CertBase Community
Die Lernplattform für Ihren Erfolg
Sichern und wiederherstellen von Active Directory-Domänendienste (AD DS)

dieser Artikel möchte die notwendigen Schritte für die Sicherung des Active Directory unter Windows Server 2008 bis zur autorisierenden Wiederherstellung einzelner Objekte aufzeigen.

Übersicht der erforderlichen Schritte

  1. Installation der Windows Server-Sicherungsfeatures
  2. Sicherung der Systemstatusdateien
  3. Starten des Domänencontrollers im Wiederherstellungsmodus für Verzeichnisdienste (DSRM)
  4. Rücksicherung der Systemstatusdateien (nicht autorisierende Wiederherstellung)
  5. Markieren von Objekten als autorisierend für die Wiederherstellung (autorisierende Wiederherstellung).
  6. Starten des Domänencontrollers im Modus für den normalen Betrieb 

Das seit Windows NT 3.5 bekannte Dienstprogramm NTBACKUP wird mit Windows Server 2008 und Windows Vista nicht mehr ausgeliefert. An seine Stelle treten die Windows Server-Sicherungsfeatures.

Obwohl die Windows Server-Sicherung die einzige standardmäßige Sicherungslösung für Windows Server 2008 darstellt, werden die Features von NTBACKUP nicht 1:1 ersetzt. Der größte Unterschied besteht darin, dass die Windows Server-Sicherung eine Disk-to-Disk-Sicherungslösung ist und die Sicherung auf Band nicht unterstützt. Sie können Sicherungsabbilder auf direkt angeschlossenen Datenträgervolumes, auf Netzwerkfreigaben und sogar auf externen USB-Festplatten und beschreibbaren DVDs über mehrere Volumes erstellen. Die direkte Bandsicherung ist jedoch nicht möglich.

Das Sichern einzelner Dateien oder Verzeichnisse wird von der Windows Server-Sicherung nicht unterstützt. Wenn Sie einzelne Dateien sichern möchten, müssen Sie dazu das gesamte Volume sichern, auf dem sich die gewünschte Datei befindet.

Die Windows Server-Sicherungsfeatures unterstützen die Sicherung von wichtigen Volumes und die vollständige Serversicherung sowohl über die grafische Schnittstelle Windows Server-Sicherung als auch über das Befehlszeilenprogramm Wbadmin.exe. Die Sicherung der Systemstatusdateien wird hingegen nur von der Befehlszeilenversion Wbadmin.exe unterstützt.

Zu den wichtigen Volumes gehören folgende:

  • Das Systemvolume - Es handelt sich um das Volume, das die Startdateien hostet (die Datei bootmgr und den BCD-Speicher für die Startkonfigurationsdaten).
  • Das Startvolume - Es handelt sich um das Volume, das als Host für das Windows-Betriebssystem und die Registrierung dient.
  • Das Volume, das die SYSVOL-Struktur hostet
  • Das Volume, das die Active Directory-Datenbank (Ntds.dit) hostet
  • Das Volume, das die Active Directory-Datenbankprotokolldateien hostet

Während NTBACKUP ein dateibasiertes Sicherungs- und Wiederherstellungstool ist, handelt es sich bei der Windows Server-Sicherung um ein volume- und blockbasiertes Dienstprogramm. Bei der Windows Server-Sicherung wird die Sicherungsquelle als ein Satz von Volumes und jedes Volume als eine Sammlung von Datenträgerblöcken behandelt. Aufgrund des Prinzips von Sicherungen auf Blockbasis können bei der Windows Server-Sicherung auch Volumeschattenkopie-Dienstsnapshots zur Durchführung inkrementeller Sicherungen auf Blockebene sowie zum Erstellen von Snapshots auf dem Zielvolume verwendet werden, um die Verwendung mehrerer Sicherungen zu vereinfachen (und den von ihnen belegten Speicherplatz zu verringern).

