Archive for March 2008

Backup/Restore AD DS – Windows 2008


Hvis man som mindre virksomhed planlægger at benytte den nye Windows Server Backup i Windows 2008, er der en række ting der har ændret sig markant
i forhold til NTBACKUP i Windows 2003.
Det er nu blevet en volume baseret backup løsning, som laver en backup af hele disken.
Der findes 2 typer af backup, som følger:

Full Server Backup:
Denne backup tager fuld backup af alle volume for en given server.

Critical Volumes Backup:
Denne backup medtager volumes, som er krævet for at restore AD DS (Active Directory Services).
Critical Volumes indeholder således følgende:
boot-sector volume – OS system filer (%windir%) – Registry – Ntds.dit database og log filer – SYSVOL folder

En system state backup i Windows 2008 indeholder som minimum følgende:
Registry.
COM+ class registration database.
Boot files, including system files.
Certificate Services database.
Active Directory Domain Services.
SYSVOL directory.
Cluster Service information.
Microsoft Internet Information Services (IIS) meta-directory.
System files that are under Windows File Protection (WFP).

Det betyder at en system state backup nu fylder et sted mellem 9-11 GB.
Andre ting man skal være opmærksom på, i forhold til Windows Server Backup generelt, er som følger:
Man kan ikke lave en backup til tape.
Man kan ikke lave en system state backup til critical volumes (C:). Med en registry ændring kan man dog omgå det – http://support.microsoft.com/kb/944530.
Man kan ikke lave en system state backup til et netværkdrev.
Man kan ikke lave en schdule backup til et netværksdrev via Windows Server Backup GUI’en. Dette kan kun gøres via “Backup Once”, eller ved at benytte CLI wbadmin.exe.
Et eksempel via wbadmin.exe kunne være – wbadmin.exe start backup -backuptarget:\SERVERSHARE -allCritical -VSSfull -quiet
Man kan ikke lave en backup af sin exchange server. Det har Microsoft nu lagt over i DPM 2007.

For mere info til ovenstående se disse link.
http://technet2.microsoft.com/windowsserver2008/en/library/75e4c12a-a541-4b0f-9fbe-a2ca5a3dbe961033.mspx?mfr=true
http://technet2.microsoft.com/windowsserver2008/en/library/4503d762-0adf-494f-a08b-cf502ecb76021033.mspx?mfr=true

For Windows 2008 findes der nu 3 måder hvorpå man recover sine Domain Controllers/AD DS. De er som følger:

System state – Nonauthoritative Restore of AD DS (Genskab Active Directory Services udfra seneste system state).
System state – Authoritative Restore Deleted Active Directory Objects (feks. OU eller User accounts).
Snapshot  – Authoritative Restore Deleted Active Directory Objects.


Klargør Recovery test for min DC WIN-DC-002:
Start “Server Manager” og klik på “Add Features”. Vælg her som vist på nedenstående billede. Jeg installere her Windows Server Backup.

 
Start herefter GUI’en og vælg “Backup Once. Jeg Vælger her “Critical Volumes Backup”.
 
Backuppen går i gang og placeres på en netværks-share.

Man kan ligeledes lave en system state backup via wbadmin. Det gøres med følgende kommando.
wbadmin.exe start systemstatebackup -backuptarget:E: -quiet

System state – Nonauthoritative Restore of AD DS:
Nedenstående eksempel viser en Nonauthoritative Restore af min DC WIN-DC-002.
Start DC’en op i DSRM (Recovery mode) via F8 eller via nedenstående kommando.
bcdedit /set safeboot dsrepair – shutdown -t 0 -r
Log ind i safe mode på DC’en.

Udfør system state restore med følgende kommandoer.
wbadmin get versions -backuptarget:E: -machine:WIN-DC-002
wbadmin start systemstaterecovery -version:03/19/2008-18:04 -backuptarget:E: -machine:WIN-DC-002 -quiet

Reboot DC’en efter endt restore i “normal mode” med kommandoen bcdedit /deletevalue safeboot.
Fra en anden DC (WIN-DC-001), force en replication.
repadmin.exe /replicate win-dc-002 win-dc-001 dc=win,dc=local

Tjek eventlog på WIN-DC-002, for sikre sig, at Netlogon og Sysvol er genskabt.
 
