3
Vorgehensweise beim Restor einer kaputten Active Directory
Hallo Leute,
ich habe zwar kein akutes Problem, welches zur Fragestellung passt. Allerdings wollte ich mich von vornherein mal Informieren was zu tun wäre wenn
Ich "baue" mal ein kleines Beispielszenario:
Im Netzwerk befinden sich 2x Windows Server 2008R2 Domänen-Controller (DC1 & DC2) -> beide auch mit GC.
DC1 hält alle FSMO-Rollen. DC1 wird täglich per Bare Metal Recovery vom Windows-Feature "Windows Server Sicherung" gesichert.
In dem Beispielszenario passiert jetzt folgendes:
DC1 schrottet die Active-Directory Datenbank (aus welchem Grund auch immer)
DC2 repliziert sich jetzt die kaputte Active-Directory Datenbank und repiziert sich dadurch selber "tot".
Die AD ist so ohne weiteres nicht zu retten.
Ich frage mich wie würde bei so einem Fall der Recovery-Weg ausssehen?
Meine Vorstellung wäre:
1) DC1 mithilfe der Sicherung Wiederherstellen.
2) DC2 per hand aus der wiederhergestellen AD löschen (sollten mehrere DCs vorhanden sein auch löschen bis auf DC1)
3) mit "ntdsutil" eine "Meta-Daten-Bereinigung" durchführen, damit wirklich alle alten DCs etc verschwinden
4) DC2 neu aufsetzten und einfach zum DC machen -> replizieren lassen....
Oder muss ich eine (nicht)autoritative Wiederherstellung der AD-Objekte durchführen damit die USN's etc. auf den neusten Stand gebracht werden...ich denke nicht da an keinen DC repiziert werden muss, oder? Dieser weg wäre doch nur nötig wenn noch funktionstüchtige DCs im Netz stehen...die die Änderung mitbekommen sollen (autoritative ) bzw. wo der wiederhergestellte DC die Objekte von den anderen DCs synchronisieren soll (nicht autoritative )
ich habe zwar kein akutes Problem, welches zur Fragestellung passt. Allerdings wollte ich mich von vornherein mal Informieren was zu tun wäre wenn
Ich "baue" mal ein kleines Beispielszenario:
Im Netzwerk befinden sich 2x Windows Server 2008R2 Domänen-Controller (DC1 & DC2) -> beide auch mit GC.
DC1 hält alle FSMO-Rollen. DC1 wird täglich per Bare Metal Recovery vom Windows-Feature "Windows Server Sicherung" gesichert.
In dem Beispielszenario passiert jetzt folgendes:
DC1 schrottet die Active-Directory Datenbank (aus welchem Grund auch immer)
DC2 repliziert sich jetzt die kaputte Active-Directory Datenbank und repiziert sich dadurch selber "tot".
Die AD ist so ohne weiteres nicht zu retten.
Ich frage mich wie würde bei so einem Fall der Recovery-Weg ausssehen?
Meine Vorstellung wäre:
1) DC1 mithilfe der Sicherung Wiederherstellen.
2) DC2 per hand aus der wiederhergestellen AD löschen (sollten mehrere DCs vorhanden sein auch löschen bis auf DC1)
3) mit "ntdsutil" eine "Meta-Daten-Bereinigung" durchführen, damit wirklich alle alten DCs etc verschwinden
4) DC2 neu aufsetzten und einfach zum DC machen -> replizieren lassen....
Oder muss ich eine (nicht)autoritative Wiederherstellung der AD-Objekte durchführen damit die USN's etc. auf den neusten Stand gebracht werden...ich denke nicht da an keinen DC repiziert werden muss, oder? Dieser weg wäre doch nur nötig wenn noch funktionstüchtige DCs im Netz stehen...die die Änderung mitbekommen sollen (autoritative ) bzw. wo der wiederhergestellte DC die Objekte von den anderen DCs synchronisieren soll (nicht autoritative )
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 180302
Url: https://administrator.de/forum/vorgehensweise-beim-restor-einer-kaputten-active-directory-180302.html
Ausgedruckt am: 13.04.2025 um 05:04 Uhr
3 Kommentare
Neuester Kommentar
Hi,,
ich weiss, es es handelt sich nur um ein Beispiel aber ich kann dir nur empfehlen, immer mind. 2 DC´s pro Domain
per Windows-Backup (oder andere Backup-SW) zu sichern. Hatte vor einer Woche mal meine DC´s auf VM
wiederhergestellt und musste feststellen das der 1. DC nicht zurückgeschrieben werden konnte.