Selbst wenn Sie vollständige Sicherungen durchführen, bietet die Windows Server-Sicherung einige hervorragende Möglichkeiten, Speicherplatz auf den Zieldatenträgern zu sparen. Sie können beispielsweise mehrere vollständige Sicherungen desselben Volumes durchführen. Da bei der Windows Server-Sicherung Volumeschattenkopie-Dienstsnapshots auf den Zieldatenträgern verwendet werden, auf denen die Sicherungsabbilder gespeichert werden, werden in den Snapshots nur die geänderten Blöcke gespeichert. Dadurch verringert sich der von mehreren vollständigen Sicherungen belegte Speicherplatz. Somit müssen nicht mehr mehrere Wiederherstellungsvorgänge zur Wiederherstellung einer inkrementellen Sicherung durchgeführt werden. Obwohl im Snapshot für jede Sicherung nur die Änderungen (Deltas) gespeichert werden, sorgt der Volumeschattenkopie-Dienst dafür, dass jede Sicherung vollständig erscheint.

Beachten Sie jedoch, dass Sie auf dem Ziel nur von den Vorteilen der Volumeschattenkopie-Dienstsnapshots profitieren können, wenn Sie Sicherungen auf einer lokalen Festplatte durchführen. Mit der Windows Server-Sicherung können keine Volumeschattenkopie-Dienstvorgänge für Sicherungen durchgeführt werden, die auf DVD oder Netzwerkfreigaben gespeichert werden.

Ein weiteres Plus der Windows Server-Sicherung besteht darin, dass die Sicherungsabbilder im VHD-Format (Virtual Hard Disk, virtuelle Festplatte) von Microsoft gespeichert werden. So haben Sie die Möglichkeit, ein Sicherungsabbild auf einem unter Microsoft Virtual Server 2005 ausgeführten virtuellen Computer als Volume bereitzustellen. Mit Windows 7 wird das direkte Einbinden von .vhd Dateien auch vom Hostsystem unterstützt werden. Dabei können Sie einfach die virtuellen Festplatten auf einem virtuellen Computer bereitstellen und nach einer bestimmten Datei suchen.

Die Volume- und Blockorientierung der Windows Server-Sicherung besitzt einen Nachteil. Da bei diesem neuen Tool die Sicherungsquelle als ein Satz von Volumes und Blöcken betrachtet wird, gestattet es Ihnen nicht, nur ausgewählte Dateien zu sichern. Sie müssen das gesamte Volume sichern. Zudem können Sie ein Sicherungsabbild standardmäßig nicht auf dem Volume speichern, das gesichert wird.

Die Windows Server-Sicherung ist ein „Feature" von Windows Server 2008 und wird nicht standardmäßig installiert. Bevor Sie eine Sicherung mit der Windows Server-Sicherung durchführen können, müssen Sie das Feature mit dem Server-Manager oder mit dem Befehlszeilenprogramm ServerManagerCMD installieren.

Die Windows Server-Sicherung setzt sich aus zwei Unterfeatures zusammen: Windows Server-Sicherung und Befehlszeilentools. Beachten Sie, dass mit den Befehlszeilentools ein Satz von Windows PowerShellTM-Cmdlets und nicht das Befehlszeilentool WBADMIN.EXE gemeint ist. Daher müssen Sie das Windows PowerShell-Feature installieren, wenn Sie sich für die Installation beider Unterfeatures entscheiden.

1.    Installation der Windows Server-Sicherungsfeatures

Für die Windows Server-Sicherung muss das Feature Windows PowerShell auf demselben Computer installiert sein. Wenn Windows PowerShell beim Installieren der Windows Server-Sicherung noch nicht installiert ist, werden Sie dazu aufgefordert.

So installieren Sie die Windows Server-Sicherung mithilfe des Server-Managers

  1. Klicken Sie auf Start und anschließend auf Server-Manager.
  2. Klicken Sie im Bereich Featureübersicht auf Features hinzufügen.
  3. Doppelklicken Sie in der Liste mit den Features auf Windows Server-Sicherungsfeatures, klicken Sie auf Windows Server-Sicherung und auf Befehlszeilentools. Klicken Sie anschließend auf Weiter.
  4. Klicken Sie bei Bedarf auf Erforderliche Features hinzufügen.
  5. Klicken Sie auf der Seite Installationsauswahl bestätigen auf Installieren.
  6. Klicken Sie auf Schließen.

