Bestimmen, wie die Gesamtstruktur wiederhergestellt wird

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 und 2012 R2, Windows Server 2008 und 2008 R2

Das Wiederherstellen einer gesamten Active Directory-Gesamtstruktur umfasst entweder das Wiederherstellen aus einer Sicherung oder das erneute Installieren von Active Directory Domain Services (AD DS) auf jedem Domänencontroller (DC) in der Gesamtstruktur. Durch das Wiederherstellen der Gesamtstruktur wird jeder Domänenzustand in der Gesamtstruktur zum Zeitpunkt der letzten vertrauenswürdigen Sicherung wiederhergestellt. Folglich führt der Wiederherstellungsvorgang zum Verlust mindestens der folgenden Active Directory-Daten:

  • Alle Objekte (z. B. Benutzer und Computer), die nach der letzten vertrauenswürdigen Sicherung hinzugefügt wurden
  • Alle Updates, die seit der letzten vertrauenswürdigen Sicherung an vorhandenen Objekten vorgenommen wurden
  • Alle Änderungen, die seit der letzten vertrauenswürdigen Sicherung an der Konfigurationspartition oder der Schemapartition in AD DS (z. B. Schemaänderungen) vorgenommen wurden

Für jede Domäne in der Gesamtstruktur muss das Kennwort eines Domänenadministratorkontos bekannt sein. Vorzugsweise ist dies das Kennwort des integrierten Administratorkontos. Sie müssen auch das DSRM-Kennwort kennen, um eine Systemstatuswiederherstellung eines Domänencontrollers durchzuführen. Im Allgemeinen ist es eine bewährte Methode, das Administratorkonto und den DSRM-Kennwortverlauf an einem sicheren Ort zu archivieren, solange die Sicherungen gültig sind, also innerhalb des Tombstonelebenszeitraums oder innerhalb des Gültigkeitsdauerzeitraums des gelöschten Objekts, wenn Active Directory Papierkorb aktiviert ist. Sie können das DSRM-Kennwort auch mit einem Domänenbenutzerkonto synchronisieren, um die Merken zu erleichtern. Weitere Informationen finden Sie im KB-Artikel 961320. Die Synchronisierung des DSRM-Kontos muss im Rahmen der Vorbereitung vor der Wiederherstellung der Gesamtstruktur erfolgen.

Hinweis

Das Administratorkonto ist standardmäßig Ein Mitglied der integrierten Gruppe Administratoren, ebenso wie die Domänenadministratoren und Enterprise Administratorgruppen. Diese Gruppe hat die vollständige Kontrolle über alle Domänencontroller in der Domäne.

Bestimmen der zu verwendenden Sicherungen

Sichern Sie regelmäßig mindestens zwei schreibbare Dcs für jede Domäne, damit Sie mehrere Sicherungen auswählen können. Beachten Sie, dass Sie die Sicherung eines schreibgeschützten Domänencontrollers (RODC) nicht zum Wiederherstellen eines beschreibbaren Domänencontrollers verwenden können. Es wird empfohlen, die Dcs mithilfe von Sicherungen wiederherzustellen, die einige Tage vor dem Auftreten des Fehlers erstellt wurden. Im Allgemeinen müssen Sie einen Kompromiss zwischen der Aktuellen und der Sicherheit der wiederhergestellten Daten bestimmen. Wenn Sie eine neuere Sicherung auswählen, werden nützlichere Daten wiederhergestellt. Dies kann jedoch das Risiko erhöhen, dass gefährliche Daten wieder in die wiederhergestellte Gesamtstruktur eingeführt werden.

Das Wiederherstellen von Systemstatussicherungen hängt vom ursprünglichen Betriebssystem und Server der Sicherung ab. Beispielsweise sollten Sie eine Systemstatussicherung nicht auf einem anderen Server wiederherstellen. In diesem Fall wird möglicherweise die folgende Warnung angezeigt:

"Die angegebene Sicherung ist ein anderer Server als der aktuelle. Es wird nicht empfohlen, eine Wiederherstellung des Systemstatus mit der Sicherung auf einem alternativen Server durchführen, da der Server möglicherweise nicht mehr verwendet werden kann. Sind Sie sicher, dass Sie diese Sicherung zum Wiederherstellen des aktuellen Servers verwenden möchten?"

Wenn Sie Active Directory auf einer anderen Hardware wiederherstellen müssen, erstellen Sie vollständige Serversicherungen, und planen Sie eine vollständige Serverwiederherstellung.

