Durchführen einer autorisierenden Wiederherstellung für einen Domänencontroller in Windows 2000

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 241594 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel wurde zuvor veröffentlicht unter D241594
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
241594 How to perform an authoritative restore to a domain controller in Windows 2000
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

In diesem Artikel wird beschrieben, wie eine autorisierende Wiederherstellung des Active Directory-Verzeichnisdienstes auf einem Windows 2000-Domänencontroller durchgeführt wird.

Bei einer normalen Dateiwiederherstellung arbeitet Microsoft Windows Backup im nicht autorisierenden Wiederherstellungsmodus. In diesem Modus stellt Windows Backup alle Dateien, einschließlich Active Directory-Objekte, mit der bzw. den ursprünglichen Aktualisierungssequenznummer(n) (Update Sequence Numbers, USNs) wieder her. Im Replikationssystem von Active Directory wird die USN verwendet, um Änderungen am Active Directory zu erkennen und auf alle Domänencontroller des Netzwerks zu replizieren. Alle nicht autorisierend wiederhergestellten Daten gelten für das Replikationssystem von Active Directory als veraltete Daten. Veraltete Daten werden nicht auf andere Domänencontroller repliziert. Das Replikationssystem von Active Directory aktualisiert die wiederhergestellten Daten mit neueren Daten von anderen Domänencontrollern. Durch die Durchführung einer autorisierenden Wiederherstellung wird dieses Problem behoben.

Hinweis: Eine autorisierende Wiederherstellung muss wegen der möglichen Auswirkungen auf Active Directory mit äußerster Vorsicht durchgeführt werden. Die autorisierende Wiederherstellung muss sofort nach einer Wiederherstellung des Computers über eine vorhandene Sicherungskopie und vor dem Neustart des Domänencontrollers im normalen Modus durchgeführt werden. Bei einer autorisierenden Wiederherstellung werden alle Objekte, die als autorisierend gekennzeichnet wurden, auf alle Domänencontroller repliziert, auf denen die Namenskontexte gespeichert sind, die die Objekte enthalten. Zum Durchführen einer autorisierenden Wiederherstellung auf dem Computer müssen Sie das Tool "Ntdsutil.exe" verwenden, um die notwendigen USN-Änderungen an der Active Directory-Datenbank vorzunehmen.

Für bestimmte Teile von Active Directory kann oder sollte keine autorisierende Wiederherstellung durchgeführt werden:
  • Eine autorisierende Wiederherstellung des Schemas ist nicht möglich.
  • Der Konfigurationsnamenskontext ist sehr empfindlich, da alle Änderungen die Gesamtstruktur betreffen. Es hat beispielsweise keinen Sinn, Verbindungsobjekte wiederherzustellen. Verbindungsobjekte sollten entweder mithilfe der Konsistenzprüfung (Knowledge Consistency Checker, KCC) oder manuell neu erstellt werden. Das Wiederherstellen von Server- und NTDS-Einstellungsobjekten hat nur dann einen Sinn, wenn zuvor keine schädigende Problembehandlung durchgeführt wurde. Wenn Sie sich nicht sicher sind, wenden Sie sich an Microsoft Support Services, um Hilfe zu erhalten:
    http://support.microsoft.com/default.aspx?scid=fh;DE;CNTACTMS
  • Stellen Sie im Domänenkontext keine Objekte wieder her, die RID-Pools (RID = Relative Identifier) verwenden. Hierzu gehören das untergeordnete Objekt "Rid Set" von Domänencontroller-Computerkonten und das Objekt "RidManager$" im SYSTEM-Container.
  • Ein weiteres Problem besteht darin, dass viele definierte Namensverknüpfungen bei der Wiederherstellung beschädigt werden können. Dieses Problem kann Objekte betreffen, die vom Dateireplikationsdienst (File Replication Service, FRS) verwendet werden. Diese Objekte befinden sich unter CN=File Replication Service,CN=System,DC=IhreDomäne" und "CN=NTFRS Subscriptions,CN=DC-Computerkonto.
  • Bei Versuchen, eine autorisierende Wiederherstellung für einen vollständigen Namenskontext durchzuführen, werden immer Objekte mit eingeschlossen, die das ordnungsgemäße Funktionieren wichtiger Teile von Active Directory beeinträchtigen können. Sie sollten die autorisierende Wiederherstellung stets für eine möglichst geringe Anzahl von Objekten durchführen.
  • Außerdem können ähnliche Probleme auch bei Objekten auftreten, die in anderen Anwendungen erstellt wurden. Dieses Thema kann nicht im Rahmen dieses Artikels behandelt werden.
Bei einer Wiederherstellung des Systemstatus werden alle neuen, gelöschten oder geänderten Objekte auf dem betreffenden Domänencontroller wiederhergestellt.

Eine Systemstatus-Wiederherstellung eines Namenskontextes, der zwei oder mehr Replikate enthält, ist eine autorisierende Zusammenführung. Bei einer autorisierenden Zusammenführung werden alle gelöschten oder geänderten Objekte auf den Stand zum Zeitpunkt der Sicherung zurückgesetzt. Objekte, die nach der Sicherung erstellt wurden, werden aus Namenskontextreplikaten repliziert. Bei einer autorisierenden Zusammenführung wird der Status zum Zeitpunkt der Sicherung mit neuen Objekten zusammengeführt, die nach der Sicherung erstellt wurden.

Bei einer nicht autorisierenden Wiederherstellung eines Namenskontextes, der ein einziges Replikat enthält, führen Sie eigentlich eine autorisierende Wiederherstellung durch.

