Active Directory-Gesamtstrukturwiederherstellung: Vorgehensweise beim Wiederherstellen der Gesamtstruktur
Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 und 2012
Das Wiederherstellen einer Active Directory-Gesamtstruktur umfasst das Wiederherstellen mindestens eines Domänencontrollers (DC) in jeder Domäne aus einer verfügbaren Sicherung. Durch die Wiederherstellung der Gesamtstruktur wird jede Domäne in der Gesamtstruktur in ihren Zustand zum Zeitpunkt der letzten vertrauenswürdigen Sicherung zurückversetzt.
Was verloren geht
Der Wiederherstellungsvorgang führt zum Verlust mindestens der folgenden Active Directory-Daten:
- Alle Objekte (z. B. Benutzer und Computer), die nach der letzten vertrauenswürdigen Sicherung hinzugefügt wurden
- Alle Updates, die seit der letzten vertrauenswürdigen Sicherung an vorhandenen Objekten vorgenommen wurden
- Alle Änderungen, die seit der letzten vertrauenswürdigen Sicherung an der Konfigurationspartition oder der Schemapartition in AD DS vorgenommen wurden (z. B. Schemaänderungen)
Kennwortkenntnisse
- Sie müssen das Kennwort eines Domänenadministratorkontos für jede Domäne in der Gesamtstruktur kennen. Vorzugsweise ist dies das Kennwort des integrierten Administratorkontos.
- Sie müssen auch das DSRM-Kennwort kennen, um eine Systemstatuswiederherstellung eines DC durchzuführen.
Es empfiehlt sich, das Administratorkonto und den DSRM-Kennwortverlauf an einem sicheren Ort zu archivieren, solange die Sicherungen gültig sind. Das heißt, innerhalb des Lebenszyklus von Tombstone oder innerhalb des Gültigkeitszeitraums des gelöschten Objekts, wenn der Active Directory-Papierkorb aktiviert ist.
Sie können das DSRM-Kennwort auch mit einem Domänenbenutzerkonto synchronisieren, um die Wiederherstellung zu erleichtern. Weitere Informationen finden Sie in diesem Artikel. Die Synchronisierung des DSRM-Kontos muss im Vorfeld der Gesamtstrukturwiederherstellung im Rahmen der Vorbereitung erfolgen.
Hinweis
Das Administratorkonto ist standardmäßig Mitglied der Gruppe der integrierten Administratoren, ebenso wie die Domänenadministrator- und Unternehmensadministrator-Gruppen. Diese Gruppe hat die volle Kontrolle über alle DCs in der Domäne.
Ermitteln der zu verwendenden Sicherungen
Sichern Sie regelmäßig mindestens zwei beschreibbare DCs für jede Domäne, sodass Sie mehrere Sicherungen zur Auswahl haben. Wählen Sie einen oder mehrere DCs nach Bedarf und den MASTER des PDC-Emulatorvorgangs für die SYSVOL-Datenwiederherstellung aus.
Hinweis
Sie können die Sicherung eines schreibgeschützten Domänencontrollers (RODC) nicht verwenden, um einen beschreibbaren DC wiederherzustellen. Es wird empfohlen, die DCs mithilfe von Sicherungen wiederherzustellen, die einige Tage vor dem Auftreten des Fehlers erstellt wurden. Im Allgemeinen müssen Sie einen Kompromiss zwischen der Aktualität und der Sicherheit der wiederhergestellten Daten finden. Indem Sie eine neuere Sicherung auswählen, werden nützlichere Daten wiederhergestellt. Dadurch kann sich jedoch das Risiko erhöhen, dass gefährliche Daten erneut in die wiederhergestellte Gesamtstruktur eingefügt werden.