Wichtig

Ab Windows Server 2008 wird es nicht unterstützt, die Systemstatussicherung auf einer neuen Installation von Windows Server auf neuer Hardware oder derselben Hardware wiederherzustellen. Wenn Windows Server auf derselben Hardware neu installiert wird, wie weiter später in diesem Handbuch empfohlen, können Sie den Domänencontroller in der folgenden Reihenfolge wiederherstellen:

  1. Führen Sie eine vollständige Serverwiederherstellung durch, um das Betriebssystem und alle Dateien und Anwendungen wiederherzustellen.
  2. Führen Sie eine Systemstatuswiederherstellung mithilfe wbadmin.exe aus, um SYSVOL als autoritativ zu markieren.

Weitere Informationen finden Sie im Microsoft KB-Artikel 249694.

Wenn der Zeitpunkt des Auftretens des Fehlers unbekannt ist, untersuchen Sie weiter, um Sicherungen zu identifizieren, die den letzten sicheren Zustand der Gesamtstruktur speichern. Dieser Ansatz ist weniger wünschenswert. Daher wird dringend empfohlen, ausführliche Protokolle zum Integritätsstatus von AD DS täglich zu führen, damit bei einem gesamtstrukturweiten Fehler die ungefähre Fehlerzeit identifiziert werden kann. Sie sollten auch eine lokale Kopie von Sicherungen speichern, um eine schnellere Wiederherstellung zu ermöglichen.

Wenn Active Directory Papierkorb aktiviert ist, entspricht die Sicherungslebensdauer dem deletedObjectLifetime-Wert oder dem TombstoneLifetime-Wert, unabhängig davon, welcher Wert kleiner ist. Weitere Informationen finden Sie unter Active Directory Papierkorb Schritt-für-Schritt-Anleitung ( https://go.microsoft.com/fwlink/?LinkId=178657) .

Alternativ können Sie auch das Active Directory-Datenbank-Mount-Tool (Dsamain.exe) und ein LDAP-Tool (Lightweight Directory Access Protocol) wie Ldp.exe oder Active Directory-Benutzer und -Computer verwenden, um zu ermitteln, welche Sicherung den letzten sicheren Zustand der Gesamtstruktur auf hat. Das Active Directory-Datenbank-Anmeldetool, das in Windows Server 2008 und höher Windows Server-Betriebssystemen enthalten ist, macht Active Directory-Daten verfügbar, die in Sicherungen oder Momentaufnahmen als LDAP-Server gespeichert sind. Anschließend können Sie ein LDAP-Tool verwenden, um die Daten zu durchsuchen. Dieser Ansatz hat den Vorteil, dass Sie keinen Domänencontroller im Verzeichnisdienst-Wiederherstellungsmodus (Directory Services Restore Mode, DSRM) neu starten müssen, um den Inhalt der Sicherung von AD DS.

Weitere Informationen zur Verwendung des Active Directory-Tools zum Einbinden von Datenbanken finden Sie in der Schritt-für-Schritt-Anleitungzum Active Directory Database Mounting Tool .

Sie können auch den Befehl ntdsutil snapshot verwenden, um Momentaufnahmen der Active Directory-Datenbank zu erstellen. Wenn Sie planen, dass ein Task in regelmäßigen Abständen Momentaufnahmen erstellt, können Sie im Laufe der Zeit zusätzliche Kopien der Active Directory-Datenbank abrufen. Sie können diese Kopien verwenden, um besser zu ermitteln, wann der gesamtstrukturweite Fehler aufgetreten ist, und dann die beste Wiederherstellungssicherung auswählen. Verwenden Sie zum Erstellen von Momentaufnahmen die Version von ntdsutil, die mit Windows Server 2008 oder der Remoteserver-Verwaltungstools (RSAT) für Windows Vista oder höher enthalten ist. Der Ziel-DC kann eine beliebige Version von Windows Server ausführen. Weitere Informationen zur Verwendung des Befehls ntdsutil snapshot finden Sie unter Momentaufnahme.

