6
Backup Exec 2010 Rücksicherung eines AD Users
Hallo Leute,
ich habe ein Problem mit Backup Exec 2010 und dem Active Directory Agent. Unser AD besteht aus 5 Sites und 11 DC's. Ich möchte einen User der ausversehen gelöscht wurde wiederherstellen. Die Wiederherstellung wird mit Ausnahmen abgeschlossen. Anschließend setze ich das Kennwort des User zurück und aktiviere Ihn. Nun lasse ich noch etwas Zeit ins Land gehen, damit der User auf alle Sites repliziert wird. Nun schaue ich mir das Objekt des Userss genauer an. Alle Metadaten wurden übernommen - bis auf die Gruppenmitgliedschaften. Der Domaincontroller auf dem ich den User wiederhergestellt habe, ist der Master der DC's und dort wird der User auch komplett angezeigt. Wenn ich nun aber auf einem anderen DC schaue, fehlen dem User alle Gruppenmitgliedschaften. Lasse ich diesen User so über Nacht fehlen Ihm die Mitgliedschaften ebenfalls auf dem Master.
Kann mir jemand von euch sagen was da schief läuft bzw. könnt Ihr mit mitteilen wie Ihr solch einen Restore durchführt?
Gruß
derhoeppi
ich habe ein Problem mit Backup Exec 2010 und dem Active Directory Agent. Unser AD besteht aus 5 Sites und 11 DC's. Ich möchte einen User der ausversehen gelöscht wurde wiederherstellen. Die Wiederherstellung wird mit Ausnahmen abgeschlossen. Anschließend setze ich das Kennwort des User zurück und aktiviere Ihn. Nun lasse ich noch etwas Zeit ins Land gehen, damit der User auf alle Sites repliziert wird. Nun schaue ich mir das Objekt des Userss genauer an. Alle Metadaten wurden übernommen - bis auf die Gruppenmitgliedschaften. Der Domaincontroller auf dem ich den User wiederhergestellt habe, ist der Master der DC's und dort wird der User auch komplett angezeigt. Wenn ich nun aber auf einem anderen DC schaue, fehlen dem User alle Gruppenmitgliedschaften. Lasse ich diesen User so über Nacht fehlen Ihm die Mitgliedschaften ebenfalls auf dem Master.
Kann mir jemand von euch sagen was da schief läuft bzw. könnt Ihr mit mitteilen wie Ihr solch einen Restore durchführt?
Gruß
derhoeppi
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 150587
Url: https://administrator.de/contentid/150587
Printed on: April 20, 2024 at 01:04 o'clock
6 Comments
Latest comment
Hi.
keine Ahnung, was da schiefläuft. Ich glaube, dass es zum Teil auch mit Bordmitteln geht, siehe http://support.microsoft.com/kb/840001 - evtl. hat 2008 R2 noch mehr Funktionen hierzu.
Ich hab auf unserem 2008er DC damals mal hiermit restoret: http://www.quest.com/object-restore-for-active-directory/
keine Ahnung, was da schiefläuft. Ich glaube, dass es zum Teil auch mit Bordmitteln geht, siehe http://support.microsoft.com/kb/840001 - evtl. hat 2008 R2 noch mehr Funktionen hierzu.
Ich hab auf unserem 2008er DC damals mal hiermit restoret: http://www.quest.com/object-restore-for-active-directory/
Hallo,
ich habe nun noch einmal einen Restore durchgeführt (vorher den Benutzer gelöscht). Wie auch beim Exchange ist es wichtig, den gleichen Benutzer zu nehmen, der auch das Backup durchgeführt hat. Nach dem ich das sicherstellen konnte, war das Benutzerkonto mit allen Einstellungen und Attributen wieder da. Man musste es nur aktivieren und das Kennwort zurücksetzen. Zwei Minuten später habe ich es in der gesamten Domain (alle Sites) gesehen.
Gruß
derhoeppi
ich habe nun noch einmal einen Restore durchgeführt (vorher den Benutzer gelöscht). Wie auch beim Exchange ist es wichtig, den gleichen Benutzer zu nehmen, der auch das Backup durchgeführt hat. Nach dem ich das sicherstellen konnte, war das Benutzerkonto mit allen Einstellungen und Attributen wieder da. Man musste es nur aktivieren und das Kennwort zurücksetzen. Zwei Minuten später habe ich es in der gesamten Domain (alle Sites) gesehen.
Gruß
derhoeppi
Hallo derhoeppi,
danke für die Rückmeldung.
Ich hatte diese mal in Umgebungen mit 2 bzw. 3 DCs probiert und es hat immer geklappt.
Das versehentliche Löschen eines Users ist mir noch nicht gelungen.
Allerdings habe ich immer mit dem selben admin gearbeitet und diesen Fehler nicht merken können.
Eventuell kannst du das ja mal an Symantec melden. Ich glaube nämlich nicht, dass das so sein sollte. Oder hatte eventuell der Restore-Admin zu wenig Rechte?
danke für die Rückmeldung.
