Embed Size (px)
Citation preview
Erfahrungen eines Directory Services-Experten
mit Active Directory Recovery{ mit Windows Server® 2008}
Ulf B. Simon-WeidnerSenior Consultant , Trainer, Autor
Agenda
Active Directory FehlerfälleKurz Erklärt und FallstrickeVorbereitet für die WiederherstellungWiederherstellungsstandorte und SnapshotsWiederherstellen von Active DirectoryNach der Wiederherstellung
Vorwort
Häufige Gerüchte:
"Das Active Directory könnte (von alleine) kaputtgehen"
"Unsere Administratoren machen keine Fehler"
Aber wie sieht es tatsächlich
aus?
Active Directory Fehlerfälle
Wiederherstellung eines DCNeuinstallation oder Rücksicherung?Wo ist die Sicherung?Gleiche Hardware?
DomänenwiederherstellungEin Replizierter Fehler in derDomänenpartitionKeine DCs der Domäne funktionieren noch
Wiederherstellung der GesamtstrukturReplizierter Fehler in der Configuration-PartitionEin fehlerhaftes Schema-UpdateDatenkorruption (vorsätzlich oder fehlerhaft)Keine DCs der Gesamtumgebung funktionieren fehlerfrei
Active Directory Fehlerfälle
Wiederherstellung vonMehreren Objekten
Falsche ProzesseVersehentliches LöschenFehlerhafte Skripts, Tools
Einzelnen ObjektenFalsche ProzesseVersehentliches LöschenFehlerhafte Skripts, Tools
Einzelne Werte(von mehreren Objekten)
Fehlerhafte SkriptsActive Directory-Benutzer und –Computer (WS2k3+): "Versehentliches Bearbeiten" einzelner Werte mehrerer Objekte
Replikation
Agenda
Active Directory FehlerfälleKurz Erklärt und FallstrickeVorbereitet für die WiederherstellungWiederherstellungsstandorte und SnapshotsWiederherstellen von Active DirectoryNach der Wiederherstellung
Kurz Erklärt:(Nicht-)Autoritative WiederherstellungNicht-Autoritative Wiederherstellung:
Wiederherstellung eines DCs(Gelöschte Objekte sind wieder da, aber nur lokal)ReplikationLöschungen / Änderungenwerden wieder durchgeführt
Autoritative Wiederherstellung:Wiederherstellung eines DCsObjekte als "neuer" markieren(erhöht die Versionsnummer)ReplikationDie Objekte sind zurück
Replication
Restore
Verknüpfte Attribute
Forward- / BacklinksZum Beispiel
Gruppen-"Mitglieder" vs. Benutzers "Mitglied von""Manager" vs. "DirectReports"...
Forward-Links:Werden wieder hergestellt wenn die "Zielobjekte" schon da sind
Back-Links:Werden niemals mit dem Objekt wieder hergestellt, nur der Forward-Link ist beschreibbar(der BL wird automatisch von jedem DC berechnet)
Verknüpfte Attribute
In einer einzelnen Domäne:Wiederherstellung doppelt durchführenZuerst Benutzerkonten, dann Gruppen wiederherstellen (auch 2x, trotzdem problematisch)
Benutzen von LDIF-Dateien der Autoritativen Wiederherstellung (seit WS2k3 SP1+, geht aber auch mit W2k)
Mehrere Domänen:Wie bei einer einzelnen Domäne, zusätzlich müssen die Backlinks in jeder anderen Domäne wiederhergestellt werden (besonders Domänenlokale Gruppen)
Leere Attribute
1. Attribute die keinen Wert haben (<not set>)
2. AD wird gesichert3. Schreiben eines Wertes in das Attribut4. Autoritative Wiederherstellung des
Objektes
Problem:Die Versionsnummer wird nicht erhöht wenn das Attribut (in der Datensicherung) keinen Wert hat. Als Ergebnis behält das Attribut seinen Wert.
Agenda
Active Directory FehlerfälleKurz Erklärt und FallstrickeVorbereitet für die WiederherstellungWiederherstellungsstandorte und SnapshotsWiederherstellen von Active DirectoryNach der Wiederherstellung
Sichern von Active DirectoryBis Windows Server 2008
System State BackupEnthält alles Benötigte (Registry, AD, Zertifikate,...)Sysvol auf anderen Laufwerken muss berücksichtigt werden
Meine Empfehlung:Erstellen eines lokalen Sicherung mit Windows Backup, dann Einbinden dieser Dateien in die Unternehmenslösung(oder eine Historie der letzten x Sicherungen auf Dateiservern vorhalten)
Windows Server 2008Windows Backup ist ein "Feature"Backup ist VolumenbasiertSeit RC0: Die Sicherung des Systemstatus ist wieder möglich:wbadmin start systemstatebackup -backupTarget:s:Meine Empfehlung: Eingebaut!
