Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Wiederherstellen von User-Profilen im Active Directory auf neuem System

Mitglied: mwmobile

mwmobile (Level 1) - Jetzt verbinden

14.07.2011 um 00:31 Uhr, 4337 Aufrufe, 6 Kommentare, 1 Danke

Es ist mehr eine allgemeine Frage: Ist es überhaupt möglich AD User auf einem W2k8r2 Server von einem physischen Server auf den anderen zu migrieren ohne das der Windows 7 client gleich neue Profile anlegt?

Können Active Directory User (inlusive der Profilbeziehung) überhaupt gesichert und wiederhergestellt werden? Ich habe schon endlose Versuche unternommen aber ich bekomme es einfach nicht hin!

Folgende Situation:

Server "Alpha" stellt das Active Directory auf Windows Server 2008r2 bereit und stellt außerdem noch einfache Dateidienste bereit.
Die Clients melden sich in der Domäne an - es werden KEINE Roaming Profiele benutzt... es wird lediglich durch AD authentifiziert und authorisiert. Server "Alpha" ist bei einem Brand im Technikraum "ums Leben" gekommen. Es existieren tägliche Backups die auf RDX Laufwerken gespeichert werden. Wie auch immer: mit BareMetal Backups komme ich nicht weit da der neue Server "Beta" 1,5 Jahre neuer ist und u.U. eine völlig andere Hardware Plattform aufweist...

Meine Frage ist: Wie macht man es von Anfang an besser? Wie (wenn überhaupt) sichert man einen AD Benutzeraccount um Ihn evtl. auf neuer Hardware oder einer anderen Domain oder als lokale Anmeldung wiederherzustellen?


Bin für jeden Tip dankbar!
Mitglied: 60730
14.07.2011 um 01:09 Uhr
Ja
edit und willkommen - soviel Zeit zum Gruß muß schon drin sein.../edit


Und besser, indem man vom Worst Case ausgeht und ihn schon bei der Planung berücksichtigt.
Ein Backup auf eine neue Hardware anzupassen ist doch kein Hexenwerk...
Bitte warten ..
Mitglied: mwmobile
14.07.2011 um 01:44 Uhr
Wahrscheinlich liegt es an meinem begrenzten Sprachgebrauch oder ich kann mich nicht richtig ausdrücken: Ein komplettes Backup (egal auf welcher Hardware) zu restaurieren ist natürlich kein Hexenwerk. Das war auch garnicht die Frage...

Die Frage ist: Wie stelle ich ein Teil des Systems (wie zB die User in einem AD Gesamtkonstrukt) wieder her?
Habe es mit LDIF Exports versucht -> Kein Erfolg. Ich bekommen einfach nicht auf die Kette wie die SID's zu stande kommen und wo sie überall verankert sind.

Dürfte ja kein Hexenwerk sein das zu erklären oder einen Schubs in die richtige Richtung zu geben...

${edit}\ ... Ja Hallo erstmal
Bitte warten ..
Mitglied: 64748
14.07.2011 um 08:15 Uhr
Hallo,

Zitat von mwmobile:

Habe es mit LDIF Exports versucht -> Kein Erfolg. Ich bekommen einfach nicht auf die Kette wie die SID's zu stande kommen


Die SIDs werden automatisch erzeugt, sind einzigartig und die kannst Du mit Sicherheit nicht von Hand wieder generieren. Das soll auch so sein, aus Sicherheitsgründen!

Eigentlich dokumentiert Microsoft das Ganze ziemlich gut: http://www.microsoft.com/germany/technet/itsolutions/network/grundlagen ... (als Beispiel).

Dir bleibt nichts andere übrig, als das AD so zu sichern (Backup) wie Microsoft es vorsieht. Oder aber Du machst ein Image vom DC. Beide Updatevarianten nutzen aber nur wenn Du Dich an die Fristen hälst, also nach zwei Montaten ist alles vorbei.

Und wenn Du Schwierigkeiten mit der Hardware befürchten musst, dann versuch's mal mit Virtualisierung.

