Active Directory - Backup und Restore, Teil 3
Wiederherstellen ohne Umwege
Die Sicherung des Active Directorys muss kein Geheimnis pompöser Backup-Managementsuiten sein. Dass es auf Wunsch auch kostenfrei und übersichtlich geht, zeigt eine kleine Serie in der LANline. Teil 3 befasst sich mit der direkten Wiederherstellung.
Neben der autorisierenden Wiederherstellung von Objekten mit ntdsutil.exe gibt es noch die
Möglichkeit, direkt auf den "Deleted Objects Container" einer Partition zuzugreifen und ein dort
gespeichertes Tombstone-Objekt direkt wiederzubeleben. Dieses Verfahren ist besonders geeignet,
wenn es sich um ein einzelnes Konto handelt, das schnell wieder zur Verfügung stehen muss –
beispielsweise, weil es gerade eben versehentlich gelöscht wurde.
Einen Ansatz hierfür bietet das Tool ldp.exe, das sich als Support-Tool auf der
Windows-Server-CD befindet. Beim Einsatz allerdings ist Vorsicht geboten. Ähnlich wie adsiedit.msc
öffnet das Werkzeug die Tür zum Active Directory direkt und erlaubt ein Manipulieren der Attribute.
Bei unsachgemäßer Handhabung lässt sich damit erheblicher Schaden am Active Directory verursachen,
die entsprechenden Berechtigungen vorausgesetzt.
Die Handhabung des Tools gestaltet sich etwas holprig, da der Weg zum Tombstone über das
Aktivieren eines Controls und über das Anbinden an den Verzeichnisdienst führt, eine ganze Reihe
weiterer Dialogeingaben erfordert und entsprechend viele Masken öffnet (Siehe Bild 1 und 2). Eine
Schritt-für-Schritt-Anleitung mit praktischem Beispiel findet sich in der Microsoft-Knowledge-Base
[5].
In Unternehmen, in denen es erlaubt ist, Software aus dem Internet auf einen Domänen-Controller
(DC) zu kopieren, bietet sich mit dem Tool adrestore.exe von Sysinternals eine sehr viel
komfortablere Variante zum sofortigen Reanimieren von Tombstones. Das Tool ist kostenfrei bei
Microsoft herunterzuladen, und zwar unter der Adresse
www.microsoft.com/technet/sysinternals/Utilities/AdRestore.mspx. Nach dem Entpacken ist es auf
einem DC ohne aufwändige Installation sofort lauffähig. Es kommt ohne DLLs aus, und Ängste vor
Hinterlassenschaften in der Registry oder sonst irgendwo sind beim Einsatz überflüssig. Bei einem
DC stellt dies durchaus einen erwähnenswerten Aspekt dar. Die Bedienung ist selbsterklärend. Ein
Aufruf ohne Parameter listet alle auf dem DC vorhandenen Tombstones auf. Der Parameter -r bietet
die Möglichkeit zum Recovery und fordert für jedes gefundene Objekt eine Bestätigung (Bild 3).
Mit den beiden Tools ldp.exe und adrestore.exe lassen sich Organisational Units (OUs) und somit
ganze Zweige des Active Directorys aus dem vermeintlichen digitalen Nirvana zurück ans Tageslicht
befördern. An dieser Stelle lässt sich nun durchaus die Frage stellen, warum der ganze Aufwand mit
Reboot des DC im Offline-Mode und autorisierendem Restore eigentlich notwendig sein soll, wenn es
doch – wie eben gesehen – direkt und viel einfacher geht? Die Antwort ist: Das manuelle und direkte
Wiederherstellen verhindert nicht, dass beispielsweise Gruppenmitgliedschaften aufgrund der
Back-Link-Thematik verloren gehen. Bei einem Restore mittels ntdsutil.exe besteht wenigstens die
Möglichkeit, mit LDIF-Files im großen Umfang Back-Links wieder ins System zu bringen. Hier ist eine
Abwägung notwendig, was im Einzelfall aufwändiger erscheint: Gruppen manuell hinzuzufügen oder den
DC im Offline-Mode zu starten und mit ntdsutil.exe zu bearbeiten.
Gruppenrichtlinien sind fester Bestandteil des Active Directorys, und die Sicherung erfolgt über
den Systemstate. Allerdings werden Gruppenrichtlinien auf einem DC nicht ausschließlich in der
Datenbank gespeichert, sondern zu einem Teil auch im Dateisystem, was eine andere Vorgehensweise
beim Wiederherstellen erfordert. Die interne Speicherung von Gruppenrichtlinien erfolgt getrennt an
zwei Stellen: Im Gruppenrichtliniencontainer (GPC – Group Policy Container) und in der
Gruppenrichtlinienvorlage (GPT – Group Policy Template). Der Container befindet sich in der
Active-Directory-Datenbank und enthält die eigentlichen Werte und Einstellungen einer
Gruppenrichtlinie. Die Replikation erfolgt über die Mechanismen des Active Directorys, kontrolliert
durch den Knowledge Consistency Checker (KCC). Die Vorlage hingegen liegt im Ordner SYSVOL\Policies
und dient unter anderem zur Aufbewahrung der administrativen Vorlagen mit ihren
Registry-Einstellungen. Die Replikation ist hierbei Sache des File-Replikation-Services (FRS).
