Imaging/Restore von Domain Controllern und es geht doch

[WarriorHell 10]

Hallo,

 

wie einigen schon bekannt geht es um die Problematik des Restores von Domain Controllern

mittels Acronis Treuimage.

Da ich schon mal den Mist einer nicht mehr funktionierenden Replikation mitgemacht habe, hat mich das Thema nicht losgelassen.

 

Stichpunkte : Tombstone & USN

 

Wenn ich es recht verstanden habe, ist man auf der sicheren Seite, wenn man die Domain Controller zur gleichen Uhrzeit sichert mittels Acronis Treuimage Server und auch zu dieser Zeit auf allen Dcs ein System Status Backup macht.

Ist man jetzt gezwungen ein Image einzuspeieln, müsse man folgendermaßen vorgehen.

 

1)Images zurückspielen

2) in den AD restore mode booten

3) System Status files zurückspielen

 

a) das Ganze ist hier nachzulesen:

Microsoft Doesn't Support IMAGING of Domain Controllers!! - Wilders Security Forums

 

b) Kann mir Jemand sagen, wie man den System Status mittels Boardmittel auf einem SBS 2003 bzw. einem Server 2003 sichert?

 

 

Wäre schön, wenn wir eine Lösung hinbekommen, da das Thema für viele User interessant sein dürfte.

[Squire 211]

zu b) .. NTBACKUP

[WarriorHell 10]

das hatte ich schon gesehen, aber muss man da bestimmtest auswählen ?

[grizzly999 11]

Interessant, mit welcher irnoranz der Acronis-Heinz die Frage des Fragestellers "Supportet Microsoft das Imaging von DC mit Acronis" beantwortet:

 

Yes, we do support imaging of a Domain Controller

:rolleyes:

 

grizzly999

[grizzly999 11]

das hatte ich schon gesehen, aber muss man da bestimmtest auswählen ?

Den Systemstatus ...

[WarriorHell 10]

grizzly kannst du das was du dort liest später mal bewerten?

[Squire 211]

Na ... die beantworten das doch eigentlich selbst ... wenn ich hinterher erstmal mit NTBACKUP den Systemstatus sichern muss und dann nach einem Imagerestore diesen auch mittels NTBACKUP wiederherstellen muss ... sage ich nein die supporten das wenn dann nur indirekt unter Zuhilfenahme von Microsoft Tools, die nicht automatisch verwendet werden.

 

Im Prinzip kann ich auch gleich eine Komplettsicherung mit Systemstate und ASR mittels NTBACKUP machen

[grizzly999 11]

grizzly kannst du das was du dort liest später mal bewerten?

Kann ich, hatte heute Mittag wenig Zeit:

Ein reines Image eines DC als Sicherung taugt nicht, und die Ignoranz des Acronis-Supporters in dem Link oben spricht Bände

Frage: "Unterstützt Microsoft diese From der Sicherung?"

Antwort: "Ja, WIR unterstützen das Imaging des DC". Sind die Microsoft ?! :suspect: :rolleyes:

 

Das in dem Link vom Support beschriebene Vorgehen ist ein Schritt in die richtige Richtung , aber nicht das, wie man es machen sollte. Imaging eines DC in einem Forest mit mehreren DC ist eine heikle Sache, und das USN-Rollback-Problem schwebt wie ein Damokles Schwert darüber. Siehe auch mein Artikel dazu hier: Willkommen bei QITCON: Image-Technik und das USN-Rollback-Problem. Außerdem gab es einen längeren Thread, vor nicht allzu langer Zeit dazu hier im Board, wo sich Blub mehrfach äußerte, der sehr viel Erfahrung mit dem Restore von DCs bzw. ganzen Forests hat.

 

Es ist schlichtweg so: Microsoft supportet das Sichern von DCs mittels Images nicht, es sein denn, ein solches Produkt würde die entsprechenden APIs des Betriebssystem ansprechen:

Operations that are not supported include the following: 1. Starting an Active Directory domain controller whose operating system was restored to a hard disk by using an imaging program such as Norton Ghost

2. Starting an Active Directory domain controller whose operating system resides in a virtualized hosting environment such as Microsoft Virtual PC or EMC VMWARE.

3. Starting an Active Directory domain controller that is located on a volume where the disk subsystem loads using previously saved images of the operating system without requiring a system state restoration of Active Directory.

The only supported way to roll back the contents of Active Directory or the local state of an Active Directory domain controller is to use an Active Directory-aware backup and restoration utility to restore a system state backup that originated from the same operating system installation and the same physical or virtual computer that is being restored.

Soll das Ganze korrekt verlaufen, dann ist der Systemstatus vor dem Imagen zu sichern und nach dem Wiederherstellen eines solchen Images wiederherzustellen. Nur den FRS und den Netlogon-Dienst anzuhalten, wie von Acronis vorgeschlagen, reicht absolut nicht aus!!

 

Wer ohne das auskommen will, sollte sich vorher schriftlich vom Hersteller bestätigen lassen, dass sein Image-Tool zu 100% von Microsoft supportet wird, am besten auch offenlegen warum, aber das werden die ganzen Hersteller, die ich im Moment so kenne, wohlwissentlich nicht tun, denn keines der z.Z. gängigen Tools ist so programmiert, dass die entsprechenden APIs von Microsoft angesprochen werden. Und ohne das, nud ohne eine zusätzliche Systemstatus-Sicherung, läuft man Gefahr, sich im Ernstfall Inkonsistenzen im AD zu schaffen :suspect:

 

 

grizzly999

[WarriorHell 10]

http://img352.imageshack.us/my.php?image=systemstateaz0.jpg

 

es doch diese Option beim Sicherungsprogramm gemeint oder? Nur der Sicherheit halber

[grizzly999 11]

Ja. Du kannst es aber auch ohne Wizard machen , im Sicherungsprogramm den Reiter "Sichern" auswählen und dann in der Liste der selektierbaren ordner ganz unten da Häkchen "SystemState" aktivieren. Kommt auf's gleiche heraus

 

 

grizzly999

[marka 584]

Ja richtig.

