Autorisierende Wiederherstellung
Autorisierende Wiederherstellung
Sind Objekte in der Active Directory gelöscht worden, gehen alle Eigenschaften und Berechtigungen dieses Objektes verloren. Durch Erstellen neuer Objekte mit gleichen Namen kann der ursprüngliche Zustand nicht wiederhergestellt werden. Bei der Erstellung von Objekten werden alle Eigenschaften des Objektes, wie z.B. die SID neu vergeben, so dass alle Berechtigungen und Attribute neu eingerichtet werden müssen.
Umgangen werden kann dieses durch die Wiederherstellung des Systemstatus auf einem DC zu einem Zeitpunkt vor dem Löschen.
Ist in der Domäne nur ein DC vorhanden, ist es ohne Probleme möglich durch die Wiederherstellung des Systemstatus die gelöschten Objekte wieder in die AD einzufügen.
Sind mehrere DC vorhanden, ist es nötig eine autorisierende Wiederherstellung durchzuführen, da durch die Replikation der AD von den anderen DC das wiederhergestellte Objekt wieder gelöscht wird. Die Objekte der AD sind mit einer Versionsnummer der Attribute versehen, die bei Änderungen erhöht wird. Sind mehrere DC in der AD vorhanden wird die Version mit der höchsten Nummer auf die DC repliziert die eine niedrigere Nummer haben. Wird der Systemstatus auf einem DC aus einer Sicherung wiederhergestellt, hat dieser eine niedrigere Versionsnummer als die anderen und wird überschrieben. Bei der Durchführung einer autorisierenden Wiederherstellung wird die Versionsnummer des Objektes um 10000 erhöht. Dadurch wird sichergestellt, dass diese Version innerhalb der AD die höchste Versionsnummer hat und auf die anderen DC repliziert wird.
Für die Wiederherstellung kann sowohl eine vollständige Sicherung, mit Windows Server-Sicherung erstellt, als auch eine Sicherung des Systemstatus, die mit wbadmin.exe durchgeführt wurde, benutzt werden.
Zur Durchführung einer autorisierenden Wiederherstellung gehen Sie wie folgt vor:
Um den Systemstatus einer AD wiederherzustellen müssen Sie den Server im Modus Verzeichnisdienstwiederherstellung starten. Drücken Sie beim Start des Servers die F8 Taste um die erweiterten Startoptionen angezeigt zu bekommen.
Wählen Sie Verzeichniswiederherstellung
Starten Sie die Eingabeaufforderung mit administrativen Rechten
Start > Alle Programme > Zubehör > rechte Maustaste auf Eingabeaufforderung > Als Administrator ausführen
Starten Sie das Programm wbadmin mit den entsprechenden Schaltern:
wbadmin start systemstaterecovery –version: Version ID der Sicherung die Wiederhergestellt werden soll –backuptarget: Ort der Sicherung
Die Sicherheitsabfragen des Programms beantworten Sie mit J
Wollen Sie sich die verfügbaren Versionen anzeigen lassen, geben Sie folgenden Befehl ein:
wbadmin get versions –backuptarget: Ort der Sicherung
Sie erhalten folgende Ausgabe mit den Versionen der Sicherungen.
Starten Sie nach der Wiederherstellung den Computer nicht neu, sondern das Programm ntdsutil
Aktivieren Sie die Instanz ntds
activate instance ntds
Wollen Sie überprüfen welche Instanzen auf ihrem Server vorhanden sind, fragen Sie mit list instances den Server ab
Starten Sie das Untermenü für die autorisierende Wiederherstellung
authoritative restore
Starten Sie die autorisierende Wiederherstellung
restore subtree ou= Name des Objektes das wiederhergestellt werden soll, in diesem Fall eine OU,dc= Name der Domäne,dc= Endung der Domäne.
Mit dem Schalter subtree können
ganze Unterstrukturen der AD wiederhergestellt werden. Geben Sie nur den Namen
der AD an wird die gesamte Datenbank wiederhergestellt. Wollen Sie nur einzelne
Benutzer oder Objekte wiederherstellen, starten Sie mit der Option object.
Beantworten Sie die Sicherheitsabfrage mit Ja
Das Programm zeigt ihnen an, wie viel Objekte wiederhergestellt werden und deren Versionsnummer um 100000 erhöht wird.
Nach dem nötigen Neustart meldet das Programm die erfolgreiche Wiederherstellung des Systemstatus.
Sie können Sich in der Konsole Active Directory-Benutzer und –Computer von Erfolg der Wiederherstellung überzeugen.