Verbesserungen für Ntdsutil, Teil 2

1. Dezember 2010

Mit der Einführung des Windows Server 2008 kamen sechs große Verbesserungen für das Tool Ntdsutil ins Spiel: Die Funktionalität des Snapshots hat Sean Deuby bereits im ersten Teil (im freien Bereich von NT4Admins) vorgestellt. Im zweiten Teil stellt er das Verzeichnisdienst-Verhalten (DS Behavior), lokale Rollen (Local Roles), die Verwaltung von Partitionen (Partition Management) und das Installieren von Medium (IFM, Install From Media) vor.

Damit kommt eine effiziente Wiederherstellungsmöglichkeit ins Spiel, die das verteilte Konstrukt Active Directory betreffen. Und selbst kleine Verbesserungen führen in einem derartigen Umfeld zu großen Vorteilen.

Für die komplette Wiederherstellung gelöschter Objekte im Active Directory (AD) bringt das „Active Directory Database Mounting Tool” massive Verbesserungen mit sich (siehe Teil 1 des Beitrag im freien Bereich). Dabei handelt es sich um ein neues Kommando im Rahmen von Ntdsutil, das zu einem bestimmten Zeitpunkt einen Snapshot der AD-Datenbank mit all ihren Objekten und Attributen erstellt.

Ein bessere Kontrolle der Security bei Windows Server2008 kommt mit dem Verhalten der DS („DS Behavior“) ins Spiel. Standardmäßig erlauben die Verzeichnisdienste ab Windows Server 2008 keine Operationen an Kennwörtern, wenn sie über eine ungesicherte Verbindung ausgeführt werden. Mit dem DS Behavior kann man aber das folgende Kommando eingeben:

allow passwd op on unsecured connection

Damit wird  diese Einschränkung umgangen. Doch der Administrator sollte hier große Vorsicht walten lassen: Auch wenn diese Möglichkeit nun offen steht, sollte er grundsätzlich immer die sicherere Variante wählen und nur in Ausnahmefällen auf die andere Version zurückgreifen.

Lokale Rollen

Bei den lokalen Rollen handelt es sich um eine Eigenschaft, die sich für die Definition von Gruppenmitgliedschaften lokal auf einem Read-Only Domänencontroller (RODC) eignet. Damit lässt sich eine echte Verteilung von Verwaltungsaufgaben und -Zuständigkeiten erreichen. Dazu muss der Administrator einige höhere Berechtigungen auf den RODCs einigen Benutzern einräumen. Damit können sie auf dem lokalen RODC entsprechend agieren, haben aber keinerlei höhere Rechte in übrigen Bereichen der Domäne.

Um zum Beispiel JaneBranchOfficeAdmin in die Gruppe der lokalen Administratoren auf einem RODC aufzunehmen, muss man Ntdsutil auf der Befehlszeile (auf dem betreffenden RODC) starten. Danach ist folgende Eingabe nötig:

local roles

Aus dem Menü zu den local roles ist dann der Befehl

add JaneBranchOfficeAdmin Administrators

einzugeben und schon wird Jane die Rolle des lokalen Administrators zugewiesen.

Partitions-Management

Mit Hilfe des Partition Managements lassen sich die Replikationsbenachrichtigungs-Verzögerungen („set replication notification delay“) für die Applikations-Partition in einer AD-Domäne oder Gesamtstruktur  erzeugen, auflisten löschen und setzen. Die Applikations-Partitionen tragen auch die Bezeichnung NDNCs, also "Non-Domain Naming Contexts".

Dabei lassen sich auf die Domänencontroller, die Replikate sind und eine Applikations-Partition unterstützen, aufführen. Zudem kann man das Partition Management verwenden, um Partitionen im AD LDS (Active Directory Lightweight Directory Services) zu verwalten.
Installieren vom Medium

Die Funktionalität IFM (Install From Media) ist eine erweiterte Option, die der Assistent für das Heraufstufen zum Domänencontroller (der „Dcpromo DC Creation Wizard“) bereitstellt. Allerdings tauchen die Begriff IFM (oder die ausgeschriebene Varianten nicht in der Beschreibung des englischsprachigen Assistenten auf). Das IFM versetzt den Administrator in die Lage, einen neuen DC mit Hilfe einer Systemzustands-Sicherung in eine Domäne einzuführen. Damit werden die notwendigen Verzeichnis-Partitionen aus dem Backup und nicht über das Netzwerk in die Datenbank des DC geladen.

