Windows Server 2012 R2: Active Directory - sichern, wiederherstellen und warten

Dieser Praxis-Workshop zu Windows Server 2012/2012 R2 widmet sich detailliert der Sicherung und Wiederherstellung des Active Directory.
Bildergalerie
Funktioniert mit: Windows Server 2012 R2
Foto: 360b_shutterstock

04Domänencontroller wiederherstellen

Wenn Sie einen ausgefallenen Domänencontroller wiederherstellen möchten, ohne dass ein Backup benötigt wird, gehen Sie folgendermaßen vor:

  1. Stellen Sie zunächst sicher, dass ein weiterer Domänencontroller in der Domäne und am Standort verfügbar ist. Ohne einen weiteren Domänencontroller der Domäne ist die Wiederherstellung eines Domänencontrollers nicht möglich.

  2. Bereinigen Sie zunächst das Active Directory von den alten Daten des Domänencontrollers.

  3. Stellen Sie sicher, dass der noch vorhandene Domänencontroller alle FSMO-Rollen vom ausgefallenen Domänencontroller übernommen hat.

Bestimmung: In den Eigenschaften eines Domänencontrollers im Snap_in Active-Directory-Standorte und -Dienste legen Sie Domänencontroller als globalen Katalog fest.
Bestimmung: In den Eigenschaften eines Domänencontrollers im Snap_in Active-Directory-Standorte und -Dienste legen Sie Domänencontroller als globalen Katalog fest.

  1. Konfigurieren Sie den noch vorhandenen Domänencontroller als globalen Katalogserver, falls außer dem ausgefallenen Server kein anderer Domänencontroller dieser Niederlassung ein globaler Katalogserver ist.

  2. Stellen Sie sicher, dass die Bereinigung von Active Directory in alle Niederlassungen repliziert wurde. Installieren Sie den ausgefallenen Domänencontroller mit Windows Server 2012/2012 R2 und allen Patches neu.

  3. Installieren Sie auf dem Server auch die DNS-Funktionalität, falls diese vorher auf diesem Server installiert war.

  4. Geben Sie dem Server den gleichen Netzwerknamen wie vor dem Ausfall, und stellen Sie in den Netzwerkeinstellungen ein, dass ein DNS-Server der Domäne verwendet wird, der verfügbar ist.

  5. Rufen Sie den Assistenten für die Erstellung von Active Directory auf.

  6. Nachdem der Server erfolgreich als Domänencontroller installiert wurde, können Sie die Rollen, die er vor dem Ausfall hatte, auf ihn zurückschieben. Die Active-Directory-Daten werden automatisch auf ihn repliziert.

Der Weg, einen Domänencontroller einfach neu in die Domäne aufzunehmen, statt eine Datensicherung durchzuführen, ist oft schneller und sauberer. Achten Sie jedoch unbedingt darauf, vor der erneuten Aufnahme in eine Domäne die Metadaten des Active Directory zu bereinigen, damit sichergestellt ist, dass keine veralteten Daten in Active Directory die erneute Heraufstufung des Domänencontrollers verhindern.

05AD-Datenbank warten

Über das Zusatz-Tool Ntdsutil.exe können auch verschiedene Wartungsmaßnahmen mit der Active-Directory-Datenbank durchgeführt werden.

In manchen Fällen - etwa wenn der Festplattenplatz auf dem Server nicht mehr ausreicht oder wenn der Domänencontroller an ein hochsicheres SAN angeschlossen wird - kann es sinnvoll sein, das Datenverzeichnis von Active Directory auf einen anderen Datenträger zu verschieben. Damit Sie die Datenbank von Active Directory auf einem Domänencontroller verschieben können, müssen Sie den Server im Verzeichnisdienstwiederherstellungs-Modus starten. Gehen Sie zum Verschieben folgendermaßen vor:

  1. Starten Sie zunächst den Domänencontroller im Verzeichnisdienstwiederherstellung-Modus (siehe oben), und melden Sie sich am Server an.

  2. Starten Sie Ntdsutil.exe und geben anschließend den Befehl activate instance ntds ein.

  3. Geben Sie den Befehl files ein.

  4. Geben Sie den Befehl move db to <Lauferk:\Verzeichnis> ein, um die Datenbank zu verschieben. Wenn der Verzeichnisname des neuen Ordners Leerzeichen enthält, setzen Sie die Bezeichnung in Anführungszeichen.

  5. Wenn Sie den Befehl bestätigt haben, läuft ein Skript ab, das die Datenbank in das gewünschte Verzeichnis verschiebt.

  6. Geben Sie nach dem erfolgreichen Verschieben der Datenbank den Befehl move logs to <Laufwerk:\Verzeichnis> ein, damit die Logdateien von Active Directory ebenfalls verschoben werden.

  7. Geben Sie an dieser Stelle den Befehl integrity ein, um die Konsistenz der Active-Directory-Datenbank zu überprüfen.

  8. Verlassen Sie Ntdsutil.exe und überprüfen Sie, ob die Dateien im neuen Verzeichnis angelegt wurden.

Stellen Sie sicher, dass die Dateiberechtigungen auf NTFS-Ebene für das neue Verzeichnis der Active-Directory-Datenbank noch stimmen. Rufen Sie dazu die Eigenschaften des Verzeichnisses auf und wechseln zur Registerkarte Sicherheit. In den Berechtigungen sollten die vier Gruppen Administratoren, Ersteller-Besitzer, Lokaler Dienst und System eingetragen sein.

Die beiden Gruppen Administratoren und System sollten Vollzugriff auf den Ordner haben. Bei den anderen Benutzergruppen sind keinerlei Berechtigungen eingetragen und keine Berechtigungen verweigert. Die Berechtigungen dürfen auch nicht von übergeordneten Verzeichnissen vererbt werden, sondern sollten direkt in diesem Verzeichnis gesetzt sein. Vererbte Berechtigungen werden in Grau angezeigt. Sollten die Berechtigungen bei Ihnen nicht exakt so gesetzt sein, ändern Sie sie entsprechend ab.

Zurück
Weiter