Bestimmen der wiederherzustellenden Domänencontroller

Die Einfache Wiederherstellung ist ein wichtiger Faktor bei der Entscheidung, welcher Domänencontroller wiederhergestellt werden soll. Es wird empfohlen, einen dedizierten Domänencontroller für jede Domäne zu verwenden, die der bevorzugte Domänencontroller für eine Wiederherstellung ist. Ein dedizierter Wiederherstellungsdomänencontroller erleichtert die zuverlässige Planung und Ausführung der Gesamtstrukturwiederherstellung, da Sie dieselbe Quellkonfiguration verwenden, die zum Ausführen von Wiederherstellungstests verwendet wurde. Sie können ein Skript für die Wiederherstellung erstellen und sich nicht mit unterschiedlichen Konfigurationen in Zusammenhang stellen, z. B. ob der Domänencontroller Betriebsmasterrollen enthält oder ob es sich um einen GC- oder DNS-Server handelt oder nicht.

Hinweis

Es wird zwar nicht empfohlen, einen Besitzer der Betriebsmasterrolle im Interesse der Einfachheit wiederherzustellen, aber einige Organisationen können sich für eine Wiederherstellung entscheiden, um andere Vorteile zu erzielen. Beispielsweise kann das Wiederherstellen des RID-Masters dazu beitragen, Probleme mit der Verwaltung von RIDs während der Wiederherstellung zu vermeiden.

Wählen Sie einen Domänencontroller aus, der die folgenden Kriterien am besten erfüllt:

  • Ein Domänencontroller, der geschrieben werden kann. Diese ist obligatorisch.

  • Ein Domänencontroller, Windows Server 2012 als virtueller Computer auf einem Hypervisor ausgeführt wird, der VM-GenerationID unterstützt. Dieser Domänencontroller kann als Quelle für das Klonen verwendet werden.

  • Ein Domänencontroller, auf den entweder physisch oder in einem virtuellen Netzwerk zugegriffen werden kann und der sich vorzugsweise in einem Rechenzentrum befindet. Auf diese Weise können Sie sie während der Wiederherstellung der Gesamtstruktur problemlos vom Netzwerk isolieren.

  • Ein Domänencontroller, der über eine gute vollständige Serversicherung verfügt. Eine gute Sicherung ist eine Sicherung, die erfolgreich wiederhergestellt werden kann, einige Tage vor dem Fehler erstellt wurde und so viele nützliche Daten wie möglich enthält.

  • Ein Domänencontroller, der vor Domain Name System (DNS)-Server war. Dies spart die Zeit, die für die Neuinstallation von DNS erforderlich ist.

  • Wenn Sie auch Windows Bereitstellungsdienste verwenden, wählen Sie einen Domänencontroller aus, der nicht für die Verwendung der BitLocker-Netzwerkentsperrung konfiguriert ist. In diesem Fall wird die BitLocker-Netzwerkentsperrung nicht für den ersten Domänencontroller unterstützt, den Sie während einer Wiederherstellung der Gesamtstruktur aus der Sicherung wiederherstellen.

    Die BitLocker-Netzwerkentsperrung als einzige Schlüsselschutzvorrichtung kann nicht auf Domänencontrollern verwendet werden, auf denen Sie Windows Deployment Services (WDS) bereitgestellt haben, da dies zu einem Szenario führt, in dem der erste DC erfordert, dass Active Directory und WDS zum Entsperren funktionieren. Vor der Wiederherstellung des ersten Domänencontrollers ist Active Directory jedoch noch nicht für WDS verfügbar und kann daher nicht entsperrt werden.

    Um festzustellen, ob ein Domänencontroller für die Verwendung der BitLocker-Netzwerkentsperrung konfiguriert ist, überprüfen Sie, ob im folgenden Registrierungsschlüssel ein Zertifikat zum Entsperren des Netzwerks identifiziert ist:

    HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftSystemCertificatesFVE_NKP

Verwalten Sie Sicherheitsverfahren beim Behandeln oder Wiederherstellen von Sicherungsdateien, die Active Directory enthalten. Die Dringendkeit, die mit der Wiederherstellung der Gesamtstruktur einhing, kann unbeabsichtigt dazu führen, dass bewährte Sicherheitsmethoden übersehen werden. Weitere Informationen finden Sie im Abschnitt "Einrichten von Sicherungs- und Wiederherstellungsstrategien für Domänencontroller" im Best Practice Guide for Securing Active Directory Installations and Day-to-Day Operations: Part II.

