Jump to content
Sign in to follow this  
inno-it

Public Key Services gelöscht - Was tun?

Recommended Posts

Hi,

 

mir ist ein absolutes Missgeschick passiert. Ich habe fälschlicherweisen einen falschen Ordner mit Adsiedit gelöscht und zwar in der Konfiguration unter Services den gesamte Ordner "Public Key Services".

Nun wollte ich die CA installieren, kann bei der Auswahl zwischen Unternehmen und eigenständig nur eigenständig wählen. Der Punkt Unternehmen ist gegraut. Ich vermute, dass es mit dem Löschen zu tun hat. Gibt es Möglichkeiten den Ordner Public Key Services wieder neu erstellen zu lassen? Mit AD Restore habe ich es nicht hinbekommen den Ordner wiederherzustellen. Ich hoffe ihr könnt mir helfen. Ich ärgere mich schon die ganze Zeit über meine Dummheit :-(

Share this post


Link to post

Nunja ich habe ADRestore.NET ausgeführt und nach gelöschten Objekten gesucht. Doch scheinbar kann man ADRestore nur Benutzerobjekte, Compterobjekte und OUs wiederherstellen. Ich habe allerdings noch eine Sicherung des SystemStates.

Möchte nur ungern den DC für eine Rücksicherung herunterfahren. Kann man vielleicht die Daten aus der ntds.dit des Backups auslesen und online auf den DC wiederherstellen?

Share this post


Link to post

Ist es der einzige DC, und um welches OS handelt es sich?

 

Die ntds.dit hilft mit Sicherheit. Aber ich muss zuerst die Antwort auf meine Frage erhalten.

Share this post


Link to post

Es sind ingesamt 2 DCs und beide laufen unter Windows 2008. Vielen Dank schonmal für deine Bemühungen.

Edited by inno-it

Share this post


Link to post

Du wirst somit um einen zweimaligen Neustart eines der DCs nicht herumkommen. Welchen Du nimmst, spielt keine Rolle, es sei denn, Du hast nur vom einen einen Snapshot oder eine Sicherung der ntds.dit (sprich Backup). In diesem Fall nimmst Du den DC, von dem der Snapshot oder die Sicherung existiert.

 

Es gibt einen schnellere und eine übliche Variante. Die schnellere wende ich selbst bei Kunden an, wenn ich die Wiederherstellung vor Ort kontrollieren kann und die Verantwortung trage; sie funktioniert zuverlässig, ist aber nicht offiziell unterstützt. In Deinem Fall möchte ich ausschliesslich ein dokumentiertes und unterstützte Verfahren anführen. Im Grundsatz umfasst dies:

 

1. DC zur Wiederherstellung bestimmen und über die Systemkonfiguration als Startoption "Abgesicherter Start" -> "Active Directory-Reparatur" wählen (erspart das rechtzeitige Drücken von F8 während des Systemstarts";

2. System neu starten (Reparaturmodus);

3. AD aus Sicherung wiederherstellen und den Subtree "CN=Public Key Services,CN=Services,CN=Configuration,DC=FIRMA,DC=DE" autoritativ markieren;

4. Startoption über die Systemkonfiguration auf normalen Systemstart ändern. System neu starten. Replikation durchführen "repadmin /syncall /AeP";

5. Mit Adisedit prüfen, ob der Subtree wiederhergestellt ist;

6. Funktionalität der CA prüfen.

 

Lass mich wissen, ob Du erfolgreich bist.

Share this post


Link to post

Vielen Dank für deine Hilfe. Die Daten wurden schon vor einigen Wochen gelöscht. Genauer gesagt am 20.09. Ein System State Backup liegt vom 18.09. vor. Dieses wurde vom PDC gemacht. Ich könnte diesen DC nun im Wiederherstellungsmodus des AD starten, mit der Backup Software den kompletten Systemstate zurücksichern und mittels NTDSUtil den Pfad als autoritativ setzen.

Werden daraufhin alle Daten im AD, die zwischen dem 18.09 und heute gemacht wurden gelöscht und muss man diese wieder manuell anlegen?

 

Folgendes Beispiel für NTDSUtil habe ich Netz gefunden. Würde dies die Vorgehensweise sein? Mit dem setzen eines Objekts als autoritativ erreicht man doch nur, dass die anderen DCs dieses Objekt beim replizeiren nicht wieder löschen oder?

 

Beispiel:

 

Damit eine OU autoritativ wiederhergestellt werden kann, müssen folgende Schritte durchgeführt werden:

 

*

Der DC muss zuerst im Modus "Verzeichnisdienste wiederherstellen" gestartet werden (F8 beim starten)

*

Nach der Anmeldung ist ein aktuelles System State z.B. mit NTBACKUP vom DC rückzusichern

*

Anschließend darf kein Neustart durchgeführt werden

*

In der Kommandozeile muss NTDSUTIL aufgerufen und folgende Befehle eingegeben werden:

 

authotitative restore

restore subtree <Distinguished Name der gelöschten OU>

Der Distinguished Name (DN) für eine OU Benutzer direkt unter der Domäne intra.dikmenoglu.de würde so aus:

OU=Benutzer,DC=intra,DC=dikmenoglu,DC=de

*

 

Zu guter Letzt ist durch Eingabe von „quit“ (insgesamt zweimal) das NTDSUTIL und mit „exit“ die Kommandozeile zu verlassen.

 

 

 

Nach einem Neustart ist die OU erneut im Active Directory verfügbar.

 

Für eine autoritative Wiederherstellung eines Benutzer-Objekts, muss anstatt „restore subtree DN“,

dass Kommando „restore object DN“ verwendet werden.

 

Share this post


Link to post
Werden daraufhin alle Daten im AD, die zwischen dem 18.09 und heute gemacht wurden gelöscht und muss man diese wieder manuell anlegen?

 

Nein. Du markierst nur die genannte Teilstruktur als autoritativ. Der Rest der Datenbank ist nicht autoritativ und wird daher beim nächsten Systemstart per Replikation eingehend auf den aktuellen Stand des 2. DCs aufdatiert. Der 2. DC wiederum übernimmt per eingehender Replikation die wiederhergestellte Teilstruktur.

 

Und dann Adsiedit vom System verbannen. Zum Spielen damit gibt es Testsysteme.

 

Oder den Umgang damit zu lernen und per Richtlinie zu definieren, wer dieses Werkzeug in welchem Umfang nutzen darf. Wir benötigen Adsiedit und den Attribut-Editor fast täglich auch in produktiven Umgebungen und schätzen die Tatsache, dass er ab W2K8 eingebaut ist.

Edited by dmetzger

Share this post


Link to post

Ich sag schonmal vielen Dank. Aber das Vorgehen mit NTDSUtil war schon richtig oder? Ich werde die Rücksicherung am Wochende durchführen.

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...