Jump to content

Public Key Services gelöscht - Was tun?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi,

 

mir ist ein absolutes Missgeschick passiert. Ich habe fälschlicherweisen einen falschen Ordner mit Adsiedit gelöscht und zwar in der Konfiguration unter Services den gesamte Ordner "Public Key Services".

Nun wollte ich die CA installieren, kann bei der Auswahl zwischen Unternehmen und eigenständig nur eigenständig wählen. Der Punkt Unternehmen ist gegraut. Ich vermute, dass es mit dem Löschen zu tun hat. Gibt es Möglichkeiten den Ordner Public Key Services wieder neu erstellen zu lassen? Mit AD Restore habe ich es nicht hinbekommen den Ordner wiederherzustellen. Ich hoffe ihr könnt mir helfen. Ich ärgere mich schon die ganze Zeit über meine Dummheit :-(

Link zu diesem Kommentar

Nunja ich habe ADRestore.NET ausgeführt und nach gelöschten Objekten gesucht. Doch scheinbar kann man ADRestore nur Benutzerobjekte, Compterobjekte und OUs wiederherstellen. Ich habe allerdings noch eine Sicherung des SystemStates.

Möchte nur ungern den DC für eine Rücksicherung herunterfahren. Kann man vielleicht die Daten aus der ntds.dit des Backups auslesen und online auf den DC wiederherstellen?

Link zu diesem Kommentar

Du wirst somit um einen zweimaligen Neustart eines der DCs nicht herumkommen. Welchen Du nimmst, spielt keine Rolle, es sei denn, Du hast nur vom einen einen Snapshot oder eine Sicherung der ntds.dit (sprich Backup). In diesem Fall nimmst Du den DC, von dem der Snapshot oder die Sicherung existiert.

 

Es gibt einen schnellere und eine übliche Variante. Die schnellere wende ich selbst bei Kunden an, wenn ich die Wiederherstellung vor Ort kontrollieren kann und die Verantwortung trage; sie funktioniert zuverlässig, ist aber nicht offiziell unterstützt. In Deinem Fall möchte ich ausschliesslich ein dokumentiertes und unterstützte Verfahren anführen. Im Grundsatz umfasst dies:

 

1. DC zur Wiederherstellung bestimmen und über die Systemkonfiguration als Startoption "Abgesicherter Start" -> "Active Directory-Reparatur" wählen (erspart das rechtzeitige Drücken von F8 während des Systemstarts";

2. System neu starten (Reparaturmodus);

3. AD aus Sicherung wiederherstellen und den Subtree "CN=Public Key Services,CN=Services,CN=Configuration,DC=FIRMA,DC=DE" autoritativ markieren;

4. Startoption über die Systemkonfiguration auf normalen Systemstart ändern. System neu starten. Replikation durchführen "repadmin /syncall /AeP";

5. Mit Adisedit prüfen, ob der Subtree wiederhergestellt ist;

6. Funktionalität der CA prüfen.

 

Lass mich wissen, ob Du erfolgreich bist.

Link zu diesem Kommentar

Vielen Dank für deine Hilfe. Die Daten wurden schon vor einigen Wochen gelöscht. Genauer gesagt am 20.09. Ein System State Backup liegt vom 18.09. vor. Dieses wurde vom PDC gemacht. Ich könnte diesen DC nun im Wiederherstellungsmodus des AD starten, mit der Backup Software den kompletten Systemstate zurücksichern und mittels NTDSUtil den Pfad als autoritativ setzen.

Werden daraufhin alle Daten im AD, die zwischen dem 18.09 und heute gemacht wurden gelöscht und muss man diese wieder manuell anlegen?

 

Folgendes Beispiel für NTDSUtil habe ich Netz gefunden. Würde dies die Vorgehensweise sein? Mit dem setzen eines Objekts als autoritativ erreicht man doch nur, dass die anderen DCs dieses Objekt beim replizeiren nicht wieder löschen oder?

 

Beispiel:

 

Damit eine OU autoritativ wiederhergestellt werden kann, müssen folgende Schritte durchgeführt werden:

 

*

Der DC muss zuerst im Modus "Verzeichnisdienste wiederherstellen" gestartet werden (F8 beim starten)

*

Nach der Anmeldung ist ein aktuelles System State z.B. mit NTBACKUP vom DC rückzusichern

*

Anschließend darf kein Neustart durchgeführt werden

*

In der Kommandozeile muss NTDSUTIL aufgerufen und folgende Befehle eingegeben werden:

 

authotitative restore

restore subtree <Distinguished Name der gelöschten OU>

Der Distinguished Name (DN) für eine OU Benutzer direkt unter der Domäne intra.dikmenoglu.de würde so aus:

OU=Benutzer,DC=intra,DC=dikmenoglu,DC=de

*

 

Zu guter Letzt ist durch Eingabe von „quit“ (insgesamt zweimal) das NTDSUTIL und mit „exit“ die Kommandozeile zu verlassen.

 

 

 

Nach einem Neustart ist die OU erneut im Active Directory verfügbar.

 

Für eine autoritative Wiederherstellung eines Benutzer-Objekts, muss anstatt „restore subtree DN“,

dass Kommando „restore object DN“ verwendet werden.

 

Link zu diesem Kommentar
Werden daraufhin alle Daten im AD, die zwischen dem 18.09 und heute gemacht wurden gelöscht und muss man diese wieder manuell anlegen?

 

Nein. Du markierst nur die genannte Teilstruktur als autoritativ. Der Rest der Datenbank ist nicht autoritativ und wird daher beim nächsten Systemstart per Replikation eingehend auf den aktuellen Stand des 2. DCs aufdatiert. Der 2. DC wiederum übernimmt per eingehender Replikation die wiederhergestellte Teilstruktur.

 

Und dann Adsiedit vom System verbannen. Zum Spielen damit gibt es Testsysteme.

 

Oder den Umgang damit zu lernen und per Richtlinie zu definieren, wer dieses Werkzeug in welchem Umfang nutzen darf. Wir benötigen Adsiedit und den Attribut-Editor fast täglich auch in produktiven Umgebungen und schätzen die Tatsache, dass er ab W2K8 eingebaut ist.

bearbeitet von dmetzger
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...