:quality(80)/p7i.vogel.de/wcms/fe/78/fe7853bc53025097113ccc1e522e1b7f/0108745708.jpeg "Switches, Router, Gateways, Server, USVs Racks & Co. – Das Feld der Netzwerk-Infrastruktur ist breit und viele Anbieter buhlen hier bei den IT-Awards um die Gunst der Leser von IP-Insider. (Bild: © lassedesignen - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2f/0b/2f0badc7f79d254978200e2b701404f3/0108746724.jpeg "Ohne den digitalen Arbeitsplatz – auch Digital Workspace genannt – wäre der Corona-bedingte Wechsel ins Homeoffice für viele wohl unmöglich gewesen. Heute geht es ohne Digital Workspace gar nicht mehr. (Bild: © sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/d2/bcd2025a15a68d1fb301f78908b63089/0108718897.jpeg "Der anhaltende Trend hin zur Edge- und Cloud-Computing, Hybrid-Work-Szenarios, Homeoffices und das Internet of Things treiben den Bedarf an umfassenden Netzwerk-Monitoring-Lösungen. (Bild: © nimito - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7d/a1/7da13c070fec8d616ec16b45bd7f5506/0111560991.jpeg "Die NetCrunch-Oberfläche bietet eine übersichtliche Menüstruktur und integrierte sowohl On-Premises- als auch Cloud-Infrastrukturkomponenten. (Bild: AdRem Software - Joos)")
:quality(80)/p7i.vogel.de/wcms/e2/2e/e22ee822cafaa471a4dbee79a58433a5/0111567753.jpeg "Das IP-Adressmanagement ist seit je her wichtig. Besonders wichtig wird die Planung und Verwaltung von IP-Adressen aber dann, wenn lokale Infrastruktur und Cloud-Dienste aufeinander abgestimmt werden müssen. (Bild: © ronstik - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/92/53/92535bf443113da1720a610be6a24a60/0111514107.jpeg "Offene Ports können schnell zu einem Sicherheitsrisiko werden. Geeignete Tools helfen, Problemstellen zu identifizieren und Sicherheitslücken zu schließen. (Bild: © xiaoliangge - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/18/7b180d83dd1052fa83dcc38ca2a83534/0111273841.jpeg "Alles normal – auf den ersten Blick! Doch tatsächlich wurde dieses Auto durch den Verkehr in Düsseldorf von einem Menschen in Hamburg gesteuert. (Bild: Mira)")
:quality(80)/p7i.vogel.de/wcms/2c/3b/2c3beacac6ad84f45bd7f9e6c1b8fc8e/0111162157.jpeg "Im Universitätsklinikum Frankfurt soll künftig in allen Innenräumen 5G zur Verfügung stehen. (Bild: Universitätsklinikum Frankfurt)")
:quality(80)/p7i.vogel.de/wcms/58/d8/58d8a9f842f457385f82c4029c0b8e20/0111023242.jpeg "Campus-Netze der Telekom ermöglichen Geschäftskunden maßgeschneiderte Konnektivität für digitale Anwendungen auf ihrem Betriebsgelände. (Bild: Deutsche Telekom / GettyImages / Traitov)")
:quality(80)/p7i.vogel.de/wcms/d2/e0/d2e0dcd5c927b295845fa8ff3d258b7e/0110997301.jpeg "Ericsson Private 5G eigne sich für die Fertigung und andere industrielle Umgebungen wie Häfen, Bergbau und Energieversorgung. (Bild: Ericsson)")
:quality(80)/p7i.vogel.de/wcms/ae/91/ae9110ac101250ed8ae2c9217c77eb90/0111583975.jpeg "Extreme unternimmt mit der in Berlin vorgestelltem Data Fabric-Lösung "ExtremeCloud Edge" einen weiteren Anlauf hin zu weniger Komplexität. Dabei handelt es sich um ein Software-Paket bestehend aus Anwendungen wie ExtremeCloud IQ, ExtremeCloud SD-WAN und Extreme Intuitive Insights, mit dem firmeneigene Clouds von jedem beliebigen Standort aus aufgebaut werden können. (Bild: Dietmar Müller)")
:quality(80)/p7i.vogel.de/wcms/f9/f6/f9f66c131d81e9be562fcc61aa416191/0111346382.jpeg "WebConnect ermöglicht den doppelseitigen Druck in Remote-Verbindungen auf lokalen Druckern. (Bild: WebConnect World SL)")
:quality(80)/p7i.vogel.de/wcms/f9/14/f914ab3c46716dd5a137985f3036637e/0111241108.jpeg "Mit XProtect Hospital Assist hat das medizinische Personal den Zustand mehrerer Patienten gleichzeitig im Blick. (Bild: Milestone Systems)")
:quality(80)/p7i.vogel.de/wcms/51/14/511437e5d0b6b7f218b239b2a25de9c7/0111362151.jpeg "Die Tabelle mit den Ergebnissen eines Wi-Fi-Scans zeigt die SSID, das BSS, Frequenz- und Kanalinformationen sowie die Signalstärke für jedes Wi-Fi-Netzwerk. (Bild: Allegro Packets)")
