christian23 10 Geschrieben 10. August 2010 Melden Teilen Geschrieben 10. August 2010 Hallo Leute, auf einem W2K8-DC möchte ich einen Authoritative Restore mit NTDSUtil testen. Ich habe den User demo gelöscht, mit ADRestore.NET das gelöschte Objekt überprüft und den AD-Dienst beendet. Jetzt möchte ich den User demo wieder herstellen. So sieht es im NTDSUtil aus: authoritative restore: res obj CN=demo,CN=Users,DC=ttf,DC=firma-xyz,DC=de Die DIT-Datenbank wird geöffnet... Der Vorgang ist abgeschlossen. Aktuelle Zeit 08-10-10 13:44.53. Die letzte Datenbankaktualisierung erfolgte um 08-10-10 13:04.48. Die Versionsnummern des Attributs werden um 100000 erhöht. Die zu aktualisierenden Datensätze werden gezählt... Gefundene Einträge: 0000000000 Fehler beim Objekt mit dem Domänennamen in der Komponente "CN=demo". Fehler bei der autorisierenden Wiederherstellung. Ich nehme an, das liegt an dem Bindestrich, oder? Wie bekomme ich den dem NTDSUtil korrekt mitgeteilt? Gruss Christian Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 10. August 2010 Melden Teilen Geschrieben 10. August 2010 Moin, der Bindestrich ist kein Problem. Vermutlich ist aber der DN des Objekts nicht korrekt. Gruß, Nils Zitieren Link zu diesem Kommentar
christian23 10 Geschrieben 11. August 2010 Autor Melden Teilen Geschrieben 11. August 2010 Nee. Ich hätte das Restore aus dem Verzeichnis starten sollen, in dem das Systembackup liegt. Sonst kann er keine Datensätze finden... Das klappt jetzt. Ich kann mir mit repadmin /Showobjmeta auch ansehen, dass die Versionsnummern der einzelnen Account-Attribute um 100000 hochgesetzt werden. Nur: Der Authoritative Restore ändert nichts am Account! Trotz erhöhter Versionsnummern bleiben die letzten Änderungen am Account erhalten, die durch das "aut res" doch wieder gelöscht werden sollten. Ein Rätsel! Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 11. August 2010 Melden Teilen Geschrieben 11. August 2010 Moin, Nur: Der Authoritative Restore ändert nichts am Account! Trotz erhöhter Versionsnummern bleiben die letzten Änderungen am Account erhalten, die durch das "aut res" doch wieder gelöscht werden sollten. Ein Rätsel! woran genau machst du das fest? Gib bitte ein exaktes Beispiel. Vielleicht ist es nur ein Fehlverständnis der Funktionsweise des Authoritative Restore. Gruß, Nils Zitieren Link zu diesem Kommentar
christian23 10 Geschrieben 11. August 2010 Autor Melden Teilen Geschrieben 11. August 2010 Wie gehe ich vor: Per RDesktop anmelden auf einem W2K8-Server mit AD. Ich möchte einen bestehenden (bzw. auch gelöschten) Benutzer auf einen früheren Stand zurücksetzen. Folgende Schritte: AD-Dienst stoppen (und abhängige Dienste). In Kommandozeile in das Systembackup-Verzeichnis gehen ntdsutil aufrufen, act inst NTDS, aut res, dann: authoritative restore: res obj CN=test,CN=Users,DC=tff,DC=firma-xyz,DC=de Die DIT-Datenbank wird geöffnet... Der Vorgang ist abgeschlossen. Aktuelle Zeit 08-11-10 14:35.34. Die letzte Datenbankaktualisierung erfolgte um 08-11-10 14:34.04. Die Versionsnummern des Attributs werden um 100000 erhöht. Die zu aktualisierenden Datensätze werden gezählt... Gefundene Einträge: 0000000001 Der Vorgang ist abgeschlossen. 1 Einträge wurden für die Aktualisierung gefunden. Datensätze werden aktualisiert... Verbleibende Datensätze: 0000000000 Der Vorgang ist abgeschlossen. 1 Datensätze wurden einwandfrei aktualisiert. Die folgenden Textdatei, die eine Liste autorisiert wiederhergestellter Objekte enthält, wurde im aktuellen Arbeitsverzeichnis erstellt: ar_20100811-143534_objects.txt Keines der angegebenen Objekte in dieser Domäne verfügt über rückwärtige Verknüpfungen. Es wurde keine Verknüpfungswiederherstellungsdatei erstellt. 2 x quit und AD wieder starten repadmin /Showobjmeta zeigt um 100000 erhöhte Versionsnummern der einzelnen Accountattribute. Aber im AD wird der Account nicht auf den Backupstand zurückgesetzt. Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 11. August 2010 Melden Teilen Geschrieben 11. August 2010 Moin, das meine ich nicht. Wie sieht das Objekt vorher aus, wie hinterher? Allgemein scheint es mir, dass du den Vorgang missverstehst. Das Authoritative Restore setzt nicht das Objekt 1:1 auf den Stand des Backup zurück. Es schreibt die Werte, die im "Backup" stehen, ins AD und markiert das Objekt dann per Versionsnummer als aktuell. Wenn im "Backup" für ein Attribut kein Wert eingetragen ist, ändert der Prozess nichts am vorherigen Wert. Ein im aktuellen Stand vorhandener Wert wird also durch den Prozess nicht gelöscht. Der Fokus des Authoritative Restore liegt darin, gelöschte Objekte wiederherzustellen. Es ist nicht dafür gedacht, vorhandene Objekte zu 100 Prozent auf einen alten Stand zurückzusetzen. Wenn du so etwas benötigst, sollest du dir die erweiterte Überwachung ab Windows 2008 ansehen. faq-o-matic.net Video-Tutorial: Active Directory Object Recovery Gruß, Nils Zitieren Link zu diesem Kommentar
christian23 10 Geschrieben 18. August 2010 Autor Melden Teilen Geschrieben 18. August 2010 Stimmt! Das was ich suche (z.B. einen Benutzer wieder auf einen früher gesicherten Stand zu setzen), kann mit dem "Authoritative Restore" nicht durchgeführt werden. Stattdessen scheint die "Erweiterte Überwachung" dies leisten zu können. Vielen Dank für Deine Hilfe! Christian Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 18. August 2010 Melden Teilen Geschrieben 18. August 2010 Moin, gern, danke für die Rückmeldung! Gruß, Nils Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.