350 likes | 582 Views
Active Directory Backup und Recovery in Windows Server 2008 { Was Sie wissen sollten }. Guido Grillenmeier Senior Solution Architect Hewlett-Packard. Agenda. Intro zu Windows Server Backup (WSB) Auswirkungen & Empfehlungen für Standard AD Backup & Recovery
E N D
Active Directory Backup und Recovery in Windows Server 2008{Was Sie wissen sollten} Guido Grillenmeier Senior Solution Architect Hewlett-Packard
Agenda • Intro zu Windows Server Backup (WSB) • Auswirkungen & Empfehlungen für Standard AD Backup & Recovery • Neue Optionen zum Schutz und zur Wiederherstellung von Daten im Active Directory • Zusammenfassung
Windows Server Backup (WSB) • Das neue Datensicherungs-Tool in Windows Server 2008 • Als „Feature“ für Full Server und Server Core verfügbar • Baut voll auf Volume Shadow Copy Services (VSS) • Ersetzt NTBackup – Neue Funktionen • Nicht alle Funktionen von NTBackup wurden übernommen • Zielgruppe: Kleine und Mittlere Unternehmen
Was ist Neu? • VSS basierte Block-Level Backups • Nur NTFS Partitionen werden unterstützt (MBR und GPT) • Ausnahme: ESP (EFI System Partition) auf IA64 • Keine Sicherung mehr auf Bandlaufwerke, aber auf DVD* • WSB sichert die Daten nur auf Basic Disks, nicht aber auf: • Dynamic Disks • EFS geschützten Bereiche • Es wird immer die komplettePartitiongesichert • WSB erlaubt keine Auswahl der Dateien oder Ordner die gesichert werden sollen – eine Partition ist die kleinste Einheit • Ausnahme ist System State Backup (sichert alle Systemdateien) • * Windows Server 2008 hat weiterhin volle Unterstützung für Bandlaufwerke und Band Medien – diese werden lediglich von WSB nicht genutzt
Backup Storage Locations • Scheduled Backup benötigt ausschließlichen Zugriff auf die Ziel Backup-Disk • Nur System StateBackup kann das Backup auch auf Quell-Partition speichern • *Nur “Fixed“ Geräte Typen. Keine Wechselfestplatten. (Info: Die meisten externen USB Platten sind vom Typ "Fixed")
Recovery Funktion – Support Matrix • Weitere Info: • System Recoveryund System State Recoverysind nur von Backups möglich, die alle kritischen Partitionen beinhalten. • UI hat hierfür eine Auswahl-Option. CLI (WBADMIN.exe) hat die Option "-allcritical" um kritische Partitionen mit zusichern (immer der Fall bei Scheduled Backups).
Wie wird ein DC Backup erstellt ? • Am einfachsten per WSB UI • allerdings sollten die meisten DCs für erhöhte Sicherheit als Server Core Maschinen implementiert werden • Deswegen CMD Version (WBADMIN.exe) verwenden! • wird sowohl von Full Server als auch von Server Core unterstützt • Beispiele: • Sichern aller kritischen Partitionen des Systems (incl. AD Datenbank) nach D:WBADMIN Start Backup –backupTarget:D: -allCritical • Sichern nur des System States (ebenfalls mit AD Datenbank) nach C:WBADMIN Start SystemStateBackup –backupTarget:C:
Ergebnis eines WSB Backups • WSB speichert alle Daten in einer VHD Datei (zzgl. ein paar kleiner Konfig-Dateien)
WSB Block-Based Backups 3 - Applikation schreibt auf Quell-Disk Quell-Disk 1 - Shadow Copy Bereichfür Änderungen auf Quell-Disk 2 - Block-Level Backup 5 - Update Backup Image Backup-Disk(Image alsVHD Datei) 4 - Shadow Copy Bereichfür Änderungen auf Backup-Disk Achtung: WSB UI erlaubt die Einstellung wichtiger Performance Parameter für Backups – hierfür gibt es derzeit keine CLI Alternative (heißt: remote Zugriff per UI auf Server Core zur Einstellung notwendig)
