Mehr Sicherheit und Stabilität für Microsoft-Netzwerke

Active Directory und Domänencontroller sichern und wiederherstellen

| Autor / Redakteur: Thomas Joos / Andreas Donner

Das Active Directory kann auch über die interne Windows-Server-Sicherung gesichert und wiederhergestellt werden. Wir zeigen, wie!
Das Active Directory kann auch über die interne Windows-Server-Sicherung gesichert und wiederhergestellt werden. Wir zeigen, wie! (Bild: Joos / Microsoft)

Auch beim Einsatz von mehreren Domänencontrollern ist es sinnvoll, die Daten des Active Directory regelmäßig zu sichern. Mit den Daten lassen sich im Notfall einzelne Objekte und komplette Domänencontroller aber eine ganze Active-Directory-Umgebung wiederherstellen. Wir zeigen die Vorgehensweise.

Um Active Directory zu sichern, reicht es nicht aus, das Verzeichnis „c:\windows\ntds“ zu sichern. Zwar ist in diesem Verzeichnis auf dem als Domänencontroller fungierenden Server die Active-Directory-Datenbank als Datei mit der Bezeichnung „ntds.dit“ gespeichert und auch die Transaktionsprotokolle der Active-Directory-Datenbank finden sich in diesem Verzeichnis. Trotzdem sollte zur AD-Sicherung am besten der komplette Server gesichert, der als Domänencontroller genutzt wird. Beim Einsatz mehrerer Domänencontroller ist es natürlich sinnvoll alle Domänencontroller umfassend zu sichern.

Active Directory mit der Windows-Server-Sicherung sichern

Um Active Directory zu sichern, kann auch die interne Windows-Server-Sicherung genutzt werden. Diese ist in der Lage, Active Directory komplett zu sichern. Dazu wird ein neuer Sicherungsauftrag erstellt, genauso wie bei der Sicherung anderer Daten auf dem Server. Die Sicherung kann also einmalig erfolgen oder zyklisch über einen Zeitplan.

Die Windows-Server-Sicherung gehört zwar zum Lieferumfang von Windows-Servern, wird aber nicht automatisch installiert. Das Feature muss daher zunächst über den Server-Manager auf einem Server installiert werden. In Windows Server 2016 gibt es dazu das Feature mit der Bezeichnung „Windows Server-Sicherung“. Verwaltet werden kann die Sicherung zum Beispiel über das Tool „wbadmin.msc“ in der grafischen Oberfläche. Die Datensicherung sichert die Daten blockbasiert. Standardmäßig führt das Tool vollständige Sicherungen durch. Über „Aktion/Leistungseinstellungen“ lassen sich aber auch inkrementelle Sicherungen aktivieren (siehe Abbildung 1).

Sicherung konfigurieren

Beim Erstellen einer Sicherung kann im Assistenten entweder die Option „Vollständiger Server“ oder „Benutzerdefiniert“ ausgewählt werden (siehe Abbildung 2). Bei der Sicherung des vollständigen Servers wird auch das Active Directory komplett gesichert, wenn es sich bei dem Server um einen Domänencontroller handelt. Wenn genügend Speicherplatz auf den Sicherungsmedien vorhanden ist, ist es sinnvoll, diese Option zu verwenden, da im Notfall dann auf keinen Fall irgendwelche Daten fehlen bzw. nicht wieder hergestellt werden können. Um nur Active Directory zu sichern reicht es aber auch aus, die benutzerdefinierte Option zu verwenden.

Im Rahmen der Konfiguration der Sicherung kann auch ausgewählt werden, welche Bestandteile des Servers über die aktuelle Sicherung gesichert werden soll. Dazu kann über „Elemente hinzufügen“ ausgewählt werden, was gesichert werden soll. Am besten werden hier die Optionen „Systemstatus“ und „System-reserviert“ ausgewählt (siehe Abbildung 3), damit notwendige Daten zur Wiederherstellung von Active Directory mitgesichert werden. Bei einem UEFI-System sollte zudem die Option „Bare-Metal-Recovery“ ausgewählt werden.

Anschließend wird festgelegt, wo die Daten im Netzwerk gesichert werden sollen. Idealerweise wird hier eine Netzfreigabe verwendet, von der wiederum Daten auf Band oder ein anderes Sicherungsmedium gesichert werden.

Durch Aktivierung der Option „VSS-Kopiesicherung“ in den erweiterten Einstellungen der Windows-Server-Sicherung nutzt das Sicherungsprogramm den Volumeschattenkopie-Dienst (Volume Shadow Copy Service, VSS) von Windows-Servern. Das beschleunigt die Sicherung und stellt sicher, dass das System auch korrekt gesichert wird. Nach der Bestätigung der restlichen Eingaben beginnt der Assistent mit der Sicherung des Servers und von Active Directory.

