copper
Goto Top

Backup eines Domänen Controllers ohne Active Directory

...bzw. Wiederherstellung ohne AD

Hallo,

ich interessiere mich für Backups bei DCs.
Nun habe ich bereits viel gelesen, über Strategien das AD zu sichern usw.
U. a. habe ich Folgendes bereits herausgefgunden:

- für DCs niemals ein Image verwenden sondern z.B. per ntbackup den Systemstate sichern
- bzw. Rücksicherung des AD per Replikation

Wie sichere ich aber die restliche Software auf dem Rechner, wenn das Rückspielen von Images, aufgrund der enthaltenen, wahrscheinlich veralteten AD-Daten, nicht zu empfehlen ist?

Ein Beispiel:

Tag x :Ich setze Win2k3 auf --> ziehe ein image
Tag x+1 :Ich setze AD auf --> sichere den Systemstate
Tag x+2 :Ich installiere zusätzliche Software (dadurch ist das 1. Image veraltet), die ich auch in

einem Backup haben möchte. Aber wie sichere ich diesen Stand des DCs, in einem herkömmlichen Image ist ja AD mit enthalten? Und so wie ich gelernt habe, sollte man dieses dann nicht wiederherstellen.

Gibt es Programme, die das OS und zusätzliche Software, jedoch ohne AD sichern können?
Also am Besten auswählbar: "Festplatten-Image ohne AD"

Grüße

Content-Key: 72348

Url: https://administrator.de/contentid/72348

Ausgedruckt am: 28.03.2024 um 14:03 Uhr

Mitglied: DerSchorsch
DerSchorsch 30.10.2007 um 20:18:54 Uhr
Goto Top
Hallo,

warum willst du ein anderes Programm für die Datensicherung nehmen? Mit NTBackup kannst du den Rest auch sichern. Damit geht auch eine sogenannte ASR-Sicherung, mit der schnell eine komplette Systemwiederherstellung möglich ist. Per TaskScheduler kannst du das automatisieren und vor allem im laufenden Betrieb machen (was bei Images nicht geht).
Alternative zu NTBackup wäre z.B. BackupExec von Symantec, kostet halt was.

Gruß,
Schorsch

Edit: Noch ein paar Infos zu NTBackup: How Backup Works
Mitglied: copper
copper 31.10.2007 um 11:42:50 Uhr
Goto Top
Hey Schorsch,

kann man denn bei der Sicherung mit ntbackup die Sicherung des AD eindeutig ausschließen?
Ich hatte mir das so vorgestellt, dass ich ein Backup der Partition habe (Ohne AD), das ich im Notfall aufspiele und mir das AD per Repliaktion hole.

AD wollte ich extra sichern. Ohne den Rest des Systems, jedoch öfter, um immer ein sehr aktuelle Version zu haben.

Ich möchte deswegen eine Trennung der Backup-Dateien, da ich:

1. nicht genau weis, ob eine Wiederherstellung des AD (falls Replikation aus irgendeinem Grund nicht geht) von einem Backup so ohne weiteres möglich ist, wenn in diesem Backup noch der Rest der Partition (zusätzlich zum Systemstate) enthalten ist.

und 2. auch eine extra Sicherung des Systems ohne AD haben möchte, die ich in längeren Intervallen mache. Um ebend die oben genannte Strategie zu fahren, bei der ich das OS mit allen Programmen wiederherstelle und dann das AD per Replikation hole. Diese Empfehlung habe ich auch schon öfters gelesen.

Wie sichert Ihr denn eure Systeme? Was für Sicherungen erstellt ihr?

Grüße
Mitglied: DerSchorsch
DerSchorsch 31.10.2007 um 18:50:59 Uhr
Goto Top
Hallo,

Natürlich kannst du Nutzdaten auch ohne das ActiveDirectory sichern. Aber du kannst es nicht komplett vom Betriebssystem trennen, dazu ist es zu komplex. Und vor allem kannst du nicht einen nackten Server wiederherstellen und hoffen, dass der von zauberhand zum DC wird und das AD zurückrepliziert.

