Mobile-Menu

Papierkorb, PowerShell und Bordmittel zur Sicherung nutzen 10 Tipps zur Datensicherung und Wiederherstellung von Active Directory

Von Thomas Joos

Anbieter zum Thema

Active Directory ist ein zentraler Dienst im Netzwerk. Die Datensicherung des Verzeichnisdienstes spielt daher eine wichtige Rolle. Wir geben in diesem Beitrag Tipps, wie auch mit Bordmitteln die Sicherung durchgeführt und Daten wiederhergestellt werden können.

Um längere Ausfälle im Netz zu vermeiden, sollte auch das Active Directory aktiv gesichert werden.
Um längere Ausfälle im Netz zu vermeiden, sollte auch das Active Directory aktiv gesichert werden.
(Bild: © Sikov - stock.adobe.com)

Wenn Objekte in Active Directory verloren gehen, zum Beispiel Computerkonten oder Benutzerkonten, kann es schnell passieren, dass ganze Serverdienste nicht mehr funktionieren. Geht eine komplette Active-Directory-Datenbank verloren, kann es durchaus passieren, dass der Betrieb eines kompletten Unternehmens gestört ist. Lassen sich die Daten aber wiederherstellen, können größere Ausfälle meist vermieden werden.

Wir haben im Beitrag „Active Directory und Domänencontroller sichern und wiederherstellen“ bereits einige Möglichkeiten der Sicherung von Active Directory beschrieben und geben hier weitere Tipps.

Bildergalerie
Bildergalerie mit 7 Bildern

1. Active-Directory-Papierkorb aktivieren

Mit dem Active-Directory-Papierkorb lassen sich gelöschte Objekte, zum Beispiel über das Active-Directory-Verwaltungscenter, wiederherstellen. Die gelöschten Objekte werden dazu in der Organisationseinheit „Deleted Objects“ gespeichert. Damit das funktioniert, muss der Active-Directory-Papierkorb zunächst für die Gesamtstruktur einmalig aktiviert werden.

Die Aktivierung findet über das Kontextmenü der Gesamtstruktur im Active-Directory-Verwaltungscenter (dsac.exe) statt. Nach der Aktivierung kann der Papierkorb nicht mehr deaktiviert werden. Ist der Papierkorb aktiviert, dann ist die Option zum Aktivieren im Active-Directory-Verwaltungsscenter ausgegraut. Dadurch kann überprüft werden, ob der Papierkorb für eine Gesamtstruktur bereits aktiviert ist. Durch die Aktivierung wird auch die OU „Deleted Objects“ eingeblendet. Hierüber lassen sich versehentlich gelöschte Objekte wiederherstellen.

2. Gelöschte Objekte aus dem Active-Directory-Papierkorb wiederherstellen

Um gelöschte Objekte aus dem Active-Directory-Papierkorb wiederherzustellen, suchen Sie zunächst das Objekt, das Sie wiederherstellen wollen. In diesem Beispiel heißt das Objekt „joost“:

Get-ADObject -Filter {Name -like “joost*”} –IncludeDeletedObjects

Um das Objekt wiederherzustellen, verwenden Sie die Pipeline, um das Suchergebnis an das Cmdlet „Restore-ADObject“ weiterzugeben.

Get-ADObject -Filter {displayName -eq “joost”} -IncludeDeletedObjects | Restore-ADObject

3. Gelöschte Objekte mit dem Active-Directory-Verwaltungscenter wiederherstellen

Wenn der Active-Directory-Papierkorb aktiviert wurde, werden im Active-Directory-Verwaltungscenter gelöschte Objekte in der OU „Deleted Objects“ angezeigt. Neben der PowerShell lassen sich die Objekte auch im Active-Directory-Verwaltungscenter über das Kontextmenü eines Objektes in der OU „Deleted Objects“ wiederherstellen. Dazu stehen die beiden Menüpunkte „Wiederherstellen“ und „Wiederherstellen in“ zur Verfügung.

4. DNS-Einträge wiederherstellen

Es kann schnell passieren, dass versehentlich DNS-Einträge auf den DNS-Servern verloren gehen. In diesem Fall funktioniert auch Active Directory nur noch sehr eingeschränkt oder gar nicht mehr. Allerdings hat Microsoft in Windows-Server einige Funktionen integriert, um diesem Problem zu begegnen.

Beim Beenden und anschließendem Neustart des Anmeldedienstes versucht Windows, selbst die Daten wieder zu reparieren. Der Vorgang kann mit „net stop netlogon“ und „net start netlogon“ durchgeführt werden. Bei diesem Vorgang versucht Windows, die Einträge aus der Datei „netlogon.dns“ aus dem Ordner „\Windows\System32\config\netlogon.dns“ neu im DNS zu registrieren.

Mit „nltest /dsregdns“ kann ebenfalls eine Wiederherstellung durchgeführt werden. Funktionieren die Maßnahmen nicht, besteht der letzte Weg darin, die DNS-Zone _msdcs zu löschen und den Vorgang erneut durchzuführen.

