CertBase Community
Die Lernplattform für Ihren Erfolg

Unterschied Autorisierende & Nicht Autorisierende Wiederherstellung AD

rated by 0 users
This post has 6 Replies | 1 Follower

Top 50 Mitwirkender
Beiträge 34
blackxenon Hmm [^o)] Posted: Wed, 08. Feb 2017 5:48 | IP-Adresse ist Registriert

Guten Morgen zusammen!

Ich bin gerade am erlernen bzw. durch machen des 5 Kapitels vom 70-411er und habe schon einige Frage bzgl. der AD-Wiederherstellung erhalten! Aber irgendwie werde ich aus der Hilfe nicht wirklich schlau, und aucah wenn ich danach Google schreibt jemand mal dies und dann der andere wieder das..

 

Könnt ihr mir erklären was der Unterschied jetzt ist zwischen einer Autorisierenden und Nicht-Autorisierenden Wiederherstellung beim AD? Bzw. WANN ich was verwenden muss?

 

LG
Mark 

Top 10 Mitwirkender
Beiträge 430
webbel Antwort zu Wed, 08. Feb 2017 11:40 | IP-Adresse ist Registriert

Hallo!

 

Das wird etwas länger. :-)

 

Ohne AD Papierkorb werden beim Löschen eines AD Objektes ein Teil seiner Attribute entfernt. Z.Bsp. die verknüpften Attribute wie Gruppenmitgliedschaften. Du kannst die Objekte mit der Tombstone-Reanimation wiederherstellen, es hat zwar seine SID, es fehlen aber, gerade bei Gruppen, wichtige Informationen. Die können mit der Wiederherstellung des Systemstatus zurückgeholt werden.

 

Die nicht-autorisierende Wiederherstellung ist eine einfache Wiederherstellung der AD. Die kann verwendet werden, wenn nur ein DC vorhanden ist. 

 

Wenn mehrere DC im Netzwerk sind, hilft die nicht weiter. Die Wiederherstellung des Systemstatus erfolgt im Verzeichnisdienst-Wiederherstellung-Modus (erweiterte Startoptionen; DSRM). Beim DSRM wird der DC ohne AD und dazugehörige Dienste ausgeführt. Beim Neustart vergleichen die DC ihre AD und stellen fest, das der wiederhergestellte DC eine ältere AD Datenbank hat als die anderen. Der wiederhergestellte DC repliziert die Datenbank, das wiedergestellte Objekt ist wieder gelöscht. 

 

Bei der Autorisierung wird die USN des wiederhergestellten Objektes soweit angehoben, das die anderen DC davon ausgehen, das ihre AD Datenbank nicht aktuell ist und vom DC mit dem wiederhergestellten Objekt replizieren. Die Autorisierung muss unmittelbar nach dem Wiederherstellen des Systemstatus ausgeführt werden. Bevor der Server neugestartet wird. Ntdsutil hat das Untermenü Autoritative Restore mit dem das gemacht werden kann.

 

Die autorisierende Wiederherstellung wird angewendet wenn mehrere DC vorhanden sind, der AD Papierkorb nicht benutzt wird und die verknüpften Eigenschaften des Objektes eine Rolle spielen. 

Top 50 Mitwirkender
Beiträge 34
blackxenon Antwort zu Thu, 09. Feb 2017 5:39 | IP-Adresse ist Registriert

Guten Morgen!

 

Vielen lieben Dank für die ausführliche Antwort!

Eine frage hätte ich da aber noch!

Beim Papierkorb werden da die Verknüpften Elemente wie z.B. die Mitgliedschaften einer Gruppe wiederhergestellt? Oder ist dass nur bei der autorisierenden Wiederherstellung an sich möglich?

Und was ist mit der Tombstone-Reanimation gemeint? Ist das der Papierkorb?

 

Danke & LG
Mark 

Top 50 Mitwirkender
Beiträge 34
blackxenon Antwort zu Thu, 09. Feb 2017 6:43 | IP-Adresse ist Registriert

Hallo Webbel!

Ich muss dich bzw. euch nochmal etwas Fragen: (auch wenn die Antwort zu deiner ersten ausführlichen Erklärung derzeit noch nicht freigegeben ist.)

Mir wurde gerade die Frage 202 gestellt bei der eine Sicherheitsgruppe mit 100 Mitglieder entfernt wurde, und diese soll wieder hergestellt werden!

