AD OU gelöscht - kein Restore mit Backupexec 12 möglich

[hwimmer 10]

Hallo,

 

wir haben heute leider eine OU im AD gelöscht, in der ein paar Gruppen

enthalten waren.

 

Wir sind für den Restore jetzt folgendermassen vorgegangen:

 

1. DC im Wiederherstellungsmodus gestartet

2. Im Veritas BE 12 den Systemstatus ausgewählt und

Restore ausgewählt.

 

Der Restore schlägt jetzt jedoch fehl, weil der BE Server mit dem

BE Agenten am DC keine Verbindung aufnehmen kann, mit der Meldung

Zugriff verweigert.

 

Der BE Agent läuft mit Local System Account.

 

Mit einem Domänen Account kann ich den Dienst im Wiederherstellungsmodus

nicht starten, da ja keine Verbindung zur Domäne besteht.

 

Was kann ich jetzt noch machen ?

 

Danke für Eure Hilfe.

 

Gruß

Hans

[funkmasta 10]

Das kannst Du mit AdRestore machen!

[Lian 2.360]

Bevor Du eine solche Aktion startest ist der Tipp von meinen Vorredner eher anzuraten, da das Tool punktuell vorgeht auf die Tombstones und daher "minimal invasiv" arbeitet ;)

 

Das ganze gibt es auch mit GUI - ADRestore.NET:

ADRestore.NET rewrite - Windowmaker's blog

[Daim 12]

Servus,

 

Mit einem Domänen Account kann ich den Dienst im Wiederherstellungsmodus

nicht starten, da ja keine Verbindung zur Domäne besteht.

 

natürlich kannst du dich in dem Modus "Verzeichnisdienste wiederherstellen" nicht mit einem Domänen-Account anmelden, da ja das AD offline ist. Du musst dich mit dem Konto für den Wiederherstellungsmodus anmelden. Das Kennwort wird bei dem Heraufstufen zum DC vergeben. Falls dir das Kennwort nicht mehr bekannt sein sollte, kannst du das Kennwort für den DSRM zurücksetzen. Siehe:

 

How to Change the Recovery Console Administrator Password on a Domain Controller

How To Reset the Directory Services Restore Mode Administrator Account Password in Windows Server 2003

 

Gerade das rücksichern von Benutzern oder Gruppen und deren Mitgliedschaften ist etwas besonderes. Dazu beachte diesen Artikel:

 

How to restore deleted user accounts and their group memberships in Active Directory

 

 

Denn wie die anderen hier geschrieben haben, bringt dir das wiederherstellen des Tombstones herzlich wenig in Bezug auf die Gruppenmitgliedschaften. Denn das member Attribut im Gruppenobjekt wird eben nicht im Tombstone gespeichert. Daher solltest du für die Zukunft gerade für das wiederbeleben des Tombstones gesondert Vorgehen.

 

Beachte dazu den o.g. sowie den folgenden, samt weiterführenden Artikeln:

 

Yusufs Directory Blog - Active Directory Wiederherstellung

[NilsK 2.795]

Moin,

 

Das kannst Du mit AdRestore machen!

 

AdRestore restauriert nur den Tombstone. Da fehlen fast alle Daten - die Adress- und Namensdaten, aber vor allem das Kennwort und die Gruppenmitgliedschaften.

 

faq-o-matic.net » Active-Directory-Daten online wiederherstellen

 

Gruß, Nils

[olc 18]

Off-Topic:
Sorry Leute - ich weiß man will hier keine Klugsch*** hören: Aber wurde nie zuvor einen Rücksicherungstest gemacht?

Es erschrickt einen doch immer wieder, daß so etwas scheinbar nicht vor dem Fehlerfall durchgeführt wird und man dann erst im Notfall feststellt, daß der geniale Agent das nicht packt. Was übrigens echt eine Glanzleistung ist. :D

[Daim 12]

Off-Topic:

Aber wurde nie zuvor einen Rücksicherungstest gemacht?

 

Dieser Test wird gerade in KMU-Umgebungen erst im Ernstfall durchgeführt.

Dann also, wenn bereits das Kind in den Brunnen gefallen ist... leider.

[WolfgangS 10]

Der BE Agent läuft mit Local System Account.

 

Mit einem Domänen Account kann ich den Dienst im Wiederherstellungsmodus

nicht starten, da ja keine Verbindung zur Domäne besteht.

 

Was kann ich jetzt noch machen ?

 

Hi, du kannst den Punkt IV aus dem Artikel hier nehmen: How to perform a non-authoritative restore of the System State

 

Grüße

Wolfgang