Der europäische IT-Dienstleister Computacenter setzt seit Oktober 2007 auf Windows Server 2008-Technologien für die Wiederherstellung des Active Directory. In diesem Vortrag setzen wir uns damit auseinander, wie Sie sich auf eine Wiederherstellung des Active Directory unter Windows Server 2008 vorbereiten können. Wir betrachten die autoritative und nichtautoritative Wiederherstellung sowie die Wiederherstellung einzelner Objekte. Des Weiteren stellen wir die neuen Active Directory Snapshots vor, wie sie bei der Wiederherstellung von Objekten oder Attributen helfen können, und diskutieren die unterschiedlichen Einsatzmethoden von Wiederherstellungsstandorten und Snapshots. Zusätzlich vermitteln wir die Problematiken bei der Wiederherstellung von verlinkten Attributen und helfen Ihnen, mit vielen Beispielen und Demos, eine Strategie zur Wiederherstellung des Active Directory in Ihrem Unternehmen zu entwickeln. NEXT:
Ulf B. Simon-Weidner Senior Consultant, Trainer, Autor
Active Directory Fehlerfälle Kurz Erklärt und Fallstricke Vorbereitet für die Wiederherstellung Wiederherstellungsstandorte und Snapshots Wiederherstellen von Active Directory Nach der Wiederherstellung
Häufige Gerüchte: "Das Active Directory könnte (von alleine) kaputtgehen" "Unsere Administratoren machen keine Fehler"
Wiederherstellung eines DC Neuinstallation oder Rücksicherung? Wo ist die Sicherung? Gleiche Hardware? Domänenwiederherstellung Ein Replizierter Fehler in der Domänenpartition Keine DCs der Domäne funktionieren noch Wiederherstellung der Gesamtstruktur Replizierter Fehler in der Configuration-Partition Ein fehlerhaftes Schema-Update Datenkorruption (vorsätzlich oder fehlerhaft) Keine DCs der Gesamtumgebung funktionieren fehlerfrei
Wiederherstellung von Mehreren Objekten Falsche Prozesse Versehentliches Löschen Fehlerhafte Skripts, Tools Einzelnen Objekten Falsche Prozesse Versehentliches Löschen Fehlerhafte Skripts, Tools Einzelne Werte (von mehreren Objekten) Fehlerhafte Skripts Active Directory-Benutzer und –Computer (WS2k3+): "Versehentliches Bearbeiten" einzelner Werte mehrerer Objekte Replikation
Active Directory Fehlerfälle Kurz Erklärt und Fallstricke Vorbereitet für die Wiederherstellung Wiederherstellungsstandorte und Snapshots Wiederherstellen von Active Directory Nach der Wiederherstellung
Nicht-Autoritative Wiederherstellung: Wiederherstellung eines DCs (Gelöschte Objekte sind wieder da, aber nur lokal) Replikation Löschungen / Änderungen werden wieder durchgeführt Autoritative Wiederherstellung : Wiederherstellung eines DCs Objekte als "neuer" markieren (erhöht die Versionsnummer) Replikation Die Objekte sind zurück Replication Restore
Forward- / Backlinks Zum Beispiel Gruppen-"Mitglieder" vs. Benutzers "Mitglied von" "Manager" vs. "DirectReports"... Forward-Links: Werden wieder hergestellt wenn die "Zielobjekte" schon da sind Back-Links: Werden niemals mit dem Objekt wieder hergestellt, nur der Forward-Link ist beschreibbar (der BL wird automatisch von jedem DC berechnet)
In einer einzelnen Domäne: Wiederherstellung doppelt durchführen Zuerst Benutzerkonten, dann Gruppen wiederherstellen (auch 2x, trotzdem problematisch) Benutzen von LDIF-Dateien der Autoritativen Wiederherstellung (seit WS2k3 SP1+, geht aber auch mit W2k) Mehrere Domänen: Wie bei einer einzelnen Domäne, zusätzlich müssen die Backlinks in jeder anderen Domäne wiederhergestellt werden (besonders Domänenlokale Gruppen)
1. Attribute die keinen Wert haben ( ) 2. AD wird gesichert 3. Schreiben eines Wertes in das Attribut 4. Autoritative Wiederherstellung des Objektes Problem: Die Versionsnummer wird nicht erhöht wenn das Attribut (in der Datensicherung) keinen Wert hat. Als Ergebnis behält das Attribut seinen Wert.