Um das AD zu sichern, musst du den sogenannten "Systemstate" sichern. Darin ist nicht nur das AD, sondern auch die Registry sowie die wichtigsten Systemdateien. Sprich alles, was man zur Wiederherstellung und stabilen Betrieb des AD braucht => das macht also durchaus Sinn! (bzw. es macht keinen Sinn, den Systemstate nochmal auzusplitten)

Im Notfall kommt es darauf an, was pasiert ist und wie deine Umgebung aussieht.
z.B.:
  • Du hast mehrere DCs, einer stirbt. Du tauscht bei diesem die defekte Hardware und ziehst in wieder hoch (z.B. mit ASR). Dabei muss also das Betriebsystem laufen und er muss wissen, welche Rolle er in welchem AD übernehmen soll. Du brauchst also die Systempartition UND den Systemstate. Der Server wird also gleich wieder zum DC, weiss aber (anderst als bei einer Imagewiederherstellung), dass er wiederhergestellt wurde (non-authorative restore). Er blockiert jetzt selbstständig die Anmeldungen und repliziert die Daten von einem anderen DC. Sobald das erledigt ist, geht er in den Nomalbetrieb. Fertig.
  • Die Server selbst laufen problemlos, aber im AD sind Fehler aufgetreten, z.B. wurden versehentlich User gelöscht. Du bootest einen der DCs in der AD-Wiederherstellungsmodus, ziehst den Systemstate zurück und setzt das AD ganz oder teilweise auf "authorative restore". Dann bootest du den Server normal. Er signalisiert nun den anderen DCs, dass er Daten wiederhergestellt hat und repliziert diese auf die anderen (also genau anderstrum als im ersten Beispiel).

Du kannst auch ganz verschiedene Sicherungen fahren:
z.B. einmal pro Monat eine ASR-Sicherung, täglich den Systemstate und jedes Wochenende wasauchimmer.

Welches Produkt da dazu nimmst ist dir überlassen. Wichtig ist halt nur, dass es mit dem Systemstate richtig umgehen kann, und korrekt non-authorative oder authorative Restores machen kann.
Ich habe da ganz gute Erfahrung mit NTBackup und BackupExec.
In einer größeren Umgebung, in der z.B. ein dedizierter Backupserver alle anderen sichert, ist BackupExec sehr komfortabel. Sichert jeder Server selbst, ist NTBackup absolut ausreichend.

Gruß,
Schorsch
Mitglied: copper
copper 31.10.2007 um 23:15:11 Uhr
Goto Top
Hi Schorsch,

ja sicher nicht von Zauberhand. Aber fast mit dcpromo. face-smile
Das sind genau die Infos die ich gebraucht habe. Dank dir.

Grüße
Mitglied: copper
copper 01.11.2007 um 11:53:12 Uhr
Goto Top
Ich hätte da doch noch eine Frage.
Sollte man Sicherungen von DCs immer vollständig und nicht inkrementell, differentiell machen?
Ich hatte mal sowas gelesen.

Grüße
Mitglied: DerSchorsch
DerSchorsch 01.11.2007 um 11:59:20 Uhr
Goto Top
Hallo,

gern geschehen.

Das mit dcpromo wäre aber sowieso schwierig: dcpromo will dann nämlich einen neuen DomainController einrichten und würde abbrechen, da es das alte DC-Objekt ja noch gibt (die anderen DCs wissen ja nicht, ob der tot ist oder nur kurz heruntergefahren wurde).
Man müsste also zuerst per ntdsutil den alten entsorgen, ev. FSMO-Rollen und GC auf andere verschieben, etc... (richtig lustig wirds dann, wenn da ein Exchange lief face-sad )

Glaub mir, den Systemstate zurückspielen geht schneller und zuverlässiger face-smile

Gruß,
Schorsch
Mitglied: DerSchorsch
DerSchorsch 01.11.2007 um 12:08:13 Uhr
Goto Top
Hallo,

der Systemstate wird immer vollständig gesichert, geht gar nicht anderst. Die Systempartition würde ich auch immer vollständig machen.
Sprich: alles was man braucht, um das Grundsystem wieder zum Leben zu erwecken vollständig, Nutzdaten vollständig, inkrementell oder differenziell, das kommt darauf an.

Gruß,
Schorsch