 So installieren Sie die Windows Server-Sicherung mithilfe der Befehlszeile (Servercore)

  • Geben Sie an einer Eingabeaufforderung Folgendes ein:

    start /w ocsetup WindowsServerBackup

So installieren Sie die Windows Server-Sicherung mithilfe des Befehlszeile auf einer vollständigen Windows Server 2008 Installation

  • Geben Sie an einer Eingabeaufforderung Folgendes ein:

    servermanagercmd -install Backup-Features 

2.    Planen der Systemstatussicherung

Systemstatussicherungen, die (anstelle ganzer Volumes) nur ausgewählte Dateien und bestimmte Anwendungsdatenbanken umfassen, sind nützlich und oft unverzichtbar. In frühen Builds von Windows Server 2008 wurde jedoch die Systemstatussicherung und -wiederherstellung nicht unterstützt. Stattdessen wurden vom Sicherungstool nur wichtige Systemvolumes (d. h. alle für die Wiederherstellung und den Neustart des Betriebssystems und wichtiger Anwendungen erforderlichen Volumes) gesichert. Diese wichtigen Systemvolumes stellten das volumeorientierte Äquivalent einer Systemstatussicherung dar.

Als Reaktion auf das Feedback von Kunden nahm Microsoft Funktionen für die Systemstatussicherung und -wiederherstellung in die Windows Server-Sicherung auf. Die Anwendung erstellt mehrere VHD-Dateien (eine für jedes Volume, auf dem die Systemstatusdaten gehostet werden), kopiert jedoch nur die erforderlichen Dateien und Datenbanken auf die virtuellen Festplatten. Ein weiteres Problem besteht darin, dass bei der Durchführung einer Systemstatussicherung mit der Windows Server-Sicherung nicht wie beim normalen Sicherungsvorgang ein Snapshot des Zielvolumes erstellt wird. Stattdessen wird bei jeder Systemstatussicherung ein vollkommen neuer Satz von VHD-Dateien generiert. Das bedeutet, dass Sie nicht wie bei den auf Snapshots basierenden Volumesicherungen Speicherplatz einsparen können.

Sie können nur mit dem Befehlszeilenprogramm Wbadmin.exe eine Systemstatussicherung durchführen. Das MMC-Snap-In bietet diese Option nicht. Mit dem folgenden Befehl führen Sie eine Systemstatussicherung durch:

wbadmin start systemstatebackup -backuptarget:e:

Wbadmin sichert dann die wichtigen Systemdateien und Anwendungsdatenbanken auf dem Zielvolume in einem für Systemstatussicherungen reservierten Ordner. Die Systemstatussicherung auf einem 32-Bit-Domänencontroller (DC) mit Windows Server 2008 und einer Standard-Verzeichnisstruktur umfasst etwas mehr als 6 GB. Dieser Wert ist um mehr als 5 GB höher als unter Windows Server 2003, was teilweise darauf zurückzuführen ist, dass die Windows Server-Sicherung zentrale Betriebssystemdateien erfasst, die mit Ntbackup nicht gesichert wurden.

Ungewohnt ist, dass bei der Sicherung kein Verzeichnis, sondern nur ein Volume als Sicherungsziel angegeben werden kann. Wbadmin erstellt selbstständig ein Verzeichnis mit dem Namen WindowsImageBackup und eine Ordnerstruktur in der für jeden Sicherungslauf ein mit Datum gekennzeichnetes Verzeichnis erstellt wird.

 


 Welche Systemkomponenten die Systemstatusdaten ausmachen, richtet sich in Windows Server 2008 danach, welche Serverrollen auf dem Computer installiert sind und welche Volumes die vom Betriebssystem und den installierten Rollen verwendeten wichtigen Dateien hosten. Zu Systemstatusdaten gehören mindestens die folgenden Daten (zuzüglich weiterer Daten je nach den installierten Serverrollen):


  • Registrierung
  • COM+-Klassenregistrierungs-Datenbank
  • Startdateien
  • Datenbank der Active Directory-Zertifikatdienste
  • Datenbank der Active Directory-Domänendienste
  • Verzeichnis SYSVOL
  • Clusterdienstinformationen
  • IIS-Metaverzeichnis (Internet Information Services, Internetinformationsdienste)
  • Systemdateien, die unter Windows-Ressourcenschutz stehen