Vor allem bei größeren AD-Datenbanken spart diese Option viel Zeit ein. Mehr Informationen, wie man mit IFM einen DC erstellt, bietet der Microsoft-Beitrag „How to use the Install from Media feature to promote Windows 2003-based domain controllers".

Die Funktionalität des IFM gibt es zwar schon am Windows 2003, doch es war damals nicht in Ntdsutil integriert. Diese Funktionalität in dem Tool kam erst mit Windows Server 2008 ins Spiel. Denn Windows Server Backup hat die Utility NTBackup ersetzt, ein Tool, das bereits seit Windows NT 3.5 mit ausgeliefert wurde.

Allerdings verfügt Windows Server Backup über andere Funktionalitäten als NTBackup. Wer Festplatten-basierte Sicherungen des Systemzustands seiner DCs mit NTBackup ausgeführt hat und dieselbe Aufgabenstellung mit Windows Server Backup angehen möchte, der wird feststellen, dass das neue Tool viel länger braucht und zudem mehr Platz belegt. Ein Grund dafür: Windows Server Backup sichert zusätzlich zur AD-Datenbank und dem SYSVOL-Datenträger auch die Systemdateien, die unter der WFP – der Windows File Protection – liegen.

Der Wechsel in der Funktionalität, die Windows Server Backup mit sich bringt, und die zusätzlichen Anforderungen durch die RODCs hat dazu geführt, dass man bei Microsoft eine Option dazu nimmt: Es wird dabei nur eine Sicherung in dem Umfang ausgeführt, dass man einen neuen DC auf der Basis von Windows Server 2008 nehmen kann und an ihm das Hochstufen über das Sicherungsmedium ermöglicht – wie es mit dem IFM machbar ist. Sprich es werden nur die Datenbank selbst und zwei Registry-Hives gesichert.

Dabei ist die Vorgehensweise mit IFM einfacher und schneller als der Ansatz, der noch bei Windows Server 2003 verfolgt wurde. Denn man muss nun keine Sicherung  ausführen und anschließend eine Wiederherstellung aus dieser Sicherung durchziehen, um die notwendigen Dateien zu bekommen. In eigenen Tests hat der Autor eine fast schon unglaubliche Reduzierung der Zeitdauer für Dcpromo von 19 Stunden (Replikation über das Netzwerk) auf 10 Minuten (IFM-Ansatz) geschafft.

Bei IFM gibt es vier Optionen. Der Administrator ist in der Lage, eine vollständige Sicherung (Create full backup name) , eine vollständige Sicherung des SYSVOL (Create SYSVOL full backup name) und die beiden entsprechenden Aktionen für RODCs (Create RODC backup name sowie Create SYSVOL RODC backup name) anzugeben. Dabei lassen sich mit den beiden „full“-Befehlen installierbare Medien erstellen, um einen vollständigen DC zu erzeugen. Die anderen beiden Optionen dagegen beziehen sich auf RODCs.

Der Unterschied dabei ist in der Sicherheitsvorgaben zu suchen: Beim Erstellen der AD-Datenbank für RODCs wird diese Datenbank als Read-Only markiert und zudem die Kennwort-Attribute entfernt.

Fällt ein IFM-Mediensatz in die falschen Hände, dann besteht ein genauso großes Risiko wie wenn ein kompletter DC verloren geht oder entwendet wird. Mit den RODC-Optionen dagegen wird der zugehörige Mediensatz genauso sicher wie ein RODC.

