Gelöschte Objekte im Active Directory mit autorisierender Wiederherstellung zurückholen

    AD wiederherstellen mit Windows Server SicherungEine autori­sierende Wieder­herstellung (Authori­tative Restore) setzt ein einzelnes gelöschtes Active Directory-Objekt oder einen Con­tainer auf den Zu­stand vor der letzten Sicherung zurück. Sie sorgt dafür, dass die restau­rierten Objekte durch die Repli­kation mit anderen DCs nicht wieder ent­fernt werden.

    Die einfachste Möglichkeit, versehentlich gelöschte AD-Objekte wieder­herzustellen, besteht darin, dass man es aus dem AD-Papierkorb zurück­holt. Dies geht seit Server 2012 auch über die GUI-Tools und erfordert keinen umständlichen Restore aus einem Backup (siehe dazu: Papierkorb im Active Directory einrichten und nutzen).

    Wiederbelebung von Thumbstones

    Wurde der Papierkorb nicht aktiviert oder seine standard­mäßige Auf­bewahrungs­frist aus irgendeinem Grund verkürzt, dann bliebe als Alternative die Reanimation des Thumbstone-Objekts.

    Gelöschte Objekte lassen sich aus dem Papierkorb an ihrem Ursprungsort oder an anderen Positionen im AD wiederherstellen.

    Dabei handelt es sich um ein Verfahren, welches vor der Einführung des AD-Papierkorbs in Windows Server 2008 R2 üblich war. Sein Nachteil besteht darin, dass durch das Löschen eine Reihe von Attributen auf der Strecke bleibt und sich auf diesem Weg nicht mehr wiederherstellen lassen.

    Autorisierende vs. nicht-autori­sierende Wieder­herstellung

    Möchte man dies jedoch vermeiden, dann bleibt als weitere Option nur mehr das Zurück­sichern aus einem Backup. Dabei unterscheidet man zwischen einer autorisierenden und einer nicht-autori­sierenden Wieder­herstellung.

    Letztere stellt das Active Directory wieder genau in dem Zustand wieder her, in dem es sich zum Zeitpunkt der Sicherung befunden hat. Diese Variante eignet sich für Umgebungen mit nur einem Domänen-Controller.

    Betreibt eine Organisation jedoch mehrere DCs, dann wäre eine solche Wieder­herstellung wirkungs­los. Das als gelöscht markierte Objekt verfügt auf den anderen DCs über eine höhere Unique Sequence Number (USN) als jenes, das aus dem Backup eingespielt wurde. Die Replikation würde es daher beim nächsten Abgleich über­schreiben.

    Autoritative Wiederherstellung erhöht USN

    Hier kommt die autoritative Wiederherstellung ins Spiel, weil sie die eindeutige Sequenznummer  aller Attribute für das wiederhergestellte Objekt erhöht. Aufgrund der viel höheren USN wird es auf alle Domänen-Controller der Organisation repliziert, und alles, was mit dem vorherigen Objekt verknüpft war, wird überschrieben.

    In diesem Beitrag zeige ich, wie man bei einer autori­sierenden Wieder­herstellung vorgeht, und zwar anhand einer Datensicherung, die mit dem integrierten Windows Server Backup erstellt wurde. In meinem Beispiel möchte ich Benutzer wiederherstellen, die aus dem Active Directory gelöscht wurden.

    Für die Wiederherstellung des AD muss man den Systemstatus sichern.

    Backup zurücksichern

    Der erste Schritt besteht in der Wieder­herstellung des Systems aus einer Sicherungs­kopie. Dazu muss der Domänen-Controller im Directory Recovery Mode (abgesicherter Modus) neu gestartet werden.  Diesen aktiviert man, indem man während des Neustarts die Taste F8 drückt.

    Wenn die F8-Methode wegen des kurzen Zeitfensters nicht klappt, dann kann man den abgesicherten Modus auch auf andere Weise aktivieren. So bietet msconfig eine Option speziell für die AD-Reperatur.

    msconfig sieht einen eigenen abgesicherten Modus für AD-Reperaturen vor.

    Die Anmeldung erfolgt über den lokalen Administrator unter Verwendung von

    .\administrator

    Im abgesicherten Modus anmelden als lokaler Administrator

    Nachdem der Server in diesem Zustand nicht als DC fungiert, benötigt man das Passwort, welches man der Installation des Domänen-Controllers für den Verzeichnis­dienst-Wieder­herstellungs­modus (Directory Services Restore Mode, DSRM) vergeben hat.

    Nach dem Logon klickt man mit der rechten Maustaste auf das Startmenü und wählt die Option Eingabe­aufforderung (Administrator) bzw. PowerShell (Administrator).

    Der folgende Befehl zeigt die verfügbaren Sicherungen an:

    wbadmin get versions

    Das nächste Kommando (gefolgt von der Option Ja) startet die Wieder­herstellung unter Nutzung des ausgewählten Sicherungs­eintrags:

    wbadmin start systemstaterecovery -version: <Version angeben>

    Anschließend wird der Benutzer aufgefordert, den Computer mit der Option Ja neu zu starten.

    Zurücksichern eines ausgewählten System-Backups

    Objekt mit ntdsutil wiederherstellen

    Nach dem Reboot muss man die Eingabe­auf­forderung mit erhöhten Rechten erneut öffnen und den Befehl ntdsutil ausführen, um auf die Active-Directory-Datenbank (AD) zuzugreifen. Hierbei ist etwas Vorsicht geboten, deshalb sollte ntdsutil nur von erfahrenen Admini­stratoren verwendet werden.

    In der ntdsutil-Eingabe­aufforderung ist folgender Befehl einzugeben:

    activate instance ntds

    und im Anschluss daran:

    authoritative restore

    Auf der Kommando­zeile für die autorisierende Wieder­herstellung gibt man nun den voll­ständigen Pfad zu dem wieder­her­zustellenden Objekt ein.

    restore object "CN=<object name>,OU=<organizational unit> ,DC=<domain controller>,DC=<TLD>"

    Dies muss mit Ja bestätigt werden, damit die Wieder­herstellung startet. Nun beende ich ntdsutil mit dem Befehl quit.

    Autoritative Wiederherstellung eines gelöschten AD-Objekts mit ntdsutil

    In der Eingabeaufforderung muss schließlich noch der abgesicherte Modus des Servers mit folgendem Befehl deaktiviert werden:

    bcdedit /deletevalue safeboot

    Nach dem Neustart und der Anmeldung am Server sollte das gewünschte Objekt im Active Directory wieder vorhanden sein.

    1 Kommentar

    Bild von Timbo
    Timbo sagt:
    18. September 2019 - 16:15

    danke, schön beschrieben