Jump to content
Sign in to follow this  
mullfreak

Wiederherstellung einer OU nach löschen.

Recommended Posts

Hallo,

 

ich habe einen Domänencontroller und dort gibts eine OU "Benutzer". Der System State wurde mit ntbackup gesichert. Die Sicherung ist einen Tag alt. Nun wird die OU gelöscht und ich möchte die wiederherstellen. Wie mache ich das?

 

Mit einer kompletten Rücksicherung per Verzeichnisdienstwiederherstellung wird auch alles andere zurückgesichert. Mit ntdsutil bekomme ich folgende Fehlermeldung:

C:\Dokumente und Einstellungen\Administrator>ntdsutil
ntdsutil: authoritative restore
authoritative restore: restore object
Error 80070057 parsing input - illegal syntax?
authoritative restore: restore object ou=computer,dc=mullfreak,dc=local

Die DIT-Datenbank wird geöffnet... Der Vorgang ist abgeschlossen.

Aktuelle Zeit 05-27-07 17:16.02.
Die letzte Datenbankaktualisierung erfolgte um 05-27-07 17:06.40.
Die Versionsnummern des Attributs werden um 100000 erhöht.

Die zu aktualisierenden Datensätze werden gezählt...
Gefundene Einträge: 0000000000
Das Objekt mit dem Domänennamen ist in der Komponente "ou=computer" fehlgeschlag
en.

Die autorisierende Wiederherstellung ist fehlgeschlagen.

Error 8000ffff parsing input - illegal syntax?
authoritative restore:

Mit ntdsutil kann ich doch nur von einem weiteren DC wiederherstellen? Wie mache ich es wenn ich nur einen DC habe und nur ein Objekt oder einen Teilbereich wiederherstellen will?

 

Gruß

Mull

Share this post


Link to post
Share on other sites

Servus,

 

verwende diesen Befehl:

authoritative restore: Restore Subtree OU=<DeineOU>,DC=<DOMÄNE>,DC=<TLD>.

 

Mit ntdsutil kann ich doch nur von einem weiteren DC wiederherstellen?

 

Da verwechselst du jetzt aber etwas.

 

Wie mache ich es wenn ich nur einen DC habe und nur ein Objekt oder einen Teilbereich wiederherstellen will?

 

Das Stichwort lautet: Subtree.

 

Zum lesen empfehle ich: Active Directory - faq-o-matic.net

Share this post


Link to post
Share on other sites

Du musst in der Verzeichnisdienstwiederherstellung zuerst mit ntbackup den Systemstatus wiederherstellen, und dann keinen Reboot machen, sondern direkt danach im ntdsutil folgendes eingeben:

 

authotitative restore

restore subtree <Distinguished Name der gelöschten OU>

 

Der Distinguished Name (DN) für eine OU Benutzer direkt unter einer Domäne domain.local sähe so aus:

OU=Benutzer,DC=domain,DC=local

 

Anm.: Es gibt zwei oder mehr DCs?! Wenn es nur einen gibt, dann brauchts das ntdsutil nicht, denn es wäre eh kein DC da, der das Objekt wieder weglöschen könnte.

 

Alternativ gibt es auch noch das Tool adrestore von syinternals, das im laufenden Betrieb funktionieren sollte, aber eine Gewähr für eine Wiederherstellung gibt es dabei nicht:

AdRestore v1.1

 

grizzly999

Share this post


Link to post
Share on other sites

wie soll ich es sonst machen ohne authoritativen restore?

 

hier bleibt doch nur die möglichkeit das gesamte ad zurückzuspielen, oder?

 

somit wären die zwischenzeitlichen änderungen auch verloren.

Share this post


Link to post
Share on other sites

Habs jetzt mal am lebenden Objekt probiert. Hier nochmal das Fallbeispiel:

 

Es gibt einen Domaincontroller mit einer OU namens z. B. Benutzer. Es wird eine ntbackup-Sicherung des System States gemacht. Jetzt wird die OU versehentlich gelöscht und in der Zwischenzeit eine neue OU mit Namen "Test" angelegt.