Identifizieren der aktuellen Gesamtstruktur und der DC-Funktionen

Bestimmen Sie die aktuelle Gesamtstruktur, indem Sie alle Domänen in der Gesamtstruktur identifizieren. Erstellen Sie eine Liste aller Domänencontroller in jeder Domäne, insbesondere der Domänencontroller mit Sicherungen und virtualisierter Domänencontroller, die eine Quelle für das Klonen sein können. Eine Liste der DCs für die Stammdomäne der Gesamtstruktur ist am wichtigsten, da Sie diese Domäne zuerst wiederherstellen. Nach dem Wiederherstellen der Gesamtstruktur-Stammdomäne können Sie mithilfe von Active Directory-Snap-Ins eine Liste der anderen Domänen, DCs und Standorte in der Gesamtstruktur abrufen.

Bereiten Sie eine Tabelle vor, die die Funktionen der einzelnen Domänencontroller in der Domäne zeigt, wie im folgenden Beispiel gezeigt. Dadurch können Sie nach der Wiederherstellung wieder zur Konfiguration vor dem Ausfall der Gesamtstruktur zurückkommen.

DC-Name Betriebssystem FSMO GC RODC Backup DNS Server Core VM VM-GenID
DC_1 Windows Server 2012 Schemamaster, Domänennamenmaster Ja Nein Ja Nein Nein Ja Ja
DC_2 Windows Server 2012 Keine Ja Nein Ja Ja Nein Ja Ja
DC_3 Windows Server 2012 Infrastrukturmaster Nein Nein Nein Ja Ja Ja Ja
DC_4 Windows Server 2012 PDC-Emulator, RID-Master Ja Nein Nein Nein Nein Ja Nein
DC_5 Windows Server 2012 Keine Nein Nein Ja Ja Nein Ja Ja
RODC_1 Windows Server 2008 R2 Keine Ja Ja Ja Ja Ja Ja Nein
RODC_2 Windows Server 2008 Keine Ja Ja Nein Ja Ja Ja Nein

Identifizieren Sie für jede Domäne in der Gesamtstruktur einen einzelnen schreibbaren Domänencontroller, der über eine vertrauenswürdige Sicherung der Active Directory-Datenbank für diese Domäne verfügt. Seien Sie vorsichtig, wenn Sie eine Sicherung zum Wiederherstellen eines Domänencontrollers auswählen. Wenn der Tag und die Ursache des Fehlers ungefähr bekannt sind, wird allgemein empfohlen, eine Sicherung zu verwenden, die einige Tage vor diesem Datum erstellt wurde.

In diesem Beispiel gibt es vier Sicherungskandidaten: DC_1, DC_2, DC_4 und DC_5. Von diesen Sicherungskandidaten stellen Sie nur einen wiederhergestellt. Der empfohlene Domänencontroller DC_5 aus den folgenden Gründen verwendet:

  • Es erfüllt die Anforderungen für die Verwendung als Quelle für das Klonen virtualisierter Domänencontroller, d. h. es wird Windows Server 2012 als virtueller DC auf einem Hypervisor ausgeführt, der VM-GenerationID unterstützt, führt Software aus, die geklont werden darf (oder die entfernt werden kann, wenn sie nicht geklont werden kann). Nach der Wiederherstellung wird die PDC-Emulatorrolle an diesen Server übertragen und kann der Gruppe Klonbare Domänencontroller für die Domäne hinzugefügt werden.
  • Es wird eine vollständige Installation von Windows Server 2012. Ein Domänencontroller, auf dem eine Server Core-Installation ausgeführt wird, kann als Ziel für die Wiederherstellung weniger praktisch sein.
  • Es handelt sich um einen DNS-Server. Daher muss DNS nicht neu installiert werden.

Hinweis

Da DC_5 kein globaler Katalogserver ist, hat dies auch einen Vorteil, da der globale Katalog nach der Wiederherstellung nicht entfernt werden muss. Aber ob der Domänencontroller auch ein globaler Katalogserver ist, ist kein wichtiger Faktor, da ab Windows Server 2012 alle Domänencontroller standardmäßig globale Katalogserver sind und das Entfernen und Hinzufügen des globalen Katalogs nach der Wiederherstellung in jedem Fall als Teil des Gesamtstrukturwiederherstellungsprozesses empfohlen wird.

Isoliertes Wiederherstellen der Gesamtstruktur

Das bevorzugte Szenario besteht im Herunterfahren aller be schreibbaren Domänencontroller, bevor der erste wiederhergestellte Domänencontroller wieder in die Produktion gebracht wird. Dadurch wird sichergestellt, dass alle gefährlichen Daten nicht wieder in die wiederhergestellte Gesamtstruktur repliziert werden. Es ist besonders wichtig, alle Besitzer der Betriebsmasterrolle herunterfahren.

