Januar 20, 2022

Sichern / Wiederherstellen eines Windows 2003-Domänencontrollers

X

Datenschutz & Cookies

Diese Seite verwendet Cookies. Indem Sie fortfahren, stimmen Sie deren Verwendung zu. Erfahren Sie mehr, einschließlich der Kontrolle von Cookies.

Verstanden!

Advertisements

Vor ein paar Jahren arbeitete ich für ein ziemlich großes Unternehmen mit Hunderten von Standorten in etwa 50 verschiedenen Ländern, die alle durch ein einziges globales Netzwerk miteinander verbunden waren … mit Ausnahme von 4 oder 5 Rechenzentrumsstandorten, die als „Solution Center“ bezeichnet wurden. Ich habe an einem dieser besonderen Orte gearbeitet. Der Zweck der Solution Center bestand darin, alle Dienstleistungen, die ein Kundenunternehmen von uns benötigte, unterzubringen und gleichzeitig für das globale Netzwerk unseres Unternehmens getrennt zu halten. Da wir nicht Teil des globalen Netzwerks waren, galten wir als das schwarze Schaf des Unternehmens … und ich war der einzige Systemingenieur, der dafür verantwortlich war, die Server an meinem Standort am Laufen zu halten. Keine Sorge … ich mache meine beste Arbeit, wenn ich mir selbst überlassen bin.

Dies stellte jedoch viele zusätzliche Komplikationen dar, mit denen andere in meiner Firma nicht zu kämpfen hatten. Die größte Herausforderung war der Disaster Recovery Plan unseres Standorts. Wir konnten nicht einfach davon ausgehen, auf eine neue Site umzuziehen, da wir unsere eigene Umgebung wiederherstellen müssten, zu der auch unsere eigene Domain gehörte.

Ja, ich weiß … ich hätte einfach einen unserer Domänencontroller an einem anderen Ort unterbringen und ein spezielles VPN nur für die Kommunikation zwischen den DCS einrichten können. Das wäre eine gültige Lösung, aber einfach nicht gut genug. Während eines DR-Ereignisses wäre ich sehr abhängig von den IT-Mitarbeitern an diesem anderen Ort … und würde mich verrückt nennen, aber ich möchte sicherstellen können, dass ich die Wiederherstellung zu 100% ohne die Hilfe anderer durchführen kann.

Ich habe viel Zeit damit verbracht, Microsoft-Whitepaper und -Verfahren zu lesen, die von verschiedenen Personen geschrieben wurden, Ideen mit Kollegen herumzuwerfen und Ideen zu pflücken, um ein Verfahren zu entwickeln, das unseren Anforderungen entspricht. Schließlich habe ich das Verfahren entwickelt, das Sie unten lesen werden … und es mehrmals erfolgreich getestet. Zu wissen, dass jemand anderes da draußen wahrscheinlich nach dem Gleichen sucht, Ich dachte, es wäre großartig, es mit Ihnen zu teilen.

So sichern Sie die Domänencontroller

Bevor Sie Ihre Domäne wiederherstellen können, müssen Sie sie natürlich zuerst sichern. 🙂
Wir möchten hauptsächlich den Systemstatus eines Domänencontrollers sichern. Was ist also der Systemzustand?

Der Systemstatus Ihres Servers umfasst die Registrierung, die Startdateien, einige Systemdateien, den Active Directory-Dienst und andere Komponenten. (Lesen Sie hier mehr darüber.) Sie können nicht auswählen, welche Komponenten während einer Systemstatussicherung gesichert werden. Es ist eine Alles-oder-nichts-Situation.

Da dies die gesamte Registrierung umfasst, müssen Sie verstehen, dass dies die Informationen über die installierte Hardware des Originalsystems enthält. Dies kann den Wiederherstellungsprozess etwas erschweren. Wenn Sie den Systemstatus von DC auf einem Server der HP Proliant DL380 G5-Serie gesichert haben … und versuchen, ihn auf einem Dell PowerEdge T100 wiederherzustellen … haben Sie höchstwahrscheinlich Probleme beim anschließenden Booten des Betriebssystems, da sich der Hardwaresatz erheblich unterscheidet.

Als Teil Ihres DR-Plans empfehle ich, den Hostnamen, die IP-Adresse, das Betriebssystem, die Service Pack-Ebene und die Hardwaremarke / das Hardwaremodell jedes Ihrer Domänencontroller zu dokumentieren. Sie können diese Informationen nützlich finden, wenn die Zeit kommt.

Diese Anweisungen verwenden den Hostnamen „DC123“ als Namen des Domänencontrollers und gehen davon aus, dass Sie Ihre Systemstatussicherung jeden Tag um 3:00 Uhr ausführen möchten.

