Tags: Active Directory, Recovery
Eine autorisierende Wiederherstellung (Authoritative Restore) setzt ein einzelnes gelöschtes Active Directory-Objekt oder einen Container auf den Zustand vor der letzten Sicherung zurück. Sie sorgt dafür, dass die restaurierten Objekte durch die Replikation mit anderen DCs nicht wieder entfernt werden.
Die einfachste Möglichkeit, versehentlich gelöschte AD-Objekte wiederherzustellen, besteht darin, dass man es aus dem AD-Papierkorb zurückholt. Dies geht seit Server 2012 auch über die GUI-Tools und erfordert keinen umständlichen Restore aus einem Backup (siehe dazu: Papierkorb im Active Directory einrichten und nutzen).
Wiederbelebung von Thumbstones
Wurde der Papierkorb nicht aktiviert oder seine standardmäßige Aufbewahrungsfrist aus irgendeinem Grund verkürzt, dann bliebe als Alternative die Reanimation des Thumbstone-Objekts.
Dabei handelt es sich um ein Verfahren, welches vor der Einführung des AD-Papierkorbs in Windows Server 2008 R2 üblich war. Sein Nachteil besteht darin, dass durch das Löschen eine Reihe von Attributen auf der Strecke bleibt und sich auf diesem Weg nicht mehr wiederherstellen lassen.
Autorisierende vs. nicht-autorisierende Wiederherstellung
Möchte man dies jedoch vermeiden, dann bleibt als weitere Option nur mehr das Zurücksichern aus einem Backup. Dabei unterscheidet man zwischen einer autorisierenden und einer nicht-autorisierenden Wiederherstellung.
Letztere stellt das Active Directory wieder genau in dem Zustand wieder her, in dem es sich zum Zeitpunkt der Sicherung befunden hat. Diese Variante eignet sich für Umgebungen mit nur einem Domänen-Controller.
Betreibt eine Organisation jedoch mehrere DCs, dann wäre eine solche Wiederherstellung wirkungslos. Das als gelöscht markierte Objekt verfügt auf den anderen DCs über eine höhere Unique Sequence Number (USN) als jenes, das aus dem Backup eingespielt wurde. Die Replikation würde es daher beim nächsten Abgleich überschreiben.
Autoritative Wiederherstellung erhöht USN
Hier kommt die autoritative Wiederherstellung ins Spiel, weil sie die eindeutige Sequenznummer aller Attribute für das wiederhergestellte Objekt erhöht. Aufgrund der viel höheren USN wird es auf alle Domänen-Controller der Organisation repliziert, und alles, was mit dem vorherigen Objekt verknüpft war, wird überschrieben.
In diesem Beitrag zeige ich, wie man bei einer autorisierenden Wiederherstellung vorgeht, und zwar anhand einer Datensicherung, die mit dem integrierten Windows Server Backup erstellt wurde. In meinem Beispiel möchte ich Benutzer wiederherstellen, die aus dem Active Directory gelöscht wurden.
Backup zurücksichern
Der erste Schritt besteht in der Wiederherstellung des Systems aus einer Sicherungskopie. Dazu muss der Domänen-Controller im Directory Recovery Mode (abgesicherter Modus) neu gestartet werden. Diesen aktiviert man, indem man während des Neustarts die Taste F8 drückt.
Wenn die F8-Methode wegen des kurzen Zeitfensters nicht klappt, dann kann man den abgesicherten Modus auch auf andere Weise aktivieren. So bietet msconfig eine Option speziell für die AD-Reperatur.
Die Anmeldung erfolgt über den lokalen Administrator unter Verwendung von
.\administrator
Nachdem der Server in diesem Zustand nicht als DC fungiert, benötigt man das Passwort, welches man der Installation des Domänen-Controllers für den Verzeichnisdienst-Wiederherstellungsmodus (Directory Services Restore Mode, DSRM) vergeben hat.
Nach dem Logon klickt man mit der rechten Maustaste auf das Startmenü und wählt die Option Eingabeaufforderung (Administrator) bzw. PowerShell (Administrator).
Der folgende Befehl zeigt die verfügbaren Sicherungen an:
wbadmin get versions
Das nächste Kommando (gefolgt von der Option Ja) startet die Wiederherstellung unter Nutzung des ausgewählten Sicherungseintrags:
wbadmin start systemstaterecovery -version: <Version angeben>
Anschließend wird der Benutzer aufgefordert, den Computer mit der Option Ja neu zu starten.
Objekt mit ntdsutil wiederherstellen
Nach dem Reboot muss man die Eingabeaufforderung mit erhöhten Rechten erneut öffnen und den Befehl ntdsutil ausführen, um auf die Active-Directory-Datenbank (AD) zuzugreifen. Hierbei ist etwas Vorsicht geboten, deshalb sollte ntdsutil nur von erfahrenen Administratoren verwendet werden.
In der ntdsutil-Eingabeaufforderung ist folgender Befehl einzugeben:
activate instance ntds
und im Anschluss daran:
authoritative restore
Auf der Kommandozeile für die autorisierende Wiederherstellung gibt man nun den vollständigen Pfad zu dem wiederherzustellenden Objekt ein.
restore object "CN=<object name>,OU=<organizational unit> ,DC=<domain controller>,DC=<TLD>"
Dies muss mit Ja bestätigt werden, damit die Wiederherstellung startet. Nun beende ich ntdsutil mit dem Befehl quit.
In der Eingabeaufforderung muss schließlich noch der abgesicherte Modus des Servers mit folgendem Befehl deaktiviert werden:
bcdedit /deletevalue safeboot
Nach dem Neustart und der Anmeldung am Server sollte das gewünschte Objekt im Active Directory wieder vorhanden sein.
Täglich Know-how für IT-Pros mit unserem Newsletter
Carsten Schäfer ist Gründer und Inhaber von G-TAC Software in Katzweiler. Er entwickelt Software für Windows-Administratoren, darunter den FolderSecurityViewer zur Analyse von NTFS-Berechtigungen.
Verwandte Beiträge
Weitere Links
1 Kommentar
danke, schön beschrieben