colarum 10 Geschrieben 16. März 2007 Melden Teilen Geschrieben 16. März 2007 nun muss ich mich hier auch mal einklinken ist zwar ein bisschen off-topic aber ich versteh nur bahnhof :( @daim: was meinst du damit? Zum Glück entschärft sich die physikalische Sicherheit eines DCs mit Longhorn enorm. kenn mich echt nicht aus! danke schonmal für die aufklärung eines unwissenden :) mfg THomas Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 16. März 2007 Melden Teilen Geschrieben 16. März 2007 nun muss ich mich hier auch mal einklinken ist zwar ein bisschen off-topic aber ich versteh nur bahnhof :( Nur keine Scheu... ;) @daim: was meinst du damit? Mit dem Longhorn Server wird der Read-Only Domain Controller (RODC) eingeführt und dieser ist genau für diesen Fall in diesem Thread prätesteniert. In einer Aussenstelle wo der DC physikalisch nicht sicher steht/stehen kann, ist der RODC dafür gedacht. Dieser hat nur eine Lese-Berechtigung auf der Active Directory-Datenbank "NTDS.DIT". Deshalb wird auch nur einseitig repliziert, da der RODC eben nichts schreiben darf. Wenn der RODC geklaut werden würde, kann man diesen ganz einfach aus dem AD löschen und stellt danach keine Gefahr mehr da. Mit 2003 kann ein Dieb über das wochenende einen DC klauen, kompromitiert diesen DC und stellt ihn wieder zurück und keiner hat davon etwas gemerkt. Das geht mit Longhorn zum Glück nicht mehr. Hier was zum lesen: Windows Server “Longhorn”: Identity and Access Microsoft Windows Server code name "Longhorn" Home Zitieren Link zu diesem Kommentar
chrismasterlu 10 Geschrieben 16. März 2007 Autor Melden Teilen Geschrieben 16. März 2007 Ja hab es ja auch ein wenig Spaßhaft gemeint. Also alles net so schlimm. Die Sicherungen nehme ich jeden Tag mit nach Hause, das ist klar. Auch hat mir die Diskussion mit Sicherheit einiges gebracht. Von daher noch mal Danke. Das sich mit Longhorn das Ganze entschärfen soll, fände ich gut. Aber eh die Mehrheit das System nutzen wird dauert es eben noch ne Weile, auch wenn es wohl noch Ende 2007 rauskommen soll. Aber allem in allem sind die MS Produkte schon sehr geil. Will mich da nicht falsch verstanden wissen. Gerade was Assistenten angeht, hat sich mit Windows 2003 sehr viel getan. ist schon nen Spitze Server System, man muss es in seiner ganzen Komplexität nur richtig zu nutzen wissen und dafür sind diese Foren eine riesige Hilfe. Grüße Christian Zitieren Link zu diesem Kommentar
cubi 10 Geschrieben 16. März 2007 Melden Teilen Geschrieben 16. März 2007 Hola, Siehe: How to perform a disaster recovery restoration of Active Directory on a computer with a different hardware configuration Wenn der SBS nun geklaut werden würde, ist es mit bestehendem Backup möglich, alles wieder herzustellen. Es ist vielleicht etwas aufwendiger durch andere Hardware, aber der Mehraufwand wäre ca. 1 Std. Aber es würde erneut laufen. Dann habe ich diesen Artikel nicht verstanden, denn: Halten Sie den wiederhergestellten Domänencontroller nach der Wiederherstellung nicht in Betrieb. Das Ziel dieser Wiederherstellung besteht darin, die Funktionalität des Active Directory wiederherzustellen und neue Domänencontroller online zu schalten. Nachdem ein neuer Domänencontroller online ist, stufen Sie den wiederhergestellten Server herab, entfernen Sie ihn aus der Domäne, und installieren Sie Windows neu. Das hast Du ja auch schon geschrieben, aber was bedeutet das denn? Ich habe durch mein Backup zwar die AD Informationen