Das wäre dann im Fehlerfall, mit nur einer Sicherung, unschön gewesen
Also das haben (angeblich) schon Leute mithilfe von Windows-Updates geschafft
.
Deine Schritte 1-4 sollten soweit stimmen. Bin mir mit dem metadata-cleanup nicht unbedingt sicher,
ob man damit Schritt 3 nicht weglassen könnte um alles mit ntdsutil zu machen aber ich glaub das ist im Fehlerfall egal.
Was du beschreibst ist eine nicht autorisierende Wiederherstellung. Autorisiernd wäre es wenn du den DC nach dem Wiedherstellen,
ohne zu booten, im DSRM startest und Objekte als autorisiernd markierst.
Somit würde der DC, sobald er hochfährt, die ausgewählten Objekte in die Domain / Forest replizieren.
Da bei dir allerdings kein DC mehr Online wäre und du den 2. DC sowieso neu installierst, ist der 1. DC quasi die "Referenz."
Gruß Daniel
ich weiss, es es handelt sich nur um ein Beispiel aber ich kann dir nur empfehlen, immer mind. 2 DC´s pro Domain
per Windows-Backup (oder andere Backup-SW) zu sichern. Hatte vor einer Woche mal meine DC´s auf VM
wiederhergestellt und musste feststellen das der 1. DC nicht zurückgeschrieben werden konnte.
Das wäre dann im Fehlerfall, mit nur einer Sicherung, unschön gewesen
DC1 schrottet die Active-Directory Datenbank (aus welchem Grund auch immer)
DC2 repliziert sich jetzt die kaputte Active-Directory Datenbank und repiziert sich dadurch selber "tot".
DC2 repliziert sich jetzt die kaputte Active-Directory Datenbank und repiziert sich dadurch selber "tot".
Also das haben (angeblich) schon Leute mithilfe von Windows-Updates geschafft
.Deine Schritte 1-4 sollten soweit stimmen. Bin mir mit dem metadata-cleanup nicht unbedingt sicher,
ob man damit Schritt 3 nicht weglassen könnte um alles mit ntdsutil zu machen aber ich glaub das ist im Fehlerfall egal
.Oder muss ich eine (nicht)autoritative Wiederherstellung der AD-Objekte durchführen damit die USN's etc. auf den neusten
Stand gebracht werden...
Stand gebracht werden...
Was du beschreibst ist eine nicht autorisierende Wiederherstellung. Autorisiernd wäre es wenn du den DC nach dem Wiedherstellen,
ohne zu booten, im DSRM startest und Objekte als autorisiernd markierst.
Somit würde der DC, sobald er hochfährt, die ausgewählten Objekte in die Domain / Forest replizieren.
Da bei dir allerdings kein DC mehr Online wäre und du den 2. DC sowieso neu installierst, ist der 1. DC quasi die "Referenz."
Gruß Daniel
Hi Daniel,
mit Schritt 3 wollte ich eigentlich nur bewirken, dass die wiederhergestellte Domain ohne irgendwelche Repizierungsversuche etc. ordentlich hochfährt....aber keine Ahnung ob das so richtig ist
Ich habe mich noch einmal weiterbelesen: Ob autorisierende oder nicht autorisierende Wiederherstellung ist in meinem Fall ja egal....gibt ja nichts zu repizieren (sollte zumindest)
autorisierend Widerherstellung: Wenn irgendwas aus Versehen gelöscht wurde bzw. wieder vollkommen in der AD vorhanden sein soll -> z.B. Benutzerkonto vom Chef
nicht autorisierened Wiederherstellung: Irgendein DC fällt aus und soll wieder ins Netz integriert werden....alle Änderungen die bis dahin passiert sind werden repiziert.
Wenn ich das im Internet richtig Verstanden habe müsste auch eine autorisierende Wiederherstellung von DC1, wo der gesamte Forest als autorisierend gekennzeichnet wird, reichen.