Hinweis: Nachdem Sie eine autorisierende Wiederherstellung durchgeführt haben, löschen Sie möglicherweise Benutzerkonten und ihre Gruppenmitgliedschaften im Active Directory. Fügen Sie die wiederhergestellten Benutzerkonten wieder zu ihren Gruppen hinzu, um das Problem zu beheben. Weitere Informationen darüber, wie Sie wiederhergestellte Benutzerkonten wieder zu ihren Gruppen hinzufügen können, finden Sie im folgenden Artikel der Microsoft Knowledge Base:
840001 Wiederherstellen gelöschter Benutzerkonten und ihrer Gruppenmitgliedschaften im Active Directory

Durchführen einer autorisierenden Wiederherstellung

Führen Sie nach der Wiederherstellung der Daten die autorisierende Wiederherstellung mit Ntdsutil.exe durch. Gehen Sie hierzu folgendermaßen vor:
  1. Geben Sie an einer Eingabeaufforderung ntdsutil ein, und drücken Sie die [EINGABETASTE].
  2. Geben Sie authoritative restore ein, und drücken Sie die [EINGABETASTE].
  3. Geben Sie restore database ein, und drücken Sie die [EINGABETASTE]. Klicken Sie auf OK und anschließend auf Ja.

Wiederherstellen einer Teilstruktur

In vielen Fällen kann es empfehlenswert sein, aufgrund der Auswirkungen der Replikation auf die Domäne bzw. die Gesamtstruktur die gesamte Datenbank wiederzuherstellen. Die folgenden Schritte ermöglichen Ihnen die autorisierende Wiederherstellung einer Teilstruktur innerhalb der Gesamtstruktur.
  1. Starten Sie den Domänencontroller neu.
  2. Wenn das Startmenü von Windows 2000 angezeigt wird, wählen Sie den Modus Verzeichnisdienste wiederherstellen aus, und drücken Sie die [EINGABETASTE].
  3. Verwenden Sie Sicherungsmedien für eine autorisierende Wiederherstellung der Daten. Gehen Sie hierzu folgendermaßen vor:
    1. Klicken Sie im Verzeichnisdienste-Wiederherstellungsmodus auf Start, zeigen Sie auf Programme, auf Zubehör, auf Systemprogramme, und klicken Sie dann auf Backup, um das Windows 2000 Server-Dienstprogramm "Backup" zu starten.
    2. Klicken Sie auf Wiederherstellungs-Assistent und dann auf Weiter.
    3. Wählen Sie den gewünschten Sicherungspfad und vergewissern Sie sich, dass zumindest die Container System disk (Systemdatenträger) und System State (Systemstatus) ausgewählt sind.
    4. Klicken Sie auf Erweitert und vergewissern Sie sich, dass Sie Abzweigungspunkte wiederherstellen. Wenn Sie das Menü Erweitert nicht verwenden, schlägt der Wiederherstellungsvorgang fehl.
    5. Klicken Sie in der Liste Dateien wiederherstellen in: auf Ursprünglicher Bereich.
    6. Klicken Sie auf OK, und schließen Sie den Wiederherstellungsvorgang ab. Eine Fortschrittsanzeige zeigt den Status an.
    7. Starten Sie Ihren Computer nicht neu, wenn Sie dazu aufgefordert werden.
  4. Geben Sie an einer Eingabeaufforderung ntdsutil ein, und drücken Sie die [EINGABETASTE].
  5. Geben Sie authoritative restore ein, und drücken Sie die [EINGABETASTE].
  6. Geben Sie den folgenden Befehl ein, und drücken Sie danach die [EINGABETASTE]:
    restore subtree ou=OU_Name,dc=Domain_Name,dc=xxx


    Hinweis: Hierbei steht OU-Name für den Namen der wiederherzustellenden Organisationseinheit, Domänenname für den Namen der Domäne, in der sich die Organisationseinheit befindet, und xxx für den Domänennamen auf der obersten Ebene des Domänencontrollers (beispielsweise "com", "org" oder "net").
  7. Geben Sie quit ein, drücken Sie die [EINGABETASTE], geben Sie erneut quit ein, und drücken Sie erneut die [EINGABETASTE].
  8. Geben Sie exit ein, und drücken Sie die [EINGABETASTE].
  9. Starten Sie den Domänencontroller neu.




Informationsquellen

Weitere Informationen zum Wiederherstellen des Systemstatus auf einem Domänencontroller über eine vorhandene Sicherungskopie finden Sie im folgenden Artikel der Microsoft Knowledge Base:
240363 SO WIRD'S GEMACHT: Sicherung und Wiederherstellung des Windows 2000-Systemzustands mithilfe des Windows 2000-Sicherungsprogramms
Weitere Informationen über die Auswirkungen einer autorisierenden Wiederherstellung finden Sie in den folgenden Artikeln der Microsoft Knowledge Base:
216243 Autorisierende Wiederherstellung des Active Directory und Auswirkungen auf Vertrauensstellungen und Computerkonten
248132 Wiederherstellen eines gelöschten Domänencontrollercomputerkontos
840001 Wiederherstellen gelöschter Benutzerkonten und ihrer Gruppenmitgliedschaften im Active Directory

Eigenschaften

Artikel-ID: 241594 - Geändert am: Donnerstag, 1. Juni 2006 - Version: 6.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
Keywords: 
kbhowtomaster kbnetwork KB241594
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com