Wiederherstellung der AD-Gesamtstruktur: Häufig gestellte Fragen

Obwohl die Geschwindigkeit der Wiederherstellung nicht das primäre Ziel dieses Leitfadens ist, können Sie kürzere Wiederherstellungszeiten erreichen, indem Sie Folgendes tun:

• Erstellen eines detaillierten Gesamtstrukturwiederherstellungsplans, regelmäßiges Aktualisieren und Üben in einer simulierten Testumgebung mit angemessener Größe mindestens einmal im Jahr.
• Ausführen einer VOLLSTÄNDIGEN Windows Server-Sicherung, die sowohl die Bare-Metal-Wiederherstellung (BMR) als auch eine Systemstatuswiederherstellung bereitstellt.
• Verwenden von virtualisiertem DC-Klonen (Domaincontroller): Virtualisiertes DC-Klonen beschleunigt den Prozess zur Bereitstellung zusätzlicher Domänencontroller, um die ursprünglichen Bandbreite von Domänendiensten wiederherzustellen. Bei DCs, die nach der Wiederherstellung eines DC aus der Sicherung in jeder Domäne ausgeführt werden, muss der PDC-Emulator auch während des Klonvorgangs verfügbar sein, da es sich um eine nicht authentifizierende Wiederherstellung handelt. Die zusätzlichen virtualisierten DCs können geklont werden, anstatt auf den Abschluss potenziell langwieriger AD DS-Installationen und den Abschluss einer unkritischen Replikation nach der Installation zu warten. Gesamtstrukturen, in denen virtuelle DCs in einer relativ kleinen Anzahl von gut verbundenen Rechenzentren gehostet werden, profitieren während der Wiederherstellung möglicherweise am meisten vom Klonen. Von diesem Vorgehen dürfte jedoch jede Umgebung profitieren, in der sich mehrere virtualisierte DCs für dieselbe Domäne auf demselben Hypervisor-Host befinden.
• Verwenden von „Install from Media“ (IFM), um die für die vollständige Replikation benötigte Zeit zu reduzieren, indem der Replikationsdatenverkehr reduziert wird, da nur das Delta repliziert wird. Dieses Vorgehen ermöglicht auch die schnelle Installation mehrerer DCs.
• Im Fall (seltener) komplexer Remotestandortszenarien: –** Installieren Sie AD DS auf einem oder mehreren Servern auf einem Hub- oder einer Stagingsite**, und senden Sie sie dann an den Remotestandort.
  • Implementieren von Sicherungs-/Wiederherstellungsverfahren für DCs mit schlechter/zeitweiliger Konnektivität zusätzlich zu den DCs, die als primäre Sicherungs- und Notfallwiederherstellungssysteme (Backup & Disaster Recovery, BDR) an primären Rechenzentrumsstandorten festgelegt sind. Bei diesem Vorgehen müssen Sie Schritte hinzufügen, um die an anderen Standorten wiederhergestellten DCs mit den primären Rechenzentrums-DCs zu synchronisieren. Legen Sie dazu einen DC als Computerkontoverweis fest, und führen Sie nur dort KDCSVC aus. Führen Sie auf den anderen wiederhergestellten DCs die Schritte unter Verwenden von Netdom.exe zum Zurücksetzen eines Computerkontokennworts aus.
• Bereitstellen schreibgeschützter Domänencontroller (Read Only Domain Controllers, RODCs): RODCs können während des Wiederherstellungsprozesses den kontinuierlichen Weiterbetrieb Ihres Geschäfts gewährleisten, da sie nicht vom Netzwerk getrennt werden müssen wie nicht schreibgeschützte DCs. RODCs führen keine ausgehende Replikation durch. Daher stellen sie nicht das gleiche Risiko dar, wie nicht schreibgeschützte DCs dar, nämlich die die Replikation schädlicher Daten in die wiederhergestellte Umgebung.

