Was ist Active Directory Forest Recovery?

Bevor wir nun über Active Directory Forest Recovery sprechen, lassen Sie uns einen Blick auf die verschiedenen Wiederherstellungsszenarien werfen, und wann brauche ich sie?

(Hinweis: Wenn Sie nur wegen des Titels hier sind, scrollen Sie zum Ende des Beitrags).

Die erste und einfachste ist Object Recovery.

Objektwiederherstellung ist der Prozess der Wiederherstellung eines Objekts (oder mehrerer Objekte), das/die gelöscht wurde(n). Dies kann durch menschliches Versagen, durch einen Maschinenfehler (Identitätsmanagementlösung hebt fälschlicherweise die Freigabe eines Benutzers auf) oder durch einen Sicherheitsverstoß geschehen, dem wir einen eigenen Abschnitt widmen.

Die Wiederherstellung von Objekten ist relativ einfach, insbesondere mit der in Windows 2008 R2 eingeführten Papierkorb-Funktion (mehr dazu hier: https://technet.microsoft.com/en-us/library/dd379542(v=ws.10).aspx).

Die zweite, ebenfalls nicht sehr schwere Aufgabe ist die Server-Wiederherstellung.

Angenommen, Sie haben einen von zwei Domain Controller(falls nicht , richten Sie bitte umgehend den zweiten ein), und dieser Server ist von einem Hardwareausfall betroffen. Was ist der einfachste Weg, um einen DC wiederherzustellen? Nun, ernennen Sie ihn einfach! Da es keinen Unterschied zwischen einem DC und dem nächsten gibt, ist die Wiederherstellung eines Servers so einfach wie die Ernennung dieses spezifischen domain controller Grund domain controller . Natürlich möchten Sie vielleicht denselben Namen und dieselbe IP-Adresse beibehalten, aber hoffentlich verfügen Sie über eine Anleitung zur Einrichtung, sodass Sie wissen sollten, wie man einen DC von Grund auf einrichtet.

Die dritte wäre die Domain Recovery.

Bei einer Domänenwiederherstellung stellen Sie eine einzelne Domäne in einem ganzen Forest wieder her. Was könnte die Ursache dafür sein? Nun, das fängt bei menschlichem Versagen an, aber in der Regel werden diese durch mehrere Hardwareausfälle (alle DCs in DomainX sind weg, oder wenn es nur einen gibt), Massenlöschungen in der Datenbank oder Konfigurationsprobleme verursacht. Die Wiederherstellung einer Domäne ist in einem einzelnen Blog-Beitrag nur schwer zu erklären, aber ich werde das Thema der Wiederherstellung einer einzelnen Domäne in einer Forest-Umgebung sicher in einem späteren Beitrag behandeln.

Und jetzt wird es kompliziert

Attribut Wiederherstellung

Nehmen wir an, Sie haben versehentlich ein Skript ausgeführt, das den Inhalt der Vornamenattribute aller Personen gelöscht hat. Wie würden Sie das wiederherstellen? Nun, Sie könnten entweder eine Objektwiederherstellung für alle Benutzer durchführen, aber dann könnten Ihnen Änderungen entgehen, je nachdem, wann das Backup erstellt wurde.

Stellen wir uns nun vor, dass dies von jemand anderem getan wurde, z. B. durch einen Fehler in einer Software oder durch eine Sicherheitslücke im Unternehmen, die es einem Angreifer ermöglicht hat, Ihre Inhalte zu manipulieren?

Im Moment gibt es keine perfekte Lösung für dieses Problem. Sie könnten Snapshots verwenden und diese als Referenz nutzen, aber den richtigen Inhalt aus dem Snapshot in die Live-Datenbank zu übertragen, könnte sich leicht zu einem ldifde-Albtraum entwickeln (außerdem ist es nicht einfach, den Unterschied zwischen Snapshot und Live-Datenbank zu erkennen).

Und mein Favorit: Active Directory Forest Recovery

Dazu werde ich mich an das Whitepaper Forest Recovery von Microsoft wenden: https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/manage/ad-forest-recovery-guide.

Und zitieren Sie den Abschnitt 'Entscheiden, wann die Wiederherstellung des Waldes durchgeführt werden soll':

Alle Domänencontroller wurden logisch beschädigt oder physisch so stark beschädigt, dass die Kontinuität des Geschäftsbetriebs nicht mehr möglich ist. So sind beispielsweise alle Geschäftsanwendungen, die von AD DS abhängen, nicht mehr funktionsfähig.

Ein abtrünniger Administrator hat die Active Directory-Umgebung kompromittiert.

Ein Angreifer führt absichtlich oder ein Administrator versehentlich ein Skript aus, das eine Datenbeschädigung im gesamten Forest verbreitet.

Ein Angreifer erweitert absichtlich oder ein Administrator versehentlich das Active Directory-Schema mit bösartigen oder widersprüchlichen Änderungen.

Keiner der Domänencontroller kann mit seinen Replikationspartnern replizieren.

Änderungen an AD DS können nicht auf jedem beliebigen domain controller vorgenommen werden.

Neue Domänencontroller können in keiner Domäne installiert werden.

Wie machen Sie das? Nun, das steht auf den Seiten 29-54 des Whitepapers, in dem die erforderlichen Schritte detailliert beschrieben werden.

Neuer Forrester TEI-Bericht: Semperis verkürzt Ausfallzeiten um 90% und spart Kunden Millionenbeträge

Studie zeigt, dass die Mehrzahl der Ransomware-Angriffe weiterhin während der Feiertage und an den Wochenenden auftritt

Cohesity und Semperis kündigen ein bahnbrechendes Angebot an, das Daten- und Identitätssicherheit vereint

Semperis wird zum vierten Mal in Folge vom Inc. Magazine's Annual List of Best Workplaces für das vierte Jahr in Folge

Was ist Active Directory Forest Recovery?

Neuer Forrester TEI-Bericht: Semperis verkürzt Ausfallzeiten um 90% und spart Kunden Millionenbeträge

Studie zeigt, dass die Mehrzahl der Ransomware-Angriffe weiterhin während der Feiertage und an den Wochenenden auftritt

Cohesity und Semperis kündigen ein bahnbrechendes Angebot an, das Daten- und Identitätssicherheit vereint

Semperis wird zum vierten Mal in Folge vom Inc. Magazine's Annual List of Best Workplaces für das vierte Jahr in Folge

Was ist Active Directory Forest Recovery?

Registrieren Sie sich für die neuesten Semperis Nachrichten