Backup, Wiederherstellung & Troubleshooting
1. Warum AD-Backups so wichtig sind
Active Directory ist die zentrale Identitätsdatenbank des Unternehmens.
Wenn sie beschädigt ist, funktioniert fast nichts mehr:
keine Anmeldung
keine Gruppenrichtlinien
keine Replikation
keine Freigaben mit Berechtigungen
Ein einfaches Dateibackup reicht nicht aus,
weil das AD nicht aus normalen Dateien, sondern aus einer transaktionalen Datenbank besteht
(NTDS.dit + Transaktionslogs).
Darum müssen systemzustandsbezogene Sicherungen durchgeführt werden,
die auch die Registry, COM+-Datenbank, Startdateien und SYSVOL enthalten.
2. Was ist im „System State“ enthalten?
| Bestandteil | Beschreibung |
|---|---|
| NTDS.dit | Die eigentliche Active-Directory-Datenbank |
| SYSVOL | Gruppenrichtlinien & Logon-Skripte |
| Registry (HKLM + HKU) | Systemkonfiguration |
| Boot-Dateien | Für den Systemstart benötigte Dateien |
| COM+-Datenbank | Komponentenverwaltung für Dienste |
| Zertifikatdienste (falls vorhanden) | CA-Konfiguration |
Der Systemstate ist die einzige Sicherung,
mit der sich ein Domänencontroller korrekt wiederherstellen lässt.
3. Sicherung eines Domänencontrollers
Variante A: Windows Server Backup (GUI)
Öffne Windows Server Backup (
wbadmin.msc).Wähle „Einmalige Sicherung“ → Systemstatus.
Ziel: externe Festplatte oder Netzlaufwerk.
Sicherung starten → dauert meist 10–15 Minuten.
–>Die Sicherung kann nur auf einem Domänencontroller erfolgen.
Variante B: PowerShell
wbadmin start systemstatebackup -backupTarget:E: -quiet
oder für geplante Aufgaben:
schtasks /create /tn "AD-SystemStateBackup" /tr "wbadmin start systemstatebackup -backupTarget:E: -quiet" /sc daily /st 02:00
4. Wiederherstellungsmöglichkeiten
| Art | Beschreibung | Wann einsetzen |
|---|---|---|
| Nicht-autorisierte Wiederherstellung | DC wird vollständig aus Backup ersetzt, AD übernimmt neueste Daten von anderen DCs | Wenn nur ein DC beschädigt ist |
| Autorisierte Wiederherstellung | DC wird aus Backup wiederhergestellt und überschreibt andere DCs | Wenn ein bestimmtes Objekt (z. B. OU, Benutzer) absichtlich wiederhergestellt werden soll |
| AD-Papierkorb | Wiederherstellung gelöschter Objekte ohne Neustart | Nur, wenn vorher aktiviert |
| Ntdsutil | Manuelle Wiederherstellung und Reparaturwerkzeug | Für gezielte, fortgeschrittene Eingriffe |
5. Beispiel: Wiederherstellung einer OU
Server in Directory Services Restore Mode (DSRM) starten
→ beim Booten F8 drückenMit dem DSRM-Kennwort anmelden
Backup mounten und wiederherstellen:
wbadmin start systemstaterecovery -version:03/10/2025-02:00 -quiet
Nach der Wiederherstellung:
ntdsutil
activate instance ntds
authoritative restore ou="Azubis"
quit
Dadurch wird die OU „Azubis“ als autorisierte Kopie markiert
und bei der nächsten Replikation auf andere DCs übertragen.
6. Troubleshooting-Grundlagen im AD
Replikation prüfen
repadmin /replsummary
repadmin /showrepl
Zeigt dir, ob alle DCs miteinander synchronisiert sind.
DNS testen
dcdiag /test:dns /v
Findet fehlende oder fehlerhafte SRV-Records.
Gruppenrichtlinien prüfen
gpresult /h c:\temp\gpo.html
Zeigt, welche Richtlinien für Benutzer und Computer aktiv sind.
Kontosperrungen analysieren
Search-ADAccount -LockedOut | Select-Object Name,LastLogonDate
7. Zusammenfassung
| Thema | Kernaussage |
|---|---|
| System State | Enthält alle kritischen AD-Komponenten (NTDS, SYSVOL, Registry) |
| Backup | Nur Systemstate-Backups sichern das AD korrekt |
| Wiederherstellung | Autorisiert (überschreiben) oder nicht-autorisierte Wiederherstellung |
| Papierkorb | Moderne, schnelle Objekt-Wiederherstellung ohne Neustart |
| Troubleshooting-Tools | repadmin, dcdiag, gpresult, Search-ADAccount |
| PowerShell-Alternative | Viele Prüfungen automatisierbar, z. B. Reporting über mehrere DCs |