Ich gehe davon aus, dass Administratoren durchaus Sicherungskopien ihrer Domain-Controller erstellen, um im Katastrophenfall die IT-Umgebung wieder restaurieren zu können. Aber Hand auf's Herz: Wer ist denn sicher, dass sich die Backups im Fall der Fälle per Restore auch zurücklesen und funktionsfähige Systeme restaurieren lassen. Frank Carius hat sich um diesen Aspekt einige Gedanken gemacht und das Ganze in einem Blog-Beitrag auf MS-FAQ dokumentiert.
Anzeige
Das Active Directory ist das Herzstück moderner IT-Landschaften zur Verwaltung von Nutzerkonten, welches über Domain Controller (DCs) gefahren wird. Wenn die Domain Controller ausfallen, ist die Not groß. Da taucht sofort die Frage nach einem Backup auf, mit dem ein Restore für die Restaurierung des/der kaputten DCs ermöglicht wird. Aber was kann da alles schief gehen?
Es bietet sich an, das Thema Backup und Restore von Domain Controllern in Ruhe zu evaluieren und dann auch zu testen. Im Katastrophenfall kann man nämlich nicht die unangenehmen Überraschungen gebrauchen und feststellen, da wurde was übersehen.
Ich bin bereits vor einigen Tagen über einen Tweet von Frank Carius gestolpert, der genau dieses Thema aufgreift, und dachte, stelle es bei Gelegenheit mal im Blog vor – und zum Wochenstart am heutigen Montag ist es vielleicht der richtige Zeitpunkt. (Ich verzichte an dieser Stelle mal auf die Verlinkung des Tweets, da ich nicht weiß, wie lange die Inhalte noch existieren.)
Anzeige
Frank Carius hat seine Überlegungen und Vorgehensweise im Beitrag DC Backup/Restore zusammen getragen und beschreibt, wie er bei einem Kunden dieses Thema angegangen ist und welche Überraschungen/Überlegungen dabei auftauchten. Er hat beim Kunden ein ein "Restore" von dem Windows Backup durchgespielt und geht auf diverse Fragen im Zusammenhang mit dem Erstellen des Backups, z.B. per Bordfunktionen sowie dem Zurücklesen ein. Vielleicht hilft es weiter.
PS: Der oben sichtbare Tweet von Raphel Huwiler verweist auf den Beitrag AD Forest Recovery – Raising the value of available RID pools, der sich mit der Frage des AD Restore befasst.
Anzeige
Das gilt doch für jedes Backup: nen Restore muss geprüft sein! Sonst ist das Backup wertlos. Das man das nem Homeboy erklären muss bzw. überhaupt erklären was ein Backup ist und wofür verstehe ich ja noch, aber nem verantwortlichen ITler? Das ist dann wohl ne Fehlbesetzung.
/signed
Fehlbesetzungen in der IT gibt es häufiger als man denkt.
Beispiel aus der Realität:
Bei einer Firma fällt das Plattensystem eines Servers aus.
Man schaut, aha, RAID5, warum ist das ausgefallen?
Dann stellt man fest, das schon vor Monaten ein Platte des Raid ausgefallen war und jetzt die 2. Platte und mit nur 1 Platte läuft ein Raid 5 nicht.
Also 3 neue Platten rein und Datensicherung hervorgekramt.
Lies sich nicht zurückspielen, war fehlerhaft.
Und dann hat man festgestellt, das ebenfalls seit Monaten die Datensicherung wegen Fehlern immer abgebrochen war. Fazit: Daten von mehreren Monaten weg bzw. nur für viel Geld von Datenrettungsdiensten wieder herstellbar.
Da hat der verantwortliche ITler über Monate ganz ganz tief gepennt.
Nicht nur das Restore muß geprüft sein.
Als erster Arbeitsschritt morgens steht die Überprüfung des Datensicherungs-Logs an.
Gabs da Fehler und warum, oder lief die Datensicherung glatt durch?
Das Thema Datensicherung taucht auch immer wieder in diversen Computerforen auf und wird von den Fragenden nicht besonders wichtig genommen.
Und wenn man auf die Wichtigkeit hinweist und auch noch Tips gibt, wie eine vernünftige Datensicherung auszusehen hat, wird man ausgelacht oder manchmal sogar angepöbelt!
