Wie Sie Domänen-Controller wiederherstellen: Best Practices für den AD-Schutz (Teil 2)

Ihr Weg durch die Artikelreihe:

Teil 1 — Domänen-Controller sichern
Teil 2 — Wie Sie Domänen-Controller wiederherstellen


Dies ist der zweite Artikel aus meiner Reihe zum AD-Schutz (Active Directory) mit Veeam. Im letzten Artikelhabe ich über ein Backup von physischen und virtuellen Domänen-Controllern gesprochen. Heute geht es um deren Wiederherstellung.

Haftungsausschluss:
Dieser Artikel ist keine umfassende Anleitung zur Wiederherstellung von AD-Domänen-Services. Vielmehr handelt es sich um wichtige Informationen zur Wiederherstellung von ADs oder eines einzelnen DC mit Veeam. Wenn Sie sich für die granulare Wiederherstellung eines gelöschten AD-Objekts interessieren, lesen Sie bitte den nächsten Artikel.

Für die Planung einer AD-Wiederherstellung sollten Sie Ihre Infrastruktur gut kennen. Gibt es in Ihrer Umgebung einen Domänen-Controller oder mehrere? Handelt es sich um einen DC mit Lese-/Schreibzugriff (Read/Write Domain Controller, RWDC) oder einen schreibgeschützten DC (Read-Only Domain Controller, RODC)? Haben Sie nur einen DC verloren oder wurde die gesamte AD-Infrastruktur beschädigt? Bei mehreren DCs: Nutzen Sie noch den File Replication Service (FRS) oder haben Sie auf einen DFSR-Service (Distributed File System Replication) migriert, um Unterschiede zwischen den DCs zu synchronisieren? Diese Fragen sollten Sie beantworten können, bevor Sie sich mit der Wiederherstellung befassen.

Hinweis:
FRS is a service for distributing shared files and Group Policy Objects (GPO) in Windows Server 2000 and Windows Server 2003. It was replaced by the DFSR in later Windows Server OS (operating system) versions. Since Windows Server 2008, DFSR has been a default option for SYSVOL replication. If the first domain controller of the domain was promoted to Windows Server 2008 functional level or higher, then you’re using DFSR. Refer to this article to determine whether FRS or DFSR is used in your domain. Here are the benefits of using DFSR over FRS.

Domänen-Controller im Non-Authoritative-Modus wiederherstellen

Wenn Sie einen DC wiederherstellen möchten, sollten Sie zuerst herausfinden, ob dies im Non-Authoritative-Modus erfolgen kann oder ob der Authoritative-Modus erforderlich ist. Was ist der Unterschied? Bei einer Non-Authoritative-Wiederherstellung erkennt der DC, dass er eine Weile außer Betrieb war, sodass er andere lokale DCs seine Datenbank aktualisieren lässt. Bei einer Authoritative-Wiederherstellung sieht der DC sich als einziger Controller mit den korrekten Informationen und einer aktuellen Datenbank, sodass er die anderen DCs mit seinen eigenen Daten aktualisiert.

In den meisten Szenarien ist eine Non-Authoritative-Wiederherstellung die richtige Wahl, da meist mehrere DCs in einer Umgebung vorhanden sind. Eine Authoritative-Wiederherstellung kann zu weiteren Schäden führen. Dementsprechend wurde die Logik von Veeam Backup & Replication entwickelt: Standardmäßig führt die Anwendung einer automatisierten, Non-Authoritative-DC-Wiederherstellung durch. Wenn Sie eine Authoritative-Wiederherstellung mit Veeam planen, müssen Sie weitere Schritte beachten, die im Folgenden erläutert werden.

HINWEIS:
Es ist auch möglich, einen fehlgeschlagenen DC nicht wiederherzustellen, sondern seine Rollen anderweitig zu verteilen und die Metadaten zu bereinigen. So können die anderen DCs übernehmen – und Sie sparen sich Arbeit.

An dieser Stelle kehren wir zu den Backup-Dateien zurück, die wir im letzten Artikel erstellt haben. Die Wiederherstellung eines DC aus einem Veeam Backup & Replication-Backup ist ganz einfach. So gehen Sie vor:

Aufgrund der anwendungsspezifischen Image-Verarbeitung, die wir innerhalb eines VM-Backups einsetzen, müssen Sie sonst nichts mehr tun. Veeam erkennt die DC-Rolle dieser VM und stellt sie wie folgt wieder her:

Der DC erkennt, dass er aus einem Backup wiederhergestellt wurde und agiert entsprechend, d. h. er macht die bestehende Datenbank ungültig und aktualisiert sich mit den aktuellen Informationen seiner Replikationspartner.