Wird eine der Varianten mit SYSVOL gewählt, dann kommen auch die Inhalte dieses gemeinsamen Verzeichnisses zum Mediensatz hinzu. Damit werden zwar mehr Dateien zum künftigen DC geschoben, doch man spart sich dann viel Replikationsverkehr, weil SYSVOL nicht mehr über das Netzwerk zu replizieren ist.

Das IFM passt gut in ein Skripting-Umfeld. Die Ntdsutil-Kommandos lassen sich entweder nacheinander über die Kommandozeile eingeben oder können auch in einem Skript abgelegt werden. Das folgende Beispiel erzeugt eine komplette IFM-Sicherung (ohne SYSVOL) und legt es im Verzeichnis „backup“ ab:

ntdsutil “active instance ntds” ifm “create full backup” quit quit

Ein Beispiel für die Ausgabe zu diesem Befehl ist in Abbildung 2 zu sehen. Das Ersetzen der Datums-Variablen für „test“ ist eine einfache Skripting-Aufgabe.
Der Einsatz von IFM für das Erzeugen eines neuen DC ist zwar recht einfach. Doch der wahre Nutzwert wird vor allem bei der Wiederherstellung eines DC nach einem Ausfall erkennbar.

Die allermeisten Gründe für den Ausfall eines DC liegen bei Problemen des Betriebssystems – das AD bereitet in den meisten Fällen keine Probleme. In einem derartigen Fall muss man aber sowohl das Betriebssystem als auch die Datenbank des AD wiederherstellen. Bei Windows Server 2008 gibt es für diese Doppelaufgabe drei Möglichkeiten:

  • Die traditionelle Methode ist die Wiederherstellung von einer Bandsicherung. Auch wenn Windows Server 2008 diesen Ansatz nicht mehr von sich aus unterstützt, so stehen doch Lösungen von Drittherstellern bereit.
  • Der Administrator kann aber auch Windows Server Backup einsetzen, um die Wiederherstellung über eine komplette Sicherung des Systems auszuführen. Da auch das Betriebssystem ausgefallen ist – zumindest in diesem theoretischen Ansatz – reicht eine Wiederherstellung des Systemzustands nicht aus.
  • Der dritte Ansatz ist das Überspringen der Wiederherstellung. Dann muss der Administrator ein neues System installieren und es dann zum DC heraufstufen.

Der wichtigste Faktor bei der Wiederherstellung eines ausgefallenen DC ist die möglichst schnelle Durchführung dieser Aktion. Erst danach kommt die Analyse des Fehlers, um herauszufinden, was falsch gelaufen ist. Aus diesem Blickwinkel ist die Wiederherstellung von der Bandsicherung eine Methodik, die zu lange dauert: Erst ist das Betriebssystem erneut zu installieren, dann die Sicherungssoftware aufzuspielen und dann das komplette System wiederherzustellen. Danach ist noch ein Neustart nötig, ehe das System wieder normal arbeiten kann.

Die Wiederherstellung aus einer „Windows Complete PC Sicherung“ (Windows Complete PC Backup) geht dagegen deutlich schneller von der Hand: Der Administrator braucht nur von der Windows Server 2008 Installations-DVD starten, muss dann auswählen, dass er den Computer reparieren möchte (Repair my computer) und kann dann alle Datenträger (Volumes) mit kritischen Systemdaten  wiederherstellen.

Aber auch dieser Ansatz kann seine Zeit dauern. Vor allem wenn die AD-Datenbank und die zugehörigen Protokolldateien über verschiedene Partitionen verstreut liegen. Zudem muss der Sicherungssatz entweder auf einer lokalen Partition oder einer USB-Festplatte verfügbar sein.

Beim Einsatz einer lokalen Partition ist noch ein Punkt zu beachten: Die gesamte Partition muss für Windows Server Backup reserviert sein, denn das Programm wird die Partition neu formatieren und sie auch komplett in Beschlag nehmen – andere Programme bekommen dann keinen Zugriff mehr darauf.