Die Wiederherstellung von Systemstatussicherungen hängt vom ursprünglichen Betriebssystem und Server der Sicherung ab. Beispielsweise sollte eine Systemstatussicherung nicht auf einem anderen Server wiederhergestellt werden. In diesem Fall wird möglicherweise die folgende Warnung angezeigt:
Warnung
Die angegebene Sicherung stammt von einem anderen Server als dem aktuellen. Es wird nicht empfohlen, eine Systemstatuswiederherstellung mit der Sicherung auf einem anderen Server durchzuführen, da der Server dann möglicherweise nicht mehr verwendet werden kann. Möchten Sie diese Sicherung wirklich zum Wiederherstellen des aktuellen Servers verwenden?
Wenn Sie Active Directory auf einer anderen Hardware wiederherstellen müssen, erstellen Sie vollständige Serversicherungen, und planen Sie eine vollständige Serverwiederherstellung.
Wichtig
Das Wiederherstellen der Systemstatussicherung auf einer neuen Installation von Windows Server auf neuer Hardware oder derselben Hardware wird nicht unterstützt. Wenn Windows Server auf derselben Hardware neu installiert wird (empfohlen), können Sie den Domänencontroller in der folgenden Reihenfolge wiederherstellen:
- Führen Sie eine vollständige Serverwiederherstellung durch, um das Betriebssystem und alle Dateien und Anwendungen wiederherzustellen.
- Führen Sie eine Systemstatuswiederherstellung mit wbadmin.exe durch, um SYSVOL als autoritativ zu kennzeichnen.
Weitere Informationen finden Sie unter Wiederherstellen einer Windows 7-Installation.
Wenn der Zeitpunkt des Fehlers unbekannt ist, führen Sie weitere Ermittlungen durch, um Sicherungen zu finden, die den letzten sicheren Status der Gesamtstruktur enthalten.
Dieser Ansatz ist nicht der bevorzugte. Daher wird dringend empfohlen, täglich detaillierte Protokolle über den Integritätsstatus von AD DS zu pflegen, damit bei einem gesamtstrukturweiten Fehler der ungefähre Zeitpunkt des Fehlers ermittelt werden kann. Sie sollten auch eine lokale Kopie der Sicherungen aufbewahren, um eine schnellere Wiederherstellung zu ermöglichen.
Wenn der Active Directory-Papierkorb aktiviert ist, entspricht die Lebensdauer der Sicherung dem Wert deletedObjectLifetime oder dem Wert TombstoneLifetime, je nachdem, welcher Wert kleiner ist. Weitere Informationen finden Sie unter Schrittweise Anleitung zum Active Directory-Papierkorb.
Alternativ können Sie das Active Directory-Datenbankbereitstellungstool (Dsamain.exe) und ein Lightweight Directory Access Protocol-(LDAP-)Tool wie Ldp.exe oder Active Directory-Benutzer und -Computer verwenden, um zu ermitteln, welche Sicherung den letzten sicheren Status der Gesamtstruktur aufweist. Das Active Directory-Datenbankbereitstellungstool, das in den Windows Server-Betriebssystemen enthalten ist, macht Active Directory-Daten, die in Sicherungen oder Momentaufnahmen gespeichert sind, als LDAP-Server verfügbar. Sie können ein LDAP-Tool verwenden, um die Daten zu durchsuchen. Dieser Ansatz hat den Vorteil, dass Sie keinen DC im Verzeichnisdienstewiederherstellungs-(DSRM-)Modus neu starten müssen, um den Inhalt der Sicherung von AD DS zu untersuchen.
Weitere Informationen zur Verwendung des Active Directory-Datenbankbereitstellungstools finden Sie im Schritt-für-Schritt-Leitfaden zur Bereitstellung von Active Directory-Datenbanken.
Sie können auch den Befehl ntdsutil snapshot verwenden, um Momentaufnahmen der Active Directory-Datenbank zu erstellen. Wenn Sie eine Aufgabe planen, um in regelmäßigen Abständen Momentaufnahmen zu erstellen, können Sie im Laufe der Zeit zusätzliche Kopien der Active Directory-Datenbank abrufen. Sie können diese Kopien verwenden, um besser zu erkennen, wann der gesamtstrukturweite Fehler aufgetreten ist, und dann die beste Sicherung auswählen, die wiederhergestellt werden soll. Verwenden Sie zum Erstellen von Momentaufnahmen ntdsutil oder die Remoteserver-Verwaltungstools (REMOTE Server Administration Tools, RSAT).
