Active Directory - sichern, wiederherstellen und warten

Die AD-Datenbank liegt in Form der Datei ntds.dit auf jedem Domänencontroller im Verzeichnis \Windows\NTDS. Die Sicherung dieser einen Datei reicht allerdings für eine ordentliche Datensicherung nicht aus. Bei der Sicherung und Wiederherstellung unterscheiden sich Windows Server 2012 und Windows Server 2012 R2 nicht voneinander.

Die Sicherung von Active Directory erfolgt zusammen mit dem Backup von anderen wichtigen Systemkomponenten eines Domänencontrollers. Bei dieser Sicherung, die auch durch das Windows-eigene Datensicherungsprogramm durchgeführt werden kann, werden alle zusammenhängenden Daten, die Active Directory benötigt, ebenfalls gespeichert. Sie sollten mit Ihrem Datensicherungsprogramm regelmäßig eine Datensicherung von Active Directory durchführen. Alternativ kann die AD-Datensicherung durch das Windows-Datensicherungsprogramm in eine Datei erfolgen, die dann wieder durch ein Backup auf eine CD/DVD oder über das Netzwerk gesichert wird.

AD-Datenbank sichern
In der Windows-Server-Sicherung wählen Sie die zu sichernden Elemente aus.

AD-Datenbank sichern
In den Eigenschaften eines Domänencontrollers im Snap_in Active Directory-Standorte und -Dienste legen Sie Domänencontroller als globalen Katalog fest.

AD-Datenbank sichern
Das Beenden von Active Directory und Testen der Datenbank in der Befehlszeile ist auch im laufenden Betrieb möglich.

AD-Datenbank sichern
Sie können die Active-Directory-Datenbank in der Befehlszeile reparieren.

AD-Datenbank sichern
Den Active Directory Papierkorb aktivieren Sie im Active-Directory-Verwaltungscenter.

Wird die Systempartition eines Domänencontrollers gesichert, enthält diese Sicherung zusätzlich noch den Boot Configuration Data Store (BCD-Store), die kompletten Windows-Systemdateien mit der Registry, den Inhalt des SYSVOL-Verzeichnisses, die erwähnte Active Directory-Datenbank (ntds.dit) sowie die Logdateien von Active Directory.

Auch wenn bei der Sicherung alle Daten gesichert werden, gibt es weiterhin verschiedene Möglichkeiten der Wiederherstellung: Es kann der komplette Server wiederhergestellt werden, der Systemstatus kann wiederhergestellt werden, aber auch einzelne Dateien und Ordner können aus der Sicherung wieder zurückgespielt werden.

Active Directory sichern und wiederherstellen

Wir zeigen Ihnen im Folgenden die einzelnen Schritte, die erforderlich sind, um eine Datensicherung von Active Directory auf einem Domänencontroller herzustellen. Die hier beschriebene Sicherung lässt sich manuell durchführen, es kann aber auch ein Zeitplan erstellt werden. Rufen Sie zunächst die Windows Server-Sicherung auf und starten den Assistenten für eine Einmalsicherung oder einem Sicherungszeitplan. Wählen Sie bei der Auswahl der Sicherungsbereiche die Option Benutzerdefiniert aus.

Die Windows-Server-Sicherung ist standardmäßig nicht installiert. Sie müssen das Feature über den Server-Manager nachinstallieren. Das Verwaltungsprogramm zur Sicherung finden Sie nach der Installation des Windows-Features über den Menüpunkt Tools im Server-Manager. Natürlich besteht auch die Möglichkeit, die Option Vollständig für die Sicherung des Servers auszuwählen. In diesem Fall wird neben der Datensicherung von Active Directory der komplette Server mit allen vorhandenen Festplatten und Partitionen gesichert.

Auf der nächsten Seite wählen Sie über Elemente hinzufügen aus, was gesichert werden soll. Aktivieren Sie die Optionen Systemstatus und System-reserviert, damit notwendige Daten zur Wiederherstellung von Active Directory mitgesichert werden.