In vielen kleineren Firmen läuft IT nach dem Motto: "Du kennst dich doch mit Computern aus, kannst du dich nicht mal um die IT kümmern?" Und dementsprechend oft sind da dann Hobbybastler an der Firmen-IT am herumschrauben.
Habe gerade vom Jobcenter das Angebot einer "zugewiesenen Arbeitsstelle" erhalten. IT_Support bei einem gemeinnützigen Verein mit mehreren Standorten. 1500 Euro/brutto bei 30 Stunden/Woche. Aufgaben: Erstellen einer Backup-Infrastruktur, Wartung/Konfiguration der Telefonanlage und der Telefone im Haus, PC-Support für MA (meist Sozialpädagogen und Streetworker),Computerkurs für zu betreuende Klientel. Ach: Installation von Software und Updates, sowie Überprüfung installierter, lizenzierter und verschwundener Lizenzen/ Datenträger hätte ich fast vergessen. Und noch das bisschen Peripherie (Drucker, Fax).
Meine Quali: Umschulung zum IT-Kaufmann vor 20 Jahren mit nachfolgend 2 Jahren Berufspraxis, dann andere Tätigkeiten.
Meintest Du das mit Fehlbesetzung?
Freundliche Grüße
Naja, wer meint für 1.500 Euro Brutto das aufgezählte Anforderungsprofil qualitativ besetzen zu können… selbst bei "lediglich" 30 Stunden pro Woche, der darf sich dann halt nicht wundern, wenn das Backup nicht funktioniert.
Beim Lesen hab ich genau das gleiche gedacht! Amen.
Ob die streetworker oder Sozialpädagogen auch für den Hungerlohn arbeitet?
Ich gehe davon aus, dass es 1560€ sind bei 30h. Sonst wäre es sogar unter Mindestlohn was das Amt da vermittelt.
https://www.bmas.de/DE/Arbeit/Arbeitsrecht/Mindestlohn/Mindestlohnrechner/mindestlohn-rechner.html
"Ob die streetworker oder Sozialpädagogen auch für den Hungerlohn arbeitet?"
Nein. Das Problem ist. Die sind die "besseren", haben ja studiert. Das ist der Branche ganz schlimm.
Das "Sozial" hat dieselbe Bedeutung wie das "S" in CSU
Aber hilft beim Backup nicht weiter.
Zumal MS eh alle Kunden in die Cloud bringen will.
Cloud geht niemals kaputt, und wenn, ist Microsoft schuld, wenn das Restore nicht klappt.
Dann reicht so ein "Klicki-Bunti-Admin" ja.
Kleine Anmerkung.
Die meisten Sozialarbeiter auf öffentlichen Stellen werden vergleichbar mit Erzieher:innen in KiTas bezahlt.
Vielleicht 1-2 Stufen höher.
Also, ja.
VIEL besser als die 1500.
Aber nicht nach dem Motto 4-5000.
Aber ja,
solche Angebote nehmen fast nur Die an die nichts anderes bekommen.
Es gibt auch Ausnahmen.
Aber wie der Name sagt, Ausnahmen.
Entgeltgruppen S8 -S9 enspricht 2900 bis 4000 Euronen kurz vor der Rente ggf. S10.
https://web.archive.org/web/20230702180205/https://www.oeffentlichen-dienst.de/entgelttabelle/tv-l-s.html
Freundliche Grüße
@anonymous u.a
Da hast Du recht. Ab Januar 2023 wird das so sein. Und mit dem "schnell weglaufen" wird es auch wieder schwieriger, wenn "Hartz V" wieder mit allen Sanktionsmöglichkeiten in Kraft tritt. Bleibt nur eines: "Bezahlungsgerechte Leistung" abzuliefern.
Freundliche Grüße
bei sowas rennt man am besten ganz schnell weg, so weit einen die füsse tragen. nur selten lernen diese unternehmer aus ihren Fehlern, d.h. bei einem GAU wird viel Druck aufgebaut und überall nur das nötigste mit dem billigsten ersetzt.
wenig Geld, viel Druck. nein danke.