Active Directory Fehlerfälle Kurz Erklärt und Fallstricke Vorbereitet für die Wiederherstellung Wiederherstellungsstandorte und Snapshots Wiederherstellen von Active Directory Nach der Wiederherstellung
Bis Windows Server 2008 System State Backup Enthält alles Benötigte (Registry, AD, Zertifikate,...) Sysvol auf anderen Laufwerken muss berücksichtigt werden Meine Empfehlung: Erstellen eines lokalen Sicherung mit Windows Backup, dann Einbinden dieser Dateien in die Unternehmenslösung (oder eine Historie der letzten x Sicherungen auf Dateiservern vorhalten) Windows Server 2008 Windows Backup ist ein "Feature" Backup ist Volumenbasiert Seit RC0: Die Sicherung des Systemstatus ist wieder möglich: wbadmin start systemstatebackup -backupTarget:s: Meine Empfehlung: Eingebaut!
Ältere Sicherungen haben sicherlich einen solideren Status, "damals ging noch alles" Jüngere Sicherungen haben aktuellere Daten Benutzerkonten ändern Eigenschaften, Passwörter Gruppenmitgliedschaften ändern sich Computerkonten ändern ihr Passwort Domänenkontroller- und Vertrauens- stellungen haben auch Passwörter die regelmäßig und automatisch geändert werden
Die Gruppenrichtlinienverwaltungskonsole (GPMC) hilft bei der Sicherung und Wiederherstellung von GPOs Auch eine Liste der Gruppenrichtlinien- Verknüpfungen sollte aufgehoben werden cscript.exe "C:\Program Files\GPMC\Scripts\backupallgpos.wsf" D:\GPO-Backup /comment:"Alle GPOs" cscript.exe "C:\Program Files\GPMC\Scripts\ListSOMPolicyTree.wsf" > c:\GPO-Backup\GP-Links.txt
Im Verzeicnisdienstwiederherstellungsmodus müssen Sie bei einer Autoritativen Wiederherstellung den vollen Pfad zum Objekt angeben Kennen Sie diesen auswendig? Wenn nicht: LDIF hilft DSQuery hilft (dsquery * domainroot > Textfile) Active Directory-Snapshots helfen auch
Windows Server 2003: ändern der Boot.ini Windows Server 2008: bcdedit [boot loader] timeout=3 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows Server 2003" /fastdetect multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="WS2k3 Directory Repair mode" /fastdetect /SAFEBOOT:DSREPAIR /SOS [boot loader] timeout=3 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows Server 2003" /fastdetect multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="WS2k3 Directory Repair mode" /fastdetect /SAFEBOOT:DSREPAIR /SOS C:\> bcdedit /copy {current} /d Microsoft Windows Server 2008 – Directory Services Restore Mode" Notieren der {GUID} C:\> bcdedit /set {GUID} safeboot dsrepair C:\> bcdedit /copy {current} /d Microsoft Windows Server 2008 – Directory Services Restore Mode" Notieren der {GUID} C:\> bcdedit /set {GUID} safeboot dsrepair
Active Directory Fehlerfälle Kurz Erklärt und Fallstricke Vorbereitet für die Wiederherstellung Wiederherstellungsstandorte und Snapshots Wiederherstellen von Active Directory Nach der Wiederherstellung
Wiederherstellungsstandorte: Replizieren "ab und zu" Ein zusätzlicher Domänenkontroller pro Wiederherstellungsstandort und Domäne Erlauben eine Online- Wiederherstellung Erlauben Wiederherstellen von Attributen mittels Scripting Zwei Wh-Standorte machen Sinn Stellen Sie sicher das Sie die Netzwerkadapter deaktivierenAD-Snapshots: Neu in Windows Server 2008 Nur-Lesbarer Status des AD Benutzt den "Schattenkopiedienst" Helfen nicht für eine volle Wiederherstellung eines DCs, einer Domäne,.. Ersetzen keine Datensicherung des AD Können online zugegriffen werden, ohne Wiederherstellungsmodus
Auf den Snapshot zugreifen Active Directory-Benutzer & -Computer, LDP, ADSIEdit, dsquery,... gegen Port Snapshot als LDAP-Verzeichnisdienst starten (R/O) Dsamain –dbpath c:\$snap \ntds.dit –ldapport Snapshot in das Dateisystem verbinden Ntdsutil Snapshot List All / Mount ID Mount {GUID} List All / Mount ID Mount {GUID} Snapshot erstellen Ntdsutil Snapshot Create
Active Directory Fehlerfälle Kurz Erklärt und Fallstricke Vorbereitet für die Wiederherstellung Wiederherstellungsstandorte und Snapshots Wiederherstellen von Active Directory Nach der Wiederherstellung
isDeletedTRUE rdnCn=Ulf\A0DEL:G UID name phone member Of SIDS xx-xx-.. z.B. ADRestore, admod, LDP Manuell, Skript, LDIF,.. isDeleted rdnCn=Ulf nameUlf B. Simon- Weidner phone+49 (89) member Of ??? SIDS xx-xx-.. isDeleted rdnCn=Ulf name phone member Of SIDS xx-xx-..