Noch ein Problemfall:Welche Datensicherung ist "die Richtige"?Ältere Sicherungen haben sicherlich einen
solideren Status, "damals ging noch alles"Jüngere Sicherungen haben aktuellere Daten
Benutzerkonten ändern Eigenschaften, PasswörterGruppenmitgliedschaften ändern sichComputerkonten ändern ihr PasswortDomänenkontroller- und Vertrauens-stellungen haben auch Passwörterdie regelmäßig und automatischgeändert werden
Sichern von Gruppenrichtlinien
Die Gruppenrichtlinienverwaltungskonsole (GPMC) hilft bei der Sicherung und Wiederherstellung von GPOsAuch eine Liste der Gruppenrichtlinien-Verknüpfungen sollte aufgehoben werdencscript.exe "C:\Program Files\GPMC\Scripts\backupallgpos.wsf" D:\GPO-Backup /comment:"Alle GPOs"
cscript.exe "C:\Program Files\GPMC\Scripts\ListSOMPolicyTree.wsf" > c:\GPO-Backup\GP-Links.txt
Speichern der Objektstruktur
Im Verzeicnisdienstwiederherstellungsmodus müssen Sie bei einer Autoritativen Wiederherstellung den vollen Pfad zum Objekt angebenKennen Sie diesen auswendig?
Wenn nicht: LDIF hilftDSQuery hilft (dsquery * domainroot > Textfile)Active Directory-Snapshots helfen auch
Verzeichnisdienstwiederherstellungsmodus über Remote Desktop
Windows Server 2003: ändern der Boot.ini
Windows Server 2008: bcdedit
[boot loader]timeout=3default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS[operating systems]multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows Server 2003"
/fastdetectmulti(0)disk(0)rdisk(0)partition(1)\WINDOWS="WS2k3 Directory Repair mode"
/fastdetect /SAFEBOOT:DSREPAIR /SOS
C:\> bcdedit /copy {current} /d “Microsoft Windows Server 2008 – Directory Services Restore Mode"
Notieren der {GUID}
C:\> bcdedit /set {GUID} safeboot dsrepair
Agenda
Active Directory FehlerfälleKurz Erklärt und FallstrickeVorbereitet für die WiederherstellungWiederherstellungsstandorte und SnapshotsWiederherstellen von Active DirectoryNach der Wiederherstellung
Wiederherstellungstandorte und SnapshotsWiederherstellungsstand
orte:Replizieren "ab und zu"Ein zusätzlicher Domänenkontroller pro Wiederherstellungsstandort und DomäneErlauben eine Online-WiederherstellungErlauben Wiederherstellen von Attributen mittels ScriptingZwei Wh-Standorte machen SinnStellen Sie sicher das Sie die Netzwerkadapter deaktivieren
AD-Snapshots:Neu in Windows Server 2008Nur-Lesbarer Status des ADBenutzt den "Schattenkopiedienst"Helfen nicht für eine volle Wiederherstellung eines DCs, einer Domäne, ..Ersetzen keine Datensicherung des ADKönnen online zugegriffen werden, ohne Wiederherstellungsmodus
Wiederherstellungsstandorte& Snapshots
Active Directory Snapshots
Agenda
Active Directory FehlerfälleKurz Erklärt und FallstrickeVorbereitet für die WiederherstellungWiederherstellungsstandorte und SnapshotsWiederherstellen von Active DirectoryNach der Wiederherstellung
Wiederherstellung von gelöschten Objekten
isDeleted
TRUE
rdn Cn=Ulf\A0DEL:GUID
name
phone
memberOf
SID S-1-5-21-xx-xx-..
z.B. ADRestore, admod, LDP
Manuell, Skript, LDIF,..
isDeleted
<not set>
rdn Cn=Ulf
name Ulf B. Simon-Weidner
phone +49 (89) 555-555
memberOf
???
email [email protected]
SID S-1-5-21-xx-xx-..
isDeleted
<not set>
rdn Cn=Ulf
name
phone
memberOf
SID S-1-5-21-xx-xx-..
Objektdaten wiederherstellenLDIFDE –r "(name=)"
–f filename.ldf –p portLDIFDE –i –z –f input.ldf
dn: CN=User,OU=Demo,DC=xyz,DC=com
changetype: addcn: User_Marketingsn: Marketingc: DEl: Hometowntitle: Worker-Bee-
dn: CN=User,OU=Demo,DC=xyz,DC=com
changetype: modifyreplace: cncn: User_Marketing-
dn: CN=User,OU=Demo,DC=xyz,DC=comchangetype: modifyreplace: snsn: Marketing-
dn: CN=User,OU=Demo,DC=xyz,DC=comchangetype: modifyreplace: cc: DE-
Verknüpfungen wiederherstellenBenutzer sind Mitglieder von
GruppenEs gibt weitere Verknüpfungen, wie Vorgesetzte, Passwort-einstellungen, ...
Um Verknüpfungen wiederherzustellen:
Nochmal: nur Forward-Links können beschrieben werdenNur FW-Links deren Ziel existiert werden wiederhergestelltWo ist der Forward-Link?
Verknüpfungen wiederherstellenForward-Link im
Wiederhergestellten ObjektWird richtig gesetzt wenn das Ziel da istKann vom Snapshot gelesen und aktualisiert werdenGgf. doppelte Wiederherstellung
Backlink im Wiederhergestellten Objekt:Schreiben des Objektes im BL, z.B. aktualisieren der Gruppe in "MemberOf" mit dem wiederhergestellten Benutzer
Mehrere DomänenDie gleiche Vorgehensweise mit einem GC (Wiederhergestellt oder Snapshot) aus jeder Domäne
dsget user cn=Ulf,ou=Demo,dc=xyz,dc=com -s localhost:10002 -memberof | dsmod group -addmbr cn=Ulf,ou=Demo,dc=xyz,dc=com
Agenda
Active Directory FehlerfälleKurz Erklärt und FallstrickeVorbereitet für die WiederherstellungWiederherstellungsstandorte und SnapshotsWiederherstellen von Active DirectoryNach der Wiederherstellung
Objekte auf den aktuellen Stand bringen
Dokumentierte Änderungen (Changes) helfenWindows Server 2008 ermöglicht das Überwachen von Objektänderungen
Evtl. hilft eine NTDS.dit von vor der Wiederherstellung (mit Snapshot-Mounting-Tool)Link-Value-Replikation hilft auch (wenn die Domäne im Windows Server 2003-Modus ist und die Gruppenmitgliedschaft danach geändert wurde)
auditpol /get /category:“DS Access“auditpol /set /subcategory:“Directory Service Changes“
Andere Vorbereitungsmaßnahmen
Dokumentation (Infrastrukture, Änderungen,..)Delegierte Administration / minimale RechteProzesse und WorkflowsTesten von WiederherstellungsszenarienPrüfen der DatensicherungenSchützen Sie Ihre Infrastruktur, verwenden Sie den Objektschutz in Windows Server 2008 (geht auch schon seit W2k)
Partner auf dem Launch 2008
Europas führender herstellerübergreifender Dienstleister für Informationstechnologie
Windows Server 2008 im Haus implementiertKundenprojekte zu WS2k8 seit Anfang 2007Zahlreiche ReferenzenGroße Erfahrung bei Migrationsprojekten
Halle 5.1, Stand 6.2
Das Magazin für professionelle System- und Netzwerkadministration
Mai / Juni 2007: Vorschau auf Windows Server 2008November 2007 bis Januar 2008: Serie zu Windows Server 2008März / April 2008: Active Directory Wiederherstellung mit Windows Server 2008
Halle 5.1, Stand 6.18
Windows Server 2008Ressourcen
Windows Server 2008 Tech Centerhttp://www.microsoft.com/germany/technet/prodtechnol/windowsserver/2008/default.mspx
Windows Server 2008 Webcasts:http://www.microsoft.com/germany/technet/webcasts/windowsserver2008.mspx
Windows Server 2008 Produktseite:http://www.microsoft.com/germany/windowsserver2008/default.mspx
Microsoft Virtualization:http://www.microsoft.com/virtualization/default.mspx
RessourcenMein Weblog (Directory Services – Active Directory):www.msmvps.com/UlfBSimonWeidnerAD Snapshotshttp://msmvps.com/blogs/ulfbsimonweidner/archive/2007/05/09/timetraveling-active-directory.aspx Protected Objectshttp://msmvps.com/blogs/ulfbsimonweidner/archive/2007/09/25/protect-objects-from-accidential-deletion-in-windows-server-2008.aspx
KB 840001http://support.microsoft.com/kb/id/840001
ADRestore:http://www.microsoft.com/technet/sysinternals/utilities/adrestore.mspx
Konferenzen:Directory Experts Conference USA (Chicago, April)TechEd USA (Orlando, Juni)TechEd IT-Forum Europe (Barcelona , November)Skript?http://msmvps.com/blogs/ulfbsimonweidner/pages/
DS-Geek-On-AD-Recovery.aspx
Ask the ExpertsWir freuen uns auf Ihre Fragen: Technische Experten stehen Ihnen während der gesamten Veranstaltung in der Haupthalle zur Verfügung.
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after
the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