:quality(80)/p7i.vogel.de/wcms/bc/bf/bcbfd1989b64de7d1efcec464b2ae2b9/0111241131.jpeg "Dr. Melanie Langermeier ist CEO von Qbilon und verantwortlich für Produktstrategie und Kundenbetreuung. (Bild: Qbilon)")
:quality(80)/p7i.vogel.de/wcms/8f/32/8f3241296b6d856a9636943d12b42bab/0111132547.jpeg "Fluch und Segen: Die Datenflut stellt Unternehmen vor Herausforderungen, bietet bei richtigem Datenmanagement aber auch Chancen. (Bild: agrarmotive - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/04/31/0431d676156b689354505ddc83d3910a/0111274207.jpeg "Smartphones sind im beruflichen Alltag ein beliebtes Tool, um Arbeitsprozesse zu verbessern. (Bild: © – metamorworks – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/68/d5/68d51e33733190015fe48085d19bf50f/0100318890.jpeg "Gregor Stegen ist Vice President Sales and Business Development EMEA bei Plume und erläutert, welchen Mehrwert KI für das Kundenmanagement bei Service-Providern bereithält. (Bild: foto di matti - Gregor Stegen - Plume)")
:quality(80)/p7i.vogel.de/wcms/d5/6f/d56ffeea7182605a75db1fd2817c58fe/0111435913.jpeg "Zum Stichtag 01. Mai 2023 gibt unser Autor Dr. Harald Karcher einen Überblick über alle bereits erhältlichen und aktuell angekündigten Wi-Fi-7-Produkte. (Bild: © hakinmhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/85/a2/85a26e9693a832a76c63a0ad949857a7/0111184647.jpeg "Das mit AIOps weiterentwickelte HPE Aruba Networking Central sowie Agile NaaS sollen eine effektivere Verwaltung komplexer Betriebsprozesse ermöglichen. (Bild: Hewlett Packard Enterprise)")
:quality(80)/p7i.vogel.de/wcms/bc/71/bc715c91f6cafbbabefba39be618b28b/0110711709.jpeg "Hybridlösungen nutzen das Purdue-Modell mit der Segmentierung des IT- und OT-Datenflusses und bieten gleichzeitig die Flexibilität für IoT-Anwendungsfälle. (Bild: knssr - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d3/1a/d31aa21504bed10399be39e92f72efa7/0110934224.jpeg "Jochen Kunert von Unisys erläutert, wo man in Sachen Homeoffice und Remote Work jetzt angreifen muss, um die während der Pandemie oft hopplahopp eingeführten Konzepte auf sichere Füe zu stellen. (Bild: ARMIN HOEHNER - Unisys)")
:quality(80)/p7i.vogel.de/wcms/5e/90/5e901c67000a6a3b3e5d5c1dc20ded19/0110796663.jpeg "Mit SaaS Remote Access behalten Unternehmen die Kontrolle über den externen Fernzugriff. (Bild: Wallix)")
:quality(80)/p7i.vogel.de/wcms/78/20/7820f031c9f54f82f18b35275f028c71/0110700143.jpeg "Das SoftEther VPN-Projekt ermöglicht die Installation eines VPN-Servers als Alternative zu WireGuard und OpenVPN. (Bild: Joos - SoftEther Project)")
:quality(80)/p7i.vogel.de/wcms/ba/fa/bafaa37c6352f5b0c58a06a2c2881899/0111346909.jpeg "Die Workspaces der Starface App für Windows sollen Anwendern einen besseren Überblick über ihre Kommunikationsumgebung bieten. (Bild: Starface)")
:quality(80)/p7i.vogel.de/wcms/5f/d1/5fd10f0c6f06b5cd02dc7f72d9e2c4d8/0111134557.jpeg "Hybride Zusammenarbeit und dafür in der Cloud gespeicherte Daten benötigen angepasste Schutzmaßnahmen. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ff/e2/ffe242f7ff4ea687d6f181688f02cd0e/0111349539.jpeg "Viele Organisationen tun sich schwer, ihre Infrastrukturen adäquat zu schützen. Finanzielle und personelle Ressourcen sind beschränkt und es fehlt oft auch am Bewusstsein, welchen Stellenwert IT-Security heutzutage einnimmt. (Bild: Azar - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d3/41/d341510725a8d974bd6d264398d141ad/0111328737.jpeg "Die Verringerung des jährlichen Verlusts, der durch einen Cyberangriff zu erwarten ist, ist der bedeutendste Faktor, durch den sich Investitionen in die Cybersicherheit für ein Unternehmen auszahlen. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/32/d73209aef2d68db2f6a44c279b061dae/0111049656.jpeg "Für die Sicherheit ihrer Benutzerdaten haben Unternehmen die Wahl: Single Sign-on (SSO) oder Passwort-Manager – beide Lösungen haben spezifische Vor- und Nachteile. (Bild: THAWEERAT - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f019c6193d103a1894ce7a933921255/0111362429.jpeg "Für On-Demand-Kunden seien in Sekundenschnelle Bandbreiten von bis zu 10 GBit/s an Tausenden von Standorten im Colt-Netzwerk verfügbar. (Bild: Colt)")