LDIFDE –r "(name=)" –f filename.ldf –p port LDIFDE –i –z –f input.ldf dn: CN=User,OU=Demo,DC=xyz,DC=com changetype: add cn: User_Marketing sn: Marketing c: DE l: Hometown title: Worker-Bee - dn: CN=User,OU=Demo,DC=xyz,DC=com changetype: add cn: User_Marketing sn: Marketing c: DE l: Hometown title: Worker-Bee - dn: CN=User,OU=Demo,DC=xyz,DC=com changetype : modify replace: cn cn: User_Marketing - dn: CN=User,OU=Demo,DC=xyz,DC=com changetype: modify replace: sn sn: Marketing - dn: CN=User,OU=Demo,DC=xyz,DC=com changetype: modify replace: c c: DE - dn: CN=User,OU=Demo,DC=xyz,DC=com changetype : modify replace: cn cn: User_Marketing - dn: CN=User,OU=Demo,DC=xyz,DC=com changetype: modify replace: sn sn: Marketing - dn: CN=User,OU=Demo,DC=xyz,DC=com changetype: modify replace: c c: DE -
Benutzer sind Mitglieder von Gruppen Es gibt weitere Verknüpfungen, wie Vorgesetzte, Passwort- einstellungen,... Um Verknüpfungen wiederherzustellen: Nochmal: nur Forward-Links können beschrieben werden Nur FW-Links deren Ziel existiert werden wiederhergestellt Wo ist der Forward-Link?
Forward-Link im Wiederhergestellten Objekt Wird richtig gesetzt wenn das Ziel da ist Kann vom Snapshot gelesen und aktualisiert werden Ggf. doppelte Wiederherstellung Backlink im Wiederhergestellten Objekt: Schreiben des Objektes im BL, z.B. aktualisieren der Gruppe in "MemberOf" mit dem wiederhergestellten Benutzer Mehrere Domänen Die gleiche Vorgehensweise mit einem GC (Wiederhergestellt oder Snapshot) aus jeder Domäne dsget user cn=Ulf,ou=Demo,dc=xyz,dc=com -s localhost: memberof | dsmod group -addmbr cn=Ulf,ou=Demo,dc=xyz,dc=com
Active Directory Fehlerfälle Kurz Erklärt und Fallstricke Vorbereitet für die Wiederherstellung Wiederherstellungsstandorte und Snapshots Wiederherstellen von Active Directory Nach der Wiederherstellung
Dokumentierte Änderungen (Changes) helfen Windows Server 2008 ermöglicht das Überwachen von Objektänderungen Evtl. hilft eine NTDS.dit von vor der Wiederherstellung (mit Snapshot-Mounting-Tool) Link-Value-Replikation hilft auch (wenn die Domäne im Windows Server 2003-Modus ist und die Gruppenmitgliedschaft danach geändert wurde) auditpol /get /category:DS Access auditpol /set /subcategory:Directory Service Changes auditpol /get /category:DS Access auditpol /set /subcategory:Directory Service Changes
Dokumentation (Infrastrukture, Änderungen,..) Delegierte Administration / minimale Rechte Prozesse und Workflows Testen von Wiederherstellungsszenarien Prüfen der Datensicherungen Schützen Sie Ihre Infrastruktur, verwenden Sie den Objektschutz in Windows Server 2008 (geht auch schon seit W2k)
Europas führender herstellerübergreifender Dienstleister für Informationstechnologie Windows Server 2008 im Haus implementiert Kundenprojekte zu WS2k8 seit Anfang 2007 Zahlreiche Referenzen Große Erfahrung bei Migrationsprojekten Halle 5.1, Stand 6.2 Das Magazin für professionelle System- und Netzwerkadministration Mai / Juni 2007: Vorschau auf Windows Server 2008 November 2007 bis Januar 2008: Serie zu Windows Server 2008 März / April 2008: Active Directory Wiederherstellung mit Windows Server 2008 Halle 5.1, Stand 6.18
Windows Server 2008 Tech Center fault.mspx fault.mspx Windows Server 2008 Webcasts: Windows Server 2008 Produktseite: Microsoft Virtualization:
Mein Weblog (Directory Services – Active Directory): AD Snapshots Protected Objects server-2008.aspx server-2008.aspx KB ADRestore: Konferenzen: Directory Experts Conference USA (Chicago, April) TechEd USA (Orlando, Juni) TechEd IT-Forum Europe (Barcelona, November) Skript? DS-Geek-On-AD-Recovery.aspx DS-Geek-On-AD-Recovery.aspxSkript? DS-Geek-On-AD-Recovery.aspx DS-Geek-On-AD-Recovery.aspx
Wir freuen uns auf Ihre Fragen: Technische Experten stehen Ihnen während der gesamten Veranstaltung in der Haupthalle zur Verfügung.
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.