Bevor wir nun über Active Directory Forest Recovery sprechen, lassen Sie uns einen Blick auf die verschiedenen Wiederherstellungsszenarien werfen, und wann brauche ich sie?

(Hinweis: Wenn Sie nur wegen des Titels hier sind, scrollen Sie zum Ende des Beitrags).

Die erste und einfachste ist Object Recovery.

Objektwiederherstellung ist der Prozess der Wiederherstellung eines Objekts (oder mehrerer Objekte), das/die gelöscht wurde(n). Dies kann durch menschliches Versagen, durch einen Maschinenfehler (Identitätsmanagementlösung hebt fälschlicherweise die Freigabe eines Benutzers auf) oder durch einen Sicherheitsverstoß geschehen, dem wir einen eigenen Abschnitt widmen.

Die Wiederherstellung von Objekten ist relativ einfach, insbesondere mit der in Windows 2008 R2 eingeführten Papierkorb-Funktion (mehr dazu hier: https://technet.microsoft.com/en-us/library/dd379542(v=ws.10).aspx).

Die zweite, ebenfalls nicht sehr schwere Aufgabe ist die Server-Wiederherstellung.

Nehmen wir an, Sie haben einen von 2 Domain Controllern (wenn nicht mindestens , dann bitte sofort den zweiten), und dieser Server erleidet einen Hardwarefehler. Was ist das Einfachste, was Sie tun können, um einen DC wiederherzustellen? Nun, befördern Sie ihn einfach! Da es keinen Unterschied zwischen einem DC und dem nächsten gibt, ist die Wiederherstellung eines Servers so einfach wie das Heraufstufen des betreffenden Domänencontrollers von Grund auf. Natürlich sollten Sie den gleichen Namen und die IP-Adresse beibehalten, aber Sie haben hoffentlich eine Anleitung zur Erstellung erhalten, so dass Sie wissen, wie Sie einen DC von Grund auf neu erstellen können.

Die dritte wäre die Domain Recovery.

Bei einer Domänenwiederherstellung stellen Sie eine einzelne Domäne in einem ganzen Forest wieder her. Was könnte die Ursache dafür sein? Nun, das fängt bei menschlichem Versagen an, aber in der Regel werden diese durch mehrere Hardwareausfälle (alle DCs in DomainX sind weg, oder wenn es nur einen gibt), Massenlöschungen in der Datenbank oder Konfigurationsprobleme verursacht. Die Wiederherstellung einer Domäne ist in einem einzelnen Blog-Beitrag nur schwer zu erklären, aber ich werde das Thema der Wiederherstellung einer einzelnen Domäne in einer Forest-Umgebung sicher in einem späteren Beitrag behandeln.

Und jetzt wird es kompliziert

Attribut Wiederherstellung

Nehmen wir an, Sie haben versehentlich ein Skript ausgeführt, das den Inhalt der Vornamenattribute aller Personen gelöscht hat. Wie würden Sie das wiederherstellen? Nun, Sie könnten entweder eine Objektwiederherstellung für alle Benutzer durchführen, aber dann könnten Ihnen Änderungen entgehen, je nachdem, wann das Backup erstellt wurde.

Stellen wir uns nun vor, dass dies von jemand anderem getan wurde, z. B. durch einen Fehler in einer Software oder durch eine Sicherheitslücke im Unternehmen, die es einem Angreifer ermöglicht hat, Ihre Inhalte zu manipulieren?

Im Moment gibt es keine perfekte Lösung für dieses Problem. Sie könnten Snapshots verwenden und diese als Referenz nutzen, aber den richtigen Inhalt aus dem Snapshot in die Live-Datenbank zu übertragen, könnte sich leicht zu einem ldifde-Albtraum entwickeln (außerdem ist es nicht einfach, den Unterschied zwischen Snapshot und Live-Datenbank zu erkennen).

Und mein Favorit: Active Directory Forest Recovery

Dazu werde ich mich an das Whitepaper Forest Recovery von Microsoft wenden: https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/manage/ad-forest-recovery-guide.

Und zitieren Sie den Abschnitt 'Entscheiden, wann die Wiederherstellung des Waldes durchgeführt werden soll':

Alle Domänencontroller wurden logisch beschädigt oder physisch so stark beschädigt, dass die Kontinuität des Geschäftsbetriebs nicht mehr möglich ist. So sind beispielsweise alle Geschäftsanwendungen, die von AD DS abhängen, nicht mehr funktionsfähig.

Ein abtrünniger Administrator hat die Active Directory-Umgebung kompromittiert.

Ein Angreifer führt absichtlich oder ein Administrator versehentlich ein Skript aus, das eine Datenbeschädigung im gesamten Forest verbreitet.

Ein Angreifer erweitert absichtlich oder ein Administrator versehentlich das Active Directory-Schema mit bösartigen oder widersprüchlichen Änderungen.

Keiner der Domänencontroller kann mit seinen Replikationspartnern replizieren.

Änderungen an AD DS können an keinem Domänencontroller vorgenommen werden.

Neue Domänencontroller können in keiner Domäne installiert werden.

Wie machen Sie das? Nun, das steht auf den Seiten 29-54 des Whitepapers, in dem die erforderlichen Schritte detailliert beschrieben werden.