Logo Swiss IT Reseller
MEDIADATEN
ABONNIEREN
NEWSLETTER

Active Directory zuverlässig wiederherstellen

In der letzten Ausgabe haben wir gezeigt, wie man Active Directory zuverlässig sichern kann. Dies ist allerdings nur die halbe Miete: Ein Backup nützt nur dann, wenn man über eine zuverlässige Strategie verfügt, Daten aufgrund der Sicherung wiederherzustellen.

Artikel erschienen in Swiss IT Magazine 2007/10

     

Der Restore des Active Directory lässt sich grundsätzlich auf zwei unterschiedliche Arten bewerkstelligen. Die einfachere ist die nicht massgebende Wiederherstellung, also das «non-authoritative restore». Deutlich komplizierter ist die massgebende Wiederherstellung, und sie erfordert daher auch wesentlich mehr Planungsaufwand. Ausserdem gibt es einige ergänzende, interessante Ansätze und Planungsmassnahmen für die Sicherung und Wiederherstellung, die gegen Ende dieses Artikels erläutert werden.


Die nicht massgebende Wiederherstellung

Bei der nicht massgebenden Wiederherstellung wird das Active Directory auf einem Domänencontroller in dem Zustand der letzten Sicherung wiederhergestellt. Die seit dem letzten Betrieb angefallenen Änderungen werden von anderen Domänencontrollern repliziert. Dieser Ansatz ist immer dann geeignet, wenn es Probleme mit dem Active Directory auf einem Domänencontroller oder dem darunterliegenden Betriebssystem gab. Solange man nicht gezielt einzelne Informationen wiederherstellen muss, ist es der probate Ansatz.


Bei jeder Form der Wiederherstellung muss der Start des
Systems im Modus Verzeichnisdienstwiederherstellung erfolgen. Dabei wird das Active Directory nicht geladen. Wenn das Active Directory läuft, ist ein Restore unmöglich, da in Benutzung befindliche Dateien überschrieben werden müssten. Durch Drücken von F8 beim Systemstart gelangt man zu einer Auswahlliste, über den dieser spezielle Restore-Modus gestartet werden kann.



Die Anmeldung muss mit dem Wiederherstellungskennwort für das Active Directory erfolgen, das bei der ersten Einrichtung des Active Directory konfiguriert wurde. Alternativ kann das System auch über den Eintrag /SAFEBOOT:DSREPAIR in diesem Modus gestartet werden, den man nach erfolgter Wiederherstellung natürlich wieder entfernen muss.


Der eigentliche Restore erfolgt anschliessend durch das Einspielen der gesicherten Dateien. Da im Wiederherstellungsmodus mit der grafischen Oberfläche gearbeitet wird, stehen diese Anwendungen in gewohnter Weise zur Verfügung. Nach erfolgter Wiederherstellung muss man nur noch die Funktionalität überprüfen, bevor man den Domänencontroller wieder nutzen kann. Allerdings sollte man je nach Topologie der Active-Directory-Infrastruktur einige Minuten oder auch Stunden – bei WAN-Verbindungen – einkalkulieren, bis der Domänencontroller durch die Replikation wieder auf dem aktuellen Stand ist. Bei Bedarf können Replikationsprozesse mit dem Replication Monitor aus den Windows-Support-Tools auch manuell angestossen werden.


Die massgebende Wiederherstellung

Die massgebende Wiederherstellung als der deutlich komplexere Ansatz setzt zunächst voraus, dass man das Active Directory auf dem Domänencontroller in gleicher Weise wie bei der nicht massgebenden Wiederherstellung wieder auf den zuletzt gesicherten Stand bringt.


Das Werkzeug dafür ist ntdsutil.exe. Diese Anwendung wird an der Befehlszeile des Domänencontrollers geladen. Mit dem Befehl authoritative restore kann anschliessend der Prozess der Wiederherstellung gestartet werden. Bei diesem gibt es eine Reihe von Optionen. Die wichtigsten dabei sind restore database, restore object und restore subtree. Mit der ersten Anweisung wird das Active Directory komplett von dieser Sicherung wiederhergestellt. Es werden also alle Änderungen, die zwischenzeitlich auf anderen Domänencontrollern erfolgt sind, überschrieben. Das ist dann sinnvoll, wenn es gravierende Probleme im Active Directory gibt, die man durch das Zurücksetzen auf einen älteren, gesicherten und funktionierenden Stand beheben möchte.



Die zweite Variante erlaubt die gezielte Auswahl einzelner Objekte. Dazu muss der DN (Distinguished Name) des Objekts als Parameter angegeben werden. Das ist hilfreich, wenn man beispielsweise ein einzelnes, versehentlich gelöschtes Benutzerobjekt wiederherstellen möchte. Allerdings sind bei der Wiederherstellung von Benutzern ein paar spezielle Punkte bezüglich der Gruppenmitgliedschaften zu beachten. Grundsätzlich lassen sich so alle Objekte im Active Directory, als auch Gruppen, Computerkonten und andere wiederherstellen. Nur bei Gruppenrichtlinienobjekten (GPOs, Group Policy Objects) muss man mit der GPMC (Group Policy Management Console) für die Sicherung und Wiederherstellung arbeiten.
Schliesslich können auch Teilbäume wiederhergestellt werden, was mit der dritten Variante gesteuert wird. Auch hier muss der DN des Baums angegeben werden. Diese Form des Restore ist beispielsweise hilfreich, wenn man Objekte in einem ganzen Teilbaum gelöscht hat und diese wiederherstellen möchte.


