Windows: Autorisierende Wiederherstellung der gesamten AD DS-Datenbank in Windows Server 2008 (R2)

Bis einschließlich Windows Server 2003 war eine autorisierende Wiederherstellung der gesamten Active Directory Domänendienste-Datenbank mit ntdsutil möglich. Seit Windows Server 2008 hat sich das geändert. In vielen Büchern und Dokumentationen wird nach wie vor auf ntdsutil und den Unterbefehl restore database verwiesen, obwohl dieser Unterbefehl in Windows Server 2008 und Windows Server 2008 R2 nicht mehr vorhanden ist. Ein konkretes Beispiel stellt hier das Buch Konfiguration von Windows Server 2008 Active Directory, Prüfungsvorbereitung 70-640 von Microsoft Press dar. Auch wenn in der Regel ein vollständiger Restore eines Active Directory eher selten vorkommt, häufiger ist die Wiederherstellung einzelner Objekte oder Organisationseinheiten, so möchte ich in diesem Artikel ein wenig Licht ins Dunkel bringen.

Eines Vorweg: Das Schema kann nicht zurückgesetzt werden! Ist das Schema versaut, ist’s Essig mit dem Active Directory.

Mindestvoraussetzungen für eine (autorisierende) Wiederherstellung ist eine System State-Sicherung des Domänencontrollers.

Um eine autorisierende Wiederherstellung der gesamten Active Directory Domänendienste-Datenbank vorzunehmen folgende Schritte ausführen:

– Den Domänencontroller im Modus für die Verzeichnisdienstwiederherstellung booten

– Die System State-Sicherung wiederherstellen

Hierzu unter Windows Server 2008 oder Windows Server 2008 R2 eine Eingabeaufforderung öffnen und

wbadmin start systemstaterecovery -version:VERSION

ausführen.

Die Version kann mit wbadmin get versions ausgelesen werden.

Nach erfolgreicher Wiederherstellung der System State-Sicherung folgende Schritte in einer Eingabeaufforderung ausführen:

– ntdsutil starten

– activate instance ntds eingeben

– authoritative restore eingeben

– restore subtree „dc=DOMÄNENNAME,dc=TLD-SUFFIX“ eingeben

ntdsutil mit der zweimaligen Eingabe von quit verlassen und den Domänencontroller neu booten

Normalerweise wird restore subtree für die Wiederherstellung von Teilen des Active Directory verwendet. In diesem Fall wird der Befehl etwas zweckentfremdet.

Ab Windows Server 2008 R2 kann man direkt in der GUI zum Wiederherstellen des Systemstatus‘ angeben, das eine autorisierende Wiederherstellung des Active Directory durchgeführt soll.




Eine autorisierende Wiederherstellung von Active Directory bzw. einzelnen Objekten ist nur sinnvoll, wenn es mehrere Domänen-Controller gibt. Bei einem stand-alone Domänencontroller genügt eine nicht-autorisierende Wiederherstellung.

3 Kommentare

  • Hi,
    I’ve been searching all over google trying to clarify authoritative restores in 2008 and found your blog. Thanks for clearing some of this stuff up. I was just as confused because the Sybex 70-640 book still shows the „restore database“ command for ntdsutil as well.

    2 questions: after I perform a System State Restore in DSRM mode, on 2008 R2, I can’t open a command prompt. I am prompted to reboot, but I try to open a command prompt first to use ntdsutil and I get something about a „parameter incorrect.“ Needless to say I can’t run ntdsutil. Have you ever seen this before? I don’t have this problem on R1 strangely enough.

    Second question: when restoring the system state from the GUI in 2008 R2, if you select to perform an authoritative restore, is that essentially the same as the old „restore database“ command in ntdsutil?

    Thanks for your time. We need more documentation on these things like your blog. Thanks again!

  • It’s terrible, that the books, docs and so on are old or wrong. I found alot of errors on some ms press books for the mcts certifications.

    I see this thing with error-message after the restore, too. But i have no idea how to fix it. Maybe this is a problem only with R2.

    The authoritative restore with the GUI should be the same like ntdsutil, but i haven’t checked this well.

    I recommend to test the procedure within a virtualization-solution like Hyper-V, VMware, VirtualBox, …

  • @rza
    Damit auf dem Server 2008 die cmd-Box im Wiederherstellungsmodus geöffnet werden kann -> einfach Eigenschaften der Taskleiste, Startmenü, anpassen, Befehl „ausführen“ aktivieren. Dann kann im klassischen Ausführenmenü „cmd“ gestartet werden.

    P.S. Die Kursliteratur von MS dient schon immer der Ausbildung, nicht dem Nachschlagen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.