Hinweis

Es kann Fälle geben, in denen Sie den ersten Domänencontroller, den Sie für jede Domäne wiederherstellen möchten, in ein isoliertes Netzwerk verschieben und gleichzeitig anderen Domänencontrollern erlauben, online zu bleiben, um Ausfallzeiten des Systems zu minimieren. Wenn Sie beispielsweise eine Wiederherstellung nach einem fehlgeschlagenen Schemaupgrade durchführen, können Sie Domänencontroller weiterhin im Produktionsnetzwerk ausführen, während Sie die Wiederherstellungsschritte isoliert ausführen.

Wenn Sie virtualisierte DCs ausführen, können Sie sie in ein virtuelles Netzwerk verschieben, das von dem Produktionsnetzwerk isoliert ist, in dem Sie die Wiederherstellung durchführen. Das Verschieben virtualisierter DCs in ein separates Netzwerk bietet zwei Vorteile:

  • Wiederhergestellte Dcs werden daran gehindert, das Problem erneut zu beheben, das die Wiederherstellung der Gesamtstruktur verursacht hat, da sie isoliert sind.
  • Das Klonen virtualisierter Domänencontroller kann im separaten Netzwerk ausgeführt werden, sodass eine kritische Anzahl von Domänencontrollern ausgeführt und getestet werden kann, bevor sie wieder in das Produktionsnetzwerk gebracht werden.

Wenn Sie DCs auf physischer Hardware ausführen, trennen Sie das Netzwerkkabel des ersten Domänencontrollers, den Sie in der Stammdomäne der Gesamtstruktur wiederherstellen möchten. Trennen Sie nach Möglichkeit auch die Netzwerkkabel aller anderen DCs. Dadurch wird verhindert, dass DCs repliziert werden, wenn sie versehentlich während des Wiederherstellungsprozesses der Gesamtstruktur gestartet werden.

In einer großen Gesamtstruktur, die auf mehrere Standorte verteilt ist, kann es schwierig sein, zu gewährleisten, dass alle schreibbaren Dcs heruntergefahren werden. Aus diesem Grund sind die Wiederherstellungsschritte , z. B. das Zurücksetzen des Computerkontos und des krbtgt-Kontos zusätzlich zur Metadatenbereinigung, so konzipiert, dass sichergestellt wird, dass die wiederhergestellten schreibbaren Dcs nicht mit gefährlichen schreibbaren Dcs repliziert werden (für den Fall, dass einige noch in der Gesamtstruktur online sind).

Allerdings können Sie nur dann garantieren, dass keine Replikation erfolgt, wenn Sie schreibbare Dcs offline schalten. Daher sollten Sie nach Möglichkeit Eine Remoteverwaltungstechnologie bereitstellen, mit der Sie die schreibbaren DCs während der Wiederherstellung der Gesamtstruktur herunterfahren und physisch isolieren können.

RODCs können weiterhin ausgeführt werden, während schreibbare Dcs offline sind. Kein anderer Domänencontroller repliziert änderungen direkt von einem RODC – insbesondere keine Änderungen am Schema- oder Konfigurationscontainer – sodass sie während der Wiederherstellung nicht das gleiche Risiko darstellen wie beschreibbare Dcs. Nachdem alle schreibbaren DCs wiederhergestellt und online sind, sollten Sie alle RODCs neu erstellen.

RODCs ermöglichen weiterhin den Zugriff auf lokale Ressourcen, die an ihren jeweiligen Standorten zwischengespeichert werden, während die Wiederherstellungsvorgänge parallel ausgeführt werden. Für lokale Ressourcen, die nicht auf dem RODC zwischengespeichert werden, werden Authentifizierungsanforderungen an einen beschreibbaren DC weitergeleitet. Diese Anforderungen sind nicht möglich, da schreibbare Dcs offline sind. Einige Vorgänge wie Kennwortänderungen funktionieren auch erst, wenn Sie schreibbare Dcs wiederherstellen.

Wenn Sie eine Hub-and-Spoke-Netzwerkarchitektur verwenden, können Sie sich zunächst auf die Wiederherstellung der schreibbaren DCs an den Hubstandorten konzentrieren. Später können Sie die RODCs an Remotestandorten neu erstellen.

Nächste Schritte