Eine Seite weiter wählen Sie aus, wo die Daten im Netzwerk gesichert werden sollen. Die Datensicherung unterstützt das Ablegen der Sicherung nicht auf der gleichen Partition, die gesichert wird. Ab hier nehmen Sie die gleichen Einstellungen vor, wie bei der Sicherung von normalen Servern.

Active Directory aus der Datensicherung wiederherstellen

Um eine Wiederherstellung durchzuführen, starten Sie zunächst den Domänencontroller neu und drücken direkt nach dem Start die Taste (F8), bis das Boot-Menü erscheint. Achten Sie aber darauf, dass sich die Datei, die die Datensicherung enthält, lokal auf dem Server befindet, da diese zur Wiederherstellung benötigt wird.

Wählen Sie in den Boot-Optionen den Menüpunkt Verzeichnisdienstwiederherstellung aus, anschließend startet Windows. Melden Sie sich bei der Anmeldung mit dem Kennwort des Verzeichnisdienstwiederherstellung-Modus an. Anschließend können Sie die Wiederherstellung durchführen.

Alternativ zum Boot-Menü können Sie auch wie folgt vorgehen: Soll ein Domänencontroller beim nächsten Start mit dem Verzeichnisdienstwiederstellung-Modus gestartet werden, geben Sie den Befehl

bcdedit /set safeboot dsrepair

ein. Befindet sich der Server im Verzeichnisdienstwiederherstellung-Modus, wird mit dem Befehl

bcdedit /deletevalue safeboot

beim nächsten Mal wieder normal gestartet.

So ersparen Sie sich das Drücken von (F8), wenn Sie sich zum Beispiel nicht direkt an der Konsole befinden. Mit dem Befehl

shutdown t 0 -r

wird der Server dann neu im jeweils konfigurierten Modus gestartet.

Beachten Sie, dass ein Domänencontroller den Anwendern nicht zur Verfügung steht, während er sich im Verzeichnisdienstwiederherstellung-Modus befindet. Sie sollten daher dafür sorgen, dass noch andere Domänencontroller bereitstehen, bei denen sich die Anwender anmelden können. Achten Sie darauf, dass am Domänencontroller keine Anmeldung an der Domäne möglich ist. Die Anmeldung erfolgt über die Schaltfläche Anderer Benutzer. Als Benutzername wird Administrator verwendet und das Kennwort für den Verzeichnisdienstwiederherstellung-Modus.

Wenn Sie einen Domänencontroller einer Niederlassung wiederherstellen wollen, ist es das Beste, ihn neu zu installieren und wieder in die Domäne als zusätzlicher Domänencontroller mit aufzunehmen. In diesem Fall erhält der Domänencontroller alle Funktionen und Daten von Active Directory zurück.

Ausgefallenen Domänencontroller ohne Backup wiederherstellen

Wenn Sie einen ausgefallenen Domänencontroller wiederherstellen möchten, ohne dass ein Backup benötigt wird, gehen Sie folgendermaßen vor:

1. Stellen Sie zunächst sicher, dass ein weiterer Domänencontroller in der Domäne und am Standort verfügbar ist. Ohne einen weiteren Domänencontroller der Domäne ist die Wiederherstellung eines Domänencontrollers nicht möglich.

2. Bereinigen Sie zunächst das Active Directory von den alten Daten des Domänencontrollers.

3. Stellen Sie sicher, dass der noch vorhandene Domänencontroller alle FSMO-Rollen vom ausgefallenen Domänencontroller übernommen hat.

1. Konfigurieren Sie den noch vorhandenen Domänencontroller als globalen Katalogserver, falls außer dem ausgefallenen Server kein anderer Domänencontroller dieser Niederlassung ein globaler Katalogserver ist.

2. Stellen Sie sicher, dass die Bereinigung von Active Directory in alle Niederlassungen repliziert wurde. Installieren Sie den ausgefallenen Domänencontroller mit Windows Server 2012/2012 R2 und allen Patches neu.

3. Installieren Sie auf dem Server auch die DNS-Funktionalität, falls diese vorher auf diesem Server installiert war.

4. Geben Sie dem Server den gleichen Netzwerknamen wie vor dem Ausfall, und stellen Sie in den Netzwerkeinstellungen ein, dass ein DNS-Server der Domäne verwendet wird, der verfügbar ist.