Afslut hele restore processen, med at skrive “net share”

System state – Authoritative Restore Deleted Active Directory Objects:
Denne procedure har ikke ændret sig i forhold til Windows 2003.
Restart DC’en i DSRM og restore system state. Vent her med at reboote DC’en. Skriv følgende i en command prompt.
Ntdsutil
Activate Instance ntds
authoritative restore
restore object “cn=demo01,OU=Users,OU=Salg,OU=Win,DC=win,DC=local”
Quit
Quit

Deaktiver netværk på recovery domain controller.
Genstart DC’en (recovery domain controller) i “Normal Mode”.
Disable inbound replication to the recovery domain controller. Se nedenstående kommando.
repadmin /options WIN-DC-001 +DISABLE_INBOUND_REPL.
Aktiver netværk på recovery domain controller.
Genstart DC’en
Følg resten af denne blog-post, hvor jeg tidligere har beskrevet restore proceduren for en Windows 2003 DC.
http://jravn.dk/?p=8
For mere info til ovenstående se nedenstående link, der nu også inkludere Windows 2008.
http://support.microsoft.com/kb/840001

Snapshot  – Authoritative Restore Deleted Active Directory Objects:
Denne backup og restore metode, er ny for Windows 2008. Man kan her oprette og mounte de enkelte snapshot (shadow copy) udefra en udvidet kommando af ntdsutil.
Det nye for denne metode er at man kan schdule et snapshot af sit AD DS i et givent interval, feks hver 6 time.
Man kan herefter mounte/browse de enkelte snapshot og udføre en Authoritative Restore uden at skulle reboote DC’en i DSRM.
For mere info omkring snapshot se dette link.
http://technet2.microsoft.com/windowsserver2008/en/library/4503d762-0adf-494f-a08b-cf502ecb76021033.mspx?mfr=true

For at restore en deleted user account (demo01) udfra et snapshot skal man gøre følgende:
Jeg viser forinden hvordan man opretter et snapshot. Nedenstående øvelse udføres på min DC WIN-DC-002.
Start en command prompt og skriv følgende:
ntdutil – snapshot – activate instance ntds – create

For at liste alle oprettede snapshot kan man her skrive “list all”

Jeg har i denne øvelse slettet user accounten demo01. For at finde ud af hvilke snapshot indeholder brugeren demo01, kan jeg her mounte og browse de enkelte snapshot.
Det gøres på følgende måde.
I den samme ntdsutil command promt, som vist på ovenstående billede, mount her det ønskede snapshot.
 
Næste trin er så at gøre det mountet snapshot tilgængeligt via ADUC – AD explorer – Ldp.exe mfl.
Dette gøres via kommandoen dsamain. Den komplette syntax er listet her.
dsamain /dbpath C:$SNAP_200803201223_VOLUMEC$WINDOWSNTDSntds.dit /ldapport 51389

Man kan nu browse det mountet AD DS, som afvikles parallet med den eksisterende AD DS service.
Man kan her benytte ADUC, hvor man her skal angive ldap porten. Jeg har her valgt 51389. idet den ikke benyttes at den eksisterende AD DS service.
 
Når man har bekræftet at det er det ønskede snapshot, som indeholder brugeren demo01, er vi nu klar til at udføre authoritative restore af denne user account,
inkl back-links som security og distribution groups. Det gøres som følger.
Download og udpak Snapshot Recover Tool fra 1Identity, som er et freeware tool, der kan lave en AD object recovery udfra en snapshot backup.
Start herefter AD explorer på WIN-DC-002 og find objectGUID for brugeren demo01.

Skriv til sidst følgende for restore demo01.
oirecmgr.exe -o A8232613-9C47-457F-8DB4-7F17BC776CE9 -sh WIN-DC-002:51389 -ol -real

Afslut hele restore øvelsen med at unmounte det før mountede snapshot og tjek i ADUC’en at brugeren demo01 er tilbage med de tilknyttede security og distribution groups.
Snapshot Recover Tool, er det første tool jeg har set der restore et deleted objekt. Ellers har alternativet været at eksportere de ønskede informationer fra snapshot til live AD DS instance.
Med tiden kommer der forhåbentlig andre freeware GUI baseret tools, der kan udnytte den nye snapshot teknologi.
Jeg havde håbet at der i Windows 2008, var komet en indbygget online restore procedure i feks ADUC interfacet.
Men p.t. er det stadigvæk lidt besværligt at udføre en Authoritative Restore.  Alternativt til de indbyggede MS tools, kan man her kigge på følgende produkter:
http://www.quest.com/recovery-manager-for-active-directory/
http://www.netpro.com/products/restoreadmin/index.cfm
http://www.scriptlogic.com/products/activeadmin/AD_Object_Restore.asp