Active Directory Wiederherstellung (vollständig)

Backups sind wichtig, ich denke das ist klar. Doch hin und wieder sollte man auch mal eine Wiederherstellung testen und dokumentieren weil das beste Backup nützt nichts (oder wenig) wenn es korrupt ist…

Ich ziehe mehrere Domain Server täglich per Wbadmin.exe ab. Die System State Sicherung beinhaltet auch die Actice Directory Datenbank sowie das SYSVOL Verzeichnis. Während der Windows Server Sicherung deaktiviere ich den Virenscanner denn dieser hatte in der Vergangenheit immer wieder mal das Backup korrumpiert.

Nun stand also ein weiterer Wiederherstellungstest an. Szenario "Worst Case", d.h. kompletter Ausfall des Actice Directory Forest. Getetstet habe ich das in einem isolierten Netzwerk.

Schritt 1: Server von einem Windows Medium booten (in meinem Fall Server 2008 R2) und Computerreparatur auswählen.

Schritt 2: Auf den Backup Pfad verweisen und den Server vollständig wiederherstellen (alle lokalen Festplatten formatieren)

Nach dem Recovery konnte ich mich an dem Server anmelden, jedoch startete das DNS und somit auch das ADS nicht. Der DNS-Server gab einen Fehler mit der Event ID 4013 aus. Im Endeffekt bedeutet dies, dass er auf die initiale Replikation wartet – was in einem isolierten Netzwerk nicht passieren kann.

Die Lösung ist ein Registry-Key welcher manuell gesetzt werden muss:

HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
"Repl Perform Initial Synchronizations" = DWORD:00000000

Nach einem Neustart wird dann keine inititale Replikation durchgeführt. Nachdem der DNS-Server läuft sollte der Key gelöscht werden oder auf DWORD:00000001 umgestellt werden.

Was dann noch fehlt, ist die Übername der FSMO Rollen auf den neuen Server. Dies wird mit NTDSUtil erledigt:

Dies muss für alle 5 FSMO Rollen durchgeführt werden.

Danach sollte das ADS wieder sauber laufen, ggf. muss der Server noch zum Globalen Katalog gemacht werden.