Weitere Faktoren, die sich auf die Dauer des Gesamtstrukturwiederherstellungsprozesses auswirken, sind u. a. folgende:

• Wenn es sich bei den Domänencontrollern um virtuelle Computer handelt, können Sie die Momentaufnahmewiederherstellung nutzen, um einen DC in einen bekannten fehlerfreien Zustand zurückzusetzen. Dieser Ansatz allerdings wird nicht empfohlen, da Momentaufnahmen, die für Sicherungen verwendet werden, eine Reihe von Einschränkungen aufweisen, z. B. muss auf dem VM-Server ausreichend Speicherplatz für die Momentaufnahmen zur Verfügung stehen, um einen verwendbaren Sicherungsverlauf zu haben. Es wird daher dringend empfohlen, hauptsächlich regelmäßige Sicherungen für die Wiederherstellung zu verwenden. VM-Momentaufnahmen können bei der Wiederherstellung helfen, wenn nach heiklen Änderungen Probleme auftreten. Zu diesen Änderungen zählen beispielsweise Updates, die die Gesamtstruktur betreffen wie Domänenumbenennungen oder große Schemaupdates. Hinweis: Sie müssen SYSVOL bei Bedarf für DFSR manuell als autoritativ markieren. Weitere Informationen zur Problembehandlung bei virtuellen Domänencontrollern finden Sie unter Architektur virtualisierter Domänencontroller.

• Wenn Sie DCs aus Sicherungen wiederherstellen, ist es zeitaufwendig, die physischen Sicherungsmedien wie Bänder zu suchen und abzurufen, das Betriebssystem je nach Wiederherstellungsszenario neu zu installieren und Daten aus Sicherungsmedien wiederherzustellen.

  Hinweis

  Sie können die Zeit für die Neuinstallation des Betriebssystems und die Wiederherstellung von Daten aus der Sicherung benötigte Zeit reduzieren, indem Sie eine BMR-Wiederherstellung (Bare-Metal Recovery) anstelle der Systemzustandswiederherstellung durchführen. Da die Bare-Metal-Wiederherstellung binärbasiert ist, erfolgt sie viel schneller als die Wiederherstellung des Systemzustands. Wenn der Server jedoch Daten enthält, die aus Systemzustandsdaten ausgeschlossen sind, die Sie nicht wiederherstellen möchten, ist die Bare-Metal-Wiederherstellung möglicherweise keine praktikable Alternative zur Systemstatuswiederherstellung. Berücksichtigen Sie die Vorteile einer vollständigen Serverwiederherstellung anstelle einer Systemzustandswiederherstellung speziell für Ihre Server, und bereiten Sie sich entsprechend vor, indem Sie die geeignete Art der Sicherung durchführen, die Sie später wiederherstellen möchten. Als grundsätzlich bewährte Methode wird das Ausführen einer VOLLSTÄNDIGEN Sicherung empfohlen, die sowohl einen BMR- als auch einen Systemstatus-Wiederherstellungstyp bereitstellt.

  • Wenn Sie DCs durch Replikation neu erstellen, nimmt die Replikation von Daten für netzwerkbasierte Promotionen einige Zeit in Anspruch. Sie können die für die Wiederherstellung von DCs erforderliche Zeit verringern, indem Sie den neuen Domänencontroller zum Höherstufen im selben Subnetz wie den Partner platzieren. Dadurch werden Verzögerungen minimiert, die durch Netzwerkroundtrip und -durchsatz verursacht werden.

• Reduzieren Sie die Zeit für das Abrufen von Sicherungsmedien, indem Sie

  • Verwenden des Active Directory-Datenbankbereitstellungstools (Dsamain.exe), um die optimale Sicherung für Wiederherstellungsvorgänge zu ermitteln. Weitere Informationen zur Verwendung des Active Directory-Datenbankbereitstellungstools finden Sie im Schritt-für-Schritt-Leitfaden zur Bereitstellung von Active Directory-Datenbanken.
  • Verständliches Beschriften der Sicherungsmedien und strukturierte Aufbewahrung an einem praktischen, aber sicheren Ort, der einen schnellen Abruf ermöglicht. Stellen Sie hierbei sicher, dass Sie gemäß Ihren Sicherungen über gültige Anmeldeinformationen verfügen.