Nun will ich die OU "Benutzer" wiederherstellen. Ich mache nun folgendes:

 

1.) Starten in der Verzeichnisdienstwiederherstellung

 

2.) Rücksicherung des NT-Backups und KEIN Neustart

 

3.) Eingabeaufforderung und dann folgendes:

3.1) ntdsutil

3.2) authoritative restore (muss ich ja machen, sonst kann ich nicht restore subtree eingeben)

3.3) restore subtree ou=benutzer,dc=mullfreak,dc=local

 

4.) Restart

 

So, jetzt ist die OU "Benutzer" wieder da aber die zwischenzeitlich angefertigte OU "Test" ist verschwunden.

 

Dann bringt mir das ganze Restore nix wenn die Änderungen verloren gehen. Ich meine mal das ist ein Praxisfall. Nehmen wir an, ein Praktikant löscht eine OU. Inzwischen werden in den nächsten Tagen Benutzer gelöscht, angelegt und sonstiges. Jetzt will ich mit ntbackup aber nur diese ou aus einer Sicherung herstellen, bei der die OU noch zu Verfügung stand.

 

Wahrscheinlich zu bl...

 

Mull

Share this post


Link to post
Share on other sites
3.2) authoritative restore (muss ich ja machen, sonst kann ich nicht restore subtree eingeben)

 

Das glaube ich nicht.

 

So, jetzt ist die OU "Benutzer" wieder da aber die zwischenzeitlich angefertigte OU "Test" ist verschwunden.

 

Weil du eine autoritative Wiederherstellung gemacht hast.

Share this post


Link to post
Share on other sites

@ carlito

Kannst du mir bitte mal deine Aussage erklären? Wenn er mit Boardmitteln einzelne Objekte wiederherstellen will, muss er doch die autorisierenden Widerherstellung starten?

Bei der nicht autorisierenden wird die gesamte AD auf Stand des letzten Backups gebracht.

 

Kleiner Lesetip:

http://www.microsoft.com/technet/technetmag/issues/2007/04/ADRecovery/default.aspx?loc=de/

 

Ich würde ich dir folgendes Tool ans Herz legen:

 

.: www.kaczenski.de :. <-- Werding

 

Damit kannst du gelöschte Objekte online wiederherstellen ohne die umständliche und zeitraubende Verzeichniswiederherstellung.

 

Wenn du natürlich etwas Geld übrig hast, gibt es nette Tools die dir das Leben als Admin einer AD Umgebung erheblich erleichtern.

Zu nennen wäre da:

1. Tools to Backup and Recover Active Directory

2. Quest : Produkte : Active Directory : Overview

 

Bei größeren Umgebungen sehr empfehlenswert :)

Share this post


Link to post
Share on other sites

OK, folgendes habe ich jetzt gemacht:

1.) Starten in der Verzeichnisdienstwiederherstellung

 

2.) Rücksicherung des NT-Backups und KEIN Neustart

 

3.) Eingabeaufforderung und dann folgendes:

3.1) ntdsutil

3.2) restore subtree ou=benutzer,dc=mullfreak,dc=local

 

und kriege dann diese Ausgabe:

 

ntdsutil: restore subtree ou=benutzer,dc=mullfreak,dc=local

Error 80070057 parsing input - illegal syntax?

ntdsutil:

 

Mull

Share this post


Link to post
Share on other sites

Eine autoritative Wiederherstellung, brauchst du lediglich in einer Domäne mit mehreren DCs auszuführen. Denn nur wenn weitere DCs existieren, können die wiederhergestellten Objekte von anderen DCs überschrieben werden, falls kein "authoritative restore" ausgeführt wurde.