Änderungen an einem Gruppenrichtlinienobjekt bleiben durch interne Prozesse an beiden Lokationen
synchron. Beim Restaurieren von Gruppenrichtlinien kann dies durchaus über den Restore des
Systemstates erfolgen, denn dieser enthält auch den Ordner SYSVOL. In den meisten Fällen ist dies
jedoch keine praktikable Lösung, denn wer möchte schon den gesamten Systemstate wiederherstellen,
wenn es nur um eine einzelne Gruppenrichtlinie geht? Auch ist es nicht notwendig,
Gruppenrichtlinien als autorisiert zu kennzeichnen, denn wie die anderen Objekte unterliegen auch
sie nicht der Handhabung von USNs (Update Sequence Numbers), wodurch es auch keine Tombstones
gibt.
Eine komfortable Möglichkeit zum Sichern und Wiederherstellen von Gruppenrichtlinien bietet die
Group Policy Management Console. Zunächst nur als Erweiterung als Download erhältlich, ist sie
mittlerweile fester Bestandteil der Windows-2003-Server-Familie und erleichtert Sicherung und
Wiederherstellen von Gruppenrichtlinien um ein Vielfaches. Ein weiterer Vorteil ist, dass die
Bedienung sowohl über die grafische Oberfläche als auch über eine mitgelieferte Scripting-Library
erfolgen kann. Unter anderem bietet sich die Möglichkeit, eine Sicherung aller Gruppenrichtlinien
von der Kommandozeile aus in ein Verzeichnis vorzunehmen.
Die besten Voraussetzungen also, um das nachtaktive Skript Dcbackup.cmd zu erweitern (Bild 4).
Folgender Befehl erstellt eine Sicherung sämtlicher Policies in das Dateisystem :
cscript "c:\Program Files\GPMC\Scripts\ BackupAllGPOs.wsf" c:\Backup /comment:"Daily schedule"
.
Eingebettet in ein Skript lässt sich das Kommando nach eigenen Wünschen ergänzen und an die
jeweilige Umgebung anpassen. Man muss allerdings selbst dafür Sorge tragen, das Zielverzeichnis hin
und wieder zu löschen, denn neue Sicherungen werden dem Sicherungsordner hinzugefügt, und
vorhandene Sicherungen bleiben dort bis zum Sankt-Nimmerleins-Tag.
Das Wiederherstellen von Gruppenrichtlinien kann mit der grafischen Oberfläche erfolgen. Über
das Kontextmenü des Knotens "Group Policy Objects" und den Befehl "Manage Backups" erscheint der "
Manage Backup"-Dialog (Bild 5 und 6). Nach Auswahl des Sicherungsordners stehen alle gesicherten
Gruppenrichtlinien zur Auswahl bereit und lassen sich selektiv zum Restore auswählen. Auf diesem
Weg lassen sich Gruppenrichtlinien auch von einer Testumgebung in die Produktion transportieren
oder umgekehrt, ohne dort die Gruppenrichtlinie noch einmal anzulegen und sämtliche Einstellungen
neu einzugeben. Die Scripting-Library befindet sich unterhalb des Programmverzeichnisses der GPMC
und enthält eine Vielzahl von Skripten. Sie ist eine hilfreiche Ergänzung der grafischen
Oberfläche.
Nichts ist schlimmer als eine nur vermeintlich gute Datensicherung. Deswegen sollte jedes
Sicherungsverfahren in einer abgegrenzten Testumgebung von Zeit zu Zeit in Form einer "Trockenübung"
getestet werden. Nur so lassen sich Unzulänglichkeiten, die im Fall eines Datenverlustes eine
zügige Herstellung des Ursprungszustandes behindern, aus dem Weg schaffen und lokalisieren.
Außerdem dient dieses Verfahren dazu, das Personal, das im Schadensfall die Maßnahme zur
Datenwiederbelebung leistet, fit und auf dem Laufenden zu halten. Hierfür muss keine teure Hardware
bereitstehen, die nur einmal im halben Jahr der Übung dient. Eine Testumgebung lässt sich
heutzutage mit virtueller Servertechnik wie beispielsweise MS Virtual Server 2005 betreiben.
Alle in diesem Artikel vorgestellten Verfahren und Tools sind kostenfrei und bieten eine absolut
verlässliche Sicherung des Active-Directory-Betriebs, deren Dreh- und Angelpunkt immer ein
Systemstate Backup ist. Für die Wiederherstellung von Daten aus dem Active Directory gibt es von
Drittherstellern Produkte, die die entsprechenden Möglichkeiten erweitern. Auch die Handhabung von
Back-Links bleibt mit kommerziellen Produkten für den Administrator transparent. Dass es mit
einfachen Mitteln und trotzdem hochwertig geht, hat dieser Artikel gezeigt. Er konnte hoffentlich
Anregungen bieten, das eigene Sicherungskonzept zu erweitern.
Lesen Sie mehr zum Thema