5. Rufen Sie den Assistenten für die Erstellung von Active Directory auf.

6. Nachdem der Server erfolgreich als Domänencontroller installiert wurde, können Sie die Rollen, die er vor dem Ausfall hatte, auf ihn zurückschieben. Die Active-Directory-Daten werden automatisch auf ihn repliziert.

Der Weg, einen Domänencontroller einfach neu in die Domäne aufzunehmen, statt eine Datensicherung durchzuführen, ist oft schneller und sauberer. Achten Sie jedoch unbedingt darauf, vor der erneuten Aufnahme in eine Domäne die Metadaten des Active Directory zu bereinigen, damit sichergestellt ist, dass keine veralteten Daten in Active Directory die erneute Heraufstufung des Domänencontrollers verhindern.

Active-Directory-Datenbank warten

Über das Zusatz-Tool Ntdsutil.exe können auch verschiedene Wartungsmaßnahmen mit der Active-Directory-Datenbank durchgeführt werden.

In manchen Fällen - etwa wenn der Festplattenplatz auf dem Server nicht mehr ausreicht oder wenn der Domänencontroller an ein hochsicheres SAN angeschlossen wird - kann es sinnvoll sein, das Datenverzeichnis von Active Directory auf einen anderen Datenträger zu verschieben. Damit Sie die Datenbank von Active Directory auf einem Domänencontroller verschieben können, müssen Sie den Server im Verzeichnisdienstwiederherstellungs-Modus starten. Gehen Sie zum Verschieben folgendermaßen vor:

1. Starten Sie zunächst den Domänencontroller im Verzeichnisdienstwiederherstellung-Modus (siehe oben), und melden Sie sich am Server an.

2. Starten Sie Ntdsutil.exe und geben anschließend den Befehl activate instance ntds ein.

3. Geben Sie den Befehl files ein.

4. Geben Sie den Befehl move db to <Lauferk:\Verzeichnis> ein, um die Datenbank zu verschieben. Wenn der Verzeichnisname des neuen Ordners Leerzeichen enthält, setzen Sie die Bezeichnung in Anführungszeichen.

5. Wenn Sie den Befehl bestätigt haben, läuft ein Skript ab, das die Datenbank in das gewünschte Verzeichnis verschiebt.

6. Geben Sie nach dem erfolgreichen Verschieben der Datenbank den Befehl move logs to <Laufwerk:\Verzeichnis> ein, damit die Logdateien von Active Directory ebenfalls verschoben werden.

7. Geben Sie an dieser Stelle den Befehl integrity ein, um die Konsistenz der Active-Directory-Datenbank zu überprüfen.

8. Verlassen Sie Ntdsutil.exe und überprüfen Sie, ob die Dateien im neuen Verzeichnis angelegt wurden.

Stellen Sie sicher, dass die Dateiberechtigungen auf NTFS-Ebene für das neue Verzeichnis der Active-Directory-Datenbank noch stimmen. Rufen Sie dazu die Eigenschaften des Verzeichnisses auf und wechseln zur Registerkarte Sicherheit. In den Berechtigungen sollten die vier Gruppen Administratoren, Ersteller-Besitzer, Lokaler Dienst und System eingetragen sein.

Die beiden Gruppen Administratoren und System sollten Vollzugriff auf den Ordner haben. Bei den anderen Benutzergruppen sind keinerlei Berechtigungen eingetragen und keine Berechtigungen verweigert. Die Berechtigungen dürfen auch nicht von übergeordneten Verzeichnissen vererbt werden, sondern sollten direkt in diesem Verzeichnis gesetzt sein. Vererbte Berechtigungen werden in Grau angezeigt. Sollten die Berechtigungen bei Ihnen nicht exakt so gesetzt sein, ändern Sie sie entsprechend ab.

Active-Directory-Datenbank offline defragmentieren

Die Active-Directory-Datenbank ist, so wie die Datenbank von Exchange, eine Jet-basierte ESE-Datenbank. Das Active Directory wächst zwar nicht so stark an wie die Datenbank eines Exchange-Servers, dennoch kann es sinnvoll sein, die Active-Directory-Datenbank zu defragmentieren. Vor allem in größeren Organisationen, bei denen das Active Directory durchaus mehrere GByte groß werden kann, sollte zumindest jährlich eine Offline-Defragmentierung durchgeführt werden.