Melden Sie sich bei Ihrem Domänencontroller an und führen Sie die folgenden Schritte aus:

  1. Erstellen Sie ein C:\Backup \ Ordner.
  2. Klicken Sie auf Start – Alle Programme – Zubehör — Systemprogramme – Sicherung.
  3. Klicken Sie auf – Sicherungsdateien und Einstellungen auswählen — .
  4. Wählen Sie Lassen Sie mich wählen, was gesichert werden soll – .
  5. Erweitern Sie Arbeitsplatz – Systemstatus überprüfen — .
  6. Legen Sie den Speicherort der Sicherungsdatei auf C:\Backup \ Ordner.
    Setzen Sie den Namen der Sicherung auf „DC123 Systemstatus“.
  7. Klicken Sie auf – – Normal auswählen – .
  8. Aktivieren Sie das Kontrollkästchen Daten nach Sicherung überprüfen – .
  9. Wählen Sie Vorhandene Backups ersetzen — .
  10. Später auswählen – Setzen Sie den Jobnamen auf „DC123 Systemstatus“.
  11. Klicken – Planen Sie den Job so, dass er täglich um 3:00 Uhr ausgeführt wird.
  12. Klicken Sie auf – Geben Sie eine Reihe von Benutzeranmeldeinformationen ein — .
  13. Klicken Sie auf — Geben Sie einen Satz der Benutzeranmeldeinformationen ein — — — .

Der eigentliche Backup–Job selbst wird wahrscheinlich zwischen 15 und 30 Minuten dauern. Dann können Sie ein Backup der C:\Backup \ Ordner auf Band. Persönlich, Ich hatte es vorgezogen, eine andere Aufgabe zu planen, die bei gestartet werden würde 4:00 Uhr morgens zu „robocopy“ (die als Teil der Windows Server 2003 Resource Kit Tools Download gefunden werden kann) jede der Backup-Dateien auf einen anderen Server, wo sie alle auf Band ein paar Stunden später abgeladen wurden.

Sie müssen nur 1 Domänencontroller sichern, damit dies funktioniert, aber dann sind Sie so ziemlich in einem einzigen Hardwaresatz eingeschlossen, wenn es Zeit ist, die Wiederherstellung durchzuführen. Da ich nie sicher war, welche Art von Hardware mir zur Verfügung stehen würde, wenn es an der Zeit wäre, die Wiederherstellungen durchzuführen, habe ich versucht, jeden Domänencontroller auf einem anderen Servermodell unterzubringen … und jeden von ihnen einzeln zu sichern. Jedes Backup lief mir irgendwo zwischen 600 – 800 MB Speicherplatz (was nach heutigen Maßstäben eher ein kleiner Hungerlohn ist).

Ja, das war wahrscheinlich ein erheblicher Overkill meinerseits. Ich finde jedoch, je paranoider Sie sind, desto besser vorbereitet neigen Sie dazu, sich selbst zu finden. Und ich neige dazu, ziemlich paranoid über Dinge wie DR.

So stellen Sie die Domänencontroller wieder her

Jetzt tun wir so, als hätte eine Katastrophe stattgefunden!

Sie haben Ihre Bänder aus dem externen Speicher abgerufen und Ihre Zielhardware erworben, also machen wir uns an die Arbeit! (Denken Sie daran, dass die Anpassung der Hardware an die DC-Wiederherstellung am besten wäre, aber Sie können Substitutionen vornehmen. Es ist keine exakte Wissenschaft, daher können einige Experimente erforderlich sein.)

Hinweis: Diese Anweisungen wurden unter Berücksichtigung einiger Annahmen geschrieben.

  1. Wir gehen davon aus, dass Ihre gesamte Domain durch ein katastrophales Ereignis nivelliert wurde.
  2. Wir gehen davon aus, dass auf Ihren Domänencontrollern ein Windows 2003-Betriebssystem ausgeführt wird.
  3. Wir gehen davon aus, dass jeder, der die Arbeit ausführt, die Anmeldeinformationen (von der ursprünglichen Domäne) für das Administratorkonto der Domäne oder ein Benutzerkonto kennt, das Mitglied der Gruppen „Domänenadministratoren“ und „Schema-Administratoren“ der Domäne ist.
  1. Erstellen Sie einen eigenständigen Windows 2003-Server und bringen Sie ihn auf dieselbe Service Pack-Ebene wie den ursprünglichen DC.
  2. Benennen Sie den Server mit demselben Hostnamen wie Ihren ursprünglichen DC.
  3. Stellen Sie Ihre Systemstatus-Sicherungsdateien vom Band wieder her und kopieren Sie sie auf die lokale Festplatte des neuen Servers.
  4. Starten Sie den Server neu.
  5. Klicken Sie nach dem POSTEN auf und wählen Sie, um in den „Wiederherstellungsmodus für Verzeichnisdienste (nur Windows-Domänencontroller)“ zu booten.
  6. Klicken Sie auf Start – Alle Programme – Zubehör — Systemprogramme – Sicherung.
  7. Klicken Sie auf – Wählen Sie Dateien und Einstellungen wiederherstellen — – Navigieren Sie zum Speicherort der Sicherungsdatei — .
  8. Erweitern Sie Datei – Sicherung des Systemstatus – Aktivieren Sie das Kontrollkästchen Systemstatus — .
  9. Klicken Sie auf – Ursprünglichen Speicherort auswählen — – – Wählen Sie Vorhandene Dateien belassen (empfohlen) – .
  10. Aktivieren Sie die Kontrollkästchen für:

