CertBase Community
Die Lernplattform für Ihren Erfolg
Directory Service Comparision Tool (DSCT)

Active Directory Snapshots sind eine Neuerung, die mit Windows Server 2008 eingeführt wurden und sicher auch in den nächsten Versionen des Serverbetriebssystems beibehalten werden. AD Snapshots können manuell oder skriptgesteuert erstellt werden und bieten eine Momentaufnahme der Verzeichnisdatenbank zu Vergleichs- und Analysezwecken. Sie können beispielsweise die Attribute eines gelöschten Objektes im Snapshot einsehen, das Objekt selber aber nicht direkt in die produktive Datenbank überführen oder wiederherstellen. Die Befehlszeilenprogramme CSVDE und LDIFDE für den Export und Import von Verzeichnisdaten bieten an dieser Stelle kaum einen praktikablen Ansatz und ein integriertes Tool für diesen Zweck wird derzeit nicht geboten.

Diese Lücke wird durch ein Snap-In mit dem Namen Directory Service Comparision Tool oder kurz DSCT von Fredrik Lindström für die Microsoft Management Konsole geschlossen. Das Tool bietet unter anderem die folgenden Funktionen:

  • Ermitteln und Anzeigen von Unterschieden zwischen Active Directory und Active Directory Snapshots.
  • Wiederherstellung einzelner Attribute aus Snapshots in Active Directory.
  • Reanimieren gelöschter Objekte.
  • Wiederherstellen von Gruppenmitgliedschaften.
    Anzeige von Unterschieden der Gruppenmitgliedschaft eines Objektes (Benutzer, Computer und Gruppen). Selektive oder vollständige Wiederherstellung der Gruppenmitgliedschaften.
  • Integration in die Active Directory Überwachung.
    Ermöglicht das Zusammenfassen von Einträgen des Ereignisprotokolls aller Domänencontroller für ein bestimmtes Objekt.

DSCT fragt die produktive Active Directory Datenbank und den bereitgestellten Snapshot ab und vergleicht jedes Objekt samt seiner zugehörigen Attribute, um festzustellen, ob das Objekt seit Erstellung des Snapshot geändert, neu erstellt oder gelöscht wurde.

DSCT muss nicht auf einem Domänencontroller installiert werden und kann auch über einen Computer betrieben werden, der kein Mitglied der Domäne ist.

Das Programm ist sowohl als 32 Bit wie auch als 64 Bit Version verfügbar und kann unter der Adresse http://lindstrom.nullsession.com/?page_id=11 heruntergeladen werden. Es kann unter Windows XP, Windows Vista und Windows Server 2008 / Windows Server 2008 R2 ausgeführt werden.

Die Voraussetzungen für den Betrieb der Anwendung:

  • .Net Framework 3.5
  • MMC 3.0
  • Datenquellen: Active Directory und ein verbundener Active Directory Snapshot

 Verwenden von DSCT

Bevor Sie DSCT installieren, stellen Sie sicher, dass Sie über ein funktionierendes Active Directory und einen bereitgestellten Snapshot für verfügen. Informationen zum Erstellen von AD Snapshots finden Sie auch im Artikel Verwenden von Active Directory Snapshots unter Windows Server 2008.

Nach der Installation können Sie das Snap-In Directory Service Comparison Tool in eine neue MMC aufnehmen.

Die nachstehenden Schritte sollen einen Einstieg in das Tool vermitteln:

Öffnen Sie die Datasource Settings, um eine Verbindung mit dem Active Directory und dem Snapshot herzustellen.

 

Geben Sie den Namen oder die IP-Adresses eines Windows Server 2008 Domänencontrollers für die Verbindung zum Active Directory an. Geben Sie weiterhin die Verbindungsdaten (Servername:Port) an, unter denen Sie Ihren Snapshot mithilfe von Dsamain bereitgestellt haben.

