Jump to content

Wiederherstellung einer OU nach löschen.

mullfreak

Von mullfreak
in Windows Server Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

mullfreak

mullfreak   10

Geschrieben
Geschrieben

Hallo,

 

ich habe einen Domänencontroller und dort gibts eine OU "Benutzer". Der System State wurde mit ntbackup gesichert. Die Sicherung ist einen Tag alt. Nun wird die OU gelöscht und ich möchte die wiederherstellen. Wie mache ich das?

 

Mit einer kompletten Rücksicherung per Verzeichnisdienstwiederherstellung wird auch alles andere zurückgesichert. Mit ntdsutil bekomme ich folgende Fehlermeldung:

C:\Dokumente und Einstellungen\Administrator>ntdsutil
ntdsutil: authoritative restore
authoritative restore: restore object
Error 80070057 parsing input - illegal syntax?
authoritative restore: restore object ou=computer,dc=mullfreak,dc=local

Die DIT-Datenbank wird geöffnet... Der Vorgang ist abgeschlossen.

Aktuelle Zeit 05-27-07 17:16.02.
Die letzte Datenbankaktualisierung erfolgte um 05-27-07 17:06.40.
Die Versionsnummern des Attributs werden um 100000 erhöht.

Die zu aktualisierenden Datensätze werden gezählt...
Gefundene Einträge: 0000000000
Das Objekt mit dem Domänennamen ist in der Komponente "ou=computer" fehlgeschlag
en.

Die autorisierende Wiederherstellung ist fehlgeschlagen.

Error 8000ffff parsing input - illegal syntax?
authoritative restore:

Mit ntdsutil kann ich doch nur von einem weiteren DC wiederherstellen? Wie mache ich es wenn ich nur einen DC habe und nur ein Objekt oder einen Teilbereich wiederherstellen will?

 

Gruß

Mull

Link zu diesem Kommentar
Daim Veteran

Daim   12

Geschrieben
Geschrieben

Servus,

 

verwende diesen Befehl:

authoritative restore: Restore Subtree OU=<DeineOU>,DC=<DOMÄNE>,DC=<TLD>.

 

Mit ntdsutil kann ich doch nur von einem weiteren DC wiederherstellen?

 

Da verwechselst du jetzt aber etwas.

 

Wie mache ich es wenn ich nur einen DC habe und nur ein Objekt oder einen Teilbereich wiederherstellen will?

 

Das Stichwort lautet: Subtree.

 

Zum lesen empfehle ich: Active Directory - faq-o-matic.net

Link zu diesem Kommentar
grizzly999 Grand Master

grizzly999   11

Geschrieben
Geschrieben

Du musst in der Verzeichnisdienstwiederherstellung zuerst mit ntbackup den Systemstatus wiederherstellen, und dann keinen Reboot machen, sondern direkt danach im ntdsutil folgendes eingeben:

 

authotitative restore

restore subtree <Distinguished Name der gelöschten OU>

 

Der Distinguished Name (DN) für eine OU Benutzer direkt unter einer Domäne domain.local sähe so aus:

OU=Benutzer,DC=domain,DC=local

 

Anm.: Es gibt zwei oder mehr DCs?! Wenn es nur einen gibt, dann brauchts das ntdsutil nicht, denn es wäre eh kein DC da, der das Objekt wieder weglöschen könnte.

 

Alternativ gibt es auch noch das Tool adrestore von syinternals, das im laufenden Betrieb funktionieren sollte, aber eine Gewähr für eine Wiederherstellung gibt es dabei nicht:

AdRestore v1.1

 

grizzly999

Link zu diesem Kommentar
mullfreak

mullfreak   10

Geschrieben
  • Autor
Geschrieben

Habs jetzt mal am lebenden Objekt probiert. Hier nochmal das Fallbeispiel:

 

Es gibt einen Domaincontroller mit einer OU namens z. B. Benutzer. Es wird eine ntbackup-Sicherung des System States gemacht. Jetzt wird die OU versehentlich gelöscht und in der Zwischenzeit eine neue OU mit Namen "Test" angelegt.

Nun will ich die OU "Benutzer" wiederherstellen. Ich mache nun folgendes:

 

1.) Starten in der Verzeichnisdienstwiederherstellung

 

2.) Rücksicherung des NT-Backups und KEIN Neustart

 

3.) Eingabeaufforderung und dann folgendes:

3.1) ntdsutil

3.2) authoritative restore (muss ich ja machen, sonst kann ich nicht restore subtree eingeben)

3.3) restore subtree ou=benutzer,dc=mullfreak,dc=local

 

4.) Restart

 

So, jetzt ist die OU "Benutzer" wieder da aber die zwischenzeitlich angefertigte OU "Test" ist verschwunden.

 

Dann bringt mir das ganze Restore nix wenn die Änderungen verloren gehen. Ich meine mal das ist ein Praxisfall. Nehmen wir an, ein Praktikant löscht eine OU. Inzwischen werden in den nächsten Tagen Benutzer gelöscht, angelegt und sonstiges. Jetzt will ich mit ntbackup aber nur diese ou aus einer Sicherung herstellen, bei der die OU noch zu Verfügung stand.

 

Wahrscheinlich zu bl...

 

Mull

Link zu diesem Kommentar
ducke Experienced

ducke   11

Geschrieben
Geschrieben

@ carlito

Kannst du mir bitte mal deine Aussage erklären? Wenn er mit Boardmitteln einzelne Objekte wiederherstellen will, muss er doch die autorisierenden Widerherstellung starten?

Bei der nicht autorisierenden wird die gesamte AD auf Stand des letzten Backups gebracht.

