Vermeiden Sie DC-Wiederherstellungsprobleme mit der autorisierenden Wiederherstellung

In den meisten Fällen ist das Wiederherstellen eines Backups ein ziemlich trockener Vorgang. Das Wiederherstellen einzelner Dateien ist wirklich nicht allzu kompliziert. Es kann jedoch etwas schwierig werden, wenn Sie am Ende einen Domänencontroller wiederherstellen müssen. Lassen Sie uns einen Blick darauf werfen, warum dies der Fall ist und wie Sie das gewünschte Ergebnis beim Wiederherstellen eines DC erzielen.
Warum sind Domänencontroller schwierig?
Wie die meisten Administratoren wissen, enthalten Domänencontroller eine Kopie der Active Directory-Datenbank. Interessant ist, dass eine Domäne normalerweise mehrere Domänencontroller enthält und Windows versucht, diese Domänencontroller synchron zu halten. Dieser Synchronisationsprozess kann problematisch sein.
Jedes Mal, wenn eine Änderung an der Active Directory-Datenbank vorgenommen wird, wird dieser Änderung eine Nummer zugewiesen. Eine Änderung kann alles umfassen, vom Erstellen eines Benutzerkontos über das Löschen einer Gruppe bis hin zum Ändern der Attribute eines Objekts. Die Nummern, die bei einer Änderung zugewiesen werden, sind fortlaufend, sodass Windows erkennen kann, in welcher Reihenfolge die Änderungen vorgenommen wurden.

Wenn Sie einen Domänencontroller wiederherstellen, wird die Active Directory-Datenbank dieses Domänencontrollers auf den Status zurückgesetzt, in dem sie sich zum Zeitpunkt der Sicherung befand. Nach Abschluss der Wiederherstellung überprüft Windows die Nummer, die der letzten an diesem Domänencontroller vorgenommenen Änderung zugewiesen wurde, und vergleicht sie mit den Änderungen, die an anderen Domänencontrollern vorgenommen wurden. Alle Änderungen, die seit der Sicherung am Active Directory vorgenommen wurden, werden dann über einen aufgerufenen Prozess von einem der anderen Domänencontroller auf den neu wiederhergestellten Domänencontroller repliziert Hinterfüllung. Durch das Zurückfüllen wird schließlich die Kopie der AD-Datenbank des neu wiederhergestellten Domänencontrollers auf den neuesten Stand gebracht.
Das Hinterfüllen hat jedoch einige Nachteile. Angenommen, Sie löschen versehentlich eine Reihe von Benutzerkonten. Sie können die Sicherung eines Domänencontrollers wiederherstellen, um diese Konten wiederherzustellen, aber Windows löscht sie tatsächlich erneut. Der Rückfüllprozess bestätigt das Löschen dieser Konten als eine Änderung, die seit der Sicherung aufgetreten ist. Daher löscht Windows die neu wiederhergestellten Benutzerkonten, um die neu wiederhergestellte Datenbank auf den aktuellen Stand zu bringen.
Sie können dieses Problem umgehen, indem Sie eine maßgebliche Wiederherstellung. Bei einer autorisierenden Wiederherstellung werden wiederhergestellten Daten neue Sequenznummern zugewiesen. Daher repliziert Windows die neu wiederhergestellten Daten auf die anderen Domänencontroller, anstatt die neu wiederhergestellten Daten durch Daten überschreiben zu lassen, die von den anderen Domänencontrollern repliziert werden.
Durchführen einer autorisierenden Wiederherstellung
Das Durchführen einer autorisierenden Wiederherstellung eines DC erfordert ein spezielles Verfahren. Als erstes müssen Sie den Server im Verzeichnisdienst-Wiederherstellungsmodus starten. Starten Sie dazu einfach den Server neu und drücken Sie in den frühesten Phasen des Startvorgangs F8, um auf das Menü Windows Advanced Options zuzugreifen. Wenn Sie aufgefordert werden, eine Option auszuwählen, wählen Sie die Option Verzeichnisdienst-Wiederherstellungsmodus.

Weitere Informationen zum Sichern und Wiederherstellen von Active Directory

Diamanten sind für immer, aber keine AD-BackupsWiederherstellen gelöschter oder “Tombstoned” -Objekte in Active Directory