  3.    Starten des Domänencontrollers im Wiederherstellungsmodus für Verzeichnisdienste (DSRM)

Wenn Sie nach einem mit Active Directory zusammenhängenden Problem eine Wiederherstellung durchführen müssen - z. B. die Wiederherstellung einer gelöschten Organisationseinheit anhand einer Sicherung - sollten Sie einen früheren Status der AD DS-Datenbank wiederherstellen, statt das gesamte System wiederherzustellen. Obwohl Sie AD DS in Windows Server 2008 wie einen Dienst beenden können, müssen Sie dennoch den Server im Wiederherstellungsmodus für Verzeichnisdienste (Directory Services Restore Mode, DSRM) starten, um eine Systemstatuswiederherstellung auf einem Domänencontroller durchführen zu können. Nur auf diese Weise kann sichergestellt werden, dass sich keine relevanten Daten im Arbeitsspeicher oder anderen Zwischenspeichern befinden.

Das Ändern der Startoptionen, damit Windows Server 2008 im DSRM gestartet wird, ist nicht mehr so einfach wie in vorherigen Versionen. Die gesamte Windows-Startumgebung wurde zur Unterstützung von Extensible Firmware Interface (EFI) überarbeitet, und die alte Datei „boot.ini" ist nicht mehr vorhanden. Stattdessen wird der Startvorgang in Windows Server 2008 mithilfe von Startkonfigurationsdaten (Boot Configuration Data, BCD) gesteuert.

Die einfachste Möglichkeit zur Verwaltung der Startkonfigurationsdaten besteht in der Verwendung des Befehlszeilenprogramms BCDEDIT.

Mit dem folgenden Befehl starten Sie einen Windows Server 2008-Domänencontroller im DSRM:

bcdedit /set safeboot dsrepair


Dadurch wird die safeboot-Option für den standardmäßigen Startladeprogrammeintrag festgelegt. Bei einer Neuinstallation von Windows Server 2008 ist nur ein Startladeprogrammeintrag vorhanden: Winload.exe. Mit dem folgenden Befehl entfernen Sie die safeboot-Option und starten im normalen Modus neu:

bcdedit /deletevalue safeboot


Um das Verfahren ein wenig zu vereinfachen, können Sie zwei Startladeprogrammeinträge auf Ihren Domänencontrollern konfigurieren, einen für den normalen Start und einen für den DSRM-Start. Auf diese Weise können Sie die Startoptionen in den Systemeinstellungen über das Dialogfeld „Starten und Wiederherstellen" ändern. Mit dem folgenden Befehl fügen Sie einen Startladeprogrammeintrag hinzu: 


bcdedit /copy {default} /d "Verzeichnisdienst-Wiederherstellungsmodus"  


Bei dieser Aktion wird durch Kopieren des standardmäßigen Startladeprogrammeintrags ein neuer Startladeprogrammeintrag erstellt.


Die GUID identifiziert den neuen Eintrag. Legen Sie dann mit dem folgenden Befehl die safeboot-Option für den neuen Startladeprogrammeintrag in den Startkonfigurationsdaten fest:


bcdedit /set {<GUID for new entry>} safeboot dsrepair


 


Über das Dialogfeld Starten und Wiederherstellen (erweiterte Systemeinstellungen) kann anschließend der primäre Startmodus des Betriebssystems festgelegt werden.

 


 

Denken Sie daran, dass bei der Anmeldung im Verzeichnisdienst-Wiederherstellungsmodus eine lokale Anmeldung am Domänencontroller mit dem DSRM Benutzerkonto durchgeführt wird. Eine Domänenanmeldung ist nicht möglich. Der Benutzername lautet Administrator. Das Kennwort haben Sie bei der Installation der Active Directory-Domänendienste (AD DS) gewählt.


