Public Key Services gelöscht - Was tun?

[inno-it 10]

Hi,

 

mir ist ein absolutes Missgeschick passiert. Ich habe fälschlicherweisen einen falschen Ordner mit Adsiedit gelöscht und zwar in der Konfiguration unter Services den gesamte Ordner "Public Key Services".

Nun wollte ich die CA installieren, kann bei der Auswahl zwischen Unternehmen und eigenständig nur eigenständig wählen. Der Punkt Unternehmen ist gegraut. Ich vermute, dass es mit dem Löschen zu tun hat. Gibt es Möglichkeiten den Ordner Public Key Services wieder neu erstellen zu lassen? Mit AD Restore habe ich es nicht hinbekommen den Ordner wiederherzustellen. Ich hoffe ihr könnt mir helfen. Ich ärgere mich schon die ganze Zeit über meine Dummheit :-(

[dmetzger 10]

Wie bist Du beim AD Restore vorgegangen (Schritt für Schritt)?

[inno-it 10]

Nunja ich habe ADRestore.NET ausgeführt und nach gelöschten Objekten gesucht. Doch scheinbar kann man ADRestore nur Benutzerobjekte, Compterobjekte und OUs wiederherstellen. Ich habe allerdings noch eine Sicherung des SystemStates.

Möchte nur ungern den DC für eine Rücksicherung herunterfahren. Kann man vielleicht die Daten aus der ntds.dit des Backups auslesen und online auf den DC wiederherstellen?

[dmetzger 10]

Ist es der einzige DC, und um welches OS handelt es sich?

 

Die ntds.dit hilft mit Sicherheit. Aber ich muss zuerst die Antwort auf meine Frage erhalten.

[inno-it 10]

Es sind ingesamt 2 DCs und beide laufen unter Windows 2008. Vielen Dank schonmal für deine Bemühungen.

bearbeitet 24. Oktober 2010 von inno-it

[dmetzger 10]

Du wirst somit um einen zweimaligen Neustart eines der DCs nicht herumkommen. Welchen Du nimmst, spielt keine Rolle, es sei denn, Du hast nur vom einen einen Snapshot oder eine Sicherung der ntds.dit (sprich Backup). In diesem Fall nimmst Du den DC, von dem der Snapshot oder die Sicherung existiert.

 

Es gibt einen schnellere und eine übliche Variante. Die schnellere wende ich selbst bei Kunden an, wenn ich die Wiederherstellung vor Ort kontrollieren kann und die Verantwortung trage; sie funktioniert zuverlässig, ist aber nicht offiziell unterstützt. In Deinem Fall möchte ich ausschliesslich ein dokumentiertes und unterstützte Verfahren anführen. Im Grundsatz umfasst dies:

 

1. DC zur Wiederherstellung bestimmen und über die Systemkonfiguration als Startoption "Abgesicherter Start" -> "Active Directory-Reparatur" wählen (erspart das rechtzeitige Drücken von F8 während des Systemstarts";

2. System neu starten (Reparaturmodus);

3. AD aus Sicherung wiederherstellen und den Subtree "CN=Public Key Services,CN=Services,CN=Configuration,DC=FIRMA,DC=DE" autoritativ markieren;

4. Startoption über die Systemkonfiguration auf normalen Systemstart ändern. System neu starten. Replikation durchführen "repadmin /syncall /AeP";

5. Mit Adisedit prüfen, ob der Subtree wiederhergestellt ist;

6. Funktionalität der CA prüfen.

 

Lass mich wissen, ob Du erfolgreich bist.

[inno-it 10]

Vielen Dank für deine Hilfe. Die Daten wurden schon vor einigen Wochen gelöscht. Genauer gesagt am 20.09. Ein System State Backup liegt vom 18.09. vor. Dieses wurde vom PDC gemacht. Ich könnte diesen DC nun im Wiederherstellungsmodus des AD starten, mit der Backup Software den kompletten Systemstate zurücksichern und mittels NTDSUtil den Pfad als autoritativ setzen.

Werden daraufhin alle Daten im AD, die zwischen dem 18.09 und heute gemacht wurden gelöscht und muss man diese wieder manuell anlegen?

 

Folgendes Beispiel für NTDSUtil habe ich Netz gefunden. Würde dies die Vorgehensweise sein? Mit dem setzen eines Objekts als autoritativ erreicht man doch nur, dass die anderen DCs dieses Objekt beim replizeiren nicht wieder löschen oder?

 

Beispiel:

 

Damit eine OU autoritativ wiederhergestellt werden kann, müssen folgende Schritte durchgeführt werden:

 

*

Der DC muss zuerst im Modus "Verzeichnisdienste wiederherstellen" gestartet werden (F8 beim starten)

*

Nach der Anmeldung ist ein aktuelles System State z.B. mit NTBACKUP vom DC rückzusichern

*

Anschließend darf kein Neustart durchgeführt werden

*

In der Kommandozeile muss NTDSUTIL aufgerufen und folgende Befehle eingegeben werden:

 

authotitative restore

restore subtree <Distinguished Name der gelöschten OU>

Der Distinguished Name (DN) für eine OU Benutzer direkt unter der Domäne intra.dikmenoglu.de würde so aus:

OU=Benutzer,DC=intra,DC=dikmenoglu,DC=de

*

 

Zu guter Letzt ist durch Eingabe von „quit“ (insgesamt zweimal) das NTDSUTIL und mit „exit“ die Kommandozeile zu verlassen.

 

 

 

Nach einem Neustart ist die OU erneut im Active Directory verfügbar.

 

Für eine autoritative Wiederherstellung eines Benutzer-Objekts, muss anstatt „restore subtree DN“,

dass Kommando „restore object DN“ verwendet werden.

 

[zahni 550]

Und dann Adsiedit vom System verbannen. Zum Spielen damit gibt es Testsysteme.

[inno-it 10]

ja da geben ich dir schon recht, nur jetzt muss es halt erstmal wieder hingebogen werden. Man lernt ja immer wieder was dazu ;)

[dmetzger 10]

Werden daraufhin alle Daten im AD, die zwischen dem 18.09 und heute gemacht wurden gelöscht und muss man diese wieder manuell anlegen?

 

Nein. Du markierst nur die genannte Teilstruktur als autoritativ. Der Rest der Datenbank ist nicht autoritativ und wird daher beim nächsten Systemstart per Replikation eingehend auf den aktuellen Stand des 2. DCs aufdatiert. Der 2. DC wiederum übernimmt per eingehender Replikation die wiederhergestellte Teilstruktur.

 

Und dann Adsiedit vom System verbannen. Zum Spielen damit gibt es Testsysteme.

 

Oder den Umgang damit zu lernen und per Richtlinie zu definieren, wer dieses Werkzeug in welchem Umfang nutzen darf. Wir benötigen Adsiedit und den Attribut-Editor fast täglich auch in produktiven Umgebungen und schätzen die Tatsache, dass er ab W2K8 eingebaut ist.

bearbeitet 24. Oktober 2010 von dmetzger

[inno-it 10]

Ich sag schonmal vielen Dank. Aber das Vorgehen mit NTDSUtil war schon richtig oder? Ich werde die Rücksicherung am Wochende durchführen.