Active Directory sichern

Wiederherstellung

Deutlich spannender als die Sicherung ist die Wiederherstellung des Active Directory. Es gibt mehrere unterschiedliche Ansätze für die Wiederherstellung, die je nach Bedarf genutzt werden können.

Grundsätzlich entscheidet man sich zunächst zwischen einer maßgebenden (authoritative) und einer nicht maßgebenden Wiederherstellung. Erstere überschreibt ausgewählte Werte auf anderen Domänencontroller und kann beispielsweise für die Wiederherstellung von gelöschten Objekten genutzt werden. Der Regelfall ist aber die nicht maßgebliche Wiederherstellung, bei der ein Domänencontroller wiederhergestellt wird, der aber anschließend die seit der letzten Sicherung erfolgten Änderungen von anderen Domänencontrollern empfängt.

Um einen Domänencontroller wieder herzustellen, muss er im so genannten Directory Services Restore Mode gestartet werden. Damit wird das Active Directory nicht geladen, sodass eine Wiederherstellung erfolgen kann. Für diesen Modus wird das bei der Einrichtung des Active Directory verwendete Kennwort für die Wiederherstellung benötigt.

Beim einem lokalen Start kann mit [F8] in diesen Modus gewechselt werden. Falls nicht lokal gearbeitet wird, kann vor dem Neustart der Parameter

/SAFEBOOT:DSREPAIR

in die boot.ini für das Default-Betriebssystem eingefügt werden. Damit wird das System ebenfalls in diesem Modus geladen. Zu beachten ist dabei, dass der Eintrag in der boot.ini nach der Wiederherstellung natürlich wieder entfernt werden muss.

Die Wiederherstellung kann anschließend von der Sicherung erfolgen. Wenn das Sicherungsprogramm des Windows Server 2003 zum Einsatz kommt, muss dafür gesorgt werden, dass Sicherheitseinstellungen, Junction Points und Volume Mount Points wiederhergestellt werden. Außerdem lässt sich festlegen, dass die Daten auf dem Laufwerk SYSVOL als primäre Daten für weitere Repliken hergestellt werden. Das ist aber nur erforderlich, wenn nur ein Domänencontroller in der Domäne genutzt wird.

Für die nicht maßgebende Wiederherstellung sind außer der Verifizierung der Funktion des Active Directory keine weiteren Schritte mehr erforderlich. Es kann ein Neustart erfolgen.

Maßgebende Wiederherstellung

Nun ist festzulegen, welche Objekte so wiederhergestellt werden sollen, dass ihre Werte aus der Sicherung die gegebenenfalls aktuelleren Werte auf anderen Domänencontrollern überschreiben. Die Steuerung, welche Objekte maßgebend sind, erfolgt über ntdsutil.exe. Näheres dazu lesen Sie im Kasten zum Thema.

Interessant sind die Änderungen einerseits mit dem Windows Server 2003 und andererseits mit dem Service Pack 1 für den Windows Server 2003. Mit dem Windows Server 2003 wurde die so genannte linked-value replication (LVR) eingeführt. Sie steht allerdings nur in Domänen mit Windows 2003-Level zur Verfügung. In diesen Domänen werden die Informationen zu Gruppenmitgliedschaften als einzelne Informationen repliziert. Im Ergebnis wird es damit möglich, Gruppenmitgliedschaften bei der maßgebenden Wiederherstellung selektiv zu aktivieren.

Bei Domänen, deren Modus auf den Windows Server 2003-Modus umgestellt wurde, wird LVR übrigens nur mit Gruppen genutzt, die nach der Heraufstufung des Domänenmodus angelegt wurden.

Allerdings gibt es mit dem Service Pack 1 für den Windows Server 2003 wiederum Anpassungen, mit denen sich Gruppenmitgliedschaften auch für Gruppen wiederherstellen lassen, die vor der Einrichtung von LVR angelegt wurden.

Das Werkzeug ntdsutil.exe erzeugt nun eine Textdatei, die die maßgebend wiederhergestellten Objekte identifiziert. Auf Basis dieser Datei wird eine LDIF-Datei erzeugt, die wiederum für die Wiederherstellung aller Gruppenmitgliedschaften zum Zeitpunkt der maßgebenden Wiederherstellung genutzt werden kann. Dieses Verfahren ist zwar immer noch relativ aufwändig, aber doch deutlich einfacher als die manuelle Anpassung von Gruppenmitgliedschaften.