Wiederherstellung eines virtuellen Domänencontrollers

  • Artikel

Sie müssen Ihren Systemstatus regelmäßig sichern, um einen physischen oder virtuellen Domänencontroller (DC) während eines Disaster Recovery-Szenarios wiederherstellen zu können. Der Systemstatus umfasst Active Directory-Daten und Protokolldateien, die Registrierung, das Systemvolume und verschiedene Elemente des Betriebssystems. Active-Directory-kompatible Sicherungsanwendungen gewährleisten die Konsistenz lokaler und replizierter Active-Directory-Datenbanken nach einem Wiederherstellungsprozess, einschließlich der Benachrichtigung von Replikationspartnern über das Zurücksetzen von Invocation IDs. Mit virtuellen Hosting-Umgebungen und Anwendungen zur Festplatten- oder Betriebssystem-Imaging können Administratoren die Standardprüfungen und -validierungen umgehen, die bei der Wiederherstellung des DC-Systemstatus durchgeführt werden.

Wenn Ihre virtuelle DC-Maschine (VM) ausfällt, Sie aber keine Anzeichen für einen update sequence number (USN) rollback sehen, gibt es zwei Möglichkeiten, die VM wiederherzustellen:

  • Wenn Ihr System über eine gültige Sicherung der Systemstatusdaten vor dem Ausfall verfügt, können Sie diese mit dem Active Directory-kompatiblen Sicherungsdienstprogramm wiederherstellen, das Sie zum Erstellen der Sicherung innerhalb der Tombstone-Lebensdauer verwendet haben. Die Standardlebensdauer von Tombstone beträgt 180 Tage. Sie sollten Ihre DCs regelmäßig, mindestens aber alle 90 Tage, sichern. Weitere Informationen zur Bestimmung der Tombstonelebensdauer finden Sie unter Bestimmen Sie die Tombstonelebensdauer für den Forest.

  • Wenn Sie eine funktionierende Kopie der virtuellen Festplattendatei (VHD), aber keine Sicherung des Systemstatus haben, können Sie die vorhandene VM entfernen und sie mit einer früheren Kopie der VHD wiederherstellen. Stellen Sie sicher, dass Sie die VM in DSRM starten und konfigurieren Sie dann die Registrierungseigenschaft wie in Wiederherstellen eines Systemstatus-Backups beschrieben. Starten Sie danach den DC im normalen Modus neu.

Bestimmen Sie die beste Methode zur Sicherung Ihres DC

Es gibt mehrere Möglichkeiten, Ihren DC zu sichern, aber welche Methode für Ihren Einsatz am besten geeignet ist, hängt von mehreren Faktoren ab.

  • Wenn Sie keine kritischen Daten auf dem DC haben oder kein Backup vor dem Ausfall des DC gemacht haben:

    • Entfernen Sie zwangsweise die AD DS-Rolle aus dem DC.

    • Entfernen Sie das Computerkonto des ausgefallenen Domänencontrollers.

    • Installieren Sie ggf. die AD DS-Rolle auf dem Ersatzserver, der der nächste DC wird.

  • Wenn Sie über eine Sicherung des Systemstatus verfügen, stellen Sie den DC wieder her, indem Sie die Anweisungen unter Wiederherstellen einer Sicherung des Systemstatus befolgen.

  • Wenn Sie eine frühere Version des DC auf einer VHD-Datei haben, folgen Sie den Anweisungen unter Wiederherstellen des virtuellen DC mit einer VHD-Datei.

    • Wenn die Vorgängerversion von Windows Server 2012 auf einem Hyper-V läuft, das den VM-GenerationID-Parameter unterstützt, stellen Sie die VHD für eine neue VM bereit und starten Sie die VM dann im normalen Modus neu.

    • Wenn auf der Vorgängerversion eine andere Version von Windows Server läuft, haben Sie diese bereits im normalen Modus gestartet?

      • Wenn nein, dann stellen Sie den DC wieder her, indem Sie ihn im DSRM starten, den Registrierungswert für die aus der Sicherung wiederhergestellte Datenbank auf 1 setzen und ihn dann im normalen Modus neu starten.

      • Wenn ja, trennen Sie den virtuellen DC vom Netzwerk, stellen Sie alle erforderlichen eindeutigen Daten wieder her und speichern Sie sie auf einer anderen Kopie der VM, und verwenden Sie dann den ursprünglichen DC nicht mehr im Netzwerk. Entfernen Sie außerdem die AD DS-Rolle aus dem ursprünglichen DC oder installieren Sie das Betriebssystem neu und installieren Sie dann die Rolle in der neuen Version des DC.

