Papierkorb, PowerShell und Bordmittel zur Sicherung nutzen 10 Tipps zur Datensicherung und Wiederherstellung von Active Directory
Anbieter zum Thema
Active Directory ist ein zentraler Dienst im Netzwerk. Die Datensicherung des Verzeichnisdienstes spielt daher eine wichtige Rolle. Wir geben in diesem Beitrag Tipps, wie auch mit Bordmitteln die Sicherung durchgeführt und Daten wiederhergestellt werden können.

Wenn Objekte in Active Directory verloren gehen, zum Beispiel Computerkonten oder Benutzerkonten, kann es schnell passieren, dass ganze Serverdienste nicht mehr funktionieren. Geht eine komplette Active-Directory-Datenbank verloren, kann es durchaus passieren, dass der Betrieb eines kompletten Unternehmens gestört ist. Lassen sich die Daten aber wiederherstellen, können größere Ausfälle meist vermieden werden.
Wir haben im Beitrag „Active Directory und Domänencontroller sichern und wiederherstellen“ bereits einige Möglichkeiten der Sicherung von Active Directory beschrieben und geben hier weitere Tipps.
1. Active-Directory-Papierkorb aktivieren
Mit dem Active-Directory-Papierkorb lassen sich gelöschte Objekte, zum Beispiel über das Active-Directory-Verwaltungscenter, wiederherstellen. Die gelöschten Objekte werden dazu in der Organisationseinheit „Deleted Objects“ gespeichert. Damit das funktioniert, muss der Active-Directory-Papierkorb zunächst für die Gesamtstruktur einmalig aktiviert werden.
Die Aktivierung findet über das Kontextmenü der Gesamtstruktur im Active-Directory-Verwaltungscenter (dsac.exe) statt. Nach der Aktivierung kann der Papierkorb nicht mehr deaktiviert werden. Ist der Papierkorb aktiviert, dann ist die Option zum Aktivieren im Active-Directory-Verwaltungsscenter ausgegraut. Dadurch kann überprüft werden, ob der Papierkorb für eine Gesamtstruktur bereits aktiviert ist. Durch die Aktivierung wird auch die OU „Deleted Objects“ eingeblendet. Hierüber lassen sich versehentlich gelöschte Objekte wiederherstellen.
2. Gelöschte Objekte aus dem Active-Directory-Papierkorb wiederherstellen
Um gelöschte Objekte aus dem Active-Directory-Papierkorb wiederherzustellen, suchen Sie zunächst das Objekt, das Sie wiederherstellen wollen. In diesem Beispiel heißt das Objekt „joost“:
Get-ADObject -Filter {Name -like “joost*”} –IncludeDeletedObjects
Um das Objekt wiederherzustellen, verwenden Sie die Pipeline, um das Suchergebnis an das Cmdlet „Restore-ADObject“ weiterzugeben.
Get-ADObject -Filter {displayName -eq “joost”} -IncludeDeletedObjects | Restore-ADObject
3. Gelöschte Objekte mit dem Active-Directory-Verwaltungscenter wiederherstellen
Wenn der Active-Directory-Papierkorb aktiviert wurde, werden im Active-Directory-Verwaltungscenter gelöschte Objekte in der OU „Deleted Objects“ angezeigt. Neben der PowerShell lassen sich die Objekte auch im Active-Directory-Verwaltungscenter über das Kontextmenü eines Objektes in der OU „Deleted Objects“ wiederherstellen. Dazu stehen die beiden Menüpunkte „Wiederherstellen“ und „Wiederherstellen in“ zur Verfügung.
4. DNS-Einträge wiederherstellen
Es kann schnell passieren, dass versehentlich DNS-Einträge auf den DNS-Servern verloren gehen. In diesem Fall funktioniert auch Active Directory nur noch sehr eingeschränkt oder gar nicht mehr. Allerdings hat Microsoft in Windows-Server einige Funktionen integriert, um diesem Problem zu begegnen.
Beim Beenden und anschließendem Neustart des Anmeldedienstes versucht Windows, selbst die Daten wieder zu reparieren. Der Vorgang kann mit „net stop netlogon“ und „net start netlogon“ durchgeführt werden. Bei diesem Vorgang versucht Windows, die Einträge aus der Datei „netlogon.dns“ aus dem Ordner „\Windows\System32\config\netlogon.dns“ neu im DNS zu registrieren.
Mit „nltest /dsregdns“ kann ebenfalls eine Wiederherstellung durchgeführt werden. Funktionieren die Maßnahmen nicht, besteht der letzte Weg darin, die DNS-Zone _msdcs zu löschen und den Vorgang erneut durchzuführen.
5. Sicherung richtig durchführen
Die Sicherung von Active Directory erfolgt zusammen mit der Sicherung vom Rest des Servers. Idealerweise sollten Domänencontroller immer komplett gesichert werden, damit bei einer Wiederherstellung alle Daten vorhanden sind.
