Bei einem Unternehmen sind Personalwechsel, Umsetzungen und Reorganisation ganzer Abteilungen an der Tagesordnung – je nach Größe. Was passieren kann wenn man unerfahrene Admins frisch nach einer Schulung auf das Thema ansetzt.
In einem kleinen Unternehmen hatte die IT-Abteilung gerade frischen Nachwuchs erhalten. Nach einer kurzen Einarbeitung der neuen Admin wurden die Aufgaben neu verteilt. Und so kam es, dass die Aufgabe Administration des Active Directory der neuen Kollegin übertragen wurde – nur Tage, bevor eine große Reorganisation des Unternehmens beschlossen wurde.
Angelernt, geschult und Aufgaben übergeben
In der Organisation hatte man in Folge alles richtig gemacht: Der neuen Admin wurde eine Schulung spendiert und fürderhin wurde sie eingearbeitet in alle Feinheiten des eigenen Verzeichnisdienstes. Dann rückte der schicksalshafte Tag näher, an dem die Reorganisation von vier Abteilungen anstand.
Die Art der Änderungen war auf einen einfachen Nenner zu bringen: Die Aufgaben der Abteilungsleiter sollten getauscht werden, allerdings wollte ein Abteilungsleiter „seine Abteilung“, also den Abteilungsnamen, behalten. Prestige eben, wenn man „Abteilung 1“ leitet. Bei den Mitarbeitenden hat sich nichts geändert, sie sollten alle Verzeichnisse, Berechtigungen und Freigaben behalten, denn die Aufgaben für die eigentlichen Sachbearbeiter blieben die gleichen.
Um die Änderungsarbeiten so effektiv wie möglich zu gestalten wurde ein zentraler Änderungsplan erstellt, welcher sich als überraschend einfach erwies. Letztlich sollten die Abteilungsleiter ihre Aufgaben komplett tauschen, sodass es technisch einfacher war, die ganzen Berechtigungsgruppen im Verzeichnis umzubenennen und dann die Chefs auszutauschen. Es wäre auch möglich gewesen, alle Benutzer anzupassen und neuen Gruppen zuzuordnen, was wir vermeiden wollten.
Gruppen umbenennen, neuer Chef und fertig
Ein einfacher Weg war somit gefunden: Umbenennen der Gruppen: Aus Abteilung 1 wurde Abteilung 2, aus Abteilung 1 – Vorzimmer wurde Abteilung 2 – Vorzimmer usw., danach wurden die Chefs neu verteilt, weil der Chef aus Abteilung 1 ja auch der Chef der Abteilung 1 bleiben wollte. Sehr entspannt. Die Aufgabe hat die neue Admin übernommen. Ein Kollege aus dem Helpdesk sollte – später – die Änderung der Abteilung in den Benutzerdaten übernehmen.
Samstagmorgen fingen die Arbeiten an den Gruppen an. Die User hatten Arbeitsverbot, es sollte ja niemand gestört werden oder dazwischenfunken. Der Autor war in dieser Zeit auf Bereitschaft, um im Zweifel eingreifen zu können. Stutzig wurde er bereits, als eine Chatnachricht erschien, welche aber zurückgerufen wurde.
Eine Stunde später der Anruf: „Die Gruppen sind weg!“
Dank der telefonischen Erreichbarkeit galt es nun auf einem Aldi-Parkplatz eine aufgeregte Admin zu beruhigen und herauszufinden, was überhaupt passiert war. Die Admin habe in aller Ruhe die Gruppen umbenannt: Neuer Name, Beschreibung und Prä-Windows-2000-Name, so sagt sie jedenfalls.
Wie sich herausstellte waren die Gruppen der Abteilung 1 größtenteils weg: Leitung, Vorzimmer, Sachbearbeiter und damit alle Berechtigungsgruppen für den Fileserver, SharePoint, die Kommunikationslösung und so weiter.
Backup? Fehlanzeige
Auf dem Aldi-Parkplatz war da wenig zu lösen, sie solle die Gruppen suchen, die müssten ja irgendwo sein. Wie es um die Sicherung des Active Directory stünde, wusste die Admin nicht. Und es offenbarte sich: Der Server wird jede Woche komplett gesichert: sonntags.
Der wöchentliche Großeinkauf war damit egal, das war der Moment, an dem sich Autor in das Auto schwang, und versuchte zu retten, was zu retten ist. Nach ein paar Minuten hat sich gezeigt, dass alles halb so wild war, denn es fand sich die Abteilung 2 nun doppelt: Abteilung 2 und Abteilung 2CNF{334DA41F-9ACC-4D9D-80C7-02AF2ABB672A8}.
Eine Überprüfung der Gruppe Abteilung 2CNF hat die erwünschte Erleuchtung gebracht. Es befanden sich noch einige Gruppen als Mitglied darin, die ebenfalls nicht umbenannt werden konnten. Viel wichtiger war jedoch, dass wir auch Gruppen gefunden haben, bei denen die Umbenennung geklappt hat. Es war also klar, dass Abteilung 2CNF nun die neue Abteilung 1 war. Sie musste jetzt korrekt umbenannt werden, alle Einträge wurden noch einmal händisch mit dem internen Aufgabenverteilungsplan abgeglichen.
Das Active Directory erkennt Konflikte
Offenbar hat der Verzeichnisdienst einen Konflikt entdeckt, den es zu lösen galt. Es darf nämlich nur einen sogenannten „Distinguished Name“ geben. Salopp bedeutet das soviel, dass sich in derselben Organisationseinheit nicht zwei Gruppen mit dem gleichen Namen befinden dürfen.
Üblicherweise passieren solche Fehler nur, wenn mehrere Admins auf mehreren Servern die gleichen Gruppen bearbeiten. Oder man kann es machen wie unsere Admin. Sie hat zwei Instanzen der Verwaltungskonsole geöffnet, weil sie damit schneller arbeiten konnte. Die meiste Zeit ging es gut.
Als sie ihre Arbeit kontrollieren wollte, schaute sie in die Konsole und stellte fest, dass einige Gruppen noch nicht umbenannt waren. Sie erkannte nicht, dass es lediglich einer Aktualisierung bedurfte und fing nun unwissentlich an, den Datenbestand zu zerpflücken. Das hat der Verzeichnisdienst offenbar gemerkt, daher konnten wir die Daten mit relativ wenig manueller Arbeit wieder ordnen.
Backup, Backup, Backup
Obwohl wir in diesem Szenario keine Daten verloren hatten, ergaben sich doch einige Anhaltspunkte für zukünftige Verbesserungen. Ein wöchentliches Backup der Domain-Controller ist für das Unternehmen grundsätzlich in Ordnung, da mehrere Domain-Controller den Bestand replizieren.
Dennoch ist es wichtig vor größeren Aufgaben ein Backup zu erstellen. Sollten größere Arbeiten oder automatische Skripte auf dem Verzeichnisdienst laufen, können die Daten entweder exportiert werden oder in unserem Falle besser: Über ein System State Backup gesichert werden.
Sind einzelne Domain-Controller virtualisiert (besser nicht), hilft auch ein Snapshot. Dieser darf nur nicht zu alt werden.
In unserem Falle wollte die Kollegin ihre Arbeit etwas beschleunigen und hat zwei Verwaltungskonsolen für das Active Directory genutzt. Was sie nicht beachtet hatte, war, dass die Inhalte der Konsole nicht automatisch aktualisiert werden. So hat sie die Änderungen in der einen Konsole mit den veralteten Daten der anderen Konsole überschrieben – und einen Konflikt ausgelöst.