Wiederherstellen von einzelnen Usern

Die eigentliche Vorgehensweise für die massgebende Wiederherstellung ist, wenn man die DNs kennt, nicht sonderlich komplex. Die DNs kann man häufig auf einem anderen Domänencontroller einfach über ADSI Edit ermitteln. Es gibt aber durch logische Abhängigkeiten, insbesondere zwischen Benutzerobjekten und Gruppen, doch einige spezifische Herausforderungen.


Für diese gab es sowohl mit dem Windows Server 2003 als auch dem Service Pack 1 für den Windows Server 2003 wichtige Anpassungen. Mit dem Windows Server 2003 wurde das Konzept der LVR (Linked Value Replication) eingeführt. Im Gegensatz zu Windows 2000 werden nicht mehr alle Einträge zu Gruppen als Gesamtheit repliziert, sondern einzelne Änderungen selektiv. Damit ist es ab dem Windows Server 2003 auch möglich, Informationen zur Gruppenmitgliedschaft bei der Wiederherstellung selektiv zu beeinflussen, also nur einzelne Gruppenzugehörigkeiten wiederherzustellen.



Bei Windows 2000 gibt es diese Möglichkeit nicht. Und bei Domänen, die von Windows 2000 auf den Windows Server 2003 migriert wurden, wird LVR nur bei den Gruppen unterstützt, die nach der Heraufstufung des Domänenmodus angelegt wurden. Wenn also der Windows Server 2003 genutzt wird, die Domänen aber noch im nativen Windows-2000-Modus betrieben werden, kann man die Vorteile der LVR ebenfalls nicht nutzen. Wenn man ohne LVR arbeitet, entsteht ein Problem dadurch, dass man die Gruppenmitgliedschaften entweder manuell setzen oder die kompletten Mitgliederinformationen einer Gruppe überschreiben müsste. Durch die LVR lassen sich aber die Anpassungen für das einzelne, wiederhergestellte Benutzerobjekt gezielt durchführen.


Restore von mehreren Benutzern

Während sich die Herausforderung mit den Gruppenmitgliedschaften bei einzelnen Benutzern auch manuell lösen lässt, entsteht bei der Wiederherstellung vieler Benutzer, die beispielsweise versehentlich gelöscht wurden, das Problem, dass dieser Vorgang sehr aufwendig wäre.


Mit dem Befehl create ldif file from %s% kann nun zunächst eine Analyse der Abhängigkeiten erfolgen, mit der dann die korrekte Wiederherstellung durchgeführt wird. Dieser Schritt wird nach der massgeblichen Zurücksicherung, aber vor einem Neustart des Domänencontrollers durchgeführt. Die LDIF-Datei enthält anschliessend die Informationen zu den Gruppenmitgliedschaften. Als Input wird eine Objektliste, also eine Liste der wiederhergestellten Benutzerobjekte, verwendet. Diese wird als Textdatei geliefert. Auf dem Domänencontroller muss sie nach dem Start mit ldifde –i –k –f [dateiname] eingelesen werden.



Schon dieser Teil macht deutlich, dass die massgebliche Wiederherstellung im Active Directory ausgesprochen komplex ist. Sie setzt in jedem Fall eine vorherige Planung voraus, um zu wissen, wie man welche Objekte oder Gruppen von Objekten in welcher Situation wiederherstellen kann. Da der Restore typischerweise sehr schnell gehen muss, kann man nicht erst nach dem Eintritt eines Datenverlustes beginnen, sich mit den komplexen Vorgehensweisen zu beschäftigen.


Active Directory Fast Recovery

Ein ganz anderer Ansatz für die Sicherung und Wiederherstellung des Active Directory ist das Active Directory Fast Recovery. Dabei werden die Dienste Volume Shadow Copy Service und Virtual Disk Service genutzt. Mit diesen Diensten können Sicherungen im Hintergrund erfolgen.
Die Grundidee ist die Erstellung von sogenannten Schattenkopien des Active Directory, die in kurzen Abständen durchgeführt werden können. Dabei werden im wesentlichen Änderungen gesichert, so dass der erforderliche Plattenplatz zwar nicht gering, aber doch überschaubar ist. Die Speicherung kann im SAN erfolgen.
Durch den beim Active Directory Fast Recovery gewählten Ansatz wird neben dem Standard-Volume, das für den produktiven Betrieb genutzt wird, ein weiteres Volume erzeugt, das für die Wiederherstellung verwendet werden kann. Im Fehlerfall wird das aktive Volume deaktiviert und die Schattenkopie als Boot-Volume verwendet. Nach einem Neustart muss dieses Boot-Volume nur noch durch Replikation auf den aktuellen Status gebracht werden.
Der Aufwand für die Umsetzung eines solchen Ansatzes ist allerdings relativ hoch, da man ein SAN benötigt, aus dem heraus die Server gebootet werden können. Dafür lässt sich eine (nicht massgebende) Wiederherstellung innerhalb weniger Minuten durchführen.


Fazit

In der Summe gibt es für Active Directory mehrere interessante Ansätze für die Sicherung und Wiederherstellung. Die wirkliche Herausforderung ist die massgebende Wiederherstellung ausgewählter Benutzerobjekte und ihrer Gruppenzuordnungen, weil diese doch einen erheblichen Planungsaufwand und eine Vertrautheit im Umgang mit komplexen Werkzeugen wie ntdsutil.exe erfordert.




Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Was für Schuhe trug der gestiefelte Kater?
Die neue KMU Business-Software «CustomerCore» ist online
Eidgenössische Finanzkontrolle empfiehlt dem Bund on-prem
Innovativ mit KI
Effizientes Prompt-Engineering mit ChatGPT
LAKE InnovationDay 2024 lockt mit hochkarätigem Programm
KI in Unternehmen: Datenschutzlöcher und Sicherheitslücken
GOLD SPONSOREN
SPONSOREN & PARTNER