Auf dem Ziel-DC kann eine beliebige Version von Windows Server ausgeführt werden. Weitere Informationen zur Verwendung des Befehls ntdsutil snapshot finden Sie unter Momentaufnahme.
Ermitteln der wiederherzustellenden Domänencontroller
Wie einfach die Wiederherstellung ist, ein wichtiger Faktor bei der Entscheidung darüber, welcher Domänencontroller wiederhergestellt werden soll. Es wird empfohlen, einen dedizierten DC für jede Domäne zu verwenden, der für eine Wiederherstellung bevorzugt wird. Ein dedizierter Wiederherstellungs-DC erleichtert die zuverlässige Planung und Ausführung der Gesamtstrukturwiederherstellung, da Sie dieselbe Quellkonfiguration verwenden, die zum Durchführen von Wiederherstellungstests verwendet wurde. Sie können die Wiederherstellung skripten und verhindern, dass sie mit unterschiedlichen Konfigurationen zu kämpfen haben, z. B. ob die DC-Vorgänge Masterrollen enthält oder ob es sich um einen GC- oder DNS-Server handelt.
Hinweis
Das Wiederherstellen einer Betriebsmasterrolle im Interesse der Einfachheit wird nicht empfohlen, da Sie immer alle Rollen ergreifen. Es gibt den Fall einer SYSVOL-Wiederherstellung mit einer Sicherung aus dem PDC Emulator Operation Master, da die PDC normalerweise die beste Kopie von SYSVOL-Daten hat.
Eine gute Sicherung ist eine Sicherung, die erfolgreich wiederhergestellt werden kann, einige Tage vor dem Fehler erstellt wurde und so viele nützliche Daten wie möglich enthält. Wählen Sie einen Dc aus, der die folgenden Kriterien am besten erfüllt:
Ein DC, der beschreibbar ist. Diese ist obligatorisch.
Ein DC, auf dem Windows Server 2012 oder höher als virtueller Computer auf einem Hypervisor ausgeführt wird, der VM-GenerationID unterstützt. Dieser DC kann als Quelle für das Klonen verwendet werden. Verwenden Sie im Allgemeinen einen DC mit einer guten Sicherung mit dem aktuellsten Betriebssystem.
Ein DC, auf den entweder physisch oder in einem virtuellen Netzwerk zugegriffen werden kann und der sich vorzugsweise in einem Rechenzentrum befindet. Auf diese Weise können Sie ihn während der Gesamtstrukturwiederherstellung problemlos aus dem Netzwerk isolieren.
Ein DC mit einer guten vollständigen Serversicherung.
Ein DC, der die Domain Name System (DNS)-Rolle ausführt und die Forest- und Domain(s)-Zone hostet.
Ein DC, der als globaler Katalog (GC) konfiguriert ist.
Ein DC, der nicht konfiguriert ist, die BitLocker-Netzwerksperrung zu verwenden, wenn Sie Windows-Bereitstellungsdienste verwenden. Die Verwendung der BitLocker-Netzwerksperrung für den ersten DC, den Sie während einer Gesamtstrukturwiederherstellung wiederherstellen, wird nicht unterstützt. Auf DCs, auf denen Sie Windows Deployement Services (WDS) bereitgestellt haben, kann BitLocker Network Unlock als einzige Schlüsselschutzvorrichtung kann nicht verwendet werden, da der erste DC Active Directory und WDS zum Entsperren benötigen. Vor der Wiederherstellung des ersten Domänencontrollers ist Active Directory für WDS noch nicht verfügbar, sodass keine Entsperrung möglich ist.