    * Sicherheitseinstellungen wiederherstellen
    * Verbindungspunkte wiederherstellen, jedoch nicht die Ordner— und Dateidaten
    * Vorhandene Volume-Einhängepunkte beibehalten
    * Markieren Sie beim Wiederherstellen replizierter Datensätze die wiederhergestellten Daten als Primärdaten für alle Replikate

  11. Klicken Sie auf – .
  12. Klicken Sie nach Abschluss der Wiederherstellung auf —, um das System neu zu starten.

Wenn sich Ihre Serverhardware erheblich von der ursprünglichen DC unterscheidet, kann es beim Booten der GUI zu Schwierigkeiten kommen. In diesem Fall können Sie das Betriebssystem möglicherweise weiterhin wiederherstellen, indem Sie im abgesicherten Modus oder von einer Original-Windows 2003-Betriebssystem-CD booten, um eine Reparatur durchzuführen.

Sobald Sie die GUI aufgerufen haben, müssen Sie sich mit dem lokalen Administratorkennwort aus dem ursprünglichen DC anmelden.

Jetzt können Sie die FSMO-Rollen übernehmen. (Hinweis: Klicken Sie nach jedem Befehl „Ergreifen“ auf und warten Sie 3-5 Minuten, bis die Aufgabe abgeschlossen ist.)

  1. Klicken Sie auf Start – Ausführen — NTDSUTIL – .
  2. Geben Sie die folgenden Befehle in NTDSUTIL ein.

    rollen
    Verbindungen
    Verbindung zum Server DC123 herstellen
    q
    Domänennamen-Master
    Infrastruktur-Master
    PDC
    RID-Master
    Schema-Master
    q
    q

Bestätigen Sie als Nächstes, dass Ihr DC ein globaler Katalogserver ist.

  1. Werbeseiten und -dienste starten
    (C:\Windows\System32\dssite.msc)
  2. Erweitern Sie Sites – Default-First-Site-Name – Servers – DC123.
  3. Klicken Sie mit der rechten Maustaste und wählen Sie NTDS-Einstellungen – Überprüfen Sie auf der Registerkarte Allgemein, ob das Kontrollkästchen Globaler Katalog aktiviert ist.
  4. Führen Sie einen sauberen Neustart des Systems durch.

Jetzt bereinigen wir die alten Domänencontroller aus der AD-Datenbank.

  1. Klicken Sie auf Start – Ausführen — NTDSUTIL – .
  2. Geben Sie die folgenden Befehle in NTDSUTIL ein.

    Metadaten
    Verbindungen bereinigen
    Verbindung zum Server DC123 herstellen
    Beenden
    Operationsziel auswählen
    Domänen auflisten
    Domäne auswählen <#>
    websites auflisten
    Website auswählen <#>
    server am Standort auflisten
    Server auswählen <anzahl der fehlerhaften Server>
    Beenden
    ausgewählten Server entfernen
    Beenden

  3. Active Directory-Standorte und -Dienste starten (C:\Windows\System32\dssite.msc).
  4. Erweitern Sie Sites – Default-First-Site-Name – Servers.
  5. Klicken Sie mit der rechten Maustaste auf <fehlerhafter DC-Hostname> – Wählen Sie Löschen.
  6. Active Directory-Benutzer und -Computer starten (C:\Windows\System32\dsa.msc).
  7. Erweitern Sie die Domäne – Öffnen Sie den Domänencontroller-Container.
  8. Klicken Sie mit der rechten Maustaste auf <fehlerhafter DC-Hostname> – Wählen Sie Löschen.
  9. Auswählen Der Domänencontroller ist permanent offline und kann nicht mehr mithilfe des Active Directory-Installationsassistenten (DCPROMO) herabgestuft werden.
  10. Klicken -zu bestätigen.

Ihre Domain sollte nun erfolgreich wiederhergestellt werden, aber betrachten Sie sich zu diesem Zeitpunkt noch nicht als fertig. Dieser wiederhergestellte Server sollte bestenfalls als Hinky betrachtet werden und sollte nicht als langfristige Lösung beibehalten werden.

Bevor Sie etwas anderes tun, empfehle ich Ihnen, neben diesem wiederhergestellten 1. DC einen 2. „sauberen“ Domänencontroller zu erstellen. Übertragen Sie dann die FSMO-Rollen in den 2. DC. Degradieren Sie schließlich den 1. DC zu einem Mitgliedsserver und ziehen Sie ihn aus der Domäne zurück. Dadurch wird hoffentlich sichergestellt, dass Ihre Domain auf einem sauberen und stabilen DC ausgeführt wird, auf den Sie sich verlassen können. Erstellen Sie dann einen neuen 2nd DC, um eine gewisse Redundanz sicherzustellen.

Herzlichen Glückwunsch! Ihre Domain ist wiederhergestellt. Jetzt machen Sie sich daran, alles andere wiederherzustellen. 🙂

Anzeigen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.