Christoph257 10 Geschrieben 2. November 2006 Melden Teilen Geschrieben 2. November 2006 Hallo zusammen, ich mache mir gerade Gedanken über ein funktionierendes Konzept für die Sicherung des Active Directory unter Windows Server 2003. Bei meiner Recherche bin ich auf folgende Möglichkeiten und Lösungen gestoßen: Sicherung über NTBACKUP: Man sichere System State. Problem: diesen System State kann ich nur auf einer identischen (oder besser der gleichen) Maschine wiederherstellen. Wenn ich eine Sicherung des Systemstate habe, kann ich a) auf gleicher Maschine Recovery fahren b) mit dcpromo /adv auf 2. Maschine das AD recovern (Zuerst System State in Ordner "entpacken", dann dcpromo und im Assistenten entsprechenden Ordner angeben). Problem: dcpromo /adv benötigt einen funktionierenen Anmeldeserver UND Server muss schon Member der defekten Domäne sein. Ich weiß, was jetzt kommt: Man hat ja 2 DCs, beide gleichzeitig gehen schon nicht kaputt. Aber trotzdem - z. Bsp. in kleinen Umgebungen - muss es noch möglich sein, ein nur ein Mal vorhandenes AD inklusive entsprechendem DNS wiederherzustellen. Leider habe ich nichts passendes gefunden. Wie geht ihr vor? Noch kurz zum Thema wozu ich mir die Gedanken aktuell mache: Eine Domänenumbenennung steht bevor (weil kein korrekter DNS-Name vorhanden ist [DNS-Name = NetBIOS-Name...] da hat damals jemand geschlafen) und im Notfall möchte ich natürlich gerne zurück. Hier geht das natürlich mit System State weil gleiche Maschine aber generell kann dies doch nicht Voraussetzung für eine Wiederherstellung sein. Danke für eure Hilfe. Grüße Christoph Zitieren Link zu diesem Kommentar
woiza 10 Geschrieben 2. November 2006 Melden Teilen Geschrieben 2. November 2006 Hi, wir haben hier keine Domäne mit nur einem DC. Das finde ich auch höchst leichtsinnig. Zur Not lasse ich einen PC als DC mitlaufen. Den Systemstate kriegst du meistens auch ans laufen, wenn die HW etwas differiert, zumindest hochkommen tut das System meistens. Viel Glück übrigens für die Umbenennung, das kannst du evtl brauchen. Kleiner Tipp: ich würde das Ganze auf alle Fälle mal in einer Testumgebung MIT Exchange (falls vorhanden) durchspielen. Gruß woiza Zitieren Link zu diesem Kommentar
weg5st0 10 Geschrieben 2. November 2006 Melden Teilen Geschrieben 2. November 2006 Hi Christoph, as geht natürlich auch. Allerdings musst du die ein oder andere Kleinigkeit beim Recovery beachten: How to move a Windows installation to different hardware EDIT zweiter - woiza war schneller :) Zitieren Link zu diesem Kommentar
Christoph257 10 Geschrieben 2. November 2006 Autor Melden Teilen Geschrieben 2. November 2006 Hallo woiza und weg5st0, mir ist das klar, dass man keinen DC alleine laufen lässt. Mir kam der Gedanke ja auch mehr oder weniger so nebenbei bei meinem anderen Problem. Aber man denke mal an Small Business Server. Angenommen die Hardware "geht in Flammen auf" oder Ersatzteile sind nicht mehr verfügbar, dann muss ja auch eine Wiederherstellung gehen - diesen Server nimmt man ja eigentlich als einzigen Server in kleinen Umgebungen. Getestet habe ich die Umbennnung natürlich, im Labor 2* wunderbar funktioniert. Aber wie der Zufall das so will... nächsten Mittwoch weiß ich mehr. Exchange ist Gott sei Dank nicht dabei!! In dem MS-Link steht ja auch noch mal eindeutig: "Microsoft does not support restoring a system state backup from one computer to a second computer of a different make, model, or hardware configuration". Damit ist es dann Zufall ob man ein 1-DC-AD auf anderer Hardware wiederherstellen kann oder halt nicht... Mal so als Denkanstoß - Gibt es evt. 3rd-party-Software die hier helfen könnte? Grüße Christoph Zitieren Link zu diesem Kommentar