Wenn Sie versuchen, eine RODC wiederherzustellen:

  • Wenn es eine Sicherung des Systemstatus gibt, die vor dem Ausfall des ursprünglichen DC erstellt wurde, verwenden Sie diese, um den DC wiederherzustellen.

  • Wenn Sie kein Systemstatus-Backup, aber eine VHD-Datei einer früheren Version des DC haben, entfernen Sie den ausgefallenen DC und erstellen und starten Sie dann eine neue VM mit dem Backup aus der VHD-Datei.

  • Wenn Sie keine der beiden Sicherungen haben, entfernen Sie die AD DS-Rolle vom Domänencontroller, indem Sie diesen Befehl ausführen:

    dcpromo /forceremoval

    Nachdem Sie den Befehl ausgeführt haben, installieren Sie die AD DS-Rolle auf dem Ersatzserver, um ihn zu einem RODC zu machen.

Wiederherstellung einer Sicherung des Systemstatus

Wenn ein gültiges Systemstatus-Backup für die DC-VM existiert, können Sie das Backup sicher wiederherstellen, indem Sie die Wiederherstellungsprozedur für das Backup-Tool befolgen, das Sie für die Sicherung der VHD-Datei verwendet haben.

Wichtig

Um den DC ordnungsgemäß wiederherzustellen, müssen Sie den DC im DSRM-Modus und nicht im normalen Modus starten. Falls Sie beim Systemstart den Verzeichnisdienste-Wiederherstellungsmodus nicht rechtzeitig aufgerufen haben, schalten Sie den virtuellen Computer des Domänencontrollers aus, bevor er vollständig im normalen Modus gestartet werden kann. Es ist wichtig, den Domänencontroller im Verzeichnisdienste-Wiederherstellungsmodus zu starten, da sich bei einem Start im normalen Modus die Updatesequenznummern erhöhen würden. Das ist auch der Fall, wenn der Domänencontroller vom Netzwerk getrennt ist. Weitere Informationen zum USN-Rollback finden Sie unter USN und USN-Rollback.

Wiederherstellung des Systemstatus-Backups des virtuellen DCs

So stellen Sie die Sicherung der Systemstatusdaten des virtuellen DC wieder her:

  1. Starten Sie die DC-VM und drücken Sie dann die Taste F5, um Windows Boot Manager aufzurufen.

  2. Wenn Sie zur Eingabe von Verbindungsanmeldeinformationen aufgefordert werden, gehen Sie wie folgt vor:

    • Wählen Sie auf dem virtuellen Computer sofort die Schaltfläche Anhalten aus, um den Prozess anzuhalten.

    • Geben Sie Ihre Verbindungsanmeldeinformationen ein.

    • Wählen Sie auf dem virtuellen Computer die Schaltfläche Wiedergeben aus.

    • Wählen Sie innerhalb des VM-Fensters und drücken Sie die Taste F5.

    Wenn Windows Boot Manager nicht geöffnet wird und der DC im normalen Modus zu starten beginnt, schalten Sie die VM aus, um den Prozess anzuhalten. Wiederholen Sie diesen Schritt, bis Sie auf den Windows-Start-Manager zugreifen können. Über das Menü „Windows-Fehlerbehebung“ kann der Verzeichnisdienst-Wiederherstellungsmodus nicht aufgerufen werden. Wenn also das Menü „Windows-Fehlerbehebung“ angezeigt wird, schalten Sie den virtuellen Computer aus, und versuchen Sie es erneut.

  3. Drücken Sie in Windows Boot Manager die Taste F8, um auf die erweiterten Bootoptionen zuzugreifen.

  4. Wählen Sie unter Advanced Boot Options die Option Directory Services Restore Mode, und drücken Sie dann die Eingabetaste, um den DC im DSRM zu starten.

  5. Verwenden Sie das passende Wiederherstellungsverfahren für das Tool, mit dem Sie die Systemstatussicherung erstellt haben. Wenn Sie Windows Server Backup verwendet haben, folgen Sie den Anweisungen unter Durchführen einer nicht autorisierenden Wiederherstellung von AD DS.

Wiederherstellung des virtuellen DCs mit einer VHD-Datei

Wenn Sie keine Sicherung des Systemstatus vor dem Ausfall der VM haben, können Sie die VHD-Datei verwenden, um einen DC wiederherzustellen, der auf einer VM läuft. Stellen Sie sicher, dass Sie eine Kopie der VHD-Datei erstellen, bevor Sie beginnen. Wenn Sie während des Vorgangs auf ein Problem stoßen oder einen Schritt vergessen, können Sie es mit der kopierten VHD erneut versuchen.