Der nächste Teil des Wiederherstellungsprozesses ist wahrscheinlich das, was Sie erwarten würden. Sie müssen eine Systemstatuswiederherstellung durchführen. Wenn Sie NTBACKUP verwenden, müssen Sie die erweiterten Wiederherstellungsoptionen auf “Sicherheitseinstellungen wiederherstellen”, “Verbindungspunkte wiederherstellen” (jedoch nicht auf die Ordner oder Dateien, auf die sie verweisen) und “Vorhandene Volume-Bereitstellungspunkte beibehalten” einstellen.
Nach Abschluss der Wiederherstellung werden Sie aufgefordert, Ihren Server neu zu starten. Wenn Sie eine durchführen nicht autorisierende Wiederherstellung, dann starten Sie einfach den Computer neu. Wenn Sie jedoch eine autorisierende Wiederherstellung durchführen möchten, müssen Sie noch einige Arbeiten ausführen.
Um den Vorgang abzuschließen, öffnen Sie ein Eingabeaufforderungsfenster und geben Sie den Befehl NTDSUTIL ein. Anschließend zeigt Windows eine NTDSUTIL-Eingabeaufforderung an. Sie müssen jetzt den Befehl AUTHORITATIVE RESTORE eingeben und Windows mitteilen, welchen Teil des Active Directory Sie als autorisierend markieren möchten. Sie können ein einzelnes Objekt oder einen gesamten Teilbaum autorisierend wiederherstellen. Dazu verwenden Sie einen der folgenden Befehle, gefolgt vom definierten Namen des Objekts oder Teilbaums, den Sie wiederherstellen möchten. Der definierte Name muss in Anführungszeichen gesetzt werden.

Objekt "Distinguished Name" wiederherstellen

Wiederherstellen des Teilbaums "Distinguished Name"

Hier ist ein Beispiel, wie Sie den Befehl verwenden würden, um einen Teilbaum wiederherzustellen:

Teilbaum wiederherstellen "OU = Finanzen, DC = Contoso, DC = Com"

NTDSUTIL zeigt nun einen Text an, der angibt, ob das Objekt oder der Teilbaum für eine autorisierende Wiederherstellung markiert wurde. Wenn Sie zufällig eine Fehlermeldung erhalten, überprüfen Sie noch einmal, ob Sie den definierten Namen korrekt eingegeben und die Anführungszeichen eingefügt haben.
Wenn Sie Windows Server 2003 ausführen ohne Service Packs>, dann musst du Zurückverknüpfte Daten manuell wiederherstellen.
Wenn Sie Windows Server 2003 mit verwenden SP1 oder höherNTDSUTIL teilt Ihnen jedoch mit, ob eines der Objekte, die Sie für eine autorisierende Wiederherstellung markiert haben, Backlinks enthält. Wenn Backlinks gefunden werden, sieht der angezeigte Text ungefähr so ​​aus:

3 Datensätze erfolgreich aktualisiert.
Die folgende Textdatei mit einer Liste autorisativ wiederhergestellter Objekte wurde im aktuellen Arbeitsverzeichnis erstellt: ar_20050209-091249_objects.txt

Ein oder mehrere angegebene Objekte haben Backlinks in dieser Domäne. Die folgenden LDIF-Dateien mit Linkwiederherstellungsvorgängen wurden im aktuellen Arbeitsverzeichnis erstellt: ar_20050209-091249_links_contoso.com.ldf

Autorisierende Wiederherstellung erfolgreich abgeschlossen.

Wie Sie im obigen Text sehen können, hat NTDSUTIL eine TXT-Datei und eine LDF-Datei erstellt. In den meisten Fällen müssen Sie sich nicht um die Textdatei kümmern, sondern um Sie muss notieren des Namens der LDF-Datei.
Verwenden Sie zu diesem Zeitpunkt den Befehl QUIT, um NTDSUTIL zu beenden und den Server neu zu starten. Wenn der Server wieder hochgefahren wird, geben Sie dem Active Directory Zeit zum Replizieren. Wenn Sie erzwingen möchten, dass der Replikationsprozess schneller abgeschlossen wird, können Sie den folgenden Befehl verwenden:

Name des Repadmin / Syncall-Domänencontrollers / e / d / A / P / q

Wenn der Name Ihres Domänencontrollers beispielsweise DC1 lautet, sieht der Befehl folgendermaßen aus:

repadmin / syncall DC1 / e / d / A / P / q

Um nun Gruppenmitgliedschaften für zuvor gelöschte Objekte wiederherzustellen, müssen Sie alle Backlinks wiederherstellen. Geben Sie dazu den folgenden Befehl ein:

LDIFDE –I –K –F Dateiname

In diesem speziellen Fall würde der Befehl folgendermaßen aussehen:

LDIFDE –I –K –F ar_20050209-091249_links_contoso.com.ldf

Um den Vorgang abzuschließen, wiederholen Sie diesen Befehl auf einem Domänencontroller in jeder Domäne, die ein Objekt (normalerweise eine Gruppe) enthält, das zuvor mit einem kürzlich wiederhergestellten Objekt verknüpft war.

Brien M. PoseyMCSE ist ein Microsoft Most Valuable Professional für seine Arbeit mit Windows 2000 Server, Exchange Server und IIS. Er war CIO einer landesweiten Kette von Krankenhäusern und war einst für die IT-Sicherheit von Fort Knox verantwortlich. Er schreibt regelmäßig für SearchWinComputing.com und andere TechTarget-Websites.

Similar Posts

Leave a Reply