Authoritative Restore von einzelnen Active Directory Objekten

Authoritativer und nicht-Authoritativer Restore

Einzelne Active Directory-Objekte, die versehentlich gelöscht wurden, können Sie mit einem Authoritative Restore wiederherstellen. Sie können einzelne Objekte (Organisationseinheit, Container) wiederherstellen und in das aktuelle AD integrieren. Eine Anleitung für die Vorgehensweise in unserem Tutorial.

Ein Non-authoritative Restore würde hingegen eine fehlende / gelöscht OU nicht wiederherstellen. In diesem Fall erhält der wiederhergestellten Domänencontroller die Informationen und den Status der Replikation von Active Directories. Da das Objekt nicht in diesen vorhandenen Domänencontrollern es ist einfach nicht möglich, sie wiederherzustellen.

Backup Active Directory

1. Öffnen eines Command Fensters ( “cmd” ) auf einem Domain Controller der zu sichernden Active Directory Domäne.
2. In diesem Fenster dann den Befehl “wbadmin start systemstatebackup -backuptarget:e:” eingeben um das Systemstatebackup zu Starten.
   Hinweis: Man kann verschiedene Backupziele angeben.

Tutorial: Authoritativer Restore von Active Directory Objekten

1. Um den Authoritative Restore durchführen zu können muss man den Domain Controller in den DSRM (Directory Services Restore Mode) starten. Um in den DSRM Modus zu gelangen muss man während des Neustarts die F8 Taste drücken oder man gibt vor dem Neustart folgenden Befehl in einem Command Fenster ein “bcdedit /set safeboot dsrepair”.
2. Wenn man während des Startens die F8 Taste gedrückt hatte muss man nun Directory Services Restore Mode im Menü auswählen.
3. Nun muss man sich mit dem lokalen Administrator und dem DSRM password welches während der Active Directory Installation festgelegt wurde anmelden.
   Hinweis: Falls das DSRM password nicht mehr bekannt ist, kann dieses auch vor dem Neustart geändert werden. ( https://support.microsoft.com/kb/322672/en-us )
4. Wenn wir am Server im DSRM safemode angemeldet sind, öffnen wir ein Command Fenster ( “cmd“ ).
5. Um sich alle vorhandenen Backups anzeigen zu lassen kann man das folgendende Kommando verwenden “wbadmin get versions”.
6. Nun können wir das Systemstate auf den Domain Controller zurücksichern. Hierzu kannn man folgendes Kommando verwenden. “wbadmin start systemstaterecovery -version:07/08/2011-02:39“.
7. Wenn das Systemstate Backup erfolgreich zurückgesichert wurde, muss der Domain Controller erneut im DSRM safemode gestartet werden.
8. Wenn wir nun am Domain Controller angemeldet sind können wir uns nun dem „Authoritatives Restore“ des Active Directory Objektes widmen. Hierfür werden wir das bekannte Tool ntdsutil verwenden.Für dieses Beispiel werden wir folgenden User restoren.
   CN=Test User,CN=Users,DC=home,DC=local.
   

   Das Kommando für den Restore sieht dann wie folgt aus:ntdsutil activate instance ntds authoritative restore restore object “CN=Test User,CN=Users,DC=home,DC=local” Hinweis: Dies Anführungszeichen sind notwendig!

   
   

9. Nun kann der Server wieder in den “normalen” Modus gestartet werden. Um den Start im DSRM mode wieder zu deaktivieren kann folgendes Kommando verwendet werden “bcdedit /deletevalue safeboot”.An dem Objekt, welches wir „authoritativ“ restored haben wird die USN erhöht und somit wird dieses Objekt auf alle anderen Domain Controller in der Domäne repliziert.Hinweis: Nach dem Neustart des Servers kann es notwendig sein, dass der Aktivation Key für das Betriebsystem erneut eingegeben werden muss. Deshalb sollte man diese Key schon vorher zur Hand haben.
    
   In manchen Fällen kann es auch notwendig sein, dass man das Computer Password des Servers auf dem das Systemstate Backup zurückgesichert wurde zurückgesetzt werden muss. Dann taucht im Event Log folgender Event Log Eintrag auf.( Event ID : 4 / Event Source : Security-Kerberos )
   => Zurücksetzten des Computer Passwortes : https://support.microsoft.com/kb/325850/en-us