Bevor Sie eine Offline-Defragmentierung durchführen, sollten Sie eine Sicherung des Systemstatus Ihres Active Directory durchführen. Wie bei der Offline-Defragmentierung von Exchange wird zunächst die Datenbank kopiert, dann offline defragmentiert und anschließend zurückkopiert. Stellen Sie daher sicher, dass auf dem Datenträger, auf dem Sie die Offline-Defragmentierung durchführen, genügend Speicherplatz frei ist. Für die Defragmentierung gehen Sie folgendermaßen vor:

1. Starten Sie den Server im Verzeichnisdienstwiederherstellung-Modus

2. Öffnen Sie eine Befehlszeile und starten Ntdsutil.exe.

3. Geben Sie anschließend den Befehl activate instance ntds ein.

4. Geben Sie den Befehl files ein, um zur file maintenance zu gelangen.

5. Geben Sie den Befehl compact to <Laufwerk:\Verzeichnis> ein. Wählen Sie als Verzeichnis einen beliebigen Ordner auf der Festplatte aus. Ntdsutil.exe kopiert die Datenbankdatei in dieses Verzeichnis und defragmentiert sie.

6. Wenn keine Fehlermeldungen während der Offline-Defragmentierung auftreten, können Sie die Datei ntds.dit aus dem Verzeichnis, in das sie defragmentiert wurde, zurück in den Datenbankpfad der produktiven Datenbank kopieren. Diesen Vorgang führt Ntdsutil.exe nicht automatisch aus, Sie müssen die Datei manuell kopieren. Sichern Sie die alte Version der ntds.dit aus dem produktiven Datenbankverzeichnis. Verschieben Sie die defragmentierte Datei in das produktive Verzeichnis der Datenbank und überschreiben Sie die alte Version.

7. Geben Sie in der file maintenance von Ntdsutil den Befehl integrity ein, um die Integrität der Datenbank festzustellen.

Wenn die Integrität der neuen Datenbank sichergestellt ist, können Sie den Domänencontroller ganz normal neu starten. Sollten Fehler auftreten, kopieren Sie die zuvor gesicherte Originalversion zurück und führen einen erneuten Integritätstest durch. Ist der Test diesmal erfolgreich abgeschlossen, versuchen Sie erneut eine Offline-Defragmentierung und starten Sie den Test nochmals. Sie sollten den Domänencontroller erst in den normalen Modus starten, wenn sichergestellt ist, dass die Datenbank auch konsistent ist.

Da Active Directory als Systemdienst läuft, kann dieser für die Defragmentierung auch beendet werden. In diesem Fall muss der Server nicht im Verzeichnisdienstwiederherstellung-Modus gestartet werden, sodass andere Dienste auf dem Server weiter von den Anwendern verwendet werden können. Active Directory beenden Sie in der Befehlszeile über net stop ntds.

Active-Directory-Datenbank reparieren

Zuweilen kann es vorkommen, dass die Active-Directory-Datenbank nicht mehr funktioniert. Gehen Sie bei einem solchen Problem folgendermaßen vor:

1. Starten Sie den Server im Verzeichnisdienstwiederherstellung-Modus, oder beenden Sie Active Directory mit net stop ntds.

2. Öffnen Sie eine Befehlszeile und starten Ntdsutil.exe.

3. Geben Sie anschließend den Befehl activate instance ntds ein.

4. Geben Sie files ein, um zu file maintenance zu gelangen.

5. Geben Sie integrity ein, um einen Integritätstest der Datenbank durchzuführen. Wenn dieser Test eine Fehlermeldung anzeigt, können Sie versuchen, die Datenbank in Ntdsutil.exe zu retten.

