Active Directory mit nicht-autoritativem Restore wiederherstellen

    , 04.10.2022
    Tags: , ,

    Active Directory LogoDie Sicherung der Domänen-Controller ist eine wich­tige Vor­sorge für das Disaster Recovery. Dabei gibt es zwei Arten von Wieder­­her­stellungen: auto­ritative und nicht-auto­ritative. Windows Server Backup unter­stützt beide Varianten. Das Betriebssystem bietet für den Restore des Active Directory einen eigenen Modus (DSRM), in den man den DC dafür booten muss.

    Die nicht-autoritative unterscheidet sich von der autoritativen Wieder­herstellung folgender­maßen:

    • Autoritative Wieder­herstellung: Ein auf diese Weise wieder­hergestellter DC gilt als Masterkopie und wird auf alle anderen DCs in der Umgebung repliziert. Ein solcher Restore wird nur in bestimmten Szenarien verwendet, etwa wenn alle anderen DCs in der Domäne zerstört wurden oder die NTDS-Datenbank beschädigt ist.
    • Nicht-autoritative Wieder­herstellung: Sie ist die weitaus häufigere Variante und setzt voraus, dass Sie noch andere Domänen-Controller mit einer intakten Active Directory-Datenbank haben. Der wiederher­gestellte DC repliziert die AD-Datenbank von den anderen DCs.

    Domain Controller sichern

    Wir können Windows Server Backup verwenden, um den Server zu sichern, der die AD DS-Rolle hostet. Für einen Domänen-Controller wählen wir die Sicherung des Systemstatus (System State). Hinweis: Ein Bare-Metal-Restore des Rechners ist damit nicht möglich.

    Die Sicherung schreibt folgende Komponenten weg:

    • Startdateien wie ntldr, ntdetect und alle durch System File Protection SFP geschützten Dateien
    • Active Directory
    • SysVol
    • Zertifikats-Server
    • Cluster-Datenbank
    • Registry
    • Klassenregistrierung für COM+

    System State Backup für die Sicherung eines DC auswählen

    Nicht-autoritative Wiederherstellung eines DCs

    Um eine nicht-autoritative Wiederherstellung von DCs durchzuführen, müssen Sie den Domänen-Controller mithilfe von msconfig.exe im Directory Services Restore Mode (DSRM) neu starten. Dabei handelt es sich um einen speziellen Modus, der Wartungsarbeiten an der Active Directory-Datenbank ermöglicht.

    Domain-Controller im Directory Services Restore Mode starten

    Läuft der DC auf einem Server Core, dann aktiviert man DSRM auf der Kommandozeile folgendermaßen:

    bcdedit /set safeboot dsrepair

    Zum normalen Boot-Vorgang kehrt man dann so zurück:

    bcdedit /deletevalue safeboot

    Nun gibt man an, wo die Sicherung des Systemstatus gespeichert ist. Da wir uns auf dem Domänen-Controller selbst befinden und das Backup lokal abgelegt ist, wählen wir die entsprechende Optionen aus, um die Server-Sicherung wieder­herzustellen.

    Mit dem nicht-autoritativen Restore beginnen

    Während wir den Assistenten durchlaufen, müssen wir die folgenden Entscheidungen treffen:

    • Speichertyp auswählen, entweder ein lokales Laufwerk oder eine entfernte Dateifreigabe
    • Sicherungsort festlegen, sobald man den Sicherungstyp ausgewählt hat
    • Server angeben, den man wiederherstellen möchte. Die Informationen werden aus den Metadaten in der System State Backup gezogen.
    • Sicherungsdatum aus dem Kalender-Widget auswählen
    • Auf dem Bildschirm Select Recovery Type die Option System state wählen.

    Typ der Wiederherstellung auswählen

    Als nächstes bestimmen Sie den Speicherort für die Wiederherstellung der Daten für den Systemstatus. Für einen Restore eines produktiv genutzten DC entscheidet man sich für den Original­speicher­ort.

    Beachten Sie die Option Perform an authoritative restore of Active Directory files. Für unseren Zweck bleibt diese deaktiviert.

    System State Recovery am ursprünglichen Speicherort

    Anschließend erhalten Sie die unten angezeigte Meldung. Sie beschreibt den nicht-autoritativen Wieder­herstellungs­prozess, der bewirkt, dass alle replizierten Inhalte auf dem lokalen Server nach der Wieder­herstellung neu synchronisiert werden.

    Informationen zu den Folgen eines nicht-autoritativen Restore

    Auf dem Bildschirm zur Bestätigung der Wieder­herstellung aktivieren Sie die Option für den Neustart und klicken dann auf Recover.

    System State Restore bestätigen und den Rechner neu starten

    Nach dem Abschluss des Vorgangs wird die unten abgebildete Meldung angezeigt, wenn Sie die Option zum automatischen Neustart des Servers nicht ausgewählt haben.

    Der Domain-Controller muss nach dem System State Recovery neu gestartet werden.

    Nach dem Reboot des DCs sollte bei der erneuten Anmeldung die folgende Meldung auf der Eingabe­aufforderung erscheinen.

    Die Wiederherstellung des Systemstatus wurde erfolgreich abgeschlossen.

    Zusammenfassung

    Das Backup eines Domänen-Controllers ist für den Notfall von wesentlicher Bedeutung, da es sich beim Active Directory in den meisten Unternehmen um eine kritische Komponente der Infrastruktur handelt. Admins sollte dabei der Unterschied zwischen einem autoritativen und nicht-autoritativen Restore bewusst sein.

    Wie gezeigt, können Sie mit Windows Server Backup die Domänen-Controller einfach sichern und wiederherstellen. Anschließend sollten die AD-Objekte korrekt zum wiederhergestellten DC repliziert werden.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Brandon Lee

    Brandon Lee ist seit mehr als 18 Jahren in der IT-Branche tätig und konzen­triert sich auf Networking und Virtua­lisie­rung. Er ver­öffent­licht auf ver­schie­denen Blogs und ver­fasst tech­nische Doku­men­ta­tionen, haupt­sächlich auf Virtualizationhowto.com.
    // Kontakt: Web, E-Mail, LinkedIn //

    Verwandte Beiträge

    Weitere Links