 

Existiert lediglich nur ein einziger Domänencontroller in der Domäne, kann die wiederhergestellte Sicherung von keinem DC überschrieben werden. Das ausführen von NTDSUTIL ist somit nicht notwendig.

 

 

1.) Starten in der Verzeichnisdienstwiederherstellung

 

2.) Rücksicherung des NT-Backups und KEIN Neustart

 

3.) Eingabeaufforderung und dann folgendes:

3.1) ntdsutil

3.2) authoritative restore (muss ich ja machen, sonst kann ich nicht restore subtree eingeben)

3.3) restore subtree ou=benutzer,dc=mullfreak,dc=local

 

Das brauchst du alles nicht. Wie bereits erwähnt, bei nur einem DC kannst Du dir das mit NTDSUTIL sparen.

 

Es gibt einen Domaincontroller mit einer OU namens z. B. Benutzer. Es wird eine ntbackup-Sicherung des System States gemacht. Jetzt wird die OU versehentlich gelöscht und in der Zwischenzeit eine neue OU mit Namen "Test" angelegt.

Nun will ich die OU "Benutzer" wiederherstellen.

 

Dann ist (wie du selbst gemerkt hast) die OU TEST nicht mehr vorhanden. Dies ist ein normales Verhalten in dem Szenario mit nur EINEM DC in der Domäne.

Du brauchst einen zweiten DC in der Domäne, dann würde die OU Test bestehen bleiben.

Share this post


Link to post
Share on other sites

3.2) restore subtree ou=benutzer,dc=mullfreak,dc=local

 

Mull

 

Kann es sein, dass du den bereits beim DCPromo vorhandenen Container meinst? Dieser hieße dann nicht OU=, sondern CN=

Share this post


Link to post
Share on other sites
@ carlito

Kannst du mir bitte mal deine Aussage erklären? Wenn er mit Boardmitteln einzelne Objekte wiederherstellen will, muss er doch die autorisierenden Widerherstellung starten?

Bei der nicht autorisierenden wird die gesamte AD auf Stand des letzten Backups gebracht.

 

Falsch. Mit ntbackup bringst immer das GANZE AD auf den Stand der Sicherung, weil ja immer die ntds.dit als ganzes zurückgeschrieben wird.

 

Was danach passiert, hängt davon ab, ob du weitere DCs in der Domäne hast. Bei einem DC ist das aut. Restore grade umsonst. Du setzst damit lediglich die Versionsnummer hoch, die zwischen den DCs verglichen wird, um das aktuellste Objekt feststellen zu können. Bei einem DC ist nicht viel mit vergleichen.

 

Bei einem DC ist es immer so, dass der Stand des Backups wieder hergestellt wird und alle danach erfolgten Änderungen für die Katz sind. Ein Grund mehr für mind. 2 DCs ;).

 

Wenn du ein aut. Restore mit mehreren DCs machst, wird auf dem DC auch die alte ntds.dit hergestellt, die Neuerungen seit dem Backup sind weg, werden aber nach dem Reboot wieder repliziert.

 

 

Stimmt, da wird der aut. Restore auch nur im Zusammenhang mit mehreren replizierenden DCs erwähnt.

 

 

Ich würde ich dir folgendes Tool ans Herz legen:

 

.: www.kaczenski.de :. <-- Werding

 

Damit kannst du gelöschte Objekte online wiederherstellen ohne die umständliche und zeitraubende Verzeichniswiederherstellung.

 

Das wäre in der Tat für einen einzelnen DC das Beste und Günstigste.

 

Wenn du natürlich etwas Geld übrig hast, gibt es nette Tools die dir das Leben als Admin einer AD Umgebung erheblich erleichtern.

Zu nennen wäre da:

1. Tools to Backup and Recover Active Directory

2. Quest : Produkte : Active Directory : Overview

 

Bei größeren Umgebungen sehr empfehlenswert :)

 

Quest ist toll, ich würde mein Budget dann trotzdem erstmal in einen weiteren DC installieren.

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...