:quality(80)/p7i.vogel.de/wcms/a4/24/a4242fc17c20b0b6c258756fe631f018/0111080608.jpeg "Das Einsteigerpaket „Ortsbeleuchtung“ enthält neben den konfigurierten GreenBoxes mit integrierter Winkelantenne ein LoRaWAN-Outdoor-Gateway und drei Monate Nutzung des Demo-Dashboards. (Bild: Alpha-Omega Technology)")
:quality(80)/p7i.vogel.de/wcms/7c/42/7c426017759c779c90334252640bbed1/0110988923.jpeg "Software-definierte Netztechnologien sind heute ein Muss für agile Unternehmen, sagen Steffen Gienger von Juniper Networks und Sherif Rezkalla von der Deutsche Telekom in ihrem gemeinsamen Beitrag. (Bild: © basiczto - stock.adobe.com)")
Einzelne Objekte und komplettes AD sichern und wiederherstellen Backup und Recovery für Active Directory in der Praxis
Die Sicherung und Wiederherstellung von einzelnen Objekten in Active Directory ist eine von Administratoren häufig durchgeführte Aufgabe. Aber auch die komplette Sicherung der AD-Datenbank ist relevant. Wir zeigen in diesem Beitrag, wie Sicherung und Wiederherstellung erfolgen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/62/6b/626ba9b8326a0/cradlepoint-ericsson-logo-full-color-horizontal.png "cradlepoint-ericsson-logo-full-color-horizontal (Cradlepoint)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/64/14/64144695bcf74/logo-high-resolution.png "logo-high-resolution (Southern Tech)"){kind=logo}
Die meisten Sicherungsprogramme sind auch dazu in der Lage, die Active Directory-Datenbank auf Domänencontrollern zu sichern. In den meisten Fällen führt der beste Weg hierzu über die komplette Sicherung des Betriebssystems und des Systemstatus. Durch diese Auswahl kann auch das in Windows Server integrierte Sicherungsprogramm den kompletten Server inklusive AD sichern und wiederherstellen.
Active Directory mit Bordmitteln sichern
Wenn die Sicherung von Active Directory mit dem internen Sicherungs-Tool von Windows Servern durchgeführt wird, ist es ein generell auch denkbar, diesen Vorgang zu skripten. Dadurch lässt sich die Sicherung auch im Netzwerk speichern und durch eine Drittherstellersoftware parallel sichern. Der Befehl dazu lautet:
wbadmin start backup -allCritical -backuptarget:<Zielfestplatte> -quietDurch den Parameter "-quiet" muss die Eingabe nicht bestätigt werden, sondern die Sicherung beginnt sofort. Der Befehl sichert auch den Systemstatus und die Systemfestplatte, sodass jederzeit mit Bordmitteln eine Wiederherstellung von Active Directory möglich ist.
Um eine Wiederherstellung mit der internen Datensicherung durchzuführen, kann in den Bootoptionen "Verzeichnisdienstwiederherstellung" ausgewählt werden. Alternativ kann die Wiederherstellung des kompletten Betriebssystems über die Computerreparaturoptionen erfolgen. Der Start in den Wiederherstellungsmodus lässt sich aber auch im laufenden Betrieb in der Befehlszeile festlegen:
bcdedit /set safeboot dsrepairNach der Wiederherstellung kann der Server wieder normal starten, wenn mit dem folgenden Befehl die entsprechende Option gesetzt wird:
bcdedit /deletevalue safebootActive Directory-Datenbank warten
Vor der Sicherung und generell auch in regelmäßigen Abständen kann es sinnvoll sein, die Datenbank von Active Directory zu warten. Dadurch entfernt Windows Inkonsistenzen aus der Datenbank und verkleinert auch deren Größe. Zudem ist es möglich, die Datenbank von Active Directory zu defragmentieren. Um eine Offline-Defragmentierung durchzuführen, geht man folgendermaßen vor:
- Starten Sie den Server im Verzeichnisdienst-Wiederherstellungsmodus.
