AD-Datenbank und Objekte sichern und wiederherstellen

Active Directory richtig sichern

Die wichtigsten Daten im Active Directory sind die Datenbank ntds.dit und deren Transaktionsprotokolle im Verzeichnis C:\Windows\NTDS auf den Domänencontrollern. In den meisten Fällen reicht es jedoch nicht aus, nur diese Datei zu sichern. Besser ist es, eine vollständige Datensicherung der Domänencontroller inklusive Systemstatus durchzuführen. So können jederzeit alle notwendigen Daten wiederhergestellt werden. 

Grundsätzlich können die Daten des Active Directory und andere Daten des Domänencontrollers mit Bordmitteln gesichert werden. Generell ist es sinnvoll alle Daten des Domänencontrollers zu sichern. Bei der Sicherung mit der Windows-Sicherung sollten hier auch die Elemente Systemstatus und Systemreserviert ausgewählt werden. Ist die Sicherung mit Bordmitteln einmal eingerichtet, kann sie vor Konfigurationsänderungen auch recht schnell über die Kommandozeile gestartet werden:

wbadmin start backup -allCritical -backuptarget:<Zielfestplatte> -quiet

Bereiten Sie die Wiederherstellung von Daten aus dem Active Directory vor: Verzeichnisdienst-Wiederherstellungsmodus

Um Daten aus dem Active Directory auf einem Domänencontroller wiederherzustellen, sollte dieser im Verzeichnisdienstwiederherstellungsmodus gestartet werden. Dies kann im laufenden Betrieb mit folgendem Befehl durchgeführt werden:

bcdedit /set safeboot dsrepair

Nach dem Neustart befindet sich der Domänencontroller im Verzeichnisdienst-Wiederherstellungsmodus. Die Wiederherstellung der Datenbank erfolgt nun auf Basis des Sicherungsprogramms. Einfacher ist die Wiederherstellung einzelner Objekte über den Papierkorb, den wir ebenfalls in diesem Artikel vorstellen. 

Wird dies im laufenden Betrieb durchgeführt, ist darauf zu achten, dass weitere Domänencontroller am Standort verfügbar sind, damit die Benutzer und Dienste im Netzwerk auf das Active Directory zugreifen können. Wenn die Wiederherstellung abgeschlossen ist, kann der Neustart in den normalen Modus mit dem folgenden Befehl konfiguriert werden:

Befehl bcdedit /deletevalue safeboot

Nach dem Neustart ist der Domänencontroller wieder betriebsbereit.

Active Directory-Papierkorb in der Praxis

Im Active Directory sollte möglichst bald nach der Installation der Active-Directory-Papierkorb aktiviert werden. Dieser ermöglicht es, gelöschte Objekte aus dem Papierkorb wiederherzustellen, anstatt auf die Datensicherung zurückgreifen zu müssen. Die Wiederherstellung aus dem Papierkorb ist wesentlich einfacher und schneller. 

Die Verwaltung des Papierkorbs für gelöschte Objekte erfolgt im Active Directory Management Center. Grundlage ist der Active-Directory-Papierkorb, der zunächst generell für die gesamte Struktur aktiviert werden muss. Die Aktivierung erfolgt über das Kontextmenü der Gesamtstruktur auf der linken Seite der Konsole im Active Directory Management Center. Die Aktivierung kann auch in der PowerShell erfolgen:

Enable-ADOptionalFeature -Identity "CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=contoso,DC=com" -Scope ForestOrConfigurationSet -Target "contoso.com"

Nach der Aktivierung des Papierkorbs und dem Neustart des Active-Directory-Verwaltungs-Centers ist in der entsprechenden Gesamtstruktur ein neuer Ordner mit dem Namen Deleted Objects verfügbar. In diesem Ordner speichert Windows gelöschte Objekte aus dem Active Directory. Über das Kontextmenü kann das entsprechende Objekt inklusive der zugehörigen Attribute und SIDs wiederhergestellt werden. 

Objekte können innerhalb von 180 Tagen aus dem Papierkorb wiederhergestellt werden. Danach ist eine Wiederherstellung nicht mehr möglich. Neben der grafischen Oberfläche ist die Wiederherstellung auch über die PowerShell möglich:

Get-ADObject -Filter {<Name des Objekts>} -IncludeDeletedObjects | Restore-ADObject

Wenn das Objekt einem anderen, ebenfalls gelöschten Objekt untergeordnet ist, muss zuerst das übergeordnete Objekt wiederhergestellt werden. Wenn beispielsweise eine Organisationseinheit mit Benutzerkonten gelöscht wurde, müssen zuerst die Organisationseinheit und dann die Benutzerobjekte wiederhergestellt werden. 

Active-Directory-Datenbank reparieren

Manchmal weist die Active Directory-Datenbank auf einem Domänencontroller Fehler auf. Diese können jedoch mit Bordmitteln behoben werden. Die Vorgehensweise ist wie folgt:

• Zunächst muss der Server im Verzeichnisdienst-Reparaturmodus gestartet werden.
• Danach wird ntdsutil in der Kommandozeile gestartet.
• Anschließend ist der Befehl activate instance ntds einzugeben.
• Durch Eingabe von files gelangt man zur file maintenance.
• Durch Eingabe von integrity wird ein Integritätstest der Datenbank durchgeführt. Wenn dieser Test eine Fehlermeldung anzeigt, besteht die Möglichkeit, die Datenbank in ntdsutil zu retten.
• Mit quit beendet man die file maintenance, bleibt aber in der Oberfläche von ntdsutil.
• Danach muss der Befehl semantic database analysis eingegeben werden.
• verbose on ist der nächste Befehl, der detaillierte Informationen liefert.
• Der nächste Befehl ist go fixup.

Mit dieser Aktion beginnt das Tool mit der vollständigen Diagnose der Active Directory Datenbank und versucht eine Reparatur durchzuführen. Nach dem Beenden von ntdsutil wird der Domänencontroller neu gestartet. Eine Überprüfung bestätigt, dass die Active-Directory-Datenbank wieder funktioniert. Sollten weiterhin Probleme auftreten, empfiehlt es sich, die Datenbank aus einem Backup wiederherzustellen und zu überprüfen, ob das Active Directory in diesem Zustand noch konsistent ist. Dieser Vorgang sollte so lange wiederholt werden, bis die Datenbank wieder konsistent ist.