Durch die Sicherung der Systempartition eines Domänencontrollers werden auch der Boot Configuration Data Store (BCD-Store), die Windows-Systemdateien, der Inhalt des SYSVOL-Ordners und die Active-Directory-Datenbank (ntds.dit) gesichert, inklusive der Active-Directory-Protokolldateien. Um den Systemstatus wiederherzustellen, muss der Domänencontroller im Verzeichnisdienst-Wiederherstellungsmodus gestartet werden. Die Sicherung kann auch über die interne Windows-Sicherung durchgeführt werden. Generell kann aber natürlich auch die Befehlszeile genutzt werden. Hierüber lassen sich die Daten auch auf Festplatten speichern:
wbadmin start backup -allCritical -backuptarget:<Zielfestplatte> -quiet
Durch Eingabe von „-quiet“ muss die Eingabe nicht bestätigt werden, sondern die Sicherung beginnt sofort. Die Sicherung sollte idealerweise täglich durchgeführt werden, in großen Umgebungen mit sehr vielen Anwendern sogar besser mehrmals täglich.
6. Wiederherstellen von Active Directory aus der Datensicherung
Soll ein Domänencontroller beim nächsten Start mit dem Verzeichnisdienst-Wiederherstellungsmodus starten, kann das in der Befehlszeile mit „bcdedit /set safeboot dsrepair“ konfiguriert werden. Mit dem Befehl „bcdedit /deletevalue safeboot“ wird das Betriebssystem wieder auf den normalen Modus gesetzt. Die Wiederherstellung kann auch mit „wbadmin.exe“ erfolgen. Dazu lassen sich die einzelnen Sicherungen auf dem Server und deren Version mit dem folgenden Befehl anzeigen:
wbadmin get versions
Anschließend wird die Wiederherstellung durchgeführt:
wbadmin start systemstaterecovery -version: <Ausgewählte Version>
7. Autoritative Wiederherstellung nutzen
Bei einer autoritativen Wiederherstellung von Objekten ist sichergestellt, dass die wiederhergestellten Objekte bei der Replikation über andere Domänencontroller im Netzwerk nicht überschrieben oder im Nachhinein gelöscht werden. Die wiederhergestellten Objekte werden auf dem entsprechenden Domänencontroller mit einer erhöhten USN gespeichert und auf die anderen Domänencontroller repliziert. Eine autoritative Wiederherstellung wird nach der Active-Directory-Wiederherstellung über die Befehlszeile und „ntdsutil“ durchgeführt:
Starten Sie „ntdsutil“
Geben Sie „activate instance ntds“ ein
Geben Sie „authoritative restore“ ein
Geben Sie den Pfad zum Objekt ein, zum Beispiel mit: restore object "CN=<Objekt>,OU=<Organisationseinheit> ,DC=<Domänencontroller>,DC=<Name der Domäne>"
(bspw. restore object "CN=Thomas Joos,OU=Einkauf ,DC=joos,DC=int")
8. Datensicherung mit PowerShell-Skript
Von der Microsoft TechNet-Gallery kann über den Beitrag „Complete AD Disaster Backup Script“ ein PowerShell-Skript heruntergeladen werden, mit dem eine vollständige Active-Directory-Sicherung durchgeführt werden kann. Das Skript lässt sich an die eigenen Anforderungen anpassen.
9. Gruppenrichtlinien in der PowerShell sichern und wiederherstellen
Um Gruppenrichtlinien und deren Einstellungen zu sichern, steht das Cmdlet „Backup-GPO“ zur Verfügung. Wiederherstellen lassen sich Gruppenrichtlinien mit „Restore-GPO“. Die vorhandenen Gruppenrichtlinien lassen sich mit dem Cmdlet „Get-GPO -All“ anzeigen. Das Ergebnis von „Get-GPO“ kann an „Backup-GPO“ weitergegeben werden:
„Get-GPO -All | Backup-GPO -Path C:\backup\GPO“
Eine Wiederherstellung von allen GPOs erfolgt dann mit:
„Restore-GPO -All -Path C:\backup\GPO“
10. Active Directory mit Azure Backup sichern
Active Directory kann auch mit Azure Backup gesichert werden. Dazu binden Sie die Domänencontroller an Azure Backup an und sichern hierüber den Systemstatus oder den ganzen Server. Über diesen Weg kann auch eine Wiederherstellung erfolgen. Autoritative Wiederherstellungen laufen über Azure Backup auf demselben Weg ab wie bei der Wiederherstellung über die Windows-Server-Sicherung.
:quality(80)/images.vogel.de/vogelonline/bdb/1362300/1362330/original.jpg)
Mehr Sicherheit und Stabilität für Microsoft-Netzwerke
Active Directory und Domänencontroller sichern und wiederherstellen
(ID:46823713)