Um zu ermitteln, ob ein DC für die Verwendung der BitLocker-Netzwerkentsperrung konfiguriert ist, überprüfen Sie, ob ein Netzwerkentsperrungszertifikat im folgenden Registrierungsschlüssel identifiziert wird:
HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftSystemCertificatesFVE_NKP
Wichtig
Behalten Sie beim Umgang mit bzw. beim Wiederherstellen von Sicherungsdateien, die Active Directory enthalten, die Sicherheitsverfahren bei. Die Dringlichkeit, die mit der Wiederherstellung der Gesamtstruktur einhergeht, kann unbeabsichtigt dazu führen, dass bewährte Sicherheitsmethoden missachtet werden.
Identifizieren der aktuellen Gesamtstrukturstruktur und DC-Funktionen
Ermitteln Sie die aktuelle Gesamtstrukturstruktur, indem Sie alle Domänen in der Gesamtstruktur identifizieren. Erstellen Sie eine Liste aller DCs in jeder Domäne, insbesondere der DCs mit Sicherungen und der virtualisierten DCs, die als Quelle für das Klonen fungieren können.
Eine Liste der Domänencontroller für die Stammdomäne der Gesamtstruktur ist am wichtigsten, da Sie diese Domäne zuerst wiederherstellen. Nachdem Sie die Stammdomäne der Gesamtstruktur wiederhergestellt haben, können Sie mithilfe von Active Directory-Snap-Ins eine Liste der anderen Domänen, DCs und Standorte in der Gesamtstruktur abrufen.
Identifizieren Sie für jede Domäne in der Gesamtstruktur einen einzelnen beschreibbaren DC, der über eine vertrauenswürdige Sicherung der Active Directory-Datenbank für diese Domäne verfügt. Gehen Sie vorsichtig vor, wenn Sie eine Sicherung auswählen, um einen DC wiederherzustellen. Wenn der Tag und die Ursache des Fehlers bekannt sind, empfiehlt es sich, eine Sicherung zu identifizieren und zu verwenden, die ein paar Tage vor diesem Datum vorgenommen wurde.
Erstellen Sie eine Tabelle, in der die Funktionen der einzelnen DCs in der Domäne angezeigt werden, wie im folgenden Beispiel gezeigt. Auf diese Weise können Sie nach der Wiederherstellung wieder zur Konfiguration vor dem Fehler in der Gesamtstruktur zurückkehren.
| DC name | Betriebssystem | FSMO | GC | RODC | Backup | DNS | Server Core | VM |
|---|---|---|---|---|---|---|---|---|
| DC_1 | Windows Server 2019 | Schemamaster, Domänennamenmaster | Ja | Nein | Ja | Nein | Nein | Ja |
| DC_2 | Windows Server 2019 | None | Ja | Nein | Ja | Ja | Nein | Ja |
| DC_3 | Windows Server 2022 | Infrastrukturmaster | Nein | Nr. | Nein | Ja | Ja | Ja |
| DC_4 | Windows Server 2022 | PDC-Emulator, RID-Master | Ja | Nein | Nr. | Nr. | Nein | Ja |
| DC_5 | Windows Server 2022 | None | Nein | Nein | Ja | Ja | Nein | Ja |
| RODC_1 | Windows Server 2016 | None | Ja | Ja | Ja | Ja | Ja | Ja |
| RODC_2 | Windows Server 2022 | None | Ja | Ja | Nein | Ja | Ja | Ja |
Im Beispiel oben gibt es vier Sicherungskandidaten: DC_1, DC_2, DC_4 und DC_5. Von diesen Sicherungskandidaten stellen Sie nur einen wieder her. Der empfohlene DC ist aus den folgenden Gründen DC_5:
- Er ist eine gute Quelle für das Klonen von virtualisierten DCs, da auf ihm Windows Server 2022 als virtueller DC läuft und Software ausgeführt wird, die geklont werden darf (oder die entfernt werden kann, wenn sie nicht geklont werden kann). Nach der Wiederherstellung wird die PDC-Emulatorrolle diesem Server zugewiesen und kann der Gruppe der klonbaren Domänencontroller für die Domäne hinzugefügt werden.