Würde mir auch diese Seite anschauen:
https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/manage/ad-forest-recovery-perform-initial-recovery
Gruß,
MG
Ich hatte vor einiger Zeit mal zwei DCs aus der Firma in einer abgeschotteten Hyper-V Umgebung 1:1 eingespielt. Ergebnis: Lief nicht sofort.
Ich hatte das damals im Microsoft Forum gepostet, aber nicht wirklich eine Lösung gefunden.
Veeam Backup & Recovery auch in der kostenlosen Mediaedition hat keinerlei Probleme beim Zurückspielen des AD (auch Teile davon)
Habe das schon mehrfach getestet.
so long
Kann man das überhaupt so verlässlich machen?
Man kopiert doch nur die Festplatte.
Wenn das System/die App irgendwas noch nicht auf Platte geschrieben hat.
ist zwar das Filesystem konsistent, aber beim Restore knallt es, weil die Daten nicht zusammenpassen, weil noch nicht alles auf die Platte geschrieben worden war…
Vor dem Anlegen der Schatten kopie müsste man doch das System und alle Apps in einen Zustand bringen, der mit dem auf der Platte übereinstimmt. Eine Methode waäre, das Sytem runterfahren, in eine PE booten, und eine Schattenkopie machen, und wieder richtig hochfahren und nun die Schattenkopie sichern.
Em, wo passiert das in der Anleitung?
Das ist doch extrem davon abhängig was auf de Kiste läuft.
Ich oute mich bei dem Thema gerne mal als "ewig gestriger Sturkopf": Die meisten meiner Kunden sind eher klein, so mit max. 10-15 Clients am Server. Da wähle ich in der Regel die deppensichere Variante und setze nur einen einzigen DC auf.
Warum? Weil Ausfälle von Servern zum Glück extrem selten geworden sind. Und die meisten Ärgernisse, die im Zuge eines AD-Restores entstehen, mit dessen Verteilung über mehrere Server zu tun haben. Natürlich muss man sich dann auch von AD-integrierten Diensten wie Exchange fernhalten, aber das ist bei meinen Kunden der Fall.
Im worst case nimmt man also die DriveSnapshot-Sicherung von gestern (oder vorgestern oder letzter Woche, so sehr viel tut sich im AD bei so kleinen Umgebungen nicht), spielt die Systempartition zurück und fertig. Schnell gemacht. Dank remote KVM notfalls auch schnell per Fernwartung. Das ist in über 20 Jahren bislang 3x vorgekommen.
Das in Windows eingebaute Backup habe ich vor etlichen Jahren mal evauliert, aber nach div. fehlgeschlagenen Restore-Versuchen schnell wieder zu den Akten gelegt. DriveSnapshot ist flott, winzig, zuverlässig – und kostet für Server weniger als 100 Euro (ohne Abo). Das darf einem ein Backup durchaus wert sein. ;-)
Hallo Nordtech,
vielen Dank für Deinen Beitrag!
Ich hätte 2 Fragen dazu:
– Warum muss man sich in dieser Konstellation "von AD-integrierten Diensten wie Exchange" fernhalten?
– Welche Alternative benutzt Ihr statt Exchange?
Besten Dank!
Naja, wenn Dienste wie Exchange eigenständig im AD Änderungen vornehmen, hat man ggf. ein Problem, sobald man eine Image-Sicherung eines DC zurückspielt. Da muss man sich dann schon, ganz im Sinne des Artikels, Gedanken darüber machen, auf welchem Wege man das AD (ggf. separat) wiederherstellt.
Da wir überwiegend kleine Kunden haben, setzen wir als Groupware Tobits David ein. Sowohl Produkt als auch Hersteller haben so ihre -ähem- Eigenarten, aber unterm Strich ist das immer noch deutlich angenehmer als der Moloch Exchange on premise. Und die David-Installation kümmert sich nicht wirklich um den Rest des Netzwerkes, notfalls kann man die auch ganz ohne AD betreiben. Wenn man sich einmal ein bisschen in das System eingefuchst hat, läuft David super sauber und stabil.
Wir setzen seit Jahren schon Veeam Backup & Replication ein und hatten noch nie Probleme mit einem Restore.
Ein anständiges Konzept und regelmässige Restore-Test sind ein MUSS, denn sonst könnte es ein böses Erwachen geben.
Das Preis-Leistungsverhältnis ist meiner Meinung nach Top.