Sicherheit durch Authentifizierung – das bietet Active Directory (AD) seit rund 25 Jahren für geschäftskritische Anwendungen und ist somit als Fundament für Unternehmensnetzwerke nicht mehr wegzudenken. Diese bedeutende Rolle macht den Verzeichnisdienst aber auch hochrelevant für IT-Sabotage und Ransomware-Angriffe.
Im Gastbeitrag erläutert Christian Kubik von Commvault, wie Unternehmen sicherstellen, dass im Ernstfall eine erfolgreiche Wiederherstellung des Active Directory Forest gelingt.
(Bild: Gemini / KI-generiert)
Den Active Directory Forest wiederherzustellen, ist alles andere als einfach. Gelingen kann dies am besten, wenn die Verantwortlichen für Datensicherung und Datensicherheit vorab die Wiederherstellung planen, testen und eine Automatisierung der komplexen, aber auch der zahlreichen repetitiven Prozesse möglich ist. Zusätzlich ist es entscheidend, eine detaillierte Dokumentation und einen regelmäßig getesteten Notfallplan zum Wiederherstellen der gesamten Active-Directory-Umgebung griffbereit zu haben.
Im Ernstfall eines Cyberangriffs oder eines Ausfalls ist eine unverzügliche, lauffähige und einwandfreie Instandsetzung der Verzeichnisstruktur inklusive aller vorhandenen Verknüpfungen und Abhängigkeiten essenziell. Jedoch ist eine solche Recovery ein umfangreiches, komplexes und daher äußerst fehlerträchtiges Verfahren. Deshalb ist eine Cyber-Resilienz-Plattform sinnvoll, die einzelne Maßnahmen nach Möglichkeit und Wunsch automatisiert ausführt und nicht nur das Verfahren beschleunigt, sondern auch die Wahrscheinlichkeit für Fehler verringert.
Denn die Aufgabe ist durchaus komplex. Das Active Directory wächst mit der IT-Historie. Die Gesamtstruktur des Active Directory Forest untergliedert sich oftmals in mehrere miteinander verbundene Domänen. Diese werden jeweils von verschiedenen Domänen-Controllern unterstützt. Innerhalb der einzelnen Domäne gibt es eine ausdifferenzierte Hierarchie von Benutzern, Computern, Organisationseinheiten, Gruppen, Gruppenrichtlinien und den jeweiligen Rechten. Somit ist es durchaus aufwändig, einen Active Directory Forest wiederherzustellen. Dabei können menschliche Fehler sehr schnell passieren.
Recovery-Plan für die Active-Directory-Gesamtstruktur
Eine dieser Aufgabe entsprechende Wiederherstellung des Active Directory baut auf folgenden drei Schritten auf:
1. Vorausplanung
Um einen Disaster-Recovery- (DR) oder Cyber-Recovery-Plan (CR) zu definieren und zu dokumentieren, sollten sich die Verantwortlichen zunächst folgende Fragen stellen:
Was gehört zur AD-Architektur einer Organisation? In welche Domänen untergliedert sich die Gesamtstruktur, und in welchem Vertrauensverhältnis stehen sie zueinander?
Welche Elemente der IT-Infrastruktur müssen so schnell wie möglich wieder funktionieren, damit die IT-Abfolgen für die Kernprozesse gelingen? Ein Minimum-Viable-Ansatz zur Bewertung der IT-Assets hilft Unternehmen, das digitale Notfallpaket an Daten, Systemen und Infrastruktur abzustecken und zu bestimmen, welche Systeme, Daten und Applikationen vorrangig wieder einsatzbereit sein müssen.
Welche Wechselbeziehungen der AD-Infrastruktur sind am wichtigsten? Welche Geschäftsanwendungen sind von der Active Directory abhängig?
Im nächsten Schritt sollten IT-Administratoren herausfinden, mit welchen Arten von Sicherungskopien für Domänen-Controller sie ihren Plan zur Wiederherstellung am besten umsetzen können. Dies sollte nicht erst im Ernstfall geschehen, denn dann muss alles schnell gehen. Damit die Backup-Strategie aufgeht, sollten die Entscheider für Cyber-Resilienz alle Beteiligten mit ins Boot holen. Gemeinsam erreichen sie die beste Strategie, indem sie diese proaktiv festlegen, implementieren und anschließend regelmäßig erproben.
Um geeignete Backups für eine erfolgreiche Wiederherstellung anzulegen, sollten Unternehmen folgende Punkte beachten:
Die erste Aufgabe für IT-Verantwortliche ist es, sich für eine Art der Sicherungskopie zu entscheiden. Diese hängt vom Recovery-Plan ab. In vielen Fällen genügen System-State-Backups des Domänen-Controllers. Bisweilen sind aber auch vollständige Server-Sicherungen erforderlich.
Ein Wiederherstellungsplan sollte ein In-Place-Restore des Active Directory vorsehen, um gegebenenfalls einer Korruption des Active-Directory-Schemas entgegenzuwirken. Ebenso ist ein eventuell notwendiger Out-of-Place-Restore vorzubedenken. Letzteres ist bei einem Rebuild nach einem Ransomware-Angriff entscheidend.
Ihre AD-Topologie sollten Unternehmen in der AD-Umgebung festhalten. Ein solches Inventar umfasst die Server mit kritischen Rollen, wie DNS-Server, globale Kataloge, FSMO-Rollen (Flexible Single Master Operation) auf Gesamtstrukturebene (Domain Naming Master, Schema Master) und FSMO-Rollen auf Domänenebene (PDC-Emulator, RID Master, Infrastructure Master).