- Öffnen Sie eine Eingabeaufforderung und starten Sie "Ntdsutil".
- Geben Sie den Befehl "activate instance ntds" ein.
- Geben Sie den Befehl "files" ein, um zur "file maintenance" zu gelangen.
- Geben Sie den Befehl "compact to <Laufwerk:\Ordner>" ein. Wählen Sie als Verzeichnis einen beliebigen Ordner auf der Festplatte aus. Ntdsutil kopiert die Datenbankdatei in diesen Ordner und defragmentiert sie.
- Sichern Sie die alte Version der "ntds.dit" aus dem produktiven Datenbankordner.
- Wenn keine Fehlermeldungen während der Offline-Defragmentierung erscheinen, können Sie die Datei "ntds.dit" aus dem Ordner zurück in den Datenbankpfad der produktiven Datenbank kopieren. Diesen Vorgang führt Ntdsutil nicht automatisch aus. Sie müssen die Datei also manuell kopieren. Verschieben Sie die defragmentierte Datei in den produktiven Ordner der Datenbank und überschreiben Sie die alte Version.
- Geben Sie in "file maintenance" den Befehl "integrity" ein, um die Integrität der Datenbank zu überprüfen.
Da Active Directory als Systemdienst läuft, kann dieser für die Defragmentierung auch beendet werden. Das geht zum Beispiel in der Befehlszeile mit "net stop ntds". Nach Beendigung der Maßnahmen muss aber auch darauf geachtet werden, dass die einzelnen Dienste, die durch das Beenden von Active Directory ebenfalls beendet werden, im Anschluss auch wieder gestartet werden.
In diesem Fall muss der Server nicht im Verzeichnisdienst-Wiederherstellungsmodus gestartet werden, sodass andere Dienste auf dem Server weiter von den Anwendern verwendet werden können. Sollte es im Rahmen der Integritätsprüfung zu Problemen mit der AD-Datenbank kommen, können Sie deren Zustand testen und direkt an dieser Stelle eine Reparatur starten:
- Verlassen Sie mit "quit" die "file maintenance", aber bleiben Sie in der Oberfläche von Ntdsutil.
- Geben Sie "semantic database analysis" ein.
- Geben Sie "verbose on" ein, damit Sie detaillierte Informationen erhalten.
- Geben Sie "go fixup" ein.
Das Tool beginnt mit der Diagnose der Active-Directory-Datenbank und versucht die Datenbank zu reparieren.
Erstellen von Snapshots der Active Directory-Datenbank
In allen aktuellen Windows Server-Versionen bis hin zu Windows Server 2022 ist es möglich, einen Snapshot der Active-Directory-Datenbank zu erstellen. Der Snapshot wird als Schattenkopie der Datenbank erstellt. Ein Weg hierzu ist folgender:
- Starten Sie Ntdsutil.
- Geben Sie "snapshot" ein.
- Geben Sie "activate instance ntds" ein.
- Geben Sie "create" ein.
Der Active-Directory-Papierkorb im Praxiseinsatz
Mit dem Papierkorb in Active Directory können Sie gelöschte Objekte inklusive deren SID noch einige Zeit wiederherstellen. Damit das funktioniert, muss diese Funktion aber erst aktiviert werden. Die Verwaltung und auch die Verwendung des AD-Papierkorbs können Sie im Active-Directory-Verwaltungscenter erreichen. Dieses startet am schnellsten durch die Eingabe von "dsac" im Suchfeld des Startmenüs. Standardmäßig ist der Papierkorb nicht aktiv. Nach der Aktivierung lässt er sich aber auch nicht mehr deaktivieren.
Über das Kontextmenü der Gesamtstruktur auf der linken Seite der Konsole im Active-Directory-Verwaltungscenter lässt sich der Papierkorb aktivieren. Sie können den Papierkorb auch in der PowerShell aktivieren. Der Befehl dazu am Beispiel der Domäne "joos.lab" lautet:
Enable-ADOptionalFeature -Identity "CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=joos,DC=lab" -Scope ForestOrConfigurationSet -Target "joos.lab"Nach dem Neustart des Active-Directory-Verwaltungscenters steht in der Ansicht der Organisationseinheiten die neue Organisationseinheit "Deleted Objects" zur Verfügung. Aus dieser OU heraus können gelöschte Objekte wiederhergestellt werden. Dazu wird das entsprechende Objekt mit der rechten Maustaste wiederhergestellt.
