Autorisierende Wiederherstellung des Active Directory und Auswirkungen auf Vertrauensstellungen und Computerkonten

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 216243 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel wurde zuvor veröffentlicht unter D42242
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
216243 Authoritative Restore of Active Directory and Impact on Trusts and Computer Accounts
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Die Funktion "Autorisierende Wiederherstellung" ermöglicht es einem Administrator, bestimmte Objekte oder Unterstrukturen von Objekten aus einer archivierten Active Directory-Datenbank auszuwählen und auf einem Domänencontroller wiederherzustellen. Beachten Sie, dass als Folge dieses Vorgangs die Active Directory-Replikation diesen wiederhergestellten Status (den Systemstatus) der Objekte repliziert, so dass die aktuell auf allen Domänencontrollern in der Domäne gespeicherten Kopien überschrieben werden. Die wiederhergestellten Objekte erhalten eine USN, die größer ist als die USN des aktuellen Satzes von Domänenobjekten.

Für weitere Informationen zur autorisierenden Wiederherstellung lesen Sie das Thema "Autorisierende Wiederherstellung" in der Windows Backup-Hilfe.

Weitere Informationen

Kennwörter für Vertrauensstellungen und Computerkonten werden in einem bestimmten Intervall ausgehandelt (standardmäßig alle dreißig Tage, außer bei Computerkonten, die vom Administrator deaktiviert werden können).

Wenn Sie die Methode der autorisierenden Wiederherstellung im Active Directory auf einem Domänencontroller verwenden, könnte ein zuvor verwendetes Kennwort für die Objekte im Active Directory, die über Vertrauensstellungen und Computerkonten verfügen, wiederhergestellt werden. Im Fall von Vertrauensstellungen kann dies zum Verlust der Kommunikation mit anderen Domänencontrollern von anderen Domänen führen. Im Fall eines Kennworts für ein Computerkonto könnte dies zum Verlust der Kommunikation zwischen dem Mitglied der Arbeitsgruppe/dem Mitgliedsserver und einem Domänencontroller seiner Domäne führen.

Beachten Sie ebenfalls, dass Windows 2000 eine Liste von zwei Kennwörtern auf der vertrauten Domänenkomponente einer Vertrauensstellung verwendet. Weitere Informationen finden Sie in folgendem Artikel der Microsoft Knowledge Base:
154501 Deaktivieren von automatischen Computer-Konto-Kennwort-Änderungen

Nicht autorisierende Wiederherstellung eines Domänencontrollers

In Fällen, in denen ein Domänencontroller nach einem Hardwarefehler oder einem Austausch wiederhergestellt werden muss, und die Daten auf anderen Domänencontrollern als fehlerfrei bekannt sind, ist nur eine Wiederherstellung der jüngsten Sicherung eines Domänencontrollers erforderlich.

Nach der Wiederherstellung beginnt die Active Directory-Replikation automatisch mit der Weiterleitung von Änderungen von anderen Domänencontrollern, die nach dem Zeitpunkt der Sicherung aufgetreten sind.

Autorisierende Wiederherstellung eines Domänencontrollers

In Fällen, in denen andere Domänencontroller vorhanden sind, aber Daten wiederhergestellt werden müssen, gehen Sie mit Vorsicht vor, wenn Sie eine autorisierende Wiederherstellung von Daten im Domänennamenkontext durchführen. Vertrauensstellungsdaten sowohl für übergeordnete/untergeordnete Vertrauensstellungen zu Windows 2000-Domänen in der Gesamtstruktur als auch NTLM/Kerberos-Vertrauensstellungen zu anderen Downlevel- oder Windows 2000-Domänen befinden sich im Domänennamenkontext.

Wenn eine Wiederherstellung von Daten erforderlich ist, sollte eine autorisierende Wiederherstellung nur für die betroffenen Teile des Namenskontextes durchgeführt werden. Wenn der gesamte Namenskontext wiederhergestellt wird, werden alle Kennwörter für Computerkonten und Vertrauensstellungen auf den Wert zum Zeitpunkt der Sicherung wiederhergestellt und werden nachfolgend möglicherweise ungültig, weil die Kennwörter nach dem Zeitpunkt der Sicherung möglicherweise neu ausgehandelt wurden. Als Folge davon sind die Kennwörter für die Vertrauensstellungen oder Computerkonten möglicherweise nicht länger synchronisiert und müssen zurückgesetzt werden.

Um NTLM-Vertrauensstellungen zu Windows 2000- oder Downlevel-Domänen zurückzusetzen, muss die Vertrauensstellung entfernt und neu erstellt werden. Wenn der Administrator dies für mehrere Domänen vornehmen muss, kann das im Windows 2000 Resource Kit enthaltene Programm "Netdom" verwendet werden, um diese Aktionen mittels eines Batchprozesses durchzuführen.

Wenn andere Domänencontroller vorhanden sind und eine autorisierende Wiederherstellung durchgeführt wird, verbleiben alle Objekte, die nach der Sicherung im Namenskontext (bei diesem Beispiel der Domänennamenkontext) erstellt wurden, im Active Directory.
Beispiel:
  • An Tag 1 führt der Administrator eine Sicherung des Systems durch.
  • An Tag 2 erstellt der Administrator einen Benutzer mit dem Namen "Benutzer zwei", und diese Daten werden auf andere Domänencontroller in der Domäne repliziert.
  • An Tag 3 wird der Benutzer mit dem Namen "Benutzer eins" versehentlich gelöscht.
  • An Tag 4 wird eine autorisierende Wiederherstellung des Domänencontrollers mit der an Tag 1 erstellten Sicherung durchgeführt.
Als Ergebnis sind sowohl "Benutzer eins" als auch "Benutzer zwei" in der Domäne vorhanden.

Autorisierende Wiederherstellung eines Domänencontrollers, wenn keine anderen Domänencontroller vorhanden sind

Wenn keine anderen Domänencontroller vorhanden sind, um kürzlich erfolgte Änderungen auf ein wiederhergestelltes System zu replizieren, oder eine autorisierende Wiederherstellung erforderlich ist, um den bekannten Status von Domänencontrollern wiederherzustellen, sollte eine autorisierende Wiederherstellung des gesamten Namenskontextes durchgeführt werden.

Dies führt zu dem gleichen Szenario wie oben angesprochen. Wenn Kennwörter für Vertrauensstellungen oder Computerkonten betroffen sind, müssen diese zurückgesetzt werden.

Eigenschaften

Artikel-ID: 216243 - Geändert am: Dienstag, 20. Dezember 2005 - Version: 3.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Keywords: 
kbinfo KB216243
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com