4.    Rücksicherung der Systemstatusdateien (nicht autorisierende Wiederherstellung)  


Bevor Sie mithilfe von WBADMIN eine Systemstatuswiederherstellung starten, müssen Sie die Sicherung angeben, anhand derer Sie die Wiederherstellung durchführen möchten. Mit WBADMIN kann eine Systemstatuswiederherstellung mithilfe einer vollständigen Systemsicherung, einer Sicherung, die nur die wichtigen Systemvolumes enthält, oder einer Systemstatussicherung durchgeführt werden. In jedem dieser Fälle müssen Sie die Version der Sicherung angeben, die Sie verwenden möchten. Die einfachste Möglichkeit zur Ermittlung der verfügbaren Sicherungsversionen besteht in der Verwendung des folgenden WBADMIN-Befehls:

wbadmin get versions  

Beachten Sie, dass jede Sicherung eine Sicherungszeit, ein Sicherungsziel, eine Versions-ID (bei der es sich übrigens um Startuhrzeit und -datum der Sicherung in Greenwich Mean Time handelt) und eine Liste der von der Sicherung unterstützten Arten von Wiederherstellungsvorgängen aufweist.

In diesem Fall wähle ich die neueste Sicherung aus und starte die Systemstatuswiederherstellung mit dem folgenden Befehl:

wbadmin start systemstaterecovery -version:02/25/2009-17:55


  

Dadurch wird eine nicht autorisierende Wiederherstellung durchgeführt.

Weitere Überlegungen

Beim Ausführen einer nicht autorisierenden Wiederherstellung von AD DS müssen Sie Folgendes beachten:

  • Wenn Sie zum Wiederherstellen eines Domänencontrollers unter Windows Server 2008 in einer Umgebung mit implementierter DFS-Replikation (Distributed File System, verteiltes Dateisystem) Systemwiederherstellungsoptionen verwenden, wird die Wiederherstellung von SYSVOL standardmäßig nicht autorisierend ausgeführt. Zum Ausführen einer autorisierenden Wiederherstellung von SYSVOL muss der -authsysvol-Switch in den Wiederherstellungsbefehl eingefügt werden (siehe folgendes Beispiel):

    wbadmin start systemstaterecovery <otheroptions> -authsysvol
  • Wenn Sie FRS verwenden, legt der Wiederherstellungsvorgang die BURFLAGGS-Registrierungsschlüssel für FRS fest, die sich auf alle von FRS replizierten Replikatsätze auswirken.
     
  • Sie müssen kein Wiederherstellungsziel für Wbadmin.exe angeben. Wenn Sie die wiederherzustellende Sicherungsversion angeben, setzt der Befehl die Wiederherstellung am Quellspeicherort der angegebenen Sicherungsversion fort.
     
  • Sicherungsdateien werden mit dem Datum und der Uhrzeit der Sicherung benannt. Beim Wiederherstellen wird mit der Angabe der Version in der Form MM/TT/JJJJ-HH:MM der Name der Sicherung angegeben, die wiederhergestellt werden soll.
     
  • Starten Sie nach Abschluss der Wiederherstellung den Server neu, und führen Sie eine allgemeine Überprüfung aus. Wenn Sie den Computer im Normalmodus neu starten, erkennen AD DS und die AD DS-Zertifikatdienste automatisch, dass sie aus einer Sicherung wiederhergestellt wurden. Es wird eine Integritätsprüfung ausgeführt, und die Datenbank wird neu indiziert.
     
  • Durchsuchen Sie nach dem Anmelden am System AD DS, und überprüfen Sie, ob die folgenden Bedingungen zutreffen:
     
    • Alle zum Zeitpunkt der Sicherung im Verzeichnis vorhandenen Benutzer- und Gruppenobjekte wurden wiederhergestellt.
    • Dateien, die zu einem FRS-Replikationssatz (File Replication Service, Dateireplikationsdienst) gehörten, und Zertifikate, die von Active Directory-Zertifikatdiensten ausgestellt wurden, sind vorhanden.
    • Der Windows-Zeitdienst wurde richtig synchronisiert.
    • Die Ordner NETLOGON und SYSVOL wurden ordnungsgemäß freigegeben.
    • Die IP-Adresse des bevorzugten DNS-Servers wurde richtig konfiguriert.
    • Host- und SRV-Ressourceneinträge wurden richtig im DNS registriert. 