Aber wo du allerdings von Sicherheit sprichst:

 

Velinke bitte das nächste mal nicht auf eine Seite, die eine Flut von Cookies setzen will und zig PopUps öffnen möchte.

 

Dank Dir!

[WarriorHell 10]

@Grizzly danke sehr für deine Zeit

 

also ich halte fest: wenn es klappen soll muss folgendes getan werden:

 

Nehmen wir an ich habe auf meinen beiden Dcs folgendes eingerichtet.

 

1)Auf beiden Servern sichere ich z.B. jeden Tag um 20:58 Uhr mittels der OS eigenen Sicherungssoft den System State, dies auf beiden Servern exakt zur selben Uhrzeit

2) Auf beiden Servern wird jeden abend z.B. um 21:00 ein Image gezogen

 

Sollte ich jetzt ein Problem haben:

 

3) Restore der beiden Images vom vorabend 21:00

4)boot AD im Restore Mode

5) Wiederherstellung des System state mittels der Sicherung von 20:58 Uhr des vor abends

 

 

Besteht trotzdem noch die Notwendigkeit den FRS und den Netlogon-Dienst anzuhalten, wie von Acronis vorgeschlagen?

 

Wäre schön, wenn wir hier eine funzende Anleitung hinbekämen, diese mag nicht Jeder für koscher halten aber im Worst Case ist man doch um jeden Strohhalm froh.

[grizzly999 11]

Fast.

1)Auf beiden Servern sichere ich z.B. um 20:68 Uhr mittels der OS eigenen Sicherungssoft den System State, dies auf beiden Servern exakt zur selben Uhrzeit

Das muss nicht zur selben Uhrzeit sein. 20Uhr68 :suspect: Okay, Typo, 58 war gemeint ;) :D

 

2) Auf beiden Servern wird z.B. abends um 21:00 ein Image gezogen

Kann man tun, muss aber auch nicht so sein, mit der Gleichzeitigkeit

 

3) Restore der beiden Images vom vorabend 21:00

Es reicht, den zu restoren, der nicht mehr wollte.

 

4)boot AD im Restore Mode

Müsste auch nicht sein.

 

) 5) Wiederherstellung des System state mittels der Sicherung von 20:58 Uhr des vor abends

Yepp.

 

Besteht trotzdem noch die Notwendigkeit den FRS und den Netlogon-Dienst anzuhalten, wie von Acronis vorgeschlagen?

Nein, die Sicherung des Systemstatus sorgt für die das Ganze drumherum und macht alels selber, was notwendig ist. Will heißen, wenn ich den DC "normal" sichern würde mit Systemstatus, halte ich die Dienste vorher auch nicht an. Ist auch nicht von Microsoft so vorgeschrieben.

Ich vermute, dass Acronis hier wenigstens eine Kleinigkeit an Vorsorge treffen will, um z.B. Replikationsvorgänge oder AD-Änderungen während des Imagens zu unterbinden, denn sowas könnte fatal sein, wenn nebenher die Patte abgesaugt wird, wenn das Transaktionen stattfinden (wie schon gesagt, ohne eine Sicherungssoftware, die die notwendigen APIs benutzt).

 

grizzly999

[WarriorHell 10]

Jetzt muss ich doch abschliessend nochmal nachfragen:

 

Angenommen ich habe wie schon geschrieben 2 Server auf denen ich jeden Tag Images ziehe und den Systemstate sichere.

 

Also nehmen wir an, um es auf mein Bsp. umzusetzen:

 

Ich habe einen Sbs 2003 Std und 1 Windows 2003 Std

 

Jetzt schmiert mir der Sbs 2003 ab. Kann ich jetzt tatsächlich hergehen und auf dem Sbs 2003 das Image vom vor abend einspielen und ganz normal booten(wie du schreibst ohne AD restore Modus) und dann gleich als erstes den Systemstate auf dem Sbs einspielen.

 

1) Muss ich analog sofort den Systemstate vom vor abend 20:58 auch auf dem anderen noch funktionstüchtigen Server(Windows 2003) einspielen?

2) Wäre es sinnvoll die beiden Server vom Netz zu nehmen bis ich auf beiden(wenn das sein muss )den system state eingespielt habe?

 

 

Besten Dank

 

P.S. Kanns gar nicht glauben das ich dieses riesen Problem endlich los wäre

[grizzly999 11]

Ui, SBS, da würde ich kein Image ziehen, da ist ja Exchnage auch noch drauf.

Images und transaktionale Datenbanken ist immer so eine Sache. Was spricht gegen eine "ordentliche Sicherung" mit entsprechenden Sicherungstools, die DC- und Exchange-tauglich sind?

 

Aber um deine Frage soweit zu beantworten: Wenn es nur um das DC-Problem geht (USN-Rollback-Problem):

 

1.) Systemstaus sichern (auf Platte würde ja reichen, besser aber extern)

2.) Image ziehen

DC-Ausfall

3.) Image des ausgefallenen zurückspielen 8nur von diesem DC)

4.) DC im Verzeichnisdienstwiederherstellungsmodus booten (anders lässt sich der Systemstatus gar nicht zurücksichern)

5.) Systemstatus zurücksichern

6.) DC normal booten

 

HTH

 

grizzly999