Tags: Active Directory, Disaster Recovery, Backup
Die Sicherung der Domänen-Controller ist eine wichtige Vorsorge für das Disaster Recovery. Dabei gibt es zwei Arten von Wiederherstellungen: autoritative und nicht-autoritative. Windows Server Backup unterstützt beide Varianten. Das Betriebssystem bietet für den Restore des Active Directory einen eigenen Modus (DSRM), in den man den DC dafür booten muss.
Die nicht-autoritative unterscheidet sich von der autoritativen Wiederherstellung folgendermaßen:
- Autoritative Wiederherstellung: Ein auf diese Weise wiederhergestellter DC gilt als Masterkopie und wird auf alle anderen DCs in der Umgebung repliziert. Ein solcher Restore wird nur in bestimmten Szenarien verwendet, etwa wenn alle anderen DCs in der Domäne zerstört wurden oder die NTDS-Datenbank beschädigt ist.
- Nicht-autoritative Wiederherstellung: Sie ist die weitaus häufigere Variante und setzt voraus, dass Sie noch andere Domänen-Controller mit einer intakten Active Directory-Datenbank haben. Der wiederhergestellte DC repliziert die AD-Datenbank von den anderen DCs.
Domain Controller sichern
Wir können Windows Server Backup verwenden, um den Server zu sichern, der die AD DS-Rolle hostet. Für einen Domänen-Controller wählen wir die Sicherung des Systemstatus (System State). Hinweis: Ein Bare-Metal-Restore des Rechners ist damit nicht möglich.
Die Sicherung schreibt folgende Komponenten weg:
- Startdateien wie ntldr, ntdetect und alle durch System File Protection SFP geschützten Dateien
- Active Directory
- SysVol
- Zertifikats-Server
- Cluster-Datenbank
- Registry
- Klassenregistrierung für COM+
Nicht-autoritative Wiederherstellung eines DCs
Um eine nicht-autoritative Wiederherstellung von DCs durchzuführen, müssen Sie den Domänen-Controller mithilfe von msconfig.exe im Directory Services Restore Mode (DSRM) neu starten. Dabei handelt es sich um einen speziellen Modus, der Wartungsarbeiten an der Active Directory-Datenbank ermöglicht.
Läuft der DC auf einem Server Core, dann aktiviert man DSRM auf der Kommandozeile folgendermaßen:
bcdedit /set safeboot dsrepair
Zum normalen Boot-Vorgang kehrt man dann so zurück:
bcdedit /deletevalue safeboot
Nun gibt man an, wo die Sicherung des Systemstatus gespeichert ist. Da wir uns auf dem Domänen-Controller selbst befinden und das Backup lokal abgelegt ist, wählen wir die entsprechende Optionen aus, um die Server-Sicherung wiederherzustellen.
Während wir den Assistenten durchlaufen, müssen wir die folgenden Entscheidungen treffen:
- Speichertyp auswählen, entweder ein lokales Laufwerk oder eine entfernte Dateifreigabe
- Sicherungsort festlegen, sobald man den Sicherungstyp ausgewählt hat
- Server angeben, den man wiederherstellen möchte. Die Informationen werden aus den Metadaten in der System State Backup gezogen.
- Sicherungsdatum aus dem Kalender-Widget auswählen
- Auf dem Bildschirm Select Recovery Type die Option System state wählen.
Als nächstes bestimmen Sie den Speicherort für die Wiederherstellung der Daten für den Systemstatus. Für einen Restore eines produktiv genutzten DC entscheidet man sich für den Originalspeicherort.
Beachten Sie die Option Perform an authoritative restore of Active Directory files. Für unseren Zweck bleibt diese deaktiviert.
Anschließend erhalten Sie die unten angezeigte Meldung. Sie beschreibt den nicht-autoritativen Wiederherstellungsprozess, der bewirkt, dass alle replizierten Inhalte auf dem lokalen Server nach der Wiederherstellung neu synchronisiert werden.
Auf dem Bildschirm zur Bestätigung der Wiederherstellung aktivieren Sie die Option für den Neustart und klicken dann auf Recover.
Nach dem Abschluss des Vorgangs wird die unten abgebildete Meldung angezeigt, wenn Sie die Option zum automatischen Neustart des Servers nicht ausgewählt haben.
Nach dem Reboot des DCs sollte bei der erneuten Anmeldung die folgende Meldung auf der Eingabeaufforderung erscheinen.
Zusammenfassung
Das Backup eines Domänen-Controllers ist für den Notfall von wesentlicher Bedeutung, da es sich beim Active Directory in den meisten Unternehmen um eine kritische Komponente der Infrastruktur handelt. Admins sollte dabei der Unterschied zwischen einem autoritativen und nicht-autoritativen Restore bewusst sein.
Wie gezeigt, können Sie mit Windows Server Backup die Domänen-Controller einfach sichern und wiederherstellen. Anschließend sollten die AD-Objekte korrekt zum wiederhergestellten DC repliziert werden.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Veeam Data Platform 23H2 integriert Ransomware-Erkennung
- Veeam bringt Backup & Replication 12 mit Direct-to-Object-Storage, MFA, PostgreSQL-Support
- Im Test: Office 365 sichern mit Nakivo Backup & Replication
- Veeam kündigt B&R v12, Backup for M365 v7 und Backup für Salesforce an
- Notfallzugriff für Microsoft 365 (Break Glass Account) einrichten
Weitere Links