• Erzwingen des Entfernens von AD DS aus den DCs, anstatt das Betriebssystem neu zu installieren. Wenn festgestellt wird, dass die Ursache des gesamtstrukturweiten Fehlers allein im Bereich von AD DS liegt, müssen Sie das Betriebssystem auf den DCs nicht neu installieren. Weitere Informationen zum Erzwingen der Entfernung von AD DS aus einem Domänencontroller finden Sie unter Erzwingen des Entfernens eines Windows Server 2008-Domänencontrollers (https://go.microsoft.com/fwlink/?LinkId=132627).

• Verwenden schnellere Bandgeräte oder Datenträgersicherungen, um die für Wiederherstellungsvorgänge erforderliche Zeit zu verkürzen. Unternehmen mit einer aggressiveren Vereinbarung zum Servicelevel (SLA) könnten erwägen, die Verfahren zur Wiederherstellung der Gesamtstruktur zu ändern, um die Wiederherstellung zu beschleunigen.

Aufgrund des komplexen und kritischen Charakters des Gesamtstrukturwiederherstellungsprozesses ist derzeit keine End-to-End-Automatisierung vorhanden. Der Gesamtstrukturwiederherstellungsprozess ist eher eine logistische und organisatorische Herausforderung bei der Wiederherstellung der Geschäftskontinuität als ein technisches Problem der Prozessautomatisierung. Daher sollte die Person, die die Umgebung verwaltet, einen für diese Umgebung spezifischen Gesamtstrukturwiederherstellungsplan erstellen und dann Abschnitte davon automatisieren, die erfolgreich automatisiert werden können.

Sie können die meisten Gesamtstrukturwiederherstellungschritte mithilfe von Befehlszeilentools ausführen. Daher sind die meisten Schritte skriptfähig. Beispielsweise ist Ntdsutil.exe eines der am häufigsten verwendeten Tools im Gesamtstrukturwiederherstellungsprozess.

Obwohl Skripts die Wiederherstellung beschleunigen können, müssen Sie diese Skripts gründlich testen, bevor Sie sie in einer realen Umgebung anwenden. Außerdem müssen Sie sie entsprechend den Änderungen in der Active Directory-Umgebung aktualisieren, wie z. B. dem Hinzufügen einer neuen Domäne oder eines neuen DC oder einer neuen Version von Active Directory.

Nächste Schritte

• Wiederherstellung der AD-Gesamtstruktur: Voraussetzungen
• AD-Gesamtstrukturwiederherstellung: Entwickeln eines benutzerdefinierten Gesamtstrukturwiederherstellungsplans
• AD-Gesamtstrukturwiederherstellung – Schritte zum Wiederherstellen der Gesamtstruktur
• AD-Gesamtstrukturwiederherstellung: Erkennen des Problems
• AD-Gesamtstrukturwiederherstellung: Bestimmen der Wiederherstellung
• AD-Gesamtstrukturwiederherstellung: Durchführen der anfänglichen Wiederherstellung
• Wiederherstellung der AD-Gesamtstruktur: Verfahren
• AD-Gesamtstrukturwiederherstellung: Häufig gestellte Fragen (FAQ)
• AD-Gesamtstrukturwiederherstellung: Wiederherstellen einer einzelnen Domäne mit einer Gesamtstruktur mit mehreren Domänen
• Wiederherstellung der AD-Gesamtstruktur: erneutes Bereitstellen verbleibender DCs
• Wiederherstellung der AD-Gesamtstruktur: Virtualisierung
• AD-Gesamtstrukturwiederherstellung – Bereinigung