 

Aufgrund eines Fehlers in Windows Server 2008 ist der Wert der highestCommittedUSN (höchste übermittelte Unique Sequence Number) des Snapshots höher als die des Active Directory. In der Folge wird das Snapshot als aktueller angesehen und ein Vergleich der beiden Verzeichnisse ist nicht möglich. Sie haben nun die Wahl abzuwarten bis das Active Directory aufgrund von Änderungen eine höhere highestCommittedUSN aufweist oder Sie erhöhen die highestCommittedUSN des Active Directory zwangsweise über die Funktion Increase value oder ein selbst erstelltes Skript.

Die Option Increase value verändert das Attribut Titel eines frei wählbaren Benutzerkontos 1726-mal in Folge, um die highestCommittedUSN zu erhöhen. Es ist empfehlenswert für diesen Vorgang ein separates Benutzerkonto zu erstellen, das im Anschluss wieder entfernt werden kann.

Fahren Sie mit der Option Increase value fort.

 

Geben Sie den Namen eines Benutzerkontos ein, das Sie für die Schreiboperationen verwenden möchten. Klicken Sie auf Find now, markieren Sie das Objekt in der unteren Auswahlliste und klicken Sie anschließend auf Update, um den Prozess zu starten.

 

Der Aktualisierungsprozess wird durchgeführt...

 

Die highestCommitedUSN wurde erfolgreich um 1726 erhöht. Klicken Sie auf OK.

 

Auf den Registern Modified, Added und Deleted werden geänderte, neu erstellte und gelöschte Objekte gezeigt. Über die Funktion Resync in der Aktionsleiste kann ein erneuter Abgleich zwischen Active Directory und Snapshot durchgeführt werden.

 

Nachdem ein Objekt aus dem Active Directory gelöscht und ein Resync durchgeführt wurde, wird es auf dem Register Deleted angezeigt. Wird das Objekt markiert, werden im unteren Bereich die einzelnen Attribute samt den zugehörigen Werten angezeigt. Im Aktionsfeld wird die Option Reanimate angezeigt, die das Objekt reanimiert.

 

Nach der Reanimierung wird das Benutzerkonto wieder im Active Directory angezeigt. Das Konto ist jedoch deaktiviert (das Attribut Kennwort besitzt keinen Wert) und enthält nur einen Mindestsatz an Attributen. Dies entspricht auch dem Ergebnis einer Reanimierung mit dem Befehlszeilenprogramm ADRestore (siehe http://technet.microsoft.com/en-us/magazine/2007.09.tombstones.aspx). Das Benutzerkonto verfügt lediglich über einen Prä-Windows 2000 Benutzernamen und ist Mitglied der Gruppe Domänen-Benutzer.

 

Das Tool DSCT bietet Ihnen nun aber die Möglichkeit die einzelnen Attribute und auch die Mitgliedschaften für das reanimierte Benutzerkonto wiederherzustellen.

 

Nach der Wiederherstellung der ausgewählten Attribute

 

Wiederherstellung der Gruppenmitgliedschaft für ein reanimiertes Benutzerkonto

 

Anmerkung:
Nicht alle Attribute können wiederhergestellt werden.

Wenn Sie ein Benutzerkonto wiederherstellen möchten, dessen originäre Organisationseinheit nicht mehr besteht, müssen Sie zunächst die OU wiederherstellen. Es ist nicht ausreichend eine neue OU anzulegen, da diese eine neue SID erhält und somit ein gänzlich neues Objekt darstellt.

 

Quellen und weitere Informationen:
http://lindstrom.nullsession.com/?page_id=11
http://technet.microsoft.com/en-us/magazine/2007.09.tombstones.aspx


Eingetragen Wed, 29. Apr 2009 22:07 von Maik

Comments

Maik Görlich wrote Aktivieren und verwenden des Active Directory-Papierkorbs
on Wed, 22. Jun 2011 16:19

Mit Windows Server 2008 R2 wurde eine neue bzw. stark verbesserte Methode zur Wiederherstellung gelöschter

CertBase - IT-Prüfungsvorbereitung Online