Auch wenn eine gewissen Planungsarbeit und eine Neupartitionierung  bei der Aktualisierung der DC auf Windows Server 2008 nötig ist, sollte der Vorgang doch recht gut ablaufen, denn die Kapazitäten der Festplatten sind in der letzten Zeit sehr schnell gewachsen und liegen weit über den Anforderungen, wie sie ein DC an die Festplattenausstattung stellt.

Dritte Variante hat die größten Vorteile

Es empfiehlt sich aber noch eine dritte Variante: Dabei ist der Wiederherstellungsvorgang zu überspringen: Dafür muss man lediglich das Betruebssystem zuerst entfernen und es dann erneut auf dem Server installieren. Danach ist das System zu seinem DC-Zustand hochzustufen – mit Hilfe der IFM-Methode. Damit steht der schnellste Weg zur Verfügung, um einen schwer beschädigten DC zu reparieren. Insgesamt sind die folgenden Voraussetzungen nötig:

Es sind regelmäßige IFM-Sicherungen der lokalen Datenbank des DC auszuführen und die auf einer Partition abzulegen, die keine kritischen Systemdaten enthält.Es muss eine CD-ROM beziehungswiese DVD für eine unbeaufsichtigte Installation am Einsatzort des DC vorliegen. Weitere Informationen, wie man ein derartiges Medium für Windows Server 2003 erstellt, liefert der Technet-Beitrag „How Unattended Installation Works“. Die entsprechenden Informationen für Windows Server 2008 und Windows Server 2008 Release 2 finden sich im Technet-Artikel „Lite-Touch, High Volume Deployment“. Der DC sollte möglichst nur die DC-Rolle ausführen (mit Ausnahme des AD-integrierten DNS).

Wenn der DC ausfällt oder ein Problem bekommt und die Behebung voraussichtlich mehr als 15 Minuten dauert, sind die folgenden Maßnahmen zu ergreifen:

Mit dem Einlegen der DVD/CD-ROM für die unbeaufsichtigte Installation ist vom IT-Personal vor Ort die erneute Installation des Betriebssystems anzugehen. Das sollte zwischen 15 und 30 Minuten dauern.Während dieser Zeit sollte der DC-Administrator die Metadatenreinigung (metadata cleanup) über den ausgefallenen DC im AD vornehmen. Damit werden alle AD-Daten über den ausgefallenen DC entfernt, die in der Replikation Verwendung fanden.

Wird ein DC geordnet herunter gestuft, werden die entsprechenden Daten im Rahmen dieses Vorgangs aus dem AD entfernt. Bei einem abrupt ausgefallenen DC dagegen wird dieser Vorgang nicht ausgeführt und daher muss die Säuberung von Hand erfolgen. Bei Windows 2003 hilft einem Ntdsutil weiter, wie es der Technet-Artikel „Clean up server metadata“ zeigt. Dieser Vorgang ist bei Windows Server 2008 und dem Nachfolger R2 einfacher geworden. Damit befasst sich der  Technet-Beitrag „Clean Up Server Data (Windows Server 2008)“. Das wird mit dem MMC-Snap-ins „Active Directory Benutzer und -Computer“ sowie „Active Directory-Standorte und -Dienste“ erledigt.

Wenn die erneute Installation und Konfiguration durchgelaufen ist, muss man auf der Basis des IFM das Hochstufen zum DC erledigen. Dazu ist auf die IFM-Sicherungen in der Sicherungspartition zu verweisen.

Dieser gesamte Vorgang sollte binnen 15 Minuten ablaufen.

Neue Wiederherstellungsmethodiken

Damit wird deutlich, dass Ntdsutil ab Windows Server 2008 über einige sehr interessante Funktionalitäten verfügt. Der Administrator sollte sich diese Möglichkeiten vorsichtig erarbeiten – etwa in einer Testumgebung. Vor allem aber kommt eine effiziente Wiederherstellungsmöglichkeit ins Spiel, die das verteilte Konstrukt AD betreffen. Und selbst kleine Verbesserungen führen in einem derartigen Szenario zu großen Vorteilen.

Sean Deuby/rhh

Lesen Sie auch