Wie Sie Domänen-Controller wiederherstellen: Best Practices für den AD-Schutz (Teil 2)

Ihr Weg durch die Artikelreihe:

Dies ist der zweite Artikel aus meiner Reihe zum AD-Schutz (Active Directory) mit Veeam. Im letzten Artikelhabe ich über ein Backup von physischen und virtuellen Domänen-Controllern gesprochen. Heute geht es um deren Wiederherstellung.

Für die Planung einer AD-Wiederherstellung sollten Sie Ihre Infrastruktur gut kennen. Gibt es in Ihrer Umgebung einen Domänen-Controller oder mehrere? Handelt es sich um einen DC mit Lese-/Schreibzugriff (Read/Write Domain Controller, RWDC) oder einen schreibgeschützten DC (Read-Only Domain Controller, RODC)? Haben Sie nur einen DC verloren oder wurde die gesamte AD-Infrastruktur beschädigt? Bei mehreren DCs: Nutzen Sie noch den File Replication Service (FRS) oder haben Sie auf einen DFSR-Service (Distributed File System Replication) migriert, um Unterschiede zwischen den DCs zu synchronisieren? Diese Fragen sollten Sie beantworten können, bevor Sie sich mit der Wiederherstellung befassen.

Domänen-Controller im Non-Authoritative-Modus wiederherstellen

Wenn Sie einen DC wiederherstellen möchten, sollten Sie zuerst herausfinden, ob dies im Non-Authoritative-Modus erfolgen kann oder ob der Authoritative-Modus erforderlich ist. Was ist der Unterschied? Bei einer Non-Authoritative-Wiederherstellung erkennt der DC, dass er eine Weile außer Betrieb war, sodass er andere lokale DCs seine Datenbank aktualisieren lässt. Bei einer Authoritative-Wiederherstellung sieht der DC sich als einziger Controller mit den korrekten Informationen und einer aktuellen Datenbank, sodass er die anderen DCs mit seinen eigenen Daten aktualisiert.

In den meisten Szenarien ist eine Non-Authoritative-Wiederherstellung die richtige Wahl, da meist mehrere DCs in einer Umgebung vorhanden sind. Eine Authoritative-Wiederherstellung kann zu weiteren Schäden führen. Dementsprechend wurde die Logik von Veeam Backup & Replication entwickelt: Standardmäßig führt die Anwendung einer automatisierten, Non-Authoritative-DC-Wiederherstellung durch. Wenn Sie eine Authoritative-Wiederherstellung mit Veeam planen, müssen Sie weitere Schritte beachten, die im Folgenden erläutert werden.

An dieser Stelle kehren wir zu den Backup-Dateien zurück, die wir im letzten Artikel erstellt haben. Die Wiederherstellung eines DC aus einem Veeam Backup & Replication-Backup ist ganz einfach. So gehen Sie vor:

• Wählen Sie in der Benutzeroberfläche einen Wiederherstellungsassistenten aus.
• Suchen Sie nach dem gewünschten DC.
• Wählen Sie im Wiederherstellungsmenü die Option zur Wiederherstellung einer vollständigen VM aus.
• Entscheiden Sie sich für den Wiederherstellungspunkt.
• Wählen Sie aus, ob die Wiederherstellung an den ursprünglichen oder einen neuen Speicherort erfolgen soll.
• Führen Sie den Vorgang aus.

Aufgrund der anwendungsspezifischen Image-Verarbeitung, die wir innerhalb eines VM-Backups einsetzen, müssen Sie sonst nichts mehr tun. Veeam erkennt die DC-Rolle dieser VM und stellt sie wie folgt wieder her:

• VM-Dateien und -Festplatten wiederherstellen
• Im DSRM-Modus (Directory Services Restore Mode) starten
• Die Einstellungen anwenden
• Im normalen Modus neu starten

Der DC erkennt, dass er aus einem Backup wiederhergestellt wurde und agiert entsprechend, d. h. er macht die bestehende Datenbank ungültig und aktualisiert sich mit den aktuellen Informationen seiner Replikationspartner.

Hier erfahren Sie mehr über eine Bare-Metal-Wiederherstellung eines Backups mit Veeam Endpoint Backup. Sie müssen zuvor ein Veeam-Wiederherstellungsmedium vorbereiten und Zugriff auf die Backup-Datei selbst haben (USB oder Netzwerkfreigabe). Denken Sie daran, dass die spezielle Logik von Veeam Backup & Replication hier nicht angewendet wird. Nach einer Wiederherstellung mit Veeam Endpoint Backup startet Ihr DC im Wiederherstellungsmodus und Sie müssen entscheiden, ob Sie den Registry Key neu konfigurieren oder sofort im normalen Modus neu starten möchten. Dieser KB-Artikel kann Sie dabei unterstützen.

