesem Beispiel gibt es vier Sicherungskandidaten: DC_1, DC_2, DC_4 und DC_5. Von diesen Backup-Kandidaten stellen Sie nur einen wieder her. Der empfohlene DC ist DC_5 aus folgenden Gründen:

  • Es erfüllt die Anforderungen für die Verwendung als Quelle für das virtualisierte DC-Klonen, dh es führt Windows Server 2012 als virtuelles DC auf einem Hypervisor aus, der VM-GenerationID unterstützt, und führt Software aus, die geklont werden darf (oder die entfernt werden kann, wenn sie nicht geklont werden kann). Nach der Wiederherstellung wird die PDC-Emulatorrolle diesem Server zugewiesen und kann der Gruppe Cloneable Domain Controllers für die Domäne hinzugefügt werden.
  • Es läuft eine vollständige Installation von Windows Server 2012. Ein DC, auf dem eine Server Core-Installation ausgeführt wird, kann als Ziel für die Wiederherstellung weniger geeignet sein.
  • Es ist ein DNS-Server. Daher muss DNS nicht neu installiert werden.

Hinweis

Da DC_5 kein globaler Katalogserver ist, hat es auch den Vorteil, dass der globale Katalog nach der Wiederherstellung nicht entfernt werden muss. Aber ob der DC auch ein globaler Katalogserver ist oder nicht, ist kein entscheidender Faktor, da ab Windows Server 2012 alle DCs standardmäßig globale Katalogserver sind und das Entfernen und Hinzufügen des globalen Katalogs nach der Wiederherstellung in jedem Fall als Teil des Gesamtstrukturwiederherstellungsprozesses empfohlen wird.

Isolierte Wiederherstellung der Gesamtstruktur

Das bevorzugte Szenario besteht darin, alle beschreibbaren DCs herunterzufahren, bevor der erste wiederhergestellte DC wieder in Produktion gebracht wird. Dadurch wird sichergestellt, dass keine gefährlichen Daten in die wiederhergestellte Gesamtstruktur repliziert werden. Es ist besonders wichtig, alle Operations Master-Rolleninhaber herunterzufahren.

Hinweis

Es kann vorkommen, dass Sie den ersten DC, den Sie für jede Domäne wiederherstellen möchten, in ein isoliertes Netzwerk verschieben, während andere DCs online bleiben, um Systemausfallzeiten zu minimieren. Wenn Sie beispielsweise eine Wiederherstellung nach einem fehlgeschlagenen Schema-Upgrade durchführen, können Sie festlegen, dass Domänencontroller im Produktionsnetzwerk ausgeführt werden, während Sie Wiederherstellungsschritte isoliert ausführen.

Wenn Sie virtualisierte DCs ausführen, können Sie diese in ein virtuelles Netzwerk verschieben, das vom Produktionsnetzwerk isoliert ist, in dem Sie die Wiederherstellung durchführen. Das Verschieben virtualisierter DCs in ein separates Netzwerk bietet zwei Vorteile:

  • Wiederhergestellte DCs werden am erneuten Auftreten des Problems gehindert, das die Wiederherstellung der Gesamtstruktur verursacht hat, da sie isoliert sind.
  • Virtualisiertes DC-Klonen kann im separaten Netzwerk durchgeführt werden, sodass eine kritische Anzahl von DCs ausgeführt und getestet werden kann, bevor sie wieder in das Produktionsnetzwerk gebracht werden.

Wenn Sie DCs auf physischer Hardware ausführen, trennen Sie das Netzwerkkabel des ersten DC, den Sie in der Gesamtstrukturstammdomäne wiederherstellen möchten. Wenn möglich, trennen Sie auch die Netzwerkkabel aller anderen DCs. Dies verhindert, dass DCs repliziert werden, wenn sie versehentlich während des Wiederherstellungsprozesses der Gesamtstruktur gestartet werden.

In einer großen Gesamtstruktur, die über mehrere Standorte verteilt ist, kann es schwierig sein, sicherzustellen, dass alle beschreibbaren DCs heruntergefahren werden. Aus diesem Grund sollen die Wiederherstellungsschritte — wie das Zurücksetzen des Computerkontos und des krbtgt—Kontos sowie die Metadatenbereinigung – sicherstellen, dass die wiederhergestellten beschreibbaren DCs nicht mit gefährlichen beschreibbaren DCs repliziert werden (falls einige noch in der Gesamtstruktur online sind).

Nur wenn Sie beschreibbare DCs offline schalten, können Sie jedoch garantieren, dass keine Replikation stattfindet. Daher sollten Sie, wann immer möglich, Remoteverwaltungstechnologie bereitstellen, die Ihnen beim Herunterfahren und physischen Isolieren der beschreibbaren DCs während der Wiederherstellung der Gesamtstruktur helfen kann.

DCs können weiterhin betrieben werden, während beschreibbare DCs offline sind. Kein anderer DC wird Änderungen aus einem RODC direkt replizieren – insbesondere keine Schema— oder Konfigurationscontaineränderungen -, sodass sie während der Wiederherstellung nicht das gleiche Risiko darstellen wie beschreibbare DCs. Nachdem alle beschreibbaren DCs wiederhergestellt und online sind, sollten Sie alle DCS neu erstellen.

RODCs ermöglichen weiterhin den Zugriff auf lokale Ressourcen, die an ihren jeweiligen Standorten zwischengespeichert werden, während die Wiederherstellungsvorgänge parallel ausgeführt werden. Für lokale Ressourcen, die nicht auf dem RODC zwischengespeichert sind, werden Authentifizierungsanforderungen an einen beschreibbaren DC weitergeleitet. Diese Anforderungen schlagen fehl, da beschreibbare DCs offline sind. Einige Vorgänge wie Kennwortänderungen funktionieren auch erst, wenn Sie beschreibbare DCs wiederherstellen.

Wenn Sie eine Hub-and-Spoke-Netzwerkarchitektur verwenden, können Sie sich zunächst auf die Wiederherstellung der beschreibbaren DCs in den Hub-Sites konzentrieren. Später können Sie die RODCs an entfernten Standorten neu erstellen.

  • Wiederherstellung der Gesamtstruktur – Voraussetzungen
  • Wiederherstellung der Gesamtstruktur – Erstellen eines benutzerdefinierten Wiederherstellungsplans für die Gesamtstruktur
  • Wiederherstellung der Gesamtstruktur – Identifizieren des Problems
  • Wiederherstellung der Gesamtstruktur – Bestimmen der Wiederherstellung
  • Wiederherstellung der Gesamtstruktur – Erste Wiederherstellung durchführen
  • Wiederherstellung der Gesamtstruktur – Verfahren
  • AD-Gesamtstrukturwiederherstellung – Häufig gestellte Fragen
  • AD-Gesamtstrukturwiederherstellung – Wiederherstellen einer einzelnen Domäne in einer Gesamtstruktur mit mehreren Domänen
  • AD-Gesamtstrukturwiederherstellung – Gesamtstrukturwiederherstellung mit Windows Server 2003-Domänencontrollern

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.