Markus
Bitte warten ..
Mitglied: emeriks
14.07.2011 um 22:42 Uhr
Ich will es mal so ausdrücken: Deine Fragestelleung suggeriert mir, dass Du davon "keine Ahnung hast" (ist nicht böse gemeint) und diese Aufgabe insofern für Dich "höhere Mathematik" darstellt. Ich sage das deshalb, weil das Sichern und Wiederherstellen von ADS zwar nicht wirklich schwer ist, aber man sich doch damit GENAU auskennen sollte, weil es halt eine "eigene Disziplin" ist.

Erstens sollte man in jeder Domäne IMMER min. 2 Domaincontroller haben. Wenn Dir dann einer komplett ausfällt, dann bleibt die Domäne durch den 2 DC nicht nur online und verfügbar, sondern die Daten sind überhaupt noch da. Die Wiederinbetriebnahme des defekten ist dann an bestimmte Regeln gebunden.

Um nur die Domäne zu sichern, musst Du auf min. einen DC nur einfach den Systemstatus sichern. Diesen kannst Du auch auf einen neu installierten Computer mit DENSELBEN Namen wiederherstellen. Die Hardwarekonfiguration ist dabei irrelevant, weil Windows diese Szenario beim Wiederherstellen des Systemstatus bereits berücksichtigt.
Wenn Deine Domäne also nur einen DC hat, dann kannst Du Damit "relativ einfach" den DC wiederherstellen.

Komplizierter wird die Sache, wenn Du aus diesem Backup des Systemstatus nur einzelne ADS-Objekte (z.B. Benutzer, Gruppen, Computer, ganz OU's) wiederherstellen willst. Das hier zu erklären führt zu weit. Dafür gibt es ganze Fachbücher.

Wenn Du es, wie auch immer, schaffst, die Domäne durch redundante DC zu erhalten auch wenn ein DC ausfällt oder sie durch Wiederherstellen eines/des DC's wiederherzustellen, dann sind die Benutzerobjekte auch "im Original" wieder vorhanden, soll heißen, gleiches Login, gleiches Passwort und - vor allem - gleiche SID. Die SID ist es dann, über die das lokal auf dem PC gespeicherte Profil des Benutzer auch wieder akzeptiert wird.
Gleiches gilt übrigens auch für Conmputer, die der Domäne beigetreten sind. Auch diese melden sich mit ihrem Computerkonto an der Domäne an. Einfach eine NEUE Domäne aufsetzen, mit dem selben Namen wie die alte, funktioniert da nicht.

Wenn Du mehrere DC's hast, dann sichere die DC's auf keinen Fall über HDD-Image. Da gibt es ebenfalls STRENGE Auflagen an die man sich halten muss. Wenn man sich daran nicht hält, dann kann das sogar soweit gehen, dass man nach einem fehlerhaften Wiederherstellungsversuch diesen DC nie wieder online bekommt. -> Als Anfänger ganz klar Finger weg davon!
Bitte warten ..
Mitglied: mwmobile
14.07.2011 um 23:16 Uhr
Korrekt ... der ganze AD Krempel ist noch ziemlich neu für mich. Habe die ganzen Backup und Failover Szenarien auch ziemlich erfolgreich in meiner VM Landschaft durchgezogen. Mir ist dabei nur eins massiv aufgefallen: Beispiel:
Hatte einen einen DC und habe exchange bereit gestellt. Nach ein paar Tagen exchange wieder entfernt (was garnicht mal so leicht war aber doch funktionierte). Dann in einer anderen VM (gleiche domain) Exchange installiert und dann fing das Chaos auch schon an da ich anscheinend doch nicht alle Einträge aus dem AD entfernt habe die exchange da hinterlassen hat. Kurz um habe ich dann ohne viel nachzudenken das AD "kaputt gereinigt" (frag nicht! ;) )

Zum verständniss an alle: Das ist kein Produktivsystem noch sonstwas ... nur meine Spielwiese. Und beim spielen ist mir halt die Frage gekommen: Kann man Teile eines AD restaurieren (wie eben Benutzerkonten). Aber danke emeriks dass du meine Befürchtungen bestätigt hast und es nicht bzw. nur mit extremen Aufwand geht.

Ich denke den Beitrag kann ich als gelöst markieren.

Vielen Dank an alle.
Bitte warten ..
Mitglied: 60730
15.07.2011 um 07:44 Uhr
Moin,

Aber danke emeriks dass du meine Befürchtungen bestätigt hast und es nicht bzw. nur mit extremen Aufwand geht.