- Auf ihm wird eine vollständige Installation von Windows Server 2022 ausgeführt. Ein DC, auf dem eine Server Core-Installation ausgeführt wird, kann als Ziel für die Wiederherstellung weniger geeignet sein. Wenn Sie mit der Verwaltung von Windows-Servern über die Befehlszeilenschnittstelle vertraut sind, spielt dies möglicherweise keine Rolle.
- Er ist ein DNS-Server.
Hinweis
Da DC_5 kein globaler Katalogserver ist, hat er den Vorteil, dass der globale Katalog nach der Wiederherstellung nicht entfernt werden muss. Sie müssen jedoch die Wiederherstellung mit dem Standardadministratorkonto mit Rid 500 starten oder den Registrierungswert ignoregcfailuresverwenden:
Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
Value: IgnoreGCFailures
Type: REG_DWORD
Data: 0 – Require GlobalCatalog for logon (default)
1 – Allow logon without groups from GC
Andere Faktoren sind in der Regel wichtiger als der zusätzliche Schritt beim Entfernen der GC-Rolle. DC_3 oder DC_4 sind auch eine gute Wahl, da die Vorgangsmasterrollen, die sie haben, kein Problem darstellen. Berücksichtigen Sie die Optionen, und treffen Sie Ihre Wahl abhängig von Ihrer tatsächlichen Wiederherstellungssituation. Sie können normalerweise planen und testen, indem Sie die PDC Operations Master-Sicherung wiederherstellen, aber wenn diese Sicherung nicht funktioniert, z. B. weil sie aus der falschen Zeit stammt, wählen Sie eine Sicherung aus einer GC derselben Domäne aus.
Isoliertes Wiederherstellen der Gesamtstruktur
Das bevorzugte Szenario besteht darin, alle beschreibbaren DCs herunterzufahren, bevor der erste wiederhergestellte DC wieder in die Produktion gebracht wird. Dadurch wird sichergestellt, dass gefährliche Daten nicht in der wiederhergestellten Gesamtstruktur repliziert werden. Es ist besonders wichtig, alle Inhaber von Vorgangsmasterrollen herunterzufahren.
Hinweis
Es kann vorkommen, dass Sie den ersten DC, den Sie für jede Domäne wiederherstellen möchten, in ein isoliertes Netzwerk verschieben, während andere DCs online bleiben können, sodass Systemausfälle minimiert werden. Wenn Sie beispielsweise nach einem fehlgeschlagenen Schemaupgrade eine Wiederherstellung durchführen, können Sie entscheiden, dass Domänencontroller weiterhin im Produktionsnetzwerk ausgeführt werden, während Sie die Wiederherstellungsschritte isoliert ausführen.
Virtualisierte DCs
Wenn Sie virtualisierte Domänencontroller ausführen, können Sie sie in ein virtuelles Netzwerk verschieben, das vom Produktionsnetzwerk isoliert ist, in dem Sie die Wiederherstellung durchführen. Das Verschieben virtualisierter DCs in ein separates Netzwerk bietet zwei Vorteile:
- Wiederhergestellte DCs werden daran gehindert, das Problem zu reproduzieren, das die Gesamtstrukturwiederherstellung verursacht hat.
- Das Klonen virtualisierter Domänencontroller kann im isolierten Netzwerk durchgeführt werden, sodass eine kritische Anzahl von Domänencontrollern ausgeführt und getestet werden kann, bevor sie wieder Teil des Produktionsnetzwerks werden.
Physische DCs
Wenn Sie Domänencontroller auf physischer Hardware ausführen, trennen Sie das Netzwerkkabel des ersten Domänencontrollers, den Sie in der Stammdomäne der Gesamtstruktur wiederherstellen möchten. Trennen Sie nach Möglichkeit auch die Netzwerkkabel aller anderen DCs. Dadurch wird verhindert, dass Domänencontroller repliziert werden, wenn sie während des Gesamtstruktur-Wiederherstellungsprozesses versehentlich gestartet werden.