VM-Snapshots genügen nicht, um Domänen-Controller wieder instandzusetzen. Das liegt an der Multi-Master-Natur des Active Directory. Es sind dutzende komplexer Hygieneschritte nötig, die zu festgelegten Zeitpunkten stattfinden müssen, um die Wiederherstellung umzusetzen. Würden mehrere Domänen-Controller aus Snapshots reproduziert, bestünde das Risiko von Inkonsistenzen.
Mehrere redundante Domänen-Controller-Sicherungskopien sind eine zwingende Voraussetzung für den Erfolg einer Recovery.
3. Umfangreiche Hygieneaufgaben
Die eigentliche Wiederherstellung von AD-Daten aus Backups macht nur 20 Prozent aller Aufgaben für eine gelungene Recovery aus. Weitere Abläufe sind notwendig, um die operativen Rollen im Active Directory passgenau zu koordinieren. Recovery-Pläne sollten deshalb folgende Punkte berücksichtigen:
Anleitungen von Microsoft definieren alle nötigen Detailaufgaben und deren richtige Reihenfolge. Diese müssen die IT-Teams bei einer Recovery einhalten.
Administratoren müssen jedoch wichtige Entscheidungen treffen, die von der AD-Konfiguration abhängen. Um diese korrekt zu treffen, sollten entsprechende Notizen hinterlegt sein.
Es empfiehlt sich, alle drei bis sechs Monate einen Probedurchlauf einer Recovery der Gesamtstruktur in einer geschlossenen DR-Umgebung zu machen. Unternehmen können so ihren Plan überprüfen und aufgrund von Veränderungen an der AD-Architektur gegebenenfalls anpassen.
Drei Stufen der Wiederherstellung
Wenn die Architektur des Active Directory zahlreiche Domänen umfasst und eine über verschiedene Zweigstellen, Länder, Regionen und sogar Erdteile verteilte Benutzerbasis unterstützt, lässt sich ein AD-Forest-Recovery-Ansatz in drei verschiedene Phasen gliedern:
Erste Phase: Der erste Domänen-Controller wird für jede AD-Domäne wiederhergestellt
Erste Phase.
(Bild: Commvault)
Zunächst geht es darum, den ersten Controller im Forest aus dem Backup wiederherzustellen. So können die Verantwortlichen Vertrauensbeziehungen kontrollieren, die Replikation bestätigen und grundlegende Administrationsvorgänge (zum Beispiel das Erstellen neuer Objekte) austesten. Auf diese Weise stellen IT-Verantwortliche sicher, dass alle Rollen korrekt neu konfiguriert sind.
Zweite Phase: Weitere Domänen-Controller wiederherstellen
Zweite Phase.
(Bild: Commvault)
So können die Verantwortlichen zügig eine funktionstüchtige AD-Mindestinfrastruktur einrichten. Mit solch einem Minimalpaket ist es möglich, den Bedarf zur Authentifikation für unternehmenskritische Anwendungen abzudecken und Nutzer in verschiedenen geographischen Zonen zu unterstützen.
Zuletzt gilt es, die Architektur des Active Directory auf den Stand vor dem Vorfall zu bringen. Dies ist durch das Herabstufen und erneute Hochstufen von Domänen-Controllern aus der ursprünglichen Gesamtstruktur oder durch das Hochstufen neuer Server möglich. Ein neuer Domänenkontroller erstellt eine Kopie der kompletten AD-Datenbank von seinen nächstgelegenen Replikationspartnern.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Schnellere Wiederherstellung des Active Directory durch Automatisierung
Eine vollständig automatisierte Wiederherstellung einer AD ist nicht möglich. Kommt es zu einem Vorfall, ist es sehr schwierig, den kompletten AD-Forest manuell rasch wieder einsatzfähig zu machen, wenn das Active Directory aus zahlreichen Domänen und Regionen besteht. Dennoch ist es empfehlenswert, möglichst viele Abläufe der Wiederherstellung zu automatisieren und auf diese Weise schneller voranzutreiben.
Christian Kubik, Director Sales Engineering DACH bei Commvault.
(Bild: Commvault)
Automatisierte Forest-Recovery-Runbooks können zum Beispiel die verschiedenen Stufen des mehrteiligen Ablaufs aufeinander abstimmen, der für die Recovery des Active Directory Forests unentbehrlich ist. Sie eignen sich auch für kontinuierliche Tests, die außerhalb der Produktionsumgebungen stattfinden. Entscheidend für eine Recovery des Active Directory Forest sind geprüfte Sicherheitskopien sowie eine gute Dokumentation und Anleitungen im Backup-Plan. Mit dieser Vorbereitung im Rücken sitzen Unternehmen im Falle eines Ausfalls des Active Directory schnell wieder im Sattel.
* Der Autor: Christian Kubik, Director Sales Engineering DACH bei Commvault
Aktuelles E-Book
Ransomware-Schutz durch Object Lock und WORM
E-Book „Ransomware-Schutz“
(Bild: Storage-Insider)
Um ein Storage-System effektiv von Ransomware-Angriffen zu schützen, bieten sich neben Backup/Disaster Recovery und Verschlüsselung vor allem Object Lock und WORM an. Das gelingt nicht nur im eigenen Haus, sondern auch in der Hybrid-Cloud.