gerettet, aber alles andere ist auf dem neuen, sauberen DC weg und muss neu installiert werden. Die Dateifreigaben, die freigegebenen Drucker, das datenbankbasierende Programm für die Zeiterfassung, ich muss vorher ausprobiert haben, ob ich auf dem wiederhergestellten DC den Computernamen ändern kann, damit ich auf dem Neuen nicht alle UNC Pfade anpassen muss, von Exchange Postfächern verschieben, Bridgeheadserver ändern will ich gar nicht erst anfangen, und so weiter und so weiter. Aber halt, während ich das so schreibe, fällt mir auf, dass dieses Problem nichts mit dem AD zu tun hat, sondern in der Schwierigkeit liegt, ein konfiguriertes Betriebssystem auf andere Hardware zu bringen. Das ist jetzt richtig übel, denn zum einen muss ich meine bisherigen Aussagen zurücknehmen, das AD Konzept für sich genommen ist tatsächlich unschuldig und doch brauchbar (die erste Cola geht auf mich ;) ), zum anderen aber hätte ich als SBS Admin immer noch das Problem, ein Restore nur mit ganz viel Arbeit, Wissen und regelmässigen vorherigen Tests sauber durchführen zu können. Und wenn ich dann auch noch Inhaber einer EDV Bude sein sollte, der mehrere Kunden betreut, kann ich das mit den vorherigen Tests auch vergessen, denn die Aufwände bezahlt mir kein Mensch. Auch wenn Urmel und Du schlussendlich absolut recht habt, bleibt doch ein schaler Beigeschmack. Aber jetzt sind wir meines Erachtens wirklich an einem Punkt angelangt, an dem man besser persönlich diskutiert, das mit der ICE ist diesbezüglich eine feine Idee :) gruss cubi Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 16. März 2007 Melden Teilen Geschrieben 16. März 2007 Ich habe durch mein Backup zwar die AD Informationen gerettet, aber alles andere ist auf dem neuen, sauberen DC weg und muss neu installiert werden Mit den AD-Informationen bekommst Du zumindest Deine Domäne, samt Benutzer- sowie Computerkonten wieder, dass stimmt. Dann hast Du aber natürlich nicht die applikationen wieder, aber genau dafür ist doch ein Backup-Konzept bzw. Recovery-Plan gedacht. Um das wiederherstellen genauestens zu beschreiben in der geringsten Zeit. Die Dateifreigaben, die freigegebenen Drucker, das datenbankbasierende Programm für die Zeiterfassung, ich muss vorher ausprobiert haben, ob ich auf dem wiederhergestellten DC den Computernamen ändern kann, damit ich auf dem Neuen nicht alle UNC Pfade anpassen muss, von Exchange Postfächern verschieben, Bridgeheadserver ändern will ich gar nicht erst anfangen, und so weiter und so weiter. Jetzt erstellen wir so langsam ein Backup bzw. Recovery Plan... ;) Die Dateifreigaben kannst Du Dir aus der Registry exportieren usw. Wie man Exchange sichert, gibt es auch jede Menge im Internet. Den Bridgehead-Server brauchst Du bei nur einem SBS nicht ändern ;) Acchhhh.. Du hast einen weiteren DC, dann sieht die Welt anders aus :D Wie das System samt Programmen wiederhergestellt wird, darin liegt die Kunst. Das gilt es zu erarbeiten. Aber halt, während ich das so schreibe, fällt mir auf, dass dieses Problem nichts mit dem AD zu tun hat, sondern in der Schwierigkeit liegt, ein konfiguriertes Betriebssystem auf andere Hardware zu bringen. Ganz genau, dass AD hat damit nichts zu tun. Das ist jetzt richtig übel, denn zum einen muss ich meine bisherigen Aussagen zurücknehmen, das AD Konzept für sich genommen ist tatsächlich unschuldig und doch brauchbar (die erste Cola geht auf mich ), Achh... da schau an ;) zum anderen