Domain-Controller mit Windows Server Backup sichern und wiederherstellen

Nur eine autoritative Wiederherstellung erlaubt ein Restore eines gelöschten AD-Objekts, da nicht der AD-Stand anderer Domain-Controller übernommen wird.

Was Sie in diesem Artikel erfahren können: Mit der Veröffentlichung von Windows Server 2008 hat Microsoft NTBackup abgeschafft und eine neue Backup-Anwendung namens Windows Server Backupeingeführt, die sich von ihrem Vorgänger sehr unterscheidet. Mit am gravierendsten sind die Änderungen bei Backups und Wiederherstellung von Domain-Controllern.

Eines war schon bei Windows Server 2003 so: Wenn Sie die Datenbank von Active Directory sichern wollten, mussten Sie ein Backup des Systemzustands (also eine Backup-Datei für kritische System-Komponenten) anlegen. Damit enden die Gemeinsamkeiten aber auch schon. Wie Sie vielleicht wissen, konnten Sie mit NTBackup ein Backup des Systemzustands über die grafische Benutzer-Oberfläche vornehmen; anschließend lag es als .BKF-Datei vor. Unter Windows Server 2008 aber müssen Sie für ein Backup des Systemzustands den folgenden Befehl eingeben:

Wbadmin start systemstatebackup –backuptarget:E:

Wenn Sie das tun, werden Ihnen zwei Dinge auffallen. Erstens dauert das Anlegen eines Systemzustand-Backups unter Windows Server 2008 länger als früher bei Windows Server 2003. Der Grund dafür: Windows Server Backup berücksichtigt dabei auch System-Dateien, die bei Backups mit NTBackup noch nicht enthalten waren. Zweiter Punkt: Statt einer .BKF-Datei erhalten Sie als Ergebnis eine .VHD-Datei.

Allerdings ist die Befehlszeile nicht die einzige Möglichkeit, ein Systemzustand-Backup einzuleiten: Sie können es auch über die grafische Oberfläche starten, indem Sie dort die Option „Enable System Recovery“ aktivieren. Allerdings führt dies nur dazu, dass bei gewöhnlichen Backups auch der Systemzustand gesichert wird; ein reines Backup des Systemzustands ist so nicht möglich.

Wiederherstellung mit Windows Server Backup

Mit welcher Methode Sie einen Domain-Controller wiederherstellen, hängt davon ab, ob Sie eine autoritative Wiederherstellung brauchen oder nicht. Eine nichtautoritative Wiederherstellung ist  eine ganz normale – Sie nehmen also eine normale Systemzustand-Wiederherstellung vor und starten dann den Server neu. Wenn Sie das tun, werden die anderen Domain-Controller in Ihrem Netzwerk fehlende Objekte im wiederhergestellten eintragen.

Bei einer autoritativen Wiederherstellung dagegen wird tatsächlich das gesamte Active Directory in einen früheren Zustand gebracht. Das ist nützlich, wenn Sie zum Beispiel versehentlich ein Objekt gelöscht und es zurückhaben wollen. In solchen Situationen hilft eine nichtautoritative Wiederherstellung nicht: Die fehlenden Objekte werden damit zwar wiederhergestellt, aber die anderen Domain-Controller werden dem frisch wiederhergestellten dann sagen, dass das Objekt gelöscht werden muss.

Für eine Systemzustand-Wiederherstellung eines Domain-Controllers müssen Sie ihn im Modus „Directory Services Restore“ starten. Die Methode dafür hat sich seit Windows Server 2003 geändert – die früher vorhandene Datei boot.ini gibt es nicht mehr. Stattdessen müssen Sie in einem Kommandozeilen-Fenster den folgenden Befehl eingeben:

C:\> bcedit /set safeboot dsrepair

Anschließend müssen Sie den Server neu starten und danach herausfinden, welches Backup Sie wiederherstellen wollen. Eine Wiederherstellung des Systemzustands ist möglich über ein vollständiges System-Backup (also der entscheidenden System-Volumes) oder ein Backup des Systemzustands. In jedem Fall müssen Sie wissen, welche Backups zur Auswahl stehen. Dazu brauchen Sie eine „erhöhte“ Eingabeaufforderung, also eine, die als Administrator ausgeführt wird, was bei vielen Windows-Versionen standardmäßig nicht vorgesehen ist. Geben Sie dort den folgenden Befehl ein:

Wbadmin get versions

Danach zeigt Windows alle Backups, die für eine Wiederherstellung zur Verfügung stehen. In der Liste enthalten ist jeweils eine Versionsidentifikation (mit Datum und Zeitstempel); notieren Sie diejenige, die Sie wiederherstellen wollen.

Der Befehl für die eigentliche Wiederherstellung hängt davon ab, ob sie autoritativ sein soll oder nicht. Nehmen wir als Beispiel an, ich möchte ein Backup mit der Versionsidentifikation 07/26/2010-12:00 wiederherstellen. Für eine nichtautoritative Wiederherstellung würde ich dann diesen Befehl eingeben:

Wbadmin start systemstaterecovery –version:07/26/2010-12:00

Für eine autoritative Wiederherstellung gilt der gleiche Befehl, aber zusätzlich mit dem Schalter authsysvol. Insgesamt sähe er damit so aus:

Wbadmin start systemstaterecovery –version:07/26/2010-12:00 -AUTHSYSVOL

Wenn die Wiederherstellung vollzogen ist, werden Sie in den meisten Fällen Windows so konfigurieren müssen, dass es wieder normal (statt in den Restore-Modus) bootet. Geben Sie dazu den folgenden Befehl ein:

C:\> bcedit /deletevalue safeboot

Wie Sie sehen, unterscheidet sich der Prozess zur Wiederherstellung eines Domain-Controllers unter Windows Server 2008 recht deutlich vom Vorgehen bei Windows Server 2003. Der Befehl Wbadmin unterstützt eine Reihe von Optionen, etwa die Fähigkeit, Daten auf einem Remote-Server wiederherzustellen. Weitere Informationen finden Sie in einem Beitrag über alle verfügbaren Optionen für Systemzustand-Wiederherstellungen auf der Microsoft-Website.

Über den Autor: Brien M. Posey, MSCE, ist Träger der Auszeichnung Microsoft MVP für Exchange Server, Windows Server und Internet Information Services (IIS). Er hat als CIO für eine US-weite Krankenhaus-Kette gearbeitet und war eine Zeitlang verantwortlich für die Abteilung Informationssicherheit in Fort Knox. Seine persönliche Website finden Sie unter www.brienposey.com.

Erfahren Sie mehr über Backup-Lösungen und Tools