5. Sicherung richtig durchführen

Die Sicherung von Active Directory erfolgt zusammen mit der Sicherung vom Rest des Servers. Idealerweise sollten Domänencontroller immer komplett gesichert werden, damit bei einer Wiederherstellung alle Daten vorhanden sind.

Durch die Sicherung der Systempartition eines Domänencontrollers werden auch der Boot Configuration Data Store (BCD-Store), die Windows-Systemdateien, der Inhalt des SYSVOL-Ordners und die Active-Directory-Datenbank (ntds.dit) gesichert, inklusive der Active-Directory-Protokolldateien. Um den Systemstatus wiederherzustellen, muss der Domänencontroller im Verzeichnisdienst-Wiederherstellungsmodus gestartet werden. Die Sicherung kann auch über die interne Windows-Sicherung durchgeführt werden. Generell kann aber natürlich auch die Befehlszeile genutzt werden. Hierüber lassen sich die Daten auch auf Festplatten speichern:

wbadmin start backup -allCritical -backuptarget:<Zielfestplatte> -quiet

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Data-Storage und -Management

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

Durch Eingabe von „-quiet“ muss die Eingabe nicht bestätigt werden, sondern die Sicherung beginnt sofort. Die Sicherung sollte idealerweise täglich durchgeführt werden, in großen Umgebungen mit sehr vielen Anwendern sogar besser mehrmals täglich.

6. Wiederherstellen von Active Directory aus der Datensicherung

Soll ein Domänencontroller beim nächsten Start mit dem Verzeichnisdienst-Wiederherstellungsmodus starten, kann das in der Befehlszeile mit „bcdedit /set safeboot dsrepair“ konfiguriert werden. Mit dem Befehl „bcdedit /deletevalue safeboot“ wird das Betriebssystem wieder auf den normalen Modus gesetzt. Die Wiederherstellung kann auch mit „wbadmin.exe“ erfolgen. Dazu lassen sich die einzelnen Sicherungen auf dem Server und deren Version mit dem folgenden Befehl anzeigen:

wbadmin get versions

Anschließend wird die Wiederherstellung durchgeführt:

wbadmin start systemstaterecovery -version: <Ausgewählte Version>

7. Autoritative Wiederherstellung nutzen

Bei einer autoritativen Wiederherstellung von Objekten ist sichergestellt, dass die wiederhergestellten Objekte bei der Replikation über andere Domänencontroller im Netzwerk nicht überschrieben oder im Nachhinein gelöscht werden. Die wiederhergestellten Objekte werden auf dem entsprechenden Domänencontroller mit einer erhöhten USN gespeichert und auf die anderen Domänencontroller repliziert. Eine autoritative Wiederherstellung wird nach der Active-Directory-Wiederherstellung über die Befehlszeile und „ntdsutil“ durchgeführt:

Starten Sie „ntdsutil“
Geben Sie „activate instance ntds“ ein
Geben Sie „authoritative restore“ ein
Geben Sie den Pfad zum Objekt ein, zum Beispiel mit: restore object "CN=<Objekt>,OU=<Organisationseinheit> ,DC=<Domänencontroller>,DC=<Name der Domäne>"
(bspw. restore object "CN=Thomas Joos,OU=Einkauf ,DC=joos,DC=int")

Bildergalerie
Bildergalerie mit 7 Bildern

8. Datensicherung mit PowerShell-Skript

Von der Microsoft TechNet-Gallery kann über den Beitrag „Complete AD Disaster Backup Script“ ein PowerShell-Skript heruntergeladen werden, mit dem eine vollständige Active-Directory-Sicherung durchgeführt werden kann. Das Skript lässt sich an die eigenen Anforderungen anpassen.

9. Gruppenrichtlinien in der PowerShell sichern und wiederherstellen

Um Gruppenrichtlinien und deren Einstellungen zu sichern, steht das Cmdlet „Backup-GPO“ zur Verfügung. Wiederherstellen lassen sich Gruppenrichtlinien mit „Restore-GPO“. Die vorhandenen Gruppenrichtlinien lassen sich mit dem Cmdlet „Get-GPO -All“ anzeigen. Das Ergebnis von „Get-GPO“ kann an „Backup-GPO“ weitergegeben werden:

„Get-GPO -All | Backup-GPO -Path C:\backup\GPO“

Eine Wiederherstellung von allen GPOs erfolgt dann mit:

„Restore-GPO -All -Path C:\backup\GPO“

10. Active Directory mit Azure Backup sichern

Active Directory kann auch mit Azure Backup gesichert werden. Dazu binden Sie die Domänencontroller an Azure Backup an und sichern hierüber den Systemstatus oder den ganzen Server. Über diesen Weg kann auch eine Wiederherstellung erfolgen. Autoritative Wiederherstellungen laufen über Azure Backup auf demselben Weg ab wie bei der Wiederherstellung über die Windows-Server-Sicherung.

(ID:46823713)