Windows Server 2012 R2: Active Directory - sichern, wiederherstellen und warten

Dieser Praxis-Workshop zu Windows Server 2012/2012 R2 widmet sich detailliert der Sicherung und Wiederherstellung des Active Directory.
Bildergalerie
Vorkenntnisse:
Funktioniert mit: Windows Server 2012 R2
Foto: tanuha2001_shutterstock

01AD-Sicherung planen

Die AD-Datenbank liegt in Form der Datei ntds.dit auf jedem Domänencontroller im Verzeichnis \Windows\NTDS. Die Sicherung dieser einen Datei reicht allerdings für eine ordentliche Datensicherung nicht aus. Bei der Sicherung und Wiederherstellung unterscheiden sich Windows Server 2012 und Windows Server 2012 R2 nicht voneinander.

Die Sicherung von Active Directory erfolgt zusammen mit dem Backup von anderen wichtigen Systemkomponenten eines Domänencontrollers. Bei dieser Sicherung, die auch durch das Windows-eigene Datensicherungsprogramm durchgeführt werden kann, werden alle zusammenhängenden Daten, die Active Directory benötigt, ebenfalls gespeichert. Sie sollten mit Ihrem Datensicherungsprogramm regelmäßig eine Datensicherung von Active Directory durchführen. Alternativ kann die AD-Datensicherung durch das Windows-Datensicherungsprogramm in eine Datei erfolgen, die dann wieder durch ein Backup auf eine CD/DVD oder über das Netzwerk gesichert wird.

Wird die Systempartition eines Domänencontrollers gesichert, enthält diese Sicherung zusätzlich noch den Boot Configuration Data Store (BCD-Store), die kompletten Windows-Systemdateien mit der Registry, den Inhalt des SYSVOL-Verzeichnisses, die erwähnte Active Directory-Datenbank (ntds.dit) sowie die Logdateien von Active Directory.

Auch wenn bei der Sicherung alle Daten gesichert werden, gibt es weiterhin verschiedene Möglichkeiten der Wiederherstellung: Es kann der komplette Server wiederhergestellt werden, der Systemstatus kann wiederhergestellt werden, aber auch einzelne Dateien und Ordner können aus der Sicherung wieder zurückgespielt werden.

02Active Directory sichern

Die hier beschriebene Sicherung lässt sich manuell durchführen, es kann aber auch ein Zeitplan erstellt werden. Rufen Sie zunächst die Windows Server-Sicherung auf und starten den Assistenten für eine Einmalsicherung oder einem Sicherungszeitplan. Wählen Sie bei der Auswahl der Sicherungsbereiche die Option Benutzerdefiniert aus.

Selektion: In der Windows-Server-Sicherung wählen Sie die zu sichernden Elemente aus.
Selektion: In der Windows-Server-Sicherung wählen Sie die zu sichernden Elemente aus.

Die Windows-Server-Sicherung ist standardmäßig nicht installiert. Sie müssen das Feature über den Server-Manager nachinstallieren. Das Verwaltungsprogramm zur Sicherung finden Sie nach der Installation des Windows-Features über den Menüpunkt Tools im Server-Manager. Natürlich besteht auch die Möglichkeit, die Option Vollständig für die Sicherung des Servers auszuwählen. In diesem Fall wird neben der Datensicherung von Active Directory der komplette Server mit allen vorhandenen Festplatten und Partitionen gesichert.

Auf der nächsten Seite wählen Sie über Elemente hinzufügen aus, was gesichert werden soll. Aktivieren Sie die Optionen Systemstatus und System-reserviert, damit notwendige Daten zur Wiederherstellung von Active Directory mitgesichert werden.

Eine Seite weiter wählen Sie aus, wo die Daten im Netzwerk gesichert werden sollen. Die Datensicherung unterstützt das Ablegen der Sicherung nicht auf der gleichen Partition, die gesichert wird. Ab hier nehmen Sie die gleichen Einstellungen vor, wie bei der Sicherung von normalen Servern.

03Active Directory wiederherstellen

Um eine Wiederherstellung durchzuführen, starten Sie zunächst den Domänencontroller neu und drücken direkt nach dem Start die Taste (F8), bis das Boot-Menü erscheint. Achten Sie aber darauf, dass sich die Datei, die die Datensicherung enthält, lokal auf dem Server befindet, da diese zur Wiederherstellung benötigt wird.

Wählen Sie in den Boot-Optionen den Menüpunkt Verzeichnisdienstwiederherstellung aus, anschließend startet Windows. Melden Sie sich bei der Anmeldung mit dem Kennwort des Verzeichnisdienstwiederherstellung-Modus an. Anschließend können Sie die Wiederherstellung durchführen.

Alternativ zum Boot-Menü können Sie auch wie folgt vorgehen: Soll ein Domänencontroller beim nächsten Start mit dem Verzeichnisdienstwiederstellung-Modus gestartet werden, geben Sie den Befehl

bcdedit /set safeboot dsrepair

ein. Befindet sich der Server im Verzeichnisdienstwiederherstellung-Modus, wird mit dem Befehl

bcdedit /deletevalue safeboot

beim nächsten Mal wieder normal gestartet.

So ersparen Sie sich das Drücken von (F8), wenn Sie sich zum Beispiel nicht direkt an der Konsole befinden. Mit dem Befehl

shutdown t 0 -r

wird der Server dann neu im jeweils konfigurierten Modus gestartet.

Beachten Sie, dass ein Domänencontroller den Anwendern nicht zur Verfügung steht, während er sich im Verzeichnisdienstwiederherstellung-Modus befindet. Sie sollten daher dafür sorgen, dass noch andere Domänencontroller bereitstehen, bei denen sich die Anwender anmelden können. Achten Sie darauf, dass am Domänencontroller keine Anmeldung an der Domäne möglich ist. Die Anmeldung erfolgt über die Schaltfläche Anderer Benutzer. Als Benutzername wird Administrator verwendet und das Kennwort für den Verzeichnisdienstwiederherstellung-Modus.

Wenn Sie einen Domänencontroller einer Niederlassung wiederherstellen wollen, ist es das Beste, ihn neu zu installieren und wieder in die Domäne als zusätzlicher Domänencontroller mit aufzunehmen. In diesem Fall erhält der Domänencontroller alle Funktionen und Daten von Active Directory zurück.