Abbildung 1: Veeam Backup & Replication – Vollständige VM wiederherstellen

Hier erfahren Sie mehr über eine Bare-Metal-Wiederherstellung eines Backups mit Veeam Endpoint Backup. Sie müssen zuvor ein Veeam-Wiederherstellungsmedium vorbereiten und Zugriff auf die Backup-Datei selbst haben (USB oder Netzwerkfreigabe). Denken Sie daran, dass die spezielle Logik von Veeam Backup & Replication hier nicht angewendet wird. Nach einer Wiederherstellung mit Veeam Endpoint Backup startet Ihr DC im Wiederherstellungsmodus und Sie müssen entscheiden, ob Sie den Registry Key neu konfigurieren oder sofort im normalen Modus neu starten möchten. Dieser KB-Artikel kann Sie dabei unterstützen.

Abbildung 2: Veeam Endpoint Backup – Bare-Metal-Wiederherstellung

Domänen-Controller im Authoritative-Modus wiederherstellen

Zur Erinnerung: Diese Art Wiederherstellung brauchen Sie vermutlich nie. Aber um zu verstehen, warum das so ist, möchte ich sie trotzdem erläutern. Sie ist hilfreich, wenn Sie versuchen, eine gültige Kopie eines DC in einer Umgebung mit mehreren DCs wiederherzustellen, nachdem das gesamte AD beschädigt wurde (z. B. durch Ransomware oder einen Virus). In diesem Fall sollen die anderen DCs die Daten des wiederhergestellten DC übernehmen.

HINWEIS:
Halten Sie sich an die Vorgehensweise, die der Wiederherstellung eines DC in einer isolierten Umgebung über einen Veeam SureBackup-Job ähnelt.

Gehen Sie wie folgt vor, um ein bestimmtes gelöschtes Objekt oder eine Unterstruktur (z. B. eine Organisationseinheit) im Authoritative-Modus wiederherzustellen und eine Replikation dieses DC auf die anderen DCs zu erzwingen:

  1. Wählen Sie die vollständige Wiederherstellung einer VM mit Veeam aus und lassen Sie das Programm automatisch eine standardmäßige Non-Authoritative-DC-Wiederherstellung durchführen (wie oben erläutert).
  2. Wenn der DC zum zweiten Mal neu startet, öffnen Sie den Boot-Assistenten (mit F8), wählen Sie den Modus Directory Services Restore Mode (DSRM) aus und melden Sie sich mit den DSRM-Anmeldedaten (die Sie angegeben haben, als Sie den Computer zum DC ernannt haben) am System an.
  3. Öffnen Sie die Befehlszeile und führen Sie ntdsutil aus.
  4. Nutzen Sie die folgenden Befehle: activate instance ntds, dann authoritative restore, dann restore object “distinguishedName” oder restore subtree “distinguishedName”
    Beispiel: restore subtree “OU=Branch,DC=dc,DC=lab, DC=local.
  5. Bestätigen Sie dir Authoritative-Wiederherstellung und starten Sie den Server nach Abschluss neu.

Für eine Authoritative SYSVOL-Wiederherstellung (bei Nutzung des DFSR-Service) gehen Sie wie folgt vor:

  1. Non-Authoritative-Wiederherstellung eines DC (Beispiel: eine Wiederherstellung einer vollständigen VM in Veeam Backup & Replication).
  2. Öffnen Sie beim zweiten Neustart die Registrierungsstruktur HKLM\System\CurrentControlSet\Services\DFSR, erstellen Sie den Schlüssel Restore und den String SYSVOL mit dem Wert authoritative.
    Dieser Wert wird vom DFSR-Service gelesen. Wenn er nicht festgelegt ist, wird die SYSVOL-Wiederherstellung standardmäßig non-authoritative durchgeführt.
  3. Öffnen Sie HKLM\System\CurrentControlSet\Control\BackupRestore, erstellen Sie den Schlüssel SystemStateRestore und den String LastRestoreId mit einem beliebigen GUID-Wert. (Beispiel: 10000000-0000-0000-0000-000000000000).
  4. Starten Sie den DFSR-Service neu.
Abbildung 3: Authoritative SYSVOL-Wiederherstellung (DFSR-Service)

Für eine Authoritative  SYSVOL  -Wiederherstellung (bei Nutzung des alten   FRS -Service) gehen Sie wie folgt vor:

  1. Non-Authoritative-Wiederherstellung eines DC (Beispiel: eine Wiederherstellung einer vollständigen VM in Veeam Backup & Replication)
  2. Öffnen Sie beim zweiten Neustart die Registrierungsstruktur HKLM\System\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process at Startupund ändern Sie den Wert des Schlüssels Burflag zu 000000D4 (hex) oder 212 (dec).
    Dadurch werden die Domänen-Controller, die noch die alte FRS-Technologie nutzen, gezwungen, die Replikation in einem Authoritative-Modus zu starten. Weitere Informationen zur FRS-Wiederherstellung.
  3. Starten Sie den NTFRS-Service neu.

Nun habe ich in diesem Artikel die Wiederherstellung eines spezifischen DC besprochen. Am häufigsten müssen Sie im Zusammenhang mit AD jedoch ein einzelnes Objekt wiederherstellen – und dafür brauchen Sie natürlich nicht den gesamten DC wiederherzustellen.


Nützliche Ressourcen:

Exit mobile version