aber hätte ich als SBS Admin immer noch das Problem, ein Restore nur mit ganz viel Arbeit, Wissen und regelmässigen vorherigen Tests sauber durchführen zu können So geht es aber nicht nur Dir, sondern jedem Admin (und somit jedem Unternehmen) auf dieser Welt, egal welche Server er betreut. Ich erwähne es immer wieder, Backup ist ein harter Job der Tag täglich betreut werden will/muss. Das ist kein Job für eine Sekretärin und ja ich weiß, in einem 5 Mann Laden wird das so gelebt. Das ändert nichts an der Tatsache, dass das Backup ein harter Job ist ;) Es muss geprüft werden ob gesichert wurde und zwarnicht nur an der Software sondern ob auch tatsächlich das Band beschrieben wurde. Kann man das gesicherte auch zurücksichern etc. pp. Und wenn ich dann auch noch Inhaber einer EDV Bude sein sollte, der mehrere Kunden betreut, kann ich das mit den vorherigen Tests auch vergessen, denn die Aufwände bezahlt mir kein Mensch. Wenn Du ein Systemhaus wärst, dann ist das nicht Dein Problem, sondern die des Kunden. Der Kunde muss sich um das Backup Gedanken machen und nicht Du. Du kannst Ihn darauf aufmerksam machen, aber er ist dafür zuständig - ganz einfach. Aber jetzt sind wir meines Erachtens wirklich an einem Punkt angelangt, an dem man besser persönlich diskutiert, das mit der ICE ist diesbezüglich eine feine Idee Yepp, dass sehe ich auch so :cool: Zitieren Link zu diesem Kommentar
cubi 10 Geschrieben 16. März 2007 Melden Teilen Geschrieben 16. März 2007 Auf meinem Testsystem ist es mir eben nur bislang noch nicht gelungen das AD wieder herzustellen. Auch wenn ich Windows danach reparieren lasse. Also ich habe den kb263532 heute mal ausprobiert, das geht tatsächlich. Quelle war ein HP ProLiant ML500, Ziel war ein gewöhnlicher Client mit Intel 945G und SATA Platte. Ich habe zwar deutlich länger als 1h gebraucht, aber am Ende lief es. Wie stellt Backup Exec denn den System State wieder her? Geht das automatisch oder musst Du irgendwann im Verzeichnisdienstwiederherstellungsmodus (yeah!) booten? Was für Fehler hast Du denn im Ereignisprotokoll? Ich habe festgestellt, dass bei einem einzigen DC beim Booten immer Fehler von LsaSrv protokolliert werden (gibts auch einen kb Artikel zu), das ist aber reine Kosmetik. gruss cubi Zitieren Link zu diesem Kommentar
goscho 11 Geschrieben 16. März 2007 Melden Teilen Geschrieben 16. März 2007 Hallo Leute, so jetzt mischt sich noch einer mit in die Diskussion ein und zwar einer, der viele dieser kleinen Firmen betreut, die in Besenkammern oder neben dem PC der Sekretärin den Server stehen haben. Meist haben die nicht mal 5 PCs. Warum in aller Welt sollte ich denen noch einen Server, egal ob Kiste oder virtuell einrichten? Die bekommen eine gute durchdachte und getestete Sicherung. In den letzten Jahren habe ich dazu immer Veritas (jetzt ja Symantec) BE 8/9/10 mit IDR genommen. Jetzt bejommen die Kunden die neue Version 11d. Damit klappt die Wiederherstellung sehr gut. Beim Wiederherstellen des SBS2003 auf anderer Hardware habe ich jetzt eine richtig geile Geschichte bei einigen Kunden und mir laufen: Symantec BackupExec System Recovery für SBS. Kostet zwar Geld, ist aber genau das richtige Programm, um bei einer Ein-Server-Umgebung das System in extrem kurzer Zeit wieder zum Laufen zu bringen, inklusive AD, Exchange, SQL usw. Ich nutze das meist in Verbindung mit günstigen USB-HDDs. Mit extrem kurz meine ich, dass ich einen SBS in weniger als 90 min komplett auf