Ich hatte diese mal in Umgebungen mit 2 bzw. 3 DCs probiert und es hat immer geklappt.
Das versehentliche Löschen eines Users ist mir noch nicht gelungen.
Allerdings habe ich immer mit dem selben admin gearbeitet und diesen Fehler nicht merken können.
Eventuell kannst du das ja mal an Symantec melden. Ich glaube nämlich nicht, dass das so sein sollte. Oder hatte eventuell der Restore-Admin zu wenig Rechte?
Hallo goscho,
ich habe im AD einen separaten Backup Account, der dieselben Rechte wie der Domain-Administrator hat. Warum es trotz der gleichen Rechte nicht passt, kann ich nicht nachvollziehen. Ich kenne das jedoch vom Exchange, wobei dort besondere Rechte für den Backup Account eingerichtet wurden.
Den Account haben wir auch nicht versehentlich gelöscht. Der Kollege ist offiziel ausgetreten und stand zwei Wochen später wieder in der Tür. Es geht mir jedoch auch prinzipiell um das Vorgehen eines AD Restores. Man kauft ja keine Software um im Notfall festzustellen das sie nicht funktioniert. Deshalb teste ich hin und wieder auch meine Backups, damit mir das nicht passiert. Bei dem Agent fürs AD habe ich bisher noch keinen erfolgreichen Restore getestet.
Diese Frage habe ich im übrigen auch den Support von Symantec gestellt. Man vermittelte mir, dass die Replikation zwischen den DC's nicht sauber funktioniert, obwohl alles andere klappt. Ich werde Symantec morgen mal über den Sachverhalt aufklären.
Gruß
derhoeppi
ich habe im AD einen separaten Backup Account, der dieselben Rechte wie der Domain-Administrator hat. Warum es trotz der gleichen Rechte nicht passt, kann ich nicht nachvollziehen. Ich kenne das jedoch vom Exchange, wobei dort besondere Rechte für den Backup Account eingerichtet wurden.
Den Account haben wir auch nicht versehentlich gelöscht. Der Kollege ist offiziel ausgetreten und stand zwei Wochen später wieder in der Tür. Es geht mir jedoch auch prinzipiell um das Vorgehen eines AD Restores. Man kauft ja keine Software um im Notfall festzustellen das sie nicht funktioniert. Deshalb teste ich hin und wieder auch meine Backups, damit mir das nicht passiert. Bei dem Agent fürs AD habe ich bisher noch keinen erfolgreichen Restore getestet.
Diese Frage habe ich im übrigen auch den Support von Symantec gestellt. Man vermittelte mir, dass die Replikation zwischen den DC's nicht sauber funktioniert, obwohl alles andere klappt. Ich werde Symantec morgen mal über den Sachverhalt aufklären.
Gruß
derhoeppi
Hallo derhoeppi,
ich verstehe nicht, warum ihr ausgetretene Mitarbeiter direkt aus dem AD löscht? Sollte man diese nicht erst Mal deaktivieren, zumindest mach ich das so für die ersten 1-5 Jahre.
Ich habe das mit der Version 12.5 getestet und hatte nie einen extra Backup-Admin dafür.
ich verstehe nicht, warum ihr ausgetretene Mitarbeiter direkt aus dem AD löscht? Sollte man diese nicht erst Mal deaktivieren, zumindest mach ich das so für die ersten 1-5 Jahre.
Bei dem Agent fürs AD habe ich bisher noch keinen erfolgreichen Restore getestet.
Diesen Test habe ich ja schon erfolgreich hinter mir. Da ich zwar vorwiegend Umgebungen mit 1 ( nur manchmal 2-3) DCs habe, lief dieser Test bei einem Kunden mit 3 DCs. Die Replikation des zurückgeholten Users klappt dann auch sauber.Ich habe das mit der Version 12.5 getestet und hatte nie einen extra Backup-Admin dafür.
Hallo goscho,
Unternehmen mit 1-3 DC's sind auch nicht wirklich groß. Mit der entsprechenden Unternehmensgröße verliert man irgendwie und irgendwann den Überblick - zumal man nicht als einzelner Administrator auftritt, sondern in einer Gruppe. Man kommuniziert zwar untereinander, aber Leichen im AD zu haben ist schon sehr unschön. Deshalb löschen wir die User, wenn uns der Laufzettel aus der Personalabteilung erreicht.
Gruß
derhoeppi
Unternehmen mit 1-3 DC's sind auch nicht wirklich groß. Mit der entsprechenden Unternehmensgröße verliert man irgendwie und irgendwann den Überblick - zumal man nicht als einzelner Administrator auftritt, sondern in einer Gruppe. Man kommuniziert zwar untereinander, aber Leichen im AD zu haben ist schon sehr unschön. Deshalb löschen wir die User, wenn uns der Laufzettel aus der Personalabteilung erreicht.
Gruß
derhoeppi
