none
AD Gruppe aus gemeounteten SnapShot wiederherstellen RRS feed

  • Frage

  • Hallo zusammen,

    der Betreff beschreibt es eigentlich schon - wie stelle ich eine Gruppe incl. den Mitgliedschaften aus einer AD Sicherung wieder her?

    Dazu haben wir einen SnapShot einer NTDS.dit gemountet und sehen den Inhalt im Snap-In "Benutzer- und Computer" oder aber auch in ldp.exe oder im AD-Explorer - kurzum, in jedem LDAP-fähigen Tool.

    Die spannende Frage ist aber, wie stelle ich nun die sichtbare Gruppe wieder her?

    Der Snapshot wurde NTDSUTIL erstellt und gemeountet sowie mit DSAMAIN verfügbar gemacht.

    Hat dazu jemand eine Idee?

    Ach ja - wieso auch immer, die zurück zusichernde Gruppe fehlt eigenartigerweise im AD-Papierkorb, sonst hätten wir sie von dort restored...


    Mit freundlichem Gruss - Harald Haas - MCSE Server Infrastructure 2012; MCTS Exchange Server 2010 Configuration;

    Dienstag, 22. Juli 2014 11:23

Antworten

  • Hallo zusammen,

    die Ursache lag wie so oft woanders - hatte heute Morgen ein Objekt von unserer Gesamtstrukturdomäne in eine neue Subdomain migriert und dabei die Gruppenmitgliedschaften aktualisieren lassen.

    In der Zusammenfassung dieses Vorgangs stand auch noch deutlich - WIRD KOPIIERT!!!!!!!!

    Hat das Migrationstool aber nicht - es hat die Gruppe migriert und danach aus der übergeordneten Domain gelöscht. (Na ja, hätte sich aus dem namen aber auch ableiten lassen - Migrationstool)

    Da ich die Gruppen aber nicht in der Subdomain haben wollte (war mein Fehler), löschte ich diese in der Subdomain und nach dem Abschluss der standortübergreifenden Replikation kam der Verlust der globalen Gruppen so nach und nach zum Vorschein.

    Natürlich waren die gelöschten Gruppen noch in dem Papierkorb der Subdomain und konnten dort erst wiederhergestellt und anschließend mit dem AD Migrationstool wieder in die übergeordnete Domain migriert werden.

    Anmerkung:
    Das ADRestore.NET find ich eher zäh und unübersichtlich - ich selbt nutze eher das AD AC (Active Directory Administration Center) was zwar auch kein Geschwindigkeitswunder aber dennoch besser ist, als das zuvor erwähnte Tool.

    Wieder was aus der Praxis gelernt - SnapShots als Datensicherung sind nicht für eine Rücksicherung geeignet...


    Mit freundlichem Gruss - Harald Haas - MCSE Server Infrastructure 2012; MCTS Exchange Server 2010 Configuration;

    • Als Antwort markiert H.Haas Dienstag, 22. Juli 2014 13:02
    Dienstag, 22. Juli 2014 13:02

Alle Antworten

  • Hi Harald,

    hast Du es auch schon mit dem Sysinternals-Tool "adrestore" ausprobiert? Das Tool kriegt auch Objekte, die nicht mehr im AD-Papierkorb liegen.

    http://technet.microsoft.com/de-de/sysinternals/bb963906.aspx

    Davon gibt es auch eine GUI-Version (ADRestore.NET).

    Ansonsten hilft Dir vielleicht diese Seite...:

    https://www.corelan.be/index.php/2007/07/14/restoring-2003-ad-objects-using-windows-2008-server/

    Gruß

    Ben

    Dienstag, 22. Juli 2014 12:16
  • Moin,

    die simple Antwort ist: aus einem AD-Snapshot gar nicht.

    AD-Snapshots sind nur als Informationsinstanzen gedacht. Ein Recovery ganzer Objekte ist damit nicht möglich. Die Snapshots können höchstens ergänzend helfen, wenn man etwa ein Objekt als "klassischen" Tombstone (ohne AD-Papierkorb) wiederhergestellt hat und die Detail-Attribute fehlen. In so einem Fall kann man die Attribute in einem (älteren) Snapshot nachschlagen und in das wiederhergestellte Objekt einfügen.

    Für diesen Zweck gibt es ein Community-Tool namens "Directory Services Comparison Tool", das sich im Web finden sollte. Es hat zwar eine Objekt-Recovery-Funktion, aber die nutzt eben den Tombstone bzw. Papierkorb.

