AD Object restore

0

Um einen gelöschten Benutzer des ADs wiederherzustellen benötigen Sie eine Sicherung des Systemstatus eines DCs von dem Zeitpunkt wo sich der Benutzer noch im AD befand sowie eine Sicherung des GCs vom gleichen Zeiptunkt um evtl. externe Gruppenmitgliedschaften wiederherzustellen. Da Sie den Server dessen Systemstatus Sie wiederherstellen möchten für die Dauer des Resotrevorgangs offline schalten
müssen sollten Sie immer ein Backup des Systemstatus eines „BDCs“ besitzen. Ist dies sichergestellt, starten Sie den Wiederherstellungscontroller im Wiederherstellungsmodus für das AD. Sollten Ihnen das Kennwort des Offline-Administratorkontos nicht bekannt sein, so können Sie dies zurücksetzten solange sich der Server noch eine Verbindung zum AD hat.

Windows 2000 SP2

setpwd

Windows 2003

in den ntdsutils – set dsrm password

Sollte keine Sicherung eines aktuellen Systemstatus vorliegen, so haben Sie noch eine Chance insofern Sie einen KG finden auf den die Änderung noch nicht repliziert wurde (latenter globaler Katalogdomänencontroller). In diesem Fall müssten Sie als erstes sicherstellen, dass keine Änderungen mehr repliziert werden. Benutzen Sie zur deaktivierung oder aktivierung der Replizierung folgende Befehle:

Replizierung deaktivieren

repadmin /options <Name des Wiederherstellungs-DCs> +DISABLE_INBOUND_REPL

Replizierung wieder aktiveren

repadmin /options <Name des Wiederherstellungs-DCs> -DISABLE_INBOUND_REPL

Trennen Sie im Notfall die Netzwerkverbindung um in Ruhe die Replizierung zu stoppen. Beo gestoppter Replizierung können Sie den GC aber zur Entlastung des Netzes weiter betreiben.

!! Wichtig !!

Sollte Ihnen der Tombstone Zyklus kein Begriff sein, so lesen Sie diesen Abschnitt unedingt bis zum Ende.

Microsoft hat mit der Tombstone Lebensdauer eine Art Papierkorb für gelöschte AD Objekte eingeführt. Wenn Sie ein AD-Objekt löschen, wird dieses für 60 Tage noch im Deleted Objects-Container in der Datenbank weitergeführt. Am 60 Tag wird es dann endgültig gelöscht. Dies ermöglich einerseits eine Wiederherstellung von gelöschten Objekten innerhalb der 60 Tage ohne eine AD-Sicherung, kann aber beim Restore des Systemstatus eines DC (enthält das AD) der älter als 60 Tage ist zum Alptraum eines Admins werden. Denn normalerweise werden wiederhergestellt gelöscht Objekte bei der Replikation mit anderen DC der gleiche Domain wieder entfernt solange diese nicht authoritativ wiederhergesllt wurden. Doch nach 60 Tage haben die DCs Ihr informationen über die Deleted Objects-Container älter 60 Tage bereits gelöscht. Ergo bekommt der frisch installierte DC von niemandem die Information das er die alten Objekte löschen kann/muss.
Diese liegen nun als untote im AD und führen zur einem inkonsistenten AD.

Änderungen durch das SP1

„…Die Standarddauer, die ein gelöschtes Objekt in Active Directory beibehalten wird, die so genannte Tombstone-Lebensdauer, wurde von 60 Tagen auf 180 Tage verlängert. Die längere Tombstone-Lebensdauer verringert die Wahrscheinlichkeit, dass ein gelöschtes Objekt noch im lokalen Verzeichnis eines vom Netzwerk getrennten Domänencontrollers verbleibt, wenn das Objekt bereits dauerhaft von online geschalteten Domänencontrollern gelöscht worden ist. Die Tombstone-Lebensdauer wird beim Aktualisieren auf Windows Server 2003 mit SP1 nicht automatisch geändert, Sie können sie jedoch nach dem Update manuell ändern. Bei neuen Gesamtstrukturen, die mit Windows Server 2003 mit SP1 installiert werden, beträgt die Tombstone-Lebensdauer 180 Tage…“ (Quelle: Microsoft)

Wiederherstellung des AD Objekts

  1. Nachdem Sie den DC im AD Wiederhersetllungsmodus gestartet haben stellen Sie zuerst den Systemstatus wiederher. Dies ist nicht notwendig wenn es sich um einen latenten Katalogdomänencontroller handelt.
  2. ad_object_restore_1.jpg

  3. Starten Sie nach dem restore den Server nicht neu, sondern öffnen Sie die Kommandozeile.
  4. geben Sie ntdsutil ein
  5. wechseln Sie in den authoritativen Restore durch Eingabe von authoritative restore

  6. ad_object_restore_2.jpg

  7. stellen Sie das gelöscht Object wiederher: restore object „CN=Max Mustermann,OU=dom_users, DC=domain,DC=de
  8. ad_object_restore_3.jpg

  9. Nun können einfach den Server neu starte und gegebenenfalls die Änderungen abschließend auf die andere DCs und/oder GC pushen: repadmin /syncall /d /e /P <Wiederherstellungs-DC> <Namenskontext>

Hinweis: Wenn Sie ein untergeordnetes Objekt wiederherstellen, muss sichergestellt sein das alle übergeordneten OUs exisitieren oder authoritative wiederhergestellt wurden. Um die Wiederherstellung zu vereinfachen sollten Sie zusammen mit dem Systemstatus auch das AD als csv exportieren. Diese Datei können Sie anschließend benutzen um den gültigen Pfad zu dem gelöschten Object zu identifizieren.

cmd /c "CSVDE -d ",DC=domain,dc=de" -f c:ad-export.csv"

Active Directory Operations Guide

Katastrophenszenarien bei Active Directory

http://www.windowsitpro.com/Windows/Articles/ArticleID/41576/pg/2/2.html

Teilen.

Über den Autor

Seit der Ausbildung zum Fachinformatiker Systemintegration (2002-2005) bei der DaimlerChrysler AG, beruflich im Bereich der E-Mail Kommunikation (Exchange, Linux) sowie des ActiveDirectory, mit entsprechenden Zertifizierungen (MCSE 2003, MCITP Ent.-Admin 2008, MCSE 2012, LPIC 1-3) tätig. Abgeschlossenes Studium zum Master of Science der IT-Management an der FOM sowie zertifizierter Datenschutzbeauftragter. Aktuell im Projektmanagement tätig.

Antworten