Sicherung skripten

Das Sicherungsprogramm kann die Datensicherung auch über die Eingabeaufforderung durchführen. Das ist zum Beispiel sinnvoll, wenn die Sicherung über ein Skript oder auf einem Core-Server durchgeführt werden soll. Mit dem folgenden Befehl wird die Sicherung der notwendigen Partitionen auf die Zielfestplatte durchgeführt:

wbadmin start backup -allCritical -backuptarget:<Zielfestplatte> -quiet

Durch Eingabe von „-quiet“ beginnt die Sicherung sofort. Mit dem folgenden Befehl werden alle Partitionen eines Servers in die Sicherung eingeschlossen. Die Partitionen werden durch Komma ohne Leerzeichen voneinander getrennt:

wbadmin start backup -include:<Partition1>:,<Partition2>:,<PartitionN> -backuptarget:<Zielfestplatte>: -quiet

Wiederherstellen von Active Directory aus der Datensicherung

Um eine Wiederherstellung von Active Directory durchzuführen, muss der Domänencontroller neu gestartet werden. Um einen Domänencontroller wiederherzustellen kann in den Bootoptionen der Menüpunkt „Verzeichnisdienstwiederherstellung“ ausgewählt werden. Hier lässt sich anschließend eine Wiederherstellung von AD-Dateien durchführen.

Soll ein Domänencontroller beim nächsten Start automatisch im Verzeichnisdienst-Wiederstellungsmodus gestartet werden, hilft der folgende Befehl in der Befehlszeile:

bcdedit /set safeboot dsrepair

Befindet sich der Server im Verzeichnisdienst-Wiederherstellungsmodus, wird der Server mit dem folgenden Befehl beim nächsten Start normal gestartet:

bcdedit /deletevalue safeboot

Verschieben der Active-Directory-Datenbank

Der Speicherort der Active-Directory-Datenbank kann angepasst werden. Die notwendigen Angaben werden in der Befehlszeile vorgenommen:

  • 1. Dazu muss zunächst der Server im Verzeichnisdienstwiederherstellungs-Modus neu gestartet werden.
  • 2. In der Befehlszeile wird „Ntdsutil“ gestartet und danach „activate instance ntds“.
  • 3. Um die Datenbank zu verschieben, wird der Befehl „move db to <Lauferk:\Ordner>“ verwendet.
  • 4. Danach wird die Datenbank verschoben.
  • 5. Nach dem Verschieben der Datenbank müssen noch die Transaktionsprotokolle verschoben werden. Dazu wird der Befehl „move logs to <Laufwerk:\Ordner>“ verwendet.
  • 6. Mit dem Befehl „integrity“, wird noch die Konsistenz der Active-Directory-Datenbank geprüft.

Reparieren der Active-Directory-Datenbank

Nicht immer muss die Active-Directory-Datenbank wiederhergestellt werden, wenn sie nicht mehr funktioniert. Oft hilft eine Reparatur:

  • 1. Zunächst muss der Server im Verzeichnisdienst-Wiederherstellungsmodus gestartet werden.
  • 2. Danach wird in der Befehlszeile „ntdsutil“ gestartet.
  • 3. „activate instance ntds“ aktiviert die Verwaltung der lokalen AD-Datenbank.
  • 4. Mit „files“ wird zu „file maintenance“ gewechselt.
  • 5. Danach wird mit „integrity“ ein Integritätstest der Datenbank durchgeführt.
  • 6. Mit „quit“ wird „file maintenance“ verlassen, aber Ntdsutil bleibt geöffnet.
  • 7. „semantic database analysis“ öffnet die Verwaltung der Datenbankwartung.
  • 8. „verbose on“ aktiviert detaillierte Informationen.
  • 9. Der Befehl „go fixup“ löst die Reparatur der Datenbank aus.

Erstellen von Snapshots der Active-Directory-Datenbank

In Windows Server 2016 können Snapshots der Active-Directory-Datenbank erstellt werden. Snapshots werden als Schattenkopie der Datenbank erstellt. Die Bereitstellung der Snapshots der Active-Directory-Datenbank wird durch das Tool Dsamain durchgeführt:

  • 1. In der Eingabeaufforderung wird „ntdsutil“ gestartet.
  • 2. „snapshot“ startet die Verwaltung der Snapshots für die Datenbank.
  • 3. „activate instance ntds“ aktiviert die produktive Active-Directory-Datenbank.
  • 4. „create“ erstellt den Snapshot. Der Snapshot wird anschließend erstellt und dessen GUID angezeigt.

Der Befehl „mount <GUID des Snapshots>“ stellt einen Snapshot bereit. Mit „list mounted“ werden alle gemounteten Snapshots angezeigt. Der Befehl „unmount <GUID>“ hebt die Bereitstellung auf, „delete <GUID>“ löscht Snapshots wieder. Per Skript oder als geplante Aufgabe wird ein Snapshot auch durch die Eingabe des Befehls

„ntdsutil "activate instance ntds" snapshot create quit quit“

erstellt. Mit dem Befehl

„dsamain /dbpath <Pfad zur Datenbankdatei> /ldapport <Port>“

kann eine Offlinekopie der Active-Directory-Datenbank als eigener LDAP-Server bereitgestellt werden.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45136742 / Server)