Recovery-Weg:
1) Wiederhstellung mithilfe des Images von DC1
2)DSRM starten und das AD Backup einspielen/alles als autorisierend markieren
3) neustarten
4) DC2 repliziert sich wieder die "gesunde" DB
Was meinst du, Daniel?
mit Schritt 3 wollte ich eigentlich nur bewirken, dass die wiederhergestellte Domain ohne irgendwelche Repizierungsversuche etc. ordentlich hochfährt....aber keine Ahnung ob das so richtig ist
Ich habe mich noch einmal weiterbelesen: Ob autorisierende oder nicht autorisierende Wiederherstellung ist in meinem Fall ja egal....gibt ja nichts zu repizieren (sollte zumindest)
autorisierend Widerherstellung: Wenn irgendwas aus Versehen gelöscht wurde bzw. wieder vollkommen in der AD vorhanden sein soll -> z.B. Benutzerkonto vom Chef
nicht autorisierened Wiederherstellung: Irgendein DC fällt aus und soll wieder ins Netz integriert werden....alle Änderungen die bis dahin passiert sind werden repiziert.
Wenn ich das im Internet richtig Verstanden habe müsste auch eine autorisierende Wiederherstellung von DC1, wo der gesamte Forest als autorisierend gekennzeichnet wird, reichen.
Recovery-Weg:
1) Wiederhstellung mithilfe des Images von DC1
2)DSRM starten und das AD Backup einspielen/alles als autorisierend markieren
3) neustarten
4) DC2 repliziert sich wieder die "gesunde" DB
Was meinst du, Daniel?
Hi,
das sollte, theoretisch, auch funktionieren.
Allerdings würde ich eher die 1. Variante benutzen um einfach auf Nummer sicher zu gehen.
Habe wie gesagt, meine DC`s letztens auch wiedehergestellt und nachdem ich dann beide DC`s zurückgeschrieben hatte,
musste ich feststelle das nur einer funktionierte. Der Sicherungszeitraum zwischen den beiden Sicherungen, war 1 Tag auseinander
und trotzdem hatte sich irgendetwas gravierend geändert. Der 2. DC konnte sich dann nichtmehr in der Domain anmelden und sämtliche
ADDS-Dienste wollten nichtmehr starten.
Da hätte mir dann vermutlich, auch keine Autorisierende Wiederherstellung geholfen.
Ich denke mal, bei den ADDS ist das beste immer die Vorsorge.
Also:
- mehrere DC`s und mehrere Sicherungen
- AD Snapshot´s bzw. den Papierkorb bei Win 2k8 R2
- Monitoring / Überwachung
- Wiederherstellung wenigstens grob dokumentieren und mal durchspielen
Ansonsten kann ich dir dieses Video noch empfehlen (wenn es um Win 2k8 geht):
http://www.microsoft.com/germany/msdn/launch2008/library.aspx?id=T01_MI ...
Gruß Daniel
das sollte, theoretisch, auch funktionieren.
Allerdings würde ich eher die 1. Variante benutzen um einfach auf Nummer sicher zu gehen.
Habe wie gesagt, meine DC`s letztens auch wiedehergestellt und nachdem ich dann beide DC`s zurückgeschrieben hatte,
musste ich feststelle das nur einer funktionierte. Der Sicherungszeitraum zwischen den beiden Sicherungen, war 1 Tag auseinander
und trotzdem hatte sich irgendetwas gravierend geändert. Der 2. DC konnte sich dann nichtmehr in der Domain anmelden und sämtliche
ADDS-Dienste wollten nichtmehr starten.
Da hätte mir dann vermutlich, auch keine Autorisierende Wiederherstellung geholfen.
Ich denke mal, bei den ADDS ist das beste immer die Vorsorge.
Also:
- mehrere DC`s und mehrere Sicherungen
- AD Snapshot´s bzw. den Papierkorb bei Win 2k8 R2
- Monitoring / Überwachung
- Wiederherstellung wenigstens grob dokumentieren und mal durchspielen
Ansonsten kann ich dir dieses Video noch empfehlen (wenn es um Win 2k8 geht):
http://www.microsoft.com/germany/msdn/launch2008/library.aspx?id=T01_MI ...
Gruß Daniel