Sei mir nicht böse, aber eine Datensicherung ist alles andere als "extremer" Aufwand, das ist das Ahh und Ohh...
Und je nachdem welche OS Version der Krempel hat ist das mit dem restaurieren von einzelnen AD Objekten für nicht Bäcker Pillepalle.

gruß
Bitte warten ..
Ähnliche Inhalte
Windows Server
Active Directory Design - Neu
gelöst Frage von TOAOICEWindows Server5 Kommentare

Hallo, ich bin bei einem neuen AG und habe die Aufgabe AD und Exchange einzuführen. Zur Sitation: 3 Standorte ...

Xenserver

Citrix User Profil vollständig entfernen

Frage von Stefan007Xenserver2 Kommentare

Hi zusammen, bei uns in der Citrix 6.x Umgebung gibt es einen User dessen Receiver zunächst nicht mehr wollte. ...

Windows Userverwaltung

Active Directory (Roaming) Profil Ordner automatisch anlegen

Frage von Hyperlink.93Windows Userverwaltung12 Kommentare

Hallo zusammen, ich würde gerne wissen ob es normal ist, dass beim anlegen eines neuen Users im AD mit ...

Windows Server

Active Directory User Modified Eintrag

Frage von agnostikerWindows Server2 Kommentare

Hi, wenn wir auf unseren DCs unsere User bearbeiten mittels AD Users and Computers haben wir festgestellt das sich ...

Neue Wissensbeiträge
Internet

Kommentar: Bundesregierung erwägt Ausschluss von Huawei im 5G-Netz - Unsere Presse wird immer sensationsgieriger

Information von Frank vor 1 TagInternet5 Kommentare

Hier mal wieder ein schönes Beispiel für fehlgeleiteten Journalismus und Politik zugleich. Da werden aus Gerüchten plötzlich Fakten, da ...

Windows 10

Netzwerk-Bug in allen Windows 10-Versionen durch Januar 2019-Updates

Information von kgborn vor 1 TagWindows 101 Kommentar

Nur ein kurzer Hinweis für Admins, die Windows 10-Clients im Portfolio haben. Mit den Updates vom 8. Januar 2019 ...

Windows 10

Windows 10 V1809: Rollout ist gestartet - kommt per Windows Update

Information von kgborn vor 2 TagenWindows 102 Kommentare

Eine kurze Information für die Admins, die Windows 10 im Programm haben. Microsoft hat die letzte Baustelle (die Inkompatibilität ...

Sicherheit

Heise Beitrag Passwort-Sammlung mit 773 Millionen Online-Konten im Netz aufgetaucht

Information von Penny.Cilin vor 2 TagenSicherheit6 Kommentare

Auf Heise Online ist folgender Beitrag veröffentlicht worden: Heise Beitrag passwörter geleakt Ich bin mir jetzt nicht ganz sicher, ...

Heiß diskutierte Inhalte
TK-Netze & Geräte
TAPI auf einem Win2016Server installieren und einrichten
Frage von wstabelTK-Netze & Geräte30 Kommentare

Hallo liebe Admins, ich habe folgende Situation: 1 Windows Server 2016 Standard als DC 1 SNOM 710 IP-Telefon 1 ...

Batch & Shell
Mit findstr batch doppelte zeilen einer txt löschen
Frage von Burningx2Batch & Shell25 Kommentare

Hi Vor einer weile habe ich im netzt einen windows shell befehl gefunden mit welchem man über die konsole ...

Verschlüsselung & Zertifikate
Netzwerkfreigabe Verschlüsselung
Frage von grill-itVerschlüsselung & Zertifikate20 Kommentare

Moin zusammen, sicher nutzen hier die ein oder anderen ein Produkt zur Verschlüsselung von Netzwerkfreigaben/-laufwerken auf denen hochsensible Daten ...

Microsoft
Übertragung von MS Volumenlizenzen
Frage von SherlockineMicrosoft20 Kommentare

Ich bin Angestellte in einer kleinen 10-köpfigen IT-Firma, die Netzwerklösungen, Telefonielösungen und Ähnliches anbietet. Im Sommer hatten wir einen ...