Laut deiner Erklärung fällt der Papierkorb ja flach, da ich ja die Mitgliedschaften auch wiederherstellen möchte => VERSTANDEN =)

Laut deiner Erklärung fällt auch die NICHT-Autorisierende Wiederherstellung flach, da ich ja nicht nur einen sondern zwei Domänencontroller habe. => VERSTANDEN =)

Also bleiben noch zwei Möglichkeiten:

  1. Die Autorisierende Wiederherstellung
  2. Die Konfiguration des Attributes "is Deleted"

 

Richtig wäre hier die Konfiguration des Attributes "is Deleted"! Aber warum verwende ich hier keine autorisierende Wiederherstellung! Wenn man das Attribut so wie es in der Erklärung steht von TRUE auf FALSE setzt, werden dann die Mitgliedschaften auch wiederherstellt? Ist das die sogenannten Tombstone Reanimation?

 

Danke & LG aus Oberösterreich

 

Top 10 Mitwirkender
Beiträge 430
webbel Antwort zu Thu, 09. Feb 2017 7:47 | IP-Adresse ist Registriert

Hallo!

Wenn der Papierkorb nicht aktiv ist werden ein Teil der Attribute des Objektes gelöscht, es wird als veraltet markiert und in den Container Deleted Objects verschoben. Dort bleibt es für die Dauer des im Attribut TombstoneLifetime Wertes. Standard 180 Tage. Es kann z. Bsp. mit Ldp.exe wiederhergestellt werden. Aber eben ohne die gelöschten Attribute, weshalb dann die autorisierende Wiederherstellung nötig ist. Diese Wiederherstellung mit Ldp.exe wird auch Tombstone-Reanimation genannt. Nach Ablauf der Frist wird es vom AD Aufräumvorgang tatsächlich gelöscht.

Wenn der Papierkorb aktiviert ist werden beim Löschen alle Attribute erhalten. Das Objekt wird nur logisch als gelöscht markiert. Das ist das Attribut isDeleted. Wie lange es so markiert bleibt wird durch das Attribut ms-DeletedObjectLifetime bestimmt. Ist dieser Wert nicht konfiguriert entspricht er der TombstoneLifetime. In diesem Zeitraum kann es wiederhergestellt werden. Mit allen Attributen. Danach wird das Objekt zusätzlich als veraltet markiert. Das Attribut IsRecycled. Es kann nicht mehr wiederhergestellt werden. Dafür gibt es auch eine Frist die in der Standardkonfiguration ebenfalls der TombstoneLifetime entspricht. Nach Ablauf dieser Frist wird das Objekt dann tatsächlich vom AD Aufräumvorgang gelöscht.  

Top 10 Mitwirkender
Beiträge 430
webbel Antwort zu Thu, 09. Feb 2017 8:48 | IP-Adresse ist Registriert

blackxenon:

Mir wurde gerade die Frage 202 gestellt bei der eine Sicherheitsgruppe mit 100 Mitglieder entfernt wurde, und diese soll wieder hergestellt werden!

Laut deiner Erklärung fällt der Papierkorb ja flach, da ich ja die Mitgliedschaften auch wiederherstellen möchte => VERSTANDEN =)

Hallo!

Da hast du etwas missverstanden. Genau das ist der Grund für den Papierkorb! Die verknüpften Attribute können nur bei aktiviertem Papierkorb oder mit der autorisierenden Wiederherstellung wiederhergestellt werden. Hier ist etwas gemein nur das Attribut isDeleted als Lösung genannt. Das muss geändert werden. Bei aktiviertem Papierkorb funktioniert auch eine Tombstone-Reanimation mit Ldp.exe wie eine Wiederherstellung mit dem Papierkorb. Und das geht definitiv schneller als eine autorisierende Wiederherstellung.

http://blog.dikmenoglu.de/2009/02/der-active-directory-papierkorb-im-windows-server-2008-r2/ 

https://technet.microsoft.com/de-de/library/2007.09.tombstones.aspx

Top 50 Mitwirkender
Beiträge 34
blackxenon Antwort zu Thu, 09. Feb 2017 10:43 | IP-Adresse ist Registriert

Hallo!

So ich glaube jetzt habe ich es so wirklich verstanden und auch verinnerlicht!

Dank deiner Erklärung klingt das jetzt auch "logsich" für mich. Und mir geht es immer so wenn ich etwas verstanden habe dann kann ich mir das auch merken. Auswendig lernen mag ich nicht und hat auch keinen sinn ;)

 

DANKESCHÖN =) Wink

Seite 1 von 1 (7 Treffer) | RSS
CertBase - IT-Prüfungsvorbereitung Online