Active Directory Rekonstruieren

Active Directory Rekonstruieren (10 Beiträge, 384 Mal gelesen)

Du bist nicht angemeldet. [ Login/Registrieren ]

Da es hier ja einige MS Leute gibt, eine Frage:
Wie kann ich aus einem defekten nicht mehr lauffähigen Domänencontroller das AD auf einen neuen umziehen?
Die NTDS.DIT habe ich.
--
Der einzige Weg, wahre Liebe für Geld zu kaufen, ist, sich einen Hund anzuschaffen.
Alle Kinder sind unsere Kinder! - Petition zum "jus solis" im Staatsbürgerschaftsrecht
Let me vote! - Europäische Bürgerinitiative für volles Wahlrecht für alle EU-Bürger

Gibts einen zweiten DC oder war das der einzige?

I.A. geht man über das System State Backup, nicht nur die NTDS.DIT.

Wenn der Sturm losbricht,
verstummen die Einen vor Schrecken,
und die Anderen breiten, einem Adler gleich, die Flügel aus
und schwingen sich empor.

Herzlichen Dank an Raydoo für die Fotos

Nein. Es gibt nach einem Defekt von Mainboard/Controller, nur ein Filebackup.
--
Der einzige Weg, wahre Liebe für Geld zu kaufen, ist, sich einen Hund anzuschaffen.
Alle Kinder sind unsere Kinder! - Petition zum "jus solis" im Staatsbürgerschaftsrecht
Let me vote! - Europäische Bürgerinitiative für volles Wahlrecht für alle EU-Bürger

Dann muss ich leider passen - noch nie gemacht

Wenn der Sturm losbricht,
verstummen die Einen vor Schrecken,
und die Anderen breiten, einem Adler gleich, die Flügel aus
und schwingen sich empor.

Herzlichen Dank an Raydoo für die Fotos

Hi!

Also ohne Systemstate-Backup nur auf Filebasis wird das eher nix - das AD ist zwar zu einem Großteil in der ntds.dit, aber ohne passenden DC dazu ist die Datei alleine ziemlich wertlos

Einfach einen neuen DC aufsetzen und die Datei im DS-Recovery Modus zurückspielen scheidet daher leider aus.

Die ungetestete Hardcore-Variante (ohne Garantie auf Erfolg) wäre IMHO allerdings in so einem Fall:
- neuen Server auf identischer/nahezu baugleicher Hardware neu aufsetzen (besonders der HD-Controllertreiber müsste gleich sein)
- neuen DC mit einer Live-CD booten und Registry, lokale SAM-DB, SYSVOL (NETLOGON) sowie ntds.dit samt Logs und Checkpoint-Files aus dem Filebackup rüberkopieren
- neuen DC im abgesicherten/DS-Repair Modus starten und schauen, ob das zumindest Standalone was werden würde
- etwaige Treiber nach- bzw korrekt installieren
- wenn das erledigt ist: normal starten und beten

Als Stolperstein würde ich allerdings die unterschiedlichen SIDs sehen, die im Filesystem des frisch installierten und "wiederhergestellten" System nicht identisch sind --> damit sowas funktioniert müsste man in jedem Fall zuvor einer well-known SID (zB. "Everyone") Rechte einräumen um sich nicht selbst aus dem System auszusperren. Das nachher aus dem System zu bekommen damit es wieder sauber ist dürfte aber weit komplexer sein als es den Aufwand wert ist.

Ganz Mutige nehmen das mittlerweile aufgelassene Tool "NewSID" von Sysinternals und vergeben die SID des alten Systems einfach am neuen - ab Windows Vista/2008 ist damit allerdings auch die Gefahr des Zerschießens recht groß (kann klappen, muss es aber nicht).

Wie gesagt, diese Prozedur ist ungetestet und steht sicher in keinem Lehrbuch oder gar der MSKB - was aber nicht heißen soll, dass es von der Theorie her nicht funktionieren müsste...

greetz

glockman

- There's no replacement for displacement. Not even Diesel. -

Ich bin weder die NSA noch der BND. Dennoch weiß ich, was ich letzten Sommer getan habe.

Okay, danke. Klingt nicht so, als würde sich das auszahlen.

Nachdem es eh nur ca. 20 User sind.
Aber wie hat doch gleich das Tool geheißen, mit dem man ein Profil übertragen konnte.. .
--
Der einzige Weg, wahre Liebe für Geld zu kaufen, ist, sich einen Hund anzuschaffen.
Alle Kinder sind unsere Kinder! - Petition zum "jus solis" im Staatsbürgerschaftsrecht
Let me vote! - Europäische Bürgerinitiative für volles Wahlrecht für alle EU-Bürger

Meinst Du das User State Migration Tool?
Das läuft clientseitig - damit hab ich aber noch nie was zu tun gehabt, kann also auch nicht sagen, wie gut oder schlecht das funktioniert.
Falls das roaming Profiles waren die noch am Backup sind könntest Du die aber genauso gut nachträgtlich wiederherstellen, dann holen sich die User bei der ersten Anmeldung in der neuen Domäne das Profil einfach wieder vom Server.
Und im Fall von lokalen Profilen benenne einfach den User-Ordner unter \Dokumente und Einstellungen um, häng den Rechner in die neue Domäne und kopier nachher lokal die Daten rüber. Die Registry (ntuser.dat) kann man ja nachträglich mittels regedit ex- und importieren (weil einfach kopieren kann man die ja auch nicht...).

hth,

greetz

glockman

- There's no replacement for displacement. Not even Diesel. -

Ich bin weder die NSA noch der BND. Dennoch weiß ich, was ich letzten Sommer getan habe.

Wenn die Platten nicht hin sind, würd ich es über eine VM versuchen > d.h. Image zumindest der Systemplatte in eine VM ...

Wenn du kein System-State Backup hast ist dies nahezu unmöglich den AD-Recovery Mode funktioniert laufen zu lassen.

Dir wird nichts anderes Übrig bleiben wie dein AD neu bauen...
____________________________________________________________________

Only the Dead have seen the end of the War

(Plato)

Hallo,

Falls es nur einen DC gibt könnte das Klonen auf einem neuen Server funktionieren.
Ich habe vor langem von einer Festplatte aus einem defektem Server ein Image gemacht und dieses Image auf einem neuen Server mittels Symantec Backup und Restore 8.5 SBS wiederhergestellt.
Nach dem einspielen der neuen Treiber funktionierte der DC wieder ohne Fehler.
Von Acronis müsste es mit Universal Restore für den Server funktionieren.

Dieses Forum ist eine frei zugängliche Diskussionsplattform.
Der Betreiber übernimmt keine Verantwortung für den Inhalt der Beiträge und behält sich das Recht vor, Beiträge mit rechtswidrigem oder anstößigem Inhalt zu löschen.
Datenschutzerklärung