marin 10 Geschrieben 3. November 2006 Melden Teilen Geschrieben 3. November 2006 Als Denkanstoss zum Thema andere Hardware: Acronis True Image mit dem Universal Restore Acronis Universal Restore - complete disaster recovery planning @alle ich weiss dass Imaging für Umgebungen mit mehr als einem DC nicht ist (Warum Images nicht als Datensicherung taugen - faq-o-matic.net) aber für einen SBS kommt das schon hin Betreffend Restore hier noch eine Variante die auf SBS schon geklappt hat. 1: Restore auf neuen Hardware von System State und Daten von Systempartition 2: Neustart Server, Boot ab WIndows CD, erste auswahl "Neuinstallation" wählen und erst bei der zweiten Möglichkeit "Reparieren" wählen. 3: Nachinstallation von SPs und Patches (je nach Stand der Windows CD) Damit habe ich schon einige W2K und W2K3 Systeme auf neuer Hardware zum laufen gebracht. Gruss Martin Zitieren Link zu diesem Kommentar
Ald-Edv 10 Geschrieben 3. November 2006 Melden Teilen Geschrieben 3. November 2006 noch mal bez. des Imagings, ich finde es ist eine gute Idee wenn man es folgendermaßen macht: ein Image wird immer Zeitgleich an beiden Server gemacht (von der Systempartition). Wenns an einem Server crasht werden eben beide Images zurückgespielt... oder habe ich da nen Denkfehler drin? Zitieren Link zu diesem Kommentar
weg5st0 10 Geschrieben 3. November 2006 Melden Teilen Geschrieben 3. November 2006 In dem faq-o-matic Artikel steht drin, warum in beiden Szenarien das Image nichts taugt. vor allem wegen geöffneter Datenbanken... Beim SBS ist im Regelfall Exchange mit drauf, das wird dann richtig spannend, wenns keine Vollbackups gibt. Ich kann nur sagen - Finger weg von Images. Wer die Boardsuche bemüht weiß dann acuh schnell warum. Zitieren Link zu diesem Kommentar
marin 10 Geschrieben 3. November 2006 Melden Teilen Geschrieben 3. November 2006 @eg5st0 Ok, ich korrigiere meine Aussage. Offlinebackp (ab Bootdc, ohne laufendes OS und vorallem AD) kann doch aber für einen SBS eine Variante sein? Für irgendwas hat ja der Exchange Transaktionslogs, die beim Herunterfahren alle offenen Transaktionen in die mdbs schreibt und somit nach einem Herunterfahren die DB in einem konsistenten zustand ist, oder nicht. @Alle, auch ohne aktive DBS (SQL, Exchange,..) ist Image alleine nichts, dazu gehört einfach ein sauber gesicherter Systemstate (z. Bsp. über NTBackup) dazu! Und dieses Sicherungen gehört dann auch bitte schön extern gelagert. Zitieren Link zu diesem Kommentar
weg5st0 10 Geschrieben 3. November 2006 Melden Teilen Geschrieben 3. November 2006 @marin, du hast den Artikel immernoch nicht gelesen... Viele komplexe Anwendungen bieten eigene Schnittstellen für die Datensicherung an, z. B. Exchange Server oder SQL Server. Wenn diese Schnittstelle von einem Datensicherungsprogramm angesprochen wird, werden oft zusätzliche Vorgänge ausgeführt, etwa eine Prüfung der Datenbanken oder eine Defragmentierung. Werden solche Prozesse nicht ausgeführt, weil statt eines „ordentlichen“ Backups nur Images hergestellt werden, kann dies Beschädigungen der Datenbestände zur Folge haben, die unter Umständen erst bemerkt werden, wenn es viel zu spät ist und bereits zusätzliche Probleme entstanden sind. Ein klassisches Beispiel für dieses Problem ist der gefürchtete „-1018“-Fehler in Exchange Die Konsistenzprüfung der Datenbank wird beim Backup durchgeführt nicht beim Shutdown. ergo: Keine Alternative. Ganz nebenbei: Wer fährt seine Server zum sichern runter? Zitieren Link zu diesem Kommentar
marin 10 Geschrieben 3. November 2006 Melden Teilen Geschrieben 3. November 2006 OK. Image = keine Backupvariante für DCs oder Member mit aktiven Inhalten. Gruss und Danke für die Korrektur Zitieren Link zu diesem Kommentar
goscho 11 Geschrieben 3. November 2006 Melden Teilen Geschrieben 3. November 2006 Hallo alle, ich hätt' da auch noch einen: Symantec Backup Exec System Recovery-> Wiederherstellung auf komplett anderer Hardware, auch von DCs ohne Probleme möglich. Die SBS-Version ist sogar ziemlich günstig. Informiere dich bzgl. "LightsOut Restore" @woiza, warum sollte man mehr als einen DC haben, wenn man gerade mal eine sehr kleine Firma mit 1 x SBS und 2-10 Clienten hat? Hier wird meist auch der Ausfall des Servers von einem Tag kein großes Problem darstellen. In dieser Zeit hat man diesen allemal mit einer vernünftigen Sicherung wiederhergestellt. Gruß Goscho Zitieren Link zu diesem Kommentar