Große Gesamtstrukturen
In einer großen Gesamtstruktur, die über mehrere Standorte verteilt ist, kann es schwierig sein, sicherzustellen, dass alle beschreibbaren DCs heruntergefahren werden. Aus diesem Grund sind die Wiederherstellungsschritte wie das Zurücksetzen des Computerkontos und des krbtgt-Kontos sowie die Metadatenbereinigung so konzipiert, dass die wiederhergestellten beschreibbaren Domänencontroller nicht mit gefährlichen beschreibbaren Domänencontrollern repliziert werden (falls einige in der Gesamtstruktur noch online sind).
Nur wenn Sie beschreibbare Domänencontroller offline schalten, können Sie sicherstellen, dass es nicht zu einer Replikation kommt. Daher sollten Sie nach Möglichkeit eine Remoteverwaltungstechnologie bereitstellen, mit der Sie die beschreibbaren DCs während der Gesamtstrukturwiederherstellung herunterfahren und physisch isolieren können.
RODCs
RODCs können weiterhin ausgeführt werden, während beschreibbare DCs offline sind. Kein anderer Domänencontroller repliziert direkt Änderungen aus einem RODC – insbesondere keine Änderungen an Schema- oder Konfigurationscontainern. Dadurch stellen sie während der Wiederherstellung nicht das gleiche Risiko dar wie beschreibbare Domänencontroller. Nachdem alle beschreibbaren DCs wiederhergestellt und online sind, sollten Sie alle RODCs neu erstellen.
RODCs ermöglichen weiterhin den Zugriff auf lokale Ressourcen, die an ihren jeweiligen Standorten zwischengespeichert werden, während die Wiederherstellungsvorgänge parallel ausgeführt werden. Für lokale Ressourcen, die nicht auf dem RODC zwischengespeichert werden, werden Authentifizierungsanforderungen an einen beschreibbaren Domänencontroller weitergeleitet. Diese Anforderungen schlagen fehl, da beschreibbare DCs offline sind. Einige Vorgänge wie Kennwortänderungen funktionieren auch erst dann, wenn Sie beschreibbare DCs wiederherstellen.
Wenn Sie eine Hub-and-Spoke-Netzwerkarchitektur verwenden, können Sie sich zunächst auf die Wiederherstellung der beschreibbaren Domänencontroller an den Hubstandorten konzentrieren. Später können Sie die RODCs an Remotestandorten neu erstellen.
Kompromittierte AD-Datenbank
Wenn die AD-Datenbank eines beschreibbaren DC kompromittiert wird, sollte nach der Wiederherstellung ein neuer KDS-Stammschlüssel erstellt werden, und alle gruppenverwalteten Dienstkonten (Group Managed Service Accounts, gMSA) sollten je nach Kompromittierungsszenario neu erstellt werden. Die Details werden hier beschrieben: Vorgehensweise zum Wiederherstellen nach einem Golden gMSA-Angriff.
Nächste Schritte
- Wiederherstellung der AD-Gesamtstruktur: Voraussetzungen
- AD-Gesamtstrukturwiederherstellung: Entwickeln eines benutzerdefinierten Gesamtstrukturwiederherstellungsplans
- AD-Gesamtstrukturwiederherstellung: Schritte zum Wiederherstellen der Gesamtstruktur
- AD-Gesamtstrukturwiederherstellung: Erkennen des Problems
- AD-Gesamtstrukturwiederherstellung: Bestimmen der Wiederherstellung
- AD-Gesamtstrukturwiederherstellung: Durchführen der anfänglichen Wiederherstellung
- Wiederherstellung der AD-Gesamtstruktur: Verfahren
- AD-Gesamtstrukturwiederherstellung: Häufig gestellte Fragen (FAQ)
- AD-Gesamtstrukturwiederherstellung: Wiederherstellen einer einzelnen Domäne mit einer Gesamtstruktur mit mehreren Domänen
- Wiederherstellung der AD-Gesamtstruktur: erneutes Bereitstellen verbleibender DCs
- Wiederherstellung der AD-Gesamtstruktur: Virtualisierung
- AD-Gesamtstrukturwiederherstellung: Bereinigung