anderer Hardware wiederherstelle. Dies habe ich mit meinem Test-DC (AD, SQL, Exchange, Files etc welcher auf Standard-PC-Hardware) lief auf meinem Notebook gemacht. Es hat einfach und problemlos hingehauen. ...Das ist jetzt richtig übel, denn zum einen muss ich meine bisherigen Aussagen zurücknehmen, das AD Konzept für sich genommen ist tatsächlich unschuldig und doch brauchbar (die erste Cola geht auf mich ;) ), zum anderen aber hätte ich als SBS Admin immer noch das Problem, ein Restore nur mit ganz viel Arbeit, Wissen und regelmässigen vorherigen Tests sauber durchführen zu können. Und wenn ich dann auch noch Inhaber einer EDV Bude sein sollte, der mehrere Kunden betreut, kann ich das mit den vorherigen Tests auch vergessen, denn die Aufwände bezahlt mir kein Mensch. Ich bin so ein Inhaber einer EDV-Bude, der solche Kunden auch betreut. Ja, den Aufwand bekommt man nur zum Teil bezahlt. Wenn man es aber ein paar mal gemacht hat, so wird der Aufwand im Verhältnis zum Ertrag kleiner.;) Das größte Problem an meinem Konzept ist es, einem solchen Kunden erklären zu müssen, dass er eine vernünftiges Backup-Lösung braucht und das dieses auch ein wenig kostet. Einem Kunden habe ich dies mal zum Testen vorgeführt. Ich habe seinen Server mit BESR gesichert, und auf meiner 2. Notebookplatte wiederhergestellt. Seinen Server habe ich dann für 2 Stunden mit meinem Notebook ersetzt. In dieser Zeit wurde mit dem Notebook weitergearbeitet. Das Einbinden der Treiber war einfacher als ich gedacht hatte, ging fast von allein. Hinterher das gleiche in die andere Richtung. Zitieren Link zu diesem Kommentar
cubi 10 Geschrieben 17. März 2007 Melden Teilen Geschrieben 17. März 2007 Warum in aller Welt sollte ich denen noch einen Server, egal ob Kiste oder virtuell einrichten? Hm, ja, weil Daims Argumente eigentlich immer noch gültig bleiben. Beim Wiederherstellen des SBS2003 auf anderer Hardware habe ich jetzt eine richtig geile Geschichte bei einigen Kunden und mir laufen: Symantec BackupExec System Recovery für SBS. Naja, aber diese Software kann doch der Logik nach nur das automatisieren, was im MS kb Artikel als offizielle Lösung beschrieben ist. Am Ende hast Du wieder einen Server, der nicht von Grund auf neu mit der aktuellen Hardware installiert wurde, sondern die aktuelle Hardware wurde einem Altsystem untergeschoben. Auch wenn das x-mal bei x-verschiedenen Kunden funktioniert hat, bleibt trotzdem noch ein Restrisiko, weil MS nunmal ganz klar sagt, dass diese Vorgehensweise als dauerhafte Lösung nicht empfehlenswert ist. Und leider, leider kann man einige Dinge eben nicht testen. Beispiel Imagesicherung eines Rechners bei laufender Datenbank von irgendeiner beliebigen Software,die kein Mensch kennt. Bei unseren Tests hier ging das in mindestens 50% aller Fälle gut, das Image enthielt aber auch oft genug eine korrupte Datenbank. Sicherlich wirst Du mit der Symantec Lösung einen ganz erheblich höheren Erfolgsgrad erzielen, sonst wäre die Software nicht auf dem Markt. Trotzdem wird auch damit 100% Sicherheit nicht erreichbar sein. Da wir ja nun hier erschöpfend diskutiert haben, wie planungs- und damit kostenaufwendig eine saubere Lösung ist, kann man dieses Restrisiko selbstverständlich billigend in Kauf nehmen. Nur sollte man das Risiko eben nicht ignorieren, sondern bedenken und dann unter Kosten/Nutzen Aspekten eine Entscheidung treffen. gruss cubi Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.