5.    Markieren von Objekten als autorisierend für die Wiederherstellung (autorisierende Wiederherstellung)

Nach der nicht autorisierenden Wiederherstellung können einzelne Objekte oder Organisationseinheiten einschließlich der untergeordneten Objekte als autorisierend für die Wiederherstellung bzw. als autorisierend für die Replikation auf andere Domänencontroller markiert werden.

Voraussetzung ist, dass Sie den Domänencontroller nach der Wiederherstellung der Systemstatusdateien nicht neu starten. Vor dem Neustart müssen die Unique Sequence Numbers (USNs) der wiederherzustellenden Objekte mit dem Befehlszeilenprogramm Ntdsutil im Wiederherstellungsmodus für die Verzeichnisdienste erhöht werden.

Sie benötigen:

  • DSRM Kennwort
  • Distuingished Name (DN) der wiederherzustellenden Objekte.

Um einen Subtree oder ein individuelles Objekt als autorisierend zu kennzeichnen gehen Sie wie folgt vor:

  1. Im Modus für die Verzeichnisdienstwiederherstellung klicken Sie auf Start, Ausführen, tippen Sie ntdsutil, klicken Sie anschließend auf Eingabe.
     
  2. Legen Sie die aktivie Instanz mit dem Befehl Activate Instance NTDS auf die Active Directory Domänendienste (AD DS) fest.
     
  3. Geben Sie an der Ntdsutil Eingabeaufforderung authoritative restore ein und drücken Sie Eingabe.
     
  4. Um einen Verzeichniszweig oder ein individuelles Objekt wiederherzustellen verwenden Sie einen der folgenden Befehle und drücken Sie Eingabe:
     
    Um eine Organisationseinheit und alle untergeordneten Objekte wiederherzustellen:
     
    restore subtree DistinguishedName
     
    Um ein einzelnes Objekt wiederherzustellen:
     
    restore object DistinguishedName
     
    DistinguishedName  - Gibt den Distuingished Name des wiederherzustellen Objektes an. 
     
  5. Bestätigen Sie das Ausführen des Befehls

Wenn Sie beispielsweise die Organisationseinheit mit dem Namen CB_Test in der Domäne cblabs.de wiederherstellen möchten, geben Sie folgendes ein:

restore subtree "OU=CB_Test,DC=cblabs,DC=de"

Wenn der DN Leerzeichen enthält, müssen Sie den DN in Anführungszeichen einschließen.

Ntdsutil versucht die gewählten Objekte als autorisierend zu markieren. Die Ausgabe gibt den Status der Aktionen wieder. Häufigste Fehlerursache ist ein falsch angegebener Distinguished Name oder eine Sicherung, in der die wiederherzustellenden Objekte nicht enthalten sind (beispielsweise, wenn die gelöschten Objekte nach der Sicherung erstellt wurden).

 

 Verlassen Sie das Befehlszeilenprogramm über die Befehlsfolge Quit Quit und starten Sie den Computer im normalen Modus, um die autorisierende Wiederherstellung abzuschließen.

 Backlinks

Die Option Autorisierende Wiederherstellung in Ntdsutil erkennt ab Windows Server 2003 SP1 Backlinks für alle autorisierend wiederhergestellten Objekte, in die Funktionen der verknüpften Wertreplikation aufgenommen wurden. Es werden auch Verknüpfungen erkannt, die vor der Implementierung von Gesamtstrukturfunktionsebenen von Windows Server 2003 oder Windows Server 2003-interim erstellt wurden.

Beispiel: Ein Benutzerobjekt wird wiederhergestellt. Der Benutzer gehört zu Gruppe G1, die erstellt wurde, bevor die Gesamtstrukturfunktionsebene heraufgestuft wurde, und er gehört auch zur Gruppe G2, die erstellt wurde, nachdem die Gesamtstrukturfunktionsebene heraufgestuft wurde. Bei der autorisierenden Wiederherstellung des Benutzerobjekts wird das Mitgliedsattribut von G2 aktualisiert, nicht jedoch das Mitgliedsattribut von G1. Ntdsutil erstellt nun eine Textdatei, die die autorisierend wiederhergestellten Objekte identifiziert. Anhand dieser Datei erstellt es eine LDIF-Datei (Data Interchange Format), mit der alle Backlinks für die vor der verknüpften Wertreplikation bestehenden Gruppenmitgliedschaften in der Domäne wiederhergestellt werden können.