 

Kleiner Lesetip:

http://www.microsoft.com/technet/technetmag/issues/2007/04/ADRecovery/default.aspx?loc=de/

 

Ich würde ich dir folgendes Tool ans Herz legen:

 

.: www.kaczenski.de :. <-- Werding

 

Damit kannst du gelöschte Objekte online wiederherstellen ohne die umständliche und zeitraubende Verzeichniswiederherstellung.

 

Wenn du natürlich etwas Geld übrig hast, gibt es nette Tools die dir das Leben als Admin einer AD Umgebung erheblich erleichtern.

Zu nennen wäre da:

1. Tools to Backup and Recover Active Directory

2. Quest : Produkte : Active Directory : Overview

 

Bei größeren Umgebungen sehr empfehlenswert :)

Link zu diesem Kommentar
mullfreak

mullfreak   10

Geschrieben
  • Autor
Geschrieben

OK, folgendes habe ich jetzt gemacht:

1.) Starten in der Verzeichnisdienstwiederherstellung

 

2.) Rücksicherung des NT-Backups und KEIN Neustart

 

3.) Eingabeaufforderung und dann folgendes:

3.1) ntdsutil

3.2) restore subtree ou=benutzer,dc=mullfreak,dc=local

 

und kriege dann diese Ausgabe:

 

ntdsutil: restore subtree ou=benutzer,dc=mullfreak,dc=local

Error 80070057 parsing input - illegal syntax?

ntdsutil:

 

Mull

Link zu diesem Kommentar
Daim Veteran

Daim   12

Geschrieben
Geschrieben

Eine autoritative Wiederherstellung, brauchst du lediglich in einer Domäne mit mehreren DCs auszuführen. Denn nur wenn weitere DCs existieren, können die wiederhergestellten Objekte von anderen DCs überschrieben werden, falls kein "authoritative restore" ausgeführt wurde.

 

Existiert lediglich nur ein einziger Domänencontroller in der Domäne, kann die wiederhergestellte Sicherung von keinem DC überschrieben werden. Das ausführen von NTDSUTIL ist somit nicht notwendig.

 

 

1.) Starten in der Verzeichnisdienstwiederherstellung

 

2.) Rücksicherung des NT-Backups und KEIN Neustart

 

3.) Eingabeaufforderung und dann folgendes:

3.1) ntdsutil

3.2) authoritative restore (muss ich ja machen, sonst kann ich nicht restore subtree eingeben)

3.3) restore subtree ou=benutzer,dc=mullfreak,dc=local

 

Das brauchst du alles nicht. Wie bereits erwähnt, bei nur einem DC kannst Du dir das mit NTDSUTIL sparen.

 

Es gibt einen Domaincontroller mit einer OU namens z. B. Benutzer. Es wird eine ntbackup-Sicherung des System States gemacht. Jetzt wird die OU versehentlich gelöscht und in der Zwischenzeit eine neue OU mit Namen "Test" angelegt.

Nun will ich die OU "Benutzer" wiederherstellen.

 

Dann ist (wie du selbst gemerkt hast) die OU TEST nicht mehr vorhanden. Dies ist ein normales Verhalten in dem Szenario mit nur EINEM DC in der Domäne.

Du brauchst einen zweiten DC in der Domäne, dann würde die OU Test bestehen bleiben.

Link zu diesem Kommentar
woiza Veteran

woiza   10

Geschrieben
Geschrieben
@ carlito

Kannst du mir bitte mal deine Aussage erklären? Wenn er mit Boardmitteln einzelne Objekte wiederherstellen will, muss er doch die autorisierenden Widerherstellung starten?

Bei der nicht autorisierenden wird die gesamte AD auf Stand des letzten Backups gebracht.

 

Falsch. Mit ntbackup bringst immer das GANZE AD auf den Stand der Sicherung, weil ja immer die ntds.dit als ganzes zurückgeschrieben wird.

 

Was danach passiert, hängt davon ab, ob du weitere DCs in der Domäne hast. Bei einem DC ist das aut. Restore grade umsonst. Du setzst damit lediglich die Versionsnummer hoch, die zwischen den DCs verglichen wird, um das aktuellste Objekt feststellen zu können. Bei einem DC ist nicht viel mit vergleichen.

 

Bei einem DC ist es immer so, dass der Stand des Backups wieder hergestellt wird und alle danach erfolgten Änderungen für die Katz sind. Ein Grund mehr für mind. 2 DCs ;).

 

Wenn du ein aut. Restore mit mehreren DCs machst, wird auf dem DC auch die alte ntds.dit hergestellt, die Neuerungen seit dem Backup sind weg, werden aber nach dem Reboot wieder repliziert.

 

 

Stimmt, da wird der aut. Restore auch nur im Zusammenhang mit mehreren replizierenden DCs erwähnt.

 

 

Ich würde ich dir folgendes Tool ans Herz legen:

 

.: www.kaczenski.de :. <-- Werding

 

Damit kannst du gelöschte Objekte online wiederherstellen ohne die umständliche und zeitraubende Verzeichniswiederherstellung.

 

Das wäre in der Tat für einen einzelnen DC das Beste und Günstigste.

 

Wenn du natürlich etwas Geld übrig hast, gibt es nette Tools die dir das Leben als Admin einer AD Umgebung erheblich erleichtern.

Zu nennen wäre da:

1. Tools to Backup and Recover Active Directory

2. Quest : Produkte : Active Directory : Overview

 

Bei größeren Umgebungen sehr empfehlenswert :)

 

Quest ist toll, ich würde mein Budget dann trotzdem erstmal in einen weiteren DC installieren.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...