Der Papierkorb arbeitet mit dem Wert "isDeleted" und dem Wert "isRecycled" für Objekte in AD. Ist der Wert "isRecycled" für ein Active-Directory-Objekt auf "True" gesetzt, können Sie dieses nicht wiederherstellen. Nur Objekte, bei denen "isDeleted" auf "True" gesetzt ist, lassen sich wiederherstellen.
Objekte lassen sich innerhalb der Tombstone-Lifetime wiederherstellen. Diese beträgt bei Windows Server 180 Tage. Der jeweilige Wert für die Active-Directory-Gesamtstruktur ist in ADSI-Edit über den Container "Konfiguration/Configuration/Services/Windows NT/Directory Service" zu finden. In den Eigenschaften von "Directory Service" ist der Tombstone-Wert auf der Registerkarte "Attribut-Editor" bei "tombstoneLifetime" zu finden. Generell kann der Wert an dieser Stelle auch angepasst werden.
Sobald ein Objekt in Active Directory gelöscht wird, erhält dieses den Wert "True" bei "isDeleted. Nach 180 Tagen erhält das Objekt den Wert "True" bei "isRecycled" und ist nicht mehr wiederherstellbar. Ist die Tombstone-Lifetime abgelaufen, wird das Objekt aus der Datenbank gelöscht.
Wiederherstellungsvorgänge lassen sich auch in der PowerShell durchführen, zum Beispiel mit:
Get-ADObject -Filter {displayName -eq "Thomas Joos"} -IncludeDeletedObjects | Restore-ADObjectLösch-Schutz in Active Directory aktivieren
Um versehentliches Löschen zu verhindern, kann es sinnvoll sein, für wichtige Objekte den Lösch-Schutz zu aktivieren. In diesem Fall kann das Objekt erst gelöscht werden, wenn ein Administrator den Lösch-Schutz von dem betroffenen Objekt entfernt. Die Konfiguration dazu kann über die Konsole Active-Directory-Computer und -Benutzer erfolgen. Diese startet zum Beispiel mit "dsa.msc". In der Konsole kann über den Menüpunkt „Ansicht“ die Option „Erweiterte Features“ aktiviert werden. Dies ist für die Aktivierung des Löschschutzes wichtig.
Um Objekte davor zu schützen, dass sie versehentlich gelöscht werden, kann die Option „Objekt vor zufälligem Löschen schützen“ auf der Registerkarte „Objekt“ aktiviert werden. Dadurch wird verhindert, dass ein Objekt löschbar ist. Erst durch das Entfernen dieses Hakens kann das jeweilige Objekt wieder gelöscht werden.
Neben der Verwaltungskonsole Active-Directory-Benutzer und -Computer lassen sich Objekte auch in anderen Konsolen sichern. So können zum Beispiel auch die Objekte in "Active-Directory-Standorte und Dienste" vor dem versehentlichen Löschen geschützt werden. Auch hier gibt es eine Registerkarte „Objekte“ und die Option „Objekt vor dem versehentlichen Löschen schützen“. Für die Anzeige der Option muss die erweiterte Ansicht aber nicht aktiviert werden. Um den Löschschutz in der PowerShell abzufragen oder zu aktivieren, können die folgenden Befehle genutzt werden:
Get-ADObject ‹DN des Objekts› -Properties ProtectedFromAccidentalDeletionAktivieren lässt sich der Löschschutz mit:
Set-ADObject ‹DN des Objekts› -ProtectedFromAccidentalDeletion $true:quality(80)/images.vogel.de/vogelonline/bdb/1417100/1417127/original.jpg)
:quality(80)/images.vogel.de/vogelonline/bdb/1848800/1848868/original.jpg)
:quality(80)/images.vogel.de/vogelonline/bdb/1848800/1848869/original.jpg)
:quality(80)/images.vogel.de/vogelonline/bdb/1848800/1848870/original.jpg)
(ID:48134807)
:quality(80)/images.vogel.de/vogelonline/bdb/1954800/1954886/original.jpg "Mit dem Active Directory Service Interface Editor lassen sich mächtige Eingriffe ins Active Directory vornehmen. (© NicoElNino - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1917200/1917288/original.jpg "Viele Active-Directory-Zertifikatsdienste nutzen noch SHA-1. Höchste Zeit also, jetzt auf SHA-2 und eine neue Certification Authority umzustellen. (© Olivier Le Moal - stock.adobe.com)")