6. Verlassen Sie mit quit die file maintenance, aber bleiben Sie in der Oberfläche von Ntdsutil.exe.

7. Geben Sie den Befehl semantic database analysis ein.

8. Geben Sie zunächst den Befehl verbose on ein, damit Sie detaillierte Informationen erhalten.

9. Geben Sie als Nächstes den Befehl go fixup ein.

Das Tool beginnt daraufhin mit der kompletten Diagnose der Active Directory-Datenbank und versucht, eine Reparatur durchzuführen. Verlassen Sie im Anschluss Ntdsutil.exe, und starten Sie den Domänencontroller neu. Überprüfen Sie, ob die Active-Directory-Datenbank wieder funktioniert. Sollten noch immer Schwierigkeiten auftreten, stellen Sie die Datenbank aus einer Datensicherung wieder her und überprüfen im Anschluss, ob Active Directory bei diesem Stand noch konsistent war. Sie sollten so lange Backups zurückspielen, bis sichergestellt ist, dass die Datenbank wieder konsistent ist.

Snapshots der Active-Directory-Datenbank erstellen

In Windows Server 2012/2012 R2 ist es möglich, einen Snapshot der Active-Directory-Datenbank zu erstellen und diesen bereitzustellen. Diese bereitgestellte Offline-Version der Datenbank kann dann ebenso bearbeitet werden wie die Online-Version. Der Snapshot wird als Schattenkopie der Datenbank erstellt. Die Bereitstellung der Active-Directory-Datenbank wird durch das Tool Dsamain.exe durchgeführt.

Die Erstellung von Snapshots wird wiederum mit dem Befehl snapshot in Ntdsutil.exe gestartet. Auf den Snapshot kann mit beliebigen LDAP-Tools, wie zum Beispiel Ldp.exe oder dem Snap-In Active-Directory-Benutzer und -Computer, zugegriffen werden. Snapshots dürfen nur von Domänen-Admins und Organisations-Admins erstellt werden.

Um einen Snapshot bereitzustellen, muss nicht unbedingt ein solcher mit Ntdsutil.exe erstellt werden, auch eine Datensicherung von Active Directory kann bereitgestellt werden. Der beste und schnellste Weg, einen Snapshot zu erstellen, ist folgender:

1. Öffnen Sie eine Befehlszeile, und starten Sie Ntdsutil.exe.

2. Geben Sie snapshot ein.

3. Geben Sie den Befehl activate instance ntds ein.

4. Geben Sie create ein. Der Snapshot wird anschließend erstellt und dessen GUID angezeigt.

5. Geben Sie den Befehl mount <GUID des Snapshots> ein. Mit list mounted werden alle gemounteten Snapshots angezeigt. Mit unmount <GUID> wird die Bereitstellung wieder aufgehoben, und mit delete <GUID> wird der Snapshot wieder gelöscht.

6. Per Skript oder als geplante Aufgabe wird ein Snapshot auch durch Eingabe des Befehls ntdsutil "activate instance ntds" snapshot create quit quit erstellt.

Mit dem Befehl

dsamain /dbpath <Pfad zur Datenbankdatei> /ldapport <Port>

kann eine Offline-Kopie der Active Directory-Datenbank auch als LDAP-Server bereitgestellt werden. Anschließend kann auf diese Offline-Kopie wie auf jeden LDAP-Server zugegriffen werden.

Der Active-Directory-Papierkorb

Den Papierkorb für gelöschte Objekte verwalten Sie in Windows Server 2012/2012 R2 nicht mehr in der PowerShell oder Befehlszeile, sondern Sie können die Aktivierung und die Wiederherstellung von Objekten vollständig im Active-Directory-Verwaltungscenter vornehmen. Diesen Vorgang führen Sie über das Kontextmenü der Gesamtstruktur auf der linken Seite der Konsole im Active-Directory-Verwaltungscenter durch.

Um gelöschte Objekte wiederherzustellen, verwenden Sie das Active Directory Administration Center in Windows Server 2012. Das hat den Vorteil, dass Ihnen eine grafische Oberfläche zur Verfügung steht. Nachdem Sie den Papierkorb aktiviert und das Active Directory-Verwaltungscenter neu gestartet haben, gibt es für die entsprechende Gesamtstruktur einen neuen Ordner Deleted Objects. In diesem können Sie nach gelöschten Objekten suchen und diese wiederherstellen. Dazu klicken Sie die Objekte mit der rechten Maustaste an. (cvi)