Windows Server 2008 Sicherheit – Die technische Referenz - Gattner

260 Kapitel 9: Optimieren der Active Directory-Domänendienste für Sicherheit
indem Sie die Daten aus Datensicherungen wiederherstellten. Dieser Ansatz hatte zwei
wichtige Nachteile:
Sie mussten den DC im DSRM neu starten, um eine autorisierende Wiederherstellung
durchzuführen.
Sofern Sie die Datensicherungen nicht auf anderen DCs wiederherstellten, hatten Sie
keine Möglichkeit, die Daten in mehreren Sicherungen zu vergleichen, die zu unterschiedlichen
Zeitpunkten angefertigt wurden. Das machte diese Aufgabe sehr mühsam.
Das Active Directory-Datenbankbereitstellungstool erlaubt Ihnen, AD DS-Daten, die in
Snapshots oder Datensicherungen gespeichert sind, online anzusehen. Sie können Daten in
Snapshots oder Datensicherungen vergleichen, die zu unterschiedlichen Zeitpunkten angefertigt
wurden. So können Sie besser entscheiden, welche Daten wiederhergestellt werden
müssen. Das Active Directory-Datenbankbereitstellungstool ermöglicht es Ihnen, gelöschte
AD DS oder AD LDS (Active Directory Lightweight Directory Services) in Form von Snapshots
zu retten, die vom Volumeschattenkopiedienst (Volume Shadow Copy, VSS) angefertigt
wurden. Das Tool stellt die gelöschten Objekte und Container nicht wirklich her, dafür
müssen Sie eine separate Datenwiederherstellung durchführen.
Weil Datensicherungen vertrauliche Daten enthalten, werden die Sicherungen schreibgeschützt
gespeichert, und nur Mitglieder der Gruppen Domänen-Admins und Organisations-
Admins dürfen sich einen Snapshot mit einem LDAP-Tool (Lightweight Directory Access
Protocol) wie zum Beispiel Ldp.exe ansehen. Ich empfehle, dass Sie Verschlüsselung oder
andere Datensicherheitsmaßnahmen für AD DS-Snapshots nutzen, um die Gefahr zu verringern,
dass jemand unautorisiert auf AD DS-Snapshots zugreift.
Gehen Sie folgendermaßen vor, um das Active Directory-Datenbankbereitstellungstool zu
verwenden:
1. Planen Sie eine Aufgabe, die regelmäßig Ntdsutil.exe ausführt und Snapshots des Volumes
anfertigt, das die AD DS-Datenbank enthält. Dieser Schritt ist optional. Sie können
dies auch von Hand erledigen, wenn Sie möchten, ich empfehle aber, es automatisch erledigen
zu lassen.
2. Führen Sie Ntdsutil.exe aus, um die verfügbaren Snapshots aufzulisten und den Snapshot
bereitzustellen, den Sie untersuchen wollen.
3. Führen Sie Dsamain.exe aus, um das Snapshotvolume als LDAP-Server anzeigen zu
lassen. Falls ich zum Beispiel meinen letzten Snapshot im Standardpfad ansehen will,
lautet der Befehl: dsamain –dbpath c:\$snap_200711201220_volumec$\windows\ntds\ntds.
dit -ldapport 41389. Daraufhin wird der Snapshot für Ldp.exe auf Port 41389 zur Verfügung
gestellt. Dsamain.exe hat folgende Parameter:
AD DS-Datenbankpfad (Ntds.dit). Dieser Pfad muss im ASCII-Format angegeben
werden, in der Standardeinstellung wird er schreibgeschützt geöffnet.
Protokollpfad. Sie müssen Schreibzugriff auf diesen Pfad haben.
4 Portnummern für LDAP, LDAP-SSL, globalen Katalog und Globaler-Katalog-
SSL. Der einzige Port, der unbedingt angegeben werden muss, ist der LDAP-Port.
Falls Sie keine anderen Ports angeben, werden LDAP+1, LDAP+2 und LDAP+3
verwendet. Falls Sie also den LDAP-Port 41389 angeben, aber keine anderen Portwerte,
ist der LDAP-SSL-Port 41390, der Globale-Katalog-Port 41391 und der
Globale-Katalog-SSL-Port 41392. Auch wenn das seltsam für jemanden aussieht,
der die Standardports kennt, funktioniert es tatsächlich.