Warnung

Sie sollten dieses Verfahren nicht als Ersatz für regelmäßig geplante und geplante Backups verwenden. Mit diesem Verfahren durchgeführte Wiederherstellungen werden von Microsoft nicht unterstützt. Verwenden Sie dieses Verfahren nur, wenn es keine andere Möglichkeit gibt.

Verwenden Sie dieses Verfahren nicht, wenn eine VM bereits die Kopie der VHD gestartet hat, die Sie für die Wiederherstellung im normalen Modus verwenden wollen.

So stellen Sie einen virtuellen DC mit einer VHD-Datei wieder her:

  1. Starten Sie den virtuellen DC in DSRM unter Verwendung der vorherigen VHD.

    • Starten Sie den DC nicht im normalen Modus. Wenn Sie den Bildschirm Windows Boot Manager verpassen und der DC im normalen Modus zu starten beginnt, schalten Sie die VM aus, um zu verhindern, dass sie startet.

  2. Öffnen Sie den Registrierungseditor, indem Sie Start wählen, dann regedit.exe eingeben und Registrierungseditor wählen.

    • Wenn das Dialogfeld Benutzerkontensteuerung angezeigt wird, bestätigen Sie, dass die angezeigte Aktion den Erwartungen entspricht, und wählen Sie dann Ja.

    • Erweitern Sie im Registry Editor den Pfad HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters.

    • Suchen Sie nach dem Wert DSA Previous Restore Count. Ist der Wert vorhanden, notieren Sie sich die Einstellung. Andernfalls handelt es sich um den Standardwert (0). Wird kein Wert angezeigt, legen Sie den Wert nicht manuell fest.

  3. Klicken Sie mit der rechten Maustaste auf den Schlüssel Parameter, und wählen Sie anschließend Neu > DWORD-Wert (32-Bit) aus.

  4. Geben Sie den neuen Namen Database restored from backup ein, und drücken Sie die Eingabetaste.

  5. Doppelklicken Sie auf den soeben erstellten Wert, um das Dialogfeld DWORD (32-Bit)-Wert bearbeiten zu öffnen, suchen Sie dann das Feld Wertdaten und geben Sie 1 ein.

  6. Starten Sie dann den Domänencontroller im normalen Modus neu.

  7. Wenn der DC neu startet, öffnen Sie die Ereignisanzeige, indem Sie mit der rechten Maustaste auf Start klicken und dann Ereignisanzeige auswählen.

  8. Erweitern Sie Anwendungs- und Dienstprotokolle, und wählen Sie dann das Protokoll Verzeichnisdienste. Vergewissern Sie sich, dass die Ereignisse im Detailbereich angezeigt werden.

  9. Klicken Sie mit der rechten Maustaste auf das Protokoll Verzeichnisdienste und wählen Sie dann Suchen.

  10. Geben Sie in das Feld Suche nach1109 ein und wählen Sie dann Suche nach.

  11. Es sollte mindestens ein Eintrag für die Ereignis-ID 1109 angezeigt werden. Sollte dieser Eintrag nicht angezeigt werden, fahren Sie mit dem nächsten Schritt fort. Andernfalls doppelklicken Sie auf den Eintrag und überprüfen Sie den Text. Bestätigen Sie, dass der Text anzeigt, dass die InvocationID aktualisiert wurde, wie in der folgenden Beispielausgabe gezeigt:

    Active Directory has been restored from backup media, or has been configured to host an application partition.
The invocationID attribute for this directory server has been changed.
The highest update sequence number at the time the backup was created is <time>

InvocationID attribute (old value):<Previous InvocationID value>
InvocationID attribute (new value):<New InvocationID value>
Update sequence number:<USN>

The InvocationID is changed when a directory server is restored from backup media or is configured to host a writeable application directory partition.

  12. Schließen Sie die Ereignisanzeige.

  13. Vergewissern Sie sich im Registrierungs-Editor, dass sich der Wert für die Einstellung DSA Previous Restore Count um 1 erhöht hat. Wenn der korrekte Wert nicht vorhanden ist und Sie keinen Eintrag für die Ereignis-ID 1109 in Event Viewer finden können, überprüfen Sie, ob die Service Packs des DC aktuell sind.

    Hinweis

    Dieses Verfahren kann nicht mit der gleichen VHD-Datei wiederholt werden. Sie können den Vorgang mit einer Kopie der VHD oder mit einer anderen VHD wiederholen, die nicht im normalen Modus gestartet wurde. Beginnen Sie dazu wieder bei Schritt 1.

  14. Schließen Sie den Registrierungs-Editor.

Zusätzliche Inhalte

Weitere Informationen zu virtualisierten DCs finden Sie unter Virtualisierung von Domänencontrollern mit Hyper-V.