Active Directory Backup und Recovery in Windows Server 2008{ Was Sie wissen sollten }
Guido GrillenmeierSenior Solution ArchitectHewlett-Packard
Agenda
Intro zu Windows Server Backup (WSB) Auswirkungen & Empfehlungen für
Standard AD Backup & Recovery
Neue Optionen zum Schutz und zur Wiederherstellung von Daten im Active Directory
Zusammenfassung
Windows Server Backup (WSB)Das neue Datensicherungs-Tool in Windows Server 2008
Als „Feature“ für Full Server und Server Core verfügbar
Baut voll auf Volume Shadow Copy Services (VSS)Ersetzt NTBackup – Neue Funktionen
Nicht alle Funktionen von NTBackup wurden übernommen
Zielgruppe: Kleine und Mittlere Unternehmen
Was ist Neu?VSS basierte Block-Level BackupsNur NTFS Partitionen werden unterstützt (MBR und GPT)
Ausnahme: ESP (EFI System Partition) auf IA64
Keine Sicherung mehr auf Bandlaufwerke, aber auf DVD* WSB sichert die Daten nur auf Basic Disks, nicht aber auf:
Dynamic DisksEFS geschützten Bereiche
Es wird immer die komplette Partition gesichertWSB erlaubt keine Auswahl der Dateien oder Ordner die gesichert werden sollen – eine Partition ist die kleinste EinheitAusnahme ist System State Backup (sichert alle Systemdateien)
* Windows Server 2008 hat weiterhin volle Unterstützung für Bandlaufwerke und Band Medien – diese werden lediglich von WSB nicht genutzt
Backup Storage Locations
• Scheduled Backup benötigt ausschließlichen Zugriff auf die Ziel Backup-Disk
• Nur System State Backup kann das Backup auch auf Quell-Partition speichern
Ziel / Backup Ort
Backup Typ
Ad-hoc Backup/ Backup Once
Scheduled Backup
Lokale Disk JA JA
DVD JA NEIN
Netzwerk Freigabe
JA NEIN
USB Disk JA* JA*
USB Flash-Speicher
NEIN NEIN* Nur “Fixed“ Geräte Typen. Keine
Wechselfestplatten. (Info: Die meisten externen USB Platten sind vom Typ "Fixed")
Recovery Funktion – Support MatrixBackup Ort Recovery Typ
System Recovery (Bare Metal Restore or BMR)
System State Recovery
Volume (Partition)
File/App
Lokale Disk JA JA JA JA
DVD JA NEIN JA NEIN
Netzwerk Freigabe
JA JA JA JA
USB Disk JA JA JA JAWeitere Info: • System Recovery und System State Recovery
sind nur von Backups möglich, die alle kritischen Partitionen beinhalten.• UI hat hierfür eine Auswahl-Option. CLI
(WBADMIN.exe) hat die Option "-allcritical" um kritische Partitionen mit zusichern (immer der Fall bei Scheduled Backups).
Wie wird ein DC Backup erstellt ?Am einfachsten per WSB UI
allerdings sollten die meisten DCs für erhöhte Sicherheit als Server Core Maschinen implementiert werden
Deswegen CMD Version (WBADMIN.exe) verwenden!
wird sowohl von Full Server als auch von Server Core unterstützt
Beispiele:Sichern aller kritischen Partitionen des Systems (incl. AD Datenbank) nach D:WBADMIN Start Backup –backupTarget:D: -allCritical
Sichern nur des System States (ebenfalls mit AD Datenbank) nach C:WBADMIN Start SystemStateBackup –backupTarget:C:
Ergebnis eines WSB BackupsWSB speichert alle Daten in einer VHD Datei (zzgl. ein paar kleiner Konfig-Dateien)
WSB Block-Based Backups
Quell-Disk
2 - Block-Level Backup
4 - Shadow Copy Bereichfür Änderungen auf Backup-Disk
3 - Applikation schreibt auf Quell-Disk
5 - Update Backup ImageBackup-Disk
(Image alsVHD Datei)
1 - Shadow Copy Bereichfür Änderungen auf Quell-Disk
Achtung: WSB UI erlaubt die Einstellung wichtiger Performance Parameter für Backups – hierfür gibt es derzeit keine CLI Alternative (heißt: remote Zugriff per UI auf Server Core zur Einstellung notwendig)
Besonderheiten des System State Backup
SystemState Backup Option nicht im GUI verfügbar; muss WBADMIN verwenden:WBADMIN start SystemStateBackup –backupTarget:C:
Erstellt File-Based Backup aller System Dateien+ Ziel Partition für das Backup kann gleich der Quell
Partition (z.B. C: ) sein, benötigt hierfür allerdings Anpassung in Registry des Servershttp://support.microsoft.com/default.aspx?scid=kb;EN-US;944530
+ Kann System State ohne restliche Daten des Servers Sichern und Wiederherstellen
– Ermöglicht keine inkrementelle Backups– Erheblich langsamer als VSS Block-Based Backups
(wie sie beim „normalen“ System Backup genutzt werden)
– Kann „nur“ für System State Recovery auf gleicher HW und OS Installation verwendet werden
Bare-Metal Restore eines kompletten DCs
Recovery Option: System RecoveryWann? Hardware Problem mit Server oder Festplatten
Option 1: System Partitionen zurücksichern (Disk ist OK, aber Daten korrupt oder gelöscht)
Option 2: Formatieren und Re-Partitionieren der Disks (Neue Disks oder neuer Server, auch andere HW!)
Wie? Booten von WS2008 Setup-CD und wechseln in das WinRE
(Windows Recovery Environment), welches auf WinPE basiert. Ist nicht remote per TS bedienbar
Backup Ort auswählen (Disk, DVD, Netzwerk Freigabe) WSB liest die VHD Datei die vom Backup erstellt wurde. WSB schreibt Daten Block-für-Block von VHD Datei zurück zur
Zielpartition.
Windows Recovery Environment (WinRE)DC Server von Windows Server 2008 Setup DVD
Starten …
Recovery von AD auf einem DCRecovery Option: System State RecoveryWann? Wiederherstellung der Active Directory Datenbank (benötigt DSRM
*) Rollback bei Registry Änderungen/Korruption Wiederherstellung des Status von System Services wie DNS, DHCP,
Certificate Authority, IIS, COM+ etc. Wiederherstellung aller OS Dateien wegen Korruption/Löschung. Wie? Bei AD DCs zuerst Booten in DSRM – ansonsten Recovery direkt
möglich. Backup Ort auswählen (Disk, Netzwerk Freigabe) WSB liest die VHD Datei die vom Backup erstellt wurde. WSB mounted die VHD Datei separate Disk, die im Explorer nicht
sichtbar ist. WSB stellt alle Dateien/Ordner der "System State Writers" sowie die
Registry des Servers wieder her. Admin needs to reboot server to help replace files in use,
the registry and few other files. * DSRM = Directory Services Restore Mode
Agenda
Intro zu Windows Server Backup (WSB) Auswirkungen & Empfehlungen für
Standard AD Backup & Recovery
Neue Optionen zum Schutz und zur Wiederherstellung von Daten im Active Directory
Zusammenfassung
Auswirkung von