Ald-Edv 10 Geschrieben 3. November 2006 Melden Teilen Geschrieben 3. November 2006 Also ich habe mir jetzt den Artikel Warum Images nicht als Datensicherung taugen - faq-o-matic.net noch mal durchgelesen und ich finde absolut nichts, was gegen ein Image spricht wenn man beide Server gleichzeitig imaged und man keine Anwendungen wie Exchange oder sonst was am laufen hat. Klärt mich doch bitte in dem Fall auf falls ich mich irren sollte. Natürlich mache ich das Image nicht online sondern per neustart......... Zitieren Link zu diesem Kommentar
weg5st0 10 Geschrieben 3. November 2006 Melden Teilen Geschrieben 3. November 2006 Du musst in jedem Fall beide Server wieder zum Stand des Images wiederherstellen, da du sonst auf jeden Fall vor dem USN-Rollback stehst. Wenn du das aber machst, stehst du z.B. vor dem Problem: Relativ unbekannt ist die Tatsache, dass ein Computer in einer Windows-Domäne über ein Anmeldekonto verfügt, das praktisch einem Benutzerkonto entspricht. Daraus folgt, dass auch ein Computer sich mit einem Kennwort an die Domäne anmelden muss. Dieses Kennwort wird zwischen dem Computer und dem Domänencontroller ausgehandelt und in bestimmten Zeitabständen erneuert. Wann dies geschieht, ist nicht ohne Weiteres nachvollziehbar. Genau hieraus erwächst aber ein Problem: Ein Image sichert natürlich auch das gerade aktuelle Kennwort des Computers mit. Es ist nun leicht möglich, dass nach dem Herstellen des Images das Computerkennwort neu gesetzt wird. Man muss den Artikel nicht besonders aufmerksam lesen, um diese Probleme zu erkennen, steht ja deutlich da - oder? Abgesehen davon: Wenn mein Autohersteller sagt: Nur mit unserem Gurt oder den Gurten der folgenden Hersteller bist du beim Unfall sicher, kaufe ich mir keine Schnur - nur weils schneller oder bequemer geht. Es gibt noch zahlreiche weitere Gründe, die gegen den Einsatz von Images oder Computer-Snapshots als „Sicherungsstrategie“ sprechen. Daher die Empfehlung: Finger weg von Images! Server müssen mit einer ordentlichen Online-Datensicherung gesichert und mit einem herstellerunterstützten Verfahren wiederhergestellt werden. Zitieren Link zu diesem Kommentar
woiza 10 Geschrieben 3. November 2006 Melden Teilen Geschrieben 3. November 2006 @woiza, warum sollte man mehr als einen DC haben, wenn man gerade mal eine sehr kleine Firma mit 1 x SBS und 2-10 Clienten hat? Hier wird meist auch der Ausfall des Servers von einem Tag kein großes Problem darstellen. In dieser Zeit hat man diesen allemal mit einer vernünftigen Sicherung wiederhergestellt. Gruß Goscho Ich habe nix zu SBS gesagt, damit habe ich keinerlei Erfahrung. Ich sprach lediglich von dedizierten DCs. Und für einen Mittelständler sollten die paar € für Serverlizenz + Hardware im Vergleich zu einem Systemausfall keine Rolle spielen. Aber wie gesagt SBS für 5 Leute sieht anders aus, da hab ich nix mit zu tun. Gruß woiza Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 3. November 2006 Melden Teilen Geschrieben 3. November 2006 Du musst in jedem Fall beide Server wieder zum Stand des Images wiederherstellen, da du sonst auf jeden Fall vor dem USN-Rollback stehst. Nein, das ist beim OfflineImage nichts anderes, als ob du zwei DCs abschaltest und danach nur einen einschaltest. Und selbst wenn du den zweiten DC erst Stunden später hochfährst bzw. reimaged, hast du keinen USN-Rollback Neben dem Computeraccount muss man bei dem Offline BackupVerfahren evtl. auch das PW des KDC zurücksetzen. Aber insgesamt ist eine "normale" - Ntbackup Sicherung (Backup/ Restore so weit wie möglich automatisiert und dokumentiert) die Variante der Wahl. cu blub Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.