In diesem Beispiel wird der wiederhergestellte Benutzer der Gruppe G1 hinzugefügt, wenn die LDIF-Datei nach der autorisierenden Wiederherstellung ausgeführt wird. Zur autorisierenden Wiederherstellung gehört eine neue Option, mit der Sie eine LDIF-Datei erstellen können. Mithilfe dieser Datei können Sie Verknüpfungen in anderen Domänen wiederherstellen, in denen ein wiederhergestelltes Objekt über Backlinks verfügt.

Sollten während der autorisierenden Wiederherstellung LDAP Data Interchange Format (LDIF) Dateien erstellt werden, sind die erforderlichen weiteren Schritte für die Anwendung dieser Dateien unter http://technet.microsoft.com/en-us/library/cc779573.aspx beschrieben.

 Anmerkungen

Ich habe das Verfahren zur Sicherung und autorisierenden Wiederherstellung zweimal vollständig durchgeführt.

Im ersten Versuch habe ich die Dateien auf dem PDC gesichert und eine gelöschte Organisationseinheit einschließlich der darin enthaltenen Benutzerkonten autorisierend wiederhergestellt. Die Wiederherstellung verlief soweit problemlos, die Replikation mit dem zweiten Domänencontroller an einem anderen Standort konnte jedoch nicht wieder aufgenommen werden. Bei manuellen Replikationsversuchen wurde der Fehler „Der Zielkontoname ist ungültig" ausgegeben. Auch ein Zurücksetzen des Kennwortes für den sicheren Kanal konnte keine Abhilfe schaffen.

Im zweiten Versuch habe ich die Systemstatusdateien auf dem zweiten Domänencontroller der Domäne gesichert und wiederhergestellt. Die Organisationseinheit CB_Test wurde erfolgreich wiederhergestellt und anschließend auch auf den Halter der FSMO Rollen repliziert.

 

Quellen und weitere Informationen:

http://technet.microsoft.com/de-de/magazine/2008.05.adbackup.aspx
http://technet.microsoft.com/de-de/library/cc771290.aspx


Eingetragen Mon, 09. Mar 2009 19:28 von Maik

Comments

MarkOtti wrote re: Sichern und wiederherstellen von Active Directory-Domänendienste (AD DS)
on Thu, 20. Sep 2012 14:43

Die in diesem Blog getroffene Aussage

"Die Sicherung der Systemstatusdateien wird hingegen nur von der Befehlszeilenversion Wbadmin.exe unterstützt."

scheint nicht für den 2008 R2 zuzutreffen, denn in der Hilfe erscheint unter "Erstellen von Sicherungen des Systemstatus mithilfe einer Befehlszeile" als erster Satz folgendes:

"In Windows Server 2008 R2 können Sie den Assistenten für Sicherungszeitplan, den Assistenten für die Einmalsicherung, ... verwenden, um eine Systemstatussicherung eines Servers zu erstellen."

Auf einer Testmaschine (2008 R2 Enterprise) konnte ich erfolgreich den Systemstatus per Einmalsicherung sichern und wiederherstellen.

webbel wrote re: Sichern und wiederherstellen von Active Directory-Domänendienste (AD DS)
on Mon, 29. Feb 2016 9:50

Der Hinweis von MarkOtti ist richtig. Die Windows Server Sicherung ist seit Windows Server 2008 wieder zu einem brauchbaren Tool weiterentwickelt worden. Mit dem Server 2008 R2 konnten auch wieder einzelne Dateien und Verzeichnisse gesichert werden. Der Systemstatus der AD kann auch in der grafischen Oberfläche gesichert werden. Seit Server 2012 wird auch eine autorisierende Wiederherstellung des Systemstatus angeboten. Hat bei meinen Test aber leider noch nie funktioniert. Sie autorisiert auch die gesamte Domäne, was ja nicht immer sinnvoll ist.

Das beschriebene Verfahren funktioniert aber immer noch, es kann auch eine Kombination aus Wiederherstellung des Systemstatus mit der Windows Server Sicherung und der Autorisierung mit ntdsutil.exe angewendet werden.  

CertBase - IT-Prüfungsvorbereitung Online