    Dass eure gelöschte Gruppe nicht im Papierkorb ist, halte ich für nahezu ausgeschlossen. Auf welche Weise habt ihr denn das geprüft? Schaut mal mit dem AD Explorer (als Admin starten!) von Sysinternals in den "Deleted Objects"-Container.

    Alle Methoden für das Objekt-Recovery habe ich hier in einem Tutorial vorgestellt:

    [Video-Tutorial: Active Directory Object Recovery | faq-o-matic.net]
    http://www.faq-o-matic.net/2009/09/07/video-tutorial-active-directory-object-recovery/

    Gruß, Nils


    Nils Kaczenski
    MVP Hyper-V
    Hannover, Germany

    Dienstag, 22. Juli 2014 12:19
  • Hallo zusammen,

    die Ursache lag wie so oft woanders - hatte heute Morgen ein Objekt von unserer Gesamtstrukturdomäne in eine neue Subdomain migriert und dabei die Gruppenmitgliedschaften aktualisieren lassen.

    In der Zusammenfassung dieses Vorgangs stand auch noch deutlich - WIRD KOPIIERT!!!!!!!!

    Hat das Migrationstool aber nicht - es hat die Gruppe migriert und danach aus der übergeordneten Domain gelöscht. (Na ja, hätte sich aus dem namen aber auch ableiten lassen - Migrationstool)

    Da ich die Gruppen aber nicht in der Subdomain haben wollte (war mein Fehler), löschte ich diese in der Subdomain und nach dem Abschluss der standortübergreifenden Replikation kam der Verlust der globalen Gruppen so nach und nach zum Vorschein.

    Natürlich waren die gelöschten Gruppen noch in dem Papierkorb der Subdomain und konnten dort erst wiederhergestellt und anschließend mit dem AD Migrationstool wieder in die übergeordnete Domain migriert werden.

    Anmerkung:
    Das ADRestore.NET find ich eher zäh und unübersichtlich - ich selbt nutze eher das AD AC (Active Directory Administration Center) was zwar auch kein Geschwindigkeitswunder aber dennoch besser ist, als das zuvor erwähnte Tool.

    Wieder was aus der Praxis gelernt - SnapShots als Datensicherung sind nicht für eine Rücksicherung geeignet...


    Mit freundlichem Gruss - Harald Haas - MCSE Server Infrastructure 2012; MCTS Exchange Server 2010 Configuration;

    • Als Antwort markiert H.Haas Dienstag, 22. Juli 2014 13:02
    Dienstag, 22. Juli 2014 13:02
  • Moin,

    das ist so nicht richtig. ADRestore kann Tombstones wiederherstellen. Es kann keine Objekte wiederherstellen, die nicht als Tombstone vorliegen (also auch keine, "die nicht mehr im AD-Papierkorb liegen").

    Zudem ist ADRestore.NET ein separates Programm, das mit ADRestore von Sysinternals nichts zu tun hat.

    Das nur der Vollständigkeit halber. :)

    Gruß, Nils


    Nils Kaczenski
    MVP Hyper-V
    Hannover, Germany

    Dienstag, 22. Juli 2014 13:23
  • Hi Nils,

    dann muss das wohl bei uns mal ein anderes Problem gewesen sein - da hatten wir ein Problem, dass sich ein Objekt mit adrestore wiederherstellen ließ, was ein ähnlich geartetes Powershell-Skript nicht mehr gefunden hat. Daher meine falsche Annahme. :-)

    Und ja - ADRestore.NET ist was separates, ich persönlich mag es auch nicht, weil man dazu auch noch .NET auf dem Server installieren müsste. Wer will das schon... ;-)

    Gruß

    Ben

    Dienstag, 22. Juli 2014 13:31
  • Moin,

    wieso, auf welchen Windows-Servern ist denn kein .NET drauf?

    Gruß, Nils


    Nils Kaczenski
    MVP Hyper-V
    Hannover, Germany

    Dienstag, 22. Juli 2014 19:08
  • Hi,

    nicht vorinstalliert, d.h. man muss .NET 3.5 über den Server-Manager nachrüsten, weil das Tool nur damit funzt. Ist aber in dem Kontext hier auch wurscht! ;-)

    Gruß

    Ben

    Mittwoch, 23. Juli 2014 06:42
  • Moin,

    ein Admintool installiert man ja auch auf dem Admin-Rechner, nicht auf dem Server.

    Aber du hast Recht, das ist an dieser Stelle nebensächlich.

    Gruß, Nils


    Nils Kaczenski
    MVP Hyper-V
    Hannover, Germany

    Mittwoch, 23. Juli 2014 08:05