Domänen-Controller im Authoritative-Modus wiederherstellen

Zur Erinnerung: Diese Art Wiederherstellung brauchen Sie vermutlich nie. Aber um zu verstehen, warum das so ist, möchte ich sie trotzdem erläutern. Sie ist hilfreich, wenn Sie versuchen, eine gültige Kopie eines DC in einer Umgebung mit mehreren DCs wiederherzustellen, nachdem das gesamte AD beschädigt wurde (z. B. durch Ransomware oder einen Virus). In diesem Fall sollen die anderen DCs die Daten des wiederhergestellten DC übernehmen.

Gehen Sie wie folgt vor, um ein bestimmtes gelöschtes Objekt oder eine Unterstruktur (z. B. eine Organisationseinheit) im Authoritative-Modus wiederherzustellen und eine Replikation dieses DC auf die anderen DCs zu erzwingen:

1. Wählen Sie die vollständige Wiederherstellung einer VM mit Veeam aus und lassen Sie das Programm automatisch eine standardmäßige Non-Authoritative-DC-Wiederherstellung durchführen (wie oben erläutert).
2. Wenn der DC zum zweiten Mal neu startet, öffnen Sie den Boot-Assistenten (mit F8), wählen Sie den Modus Directory Services Restore Mode (DSRM) aus und melden Sie sich mit den DSRM-Anmeldedaten (die Sie angegeben haben, als Sie den Computer zum DC ernannt haben) am System an.
3. Öffnen Sie die Befehlszeile und führen Sie ntdsutil aus.
4. Nutzen Sie die folgenden Befehle: activate instance ntds, dann authoritative restore, dann restore object “distinguishedName” oder restore subtree “distinguishedName”
   Beispiel: restore subtree “OU=Branch,DC=dc,DC=lab, DC=local.
5. Bestätigen Sie dir Authoritative-Wiederherstellung und starten Sie den Server nach Abschluss neu.

Für eine Authoritative SYSVOL-Wiederherstellung (bei Nutzung des DFSR-Service) gehen Sie wie folgt vor:

1. Non-Authoritative-Wiederherstellung eines DC (Beispiel: eine Wiederherstellung einer vollständigen VM in Veeam Backup & Replication).
2. Öffnen Sie beim zweiten Neustart die Registrierungsstruktur HKLM\System\CurrentControlSet\Services\DFSR, erstellen Sie den Schlüssel Restore und den String SYSVOL mit dem Wert authoritative.
   Dieser Wert wird vom DFSR-Service gelesen. Wenn er nicht festgelegt ist, wird die SYSVOL-Wiederherstellung standardmäßig non-authoritative durchgeführt.
3. Öffnen Sie HKLM\System\CurrentControlSet\Control\BackupRestore, erstellen Sie den Schlüssel SystemStateRestore und den String LastRestoreId mit einem beliebigen GUID-Wert. (Beispiel: 10000000-0000-0000-0000-000000000000).
4. Starten Sie den DFSR-Service neu.

Für eine Authoritative  SYSVOL  -Wiederherstellung (bei Nutzung des alten   FRS -Service) gehen Sie wie folgt vor:

1. Non-Authoritative-Wiederherstellung eines DC (Beispiel: eine Wiederherstellung einer vollständigen VM in Veeam Backup & Replication)
2. Öffnen Sie beim zweiten Neustart die Registrierungsstruktur HKLM\System\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process at Startupund ändern Sie den Wert des Schlüssels Burflag zu 000000D4 (hex) oder 212 (dec).
   Dadurch werden die Domänen-Controller, die noch die alte FRS-Technologie nutzen, gezwungen, die Replikation in einem Authoritative-Modus zu starten. Weitere Informationen zur FRS-Wiederherstellung.
3. Starten Sie den NTFRS-Service neu.

Nun habe ich in diesem Artikel die Wiederherstellung eines spezifischen DC besprochen. Am häufigsten müssen Sie im Zusammenhang mit AD jedoch ein einzelnes Objekt wiederherstellen – und dafür brauchen Sie natürlich nicht den gesamten DC wiederherzustellen.

Nützliche Ressourcen:

• Best Practices für Autoritative-Wiederherstellungen (TechNet)
• Active Directory-Forests wiederherstellen
• Registry Keys und -Values für Backup und Wiederherstellung
• SYSVOL bei Verwendung von NTFRS oder DFSR (non-)authoritative wiederherstellen
• Granulare Wiederherstellung von Active Directory-Objekten
• Veeam Community-Foren: Domänen-Controller in einer anderen AD-Domäne sichern