Besonderheiten des System State Backup • SystemState Backup Option nicht im GUI verfügbar; muss WBADMIN verwenden: WBADMIN startSystemStateBackup –backupTarget:C: • Erstellt File-BasedBackup aller System Dateien • Ziel Partition für das Backup kann gleich der Quell Partition (z.B. C: ) sein, benötigt hierfür allerdings Anpassung in Registry des Servershttp://support.microsoft.com/default.aspx?scid=kb;EN-US;944530 • Kann System State ohne restliche Daten des Servers Sichern und Wiederherstellen • Ermöglicht keine inkrementelle Backups • Erheblich langsamer als VSS Block-Based Backups (wie sie beim „normalen“ System Backup genutzt werden) • Kann „nur“ für System State Recovery auf gleicher HW und OS Installation verwendet werden
Bare-MetalRestore eines kompletten DCs Recovery Option: System Recovery Wann? • Hardware Problem mit Server oder Festplatten • Option 1: System Partitionen zurücksichern (Disk ist OK, aber Daten korrupt oder gelöscht) • Option 2: Formatieren und Re-Partitionieren der Disks (Neue Disks oder neuer Server, auch andere HW!) Wie? • Booten von WS2008 Setup-CD und wechseln in das WinRE (Windows Recovery Environment), welches auf WinPE basiert. • Ist nicht remote per TS bedienbar • Backup Ort auswählen (Disk, DVD, Netzwerk Freigabe) • WSB liest die VHD Datei die vom Backup erstellt wurde. • WSB schreibt Daten Block-für-Block von VHD Datei zurück zur Zielpartition.
Windows Recovery Environment (WinRE) DC Server von Windows Server 2008 Setup DVD Starten …
Recoveryvon AD auf einem DC Recovery Option: System State Recovery Wann? • Wiederherstellung der Active Directory Datenbank (benötigt DSRM *) • Rollback bei Registry Änderungen/Korruption • Wiederherstellung des Status von System Services wie DNS, DHCP, Certificate Authority, IIS, COM+ etc. • Wiederherstellung aller OS Dateien wegen Korruption/Löschung. Wie? • Bei AD DCs zuerst Booten in DSRM – ansonsten Recovery direkt möglich. • Backup Ort auswählen (Disk, Netzwerk Freigabe) • WSB liest die VHD Datei die vom Backup erstellt wurde. • WSB mounted die VHD Datei separate Disk, die im Explorer nicht sichtbar ist. • WSB stellt alle Dateien/Ordner der "System State Writers" sowie die Registry des Servers wieder her. • Admin needstorebootservertohelpreplacefiles in use, the registry and fewotherfiles. • * DSRM = Directory Services Restore Mode
Agenda • Intro zu Windows Server Backup (WSB) • Auswirkungen & Empfehlungen für Standard AD Backup & Recovery • Neue Optionen zum Schutz und zur Wiederherstellung von Daten im Active Directory • Zusammenfassung
Auswirkung von WSB auf AD DCs • Bevorzugte Methode: Normales Block-Level Backup aller kritischen Partitionen • Deutlich schneller als System State Backup • Erlaubt inkrementelle Backups (nur Disk) • Flexibler: ermöglicht sowohl Bare-MetalRestore des DCs als auch System State Recovery • Achtung:Separate Disk oder Partition für die Backups notwendig! • Bare-MetalRestorenicht fernbedienbar • Kann Server seitig durch HW Lösungen (z.B. ILO Boards) gelöst werden
Generelle DC Anforderungen • Single Role DCs • Sollten mit keinen anderen Apps oder als File Server verwendet werden (problematisch für System Recovery) • Kann sowohl als physikalischer Server sowie als virtueller Server implementiert werden • Welche DCs sollten gesichert werden? • Mind. 2 beschreibbare DCs pro Domäne • RODCs können nicht zur Recovery von AD Daten verwendet werden!
ForestRecovery in WS2008 • Funktioniert prinzipiell wie zuvorhttp://www.microsoft.com/downloads/details.aspx?FamilyID=AFE436FA-8E8A-443A-9027-C522DEE35D85&displaylang=en • Neue Vorteile: • Die meisten DCs in WS2008 Forest sollten RODCs sein können im Problemfall zunächst ignoriert werden • Administrator kann sich zuerst auf Recovery von wenigen schreibbaren DCs im Datacenter konzentrieren (beschleunigt ForestRecovery Prozess) • schnelle Erstellung von IFM Medien jetzt durch NTDSUTIL möglich
Agenda • Intro zu Windows Server Backup (WSB) • Auswirkungen & Empfehlungen für Standard AD Backup & Recovery • Neue Optionen zum Schutz und zur Wiederherstellung von Daten im Active Directory • Zusammenfassung
Versehentliches Löschen von Daten im AD verhindern • Problem: • Versehentlichen Änderungen wie das Löschen einer OU mit vielen Objekten sind relativ schwer im AD rückgängig zu machen • Delegierte Admins sollten nicht das Recht zum Löschen von OUs (oder anderen sensiblenObjekten) haben, aber auchDomain Admins machen malFehler… • Neue Option in ADUC: • “Protectobjectfromaccidentaldeletion” • Verfügbar auf Object Tab von jedem Objekt
Versehentliches Löschen von Daten im AD verhindern • Ist dies denn eine besondere Fähigkeit von Windows Server 2008? • Nein, eigentlichen nicht! • ADUC setzt mit der neuenSchutzoption lediglich zweiDENY Rechte auf das zu schützende Objekt: • Everyone – Delete • Everyone – Delete Subtree • Die gleichen Rechte könnenzum Schutz in Windows 2000 oder Windows Server 2003 AD Forests gesetzt werden
Brandneu: AD SnapShots • Unterstützt neue Mechanismen um Änderungen rückgängig zu machen, nachdem es zu spät ist … • Bisher musste die AD Datenbank immer per System(State) Restore wiederhergestellt werden um gelöschte oder fälschlich überschriebene Objekte per „AuthoritativeRestore“ zurück zu gewinnen. • WS2008 bietet Alternative zum AD Datenbank Restore: • Kann SNAPSHOTSder System Partitionen auch zum Zugriff auf AD Datenbank nutzen (z.B. via NTDSUTIL) • Neues DSAMAINTool kann die AD Datenbank-Datei (NTDS.DIT) aus SnapShot mit Read-Only Zugriff via LDAP zur Verfügung stellen
Erstellen von Snapshots fürs AD Recovery • Snapshot Erstellen • startNTDSUTIL • ntdsutil: snapshot • snapshot: activateinstancentds • snapshot: create • Erstellt neuen Snapshot mit folgendem Output (o.Ä.)Snapshot set {f4ab47dd-5d7d-4765-b038-1ceee03e5ce5} generated successfully. • Snapshot Mounten • startNTDSUTIL • ntdsutil: snapshot • snapshot: list all (zeigt alle verfügbaren Snapshots) • snapshot: mount <ID oder GUID> • Macht Snapshot im Datei-System sichtbar
Snapshot im Datei-System • In diesem Beispiel liegt die NTDS.DIT Datei (AD database) in:C:\$SNAP_200802111118_VOLUMEC$\Windows\NTDS\ntds.dit
Nutzen der AD SnapShots für Recovery • Initiierung per Database Mounting Tool • DSAMAINmit zwei Parametern • -dbpath:voller Pfad zu der NTDS.DIT Datei (im Snapshot) • -ldapPort: 60000 (jeder freie Port reicht aus) • Beispiel: C:\>dsamain ‑dbpath C:\$SNAP_200802111118_VOLUMEC$\Windows\NTDS\ntds.dit -ldapPort 60000 • Erlaubt Read-Only Zugriff zur AD Datenbank via LDAP Protokol • Jetzt kann man Tools wie LDP oder ADSIEDIT nutzen um auf SnapShot Kopie von AD zuzugreifen und dessen Inhalte lesen!
Nutzen der AD SnapShots für Recovery • Auf “Vorherige Version” vonAD via LDAP zugreifen • Zum Beispiel LDP.exe nutzen und mit Port und Server auf dem DSAMAIN genutzt wurde verbinden • Browsen der Read-OnlyAnsicht von AD jetztmöglich (ViewTree ) • Die Daten aus SnapShot können somit verwendet werden um diese in das „Produktions AD“zurückzuschreiben
Die „Online Recovery“ Restore Option... Gelöschte Objekte können via Tombstone Reanimierung innerhalb eines Active Directory sehr einfach wiederhergestellt werden! Benötigt mind. einen Windows Server 2003/2008 DC in einer AD Domäne DC muss NICHT ge-booted werden(Echtes Online Recovery!) Benötigt besondere Prozesse oder Tools um Tombstones zu reanimieren(einige davon sind frei verfügbar,z.B. Micosoft/SysinternalADrestore) Das größere Problem hiernach ist die Wiederherstellung der Daten die nicht im Tombstone enthalten sind…(wird von den freien Tools nicht erledigt)
Man kombiniere: Tombstone Reanimierung & SnapShots Der Vorgang mit ADrestore: ADrestore [searchfilter]Bsp. ADrestoreadm.mary* ADrestore –r [searchfilter]Bsp. ADrestore –r adm.mary … kann zusammen mit AD Snapshots zur vollständigen Objektwiederherstellung genutzt werden!
Reanimierter User – und jetzt ? • User behält zwar die gleiche SID, aber weitere Details fehlen – insb. auch die Gruppenzugehörigkeit ? Keine weitere Gruppen…
Reanimiertes Objekt mit Daten füllen… …ganz einfach per PowerShell aus SnapShot-AD ! # variables forthisexample $ADSnapShotDir = “W2K8FULL01.CORP.NET:60000" $ProductionDir = "W2K8FULL01.CORP.NET" $UserDN = "CN=Tom,OU=Users,OU=MyOU,DC=corp,DC=net“ # createadsPathofcurrentobject and connecttoobject in Production AD $adsPath1 = "LDAP://$ProductionDir/" + $UserDN $UsrProduction = [ADSI]($adsPath1) # createadsPathofuserobject and connecttoobject in SnapShot AD $adsPath2 = "LDAP://$ADSnapShotDir/" + $UserDN $UsrSnapShot = [ADSI]($adsPath2) # writedatafromsnapshot AD toobject in production AD $UsrProduction.DisplayName = $UsrSnapShot.DisplayName $UsrProduction.setInfo()
Reanimierter User – wieder vollständig • Alle relevanten Daten sind wieder da! * • * Gruppen-Mitgliedschaften von „MemberOf“ Attribut aus User-Objekt im SnapShot-AD ausgelesen und dann User per Script der jeweiligen Gruppe im Production-AD wieder hinzugefügt….Achtung: Links zu Gruppen in anderen Domains (z.B. Domain Local Groups) müssen ggf. mit SnapShots der anderen Domains ausgelesen und wiederhergestellt werden!
Agenda • Intro zu Windows Server Backup (WSB) • Auswirkungen & Empfehlungen für Standard AD Backup & Recovery • Neue Optionen zum Schutz und zur Wiederherstellung von Daten im Active Directory • Zusammenfassung
Zusammenfassung • Windows Server Backup (WSB) ≠NTbackup • Plattenaufteilung der Festplatten in DCs muss bei Nutzung von WSB neu geplant werden • WSB kann dennoch gut für die Basis-Absicherung und zum vollständigen ForestRecovery genutzt werden • RODCs vermindern auch Aufwand bei ForestRecovery • Neuer AD SnapShot Support und DB-Viewer eröffnen super Online-Recovery Prozesse • Kann mit den von WSB automatisch erstellten SnapShots zusammenarbeiten • Scripting ist hilfreich = DB-Viewer bietet keine direkte Übernahme der Daten in das „Produktions-AD“ an
Windows Server 2008weitere Ressourcen • Windows Server 2008 Tech Centerhttp://www.microsoft.com/germany/technet/prodtechnol/windowsserver/2008/default.mspx • Windows Server 2008 Webcasts:http://www.microsoft.com/germany/technet/webcasts/windowsserver2008.mspx • Windows Server 2008 Produktseite:http://www.microsoft.com/germany/windowsserver2008/default.mspx • Microsoft Virtualization:http://www.microsoft.com/virtualization/default.mspx
AsktheExperts Wir freuen uns auf Ihre Fragen: Technische Experten stehen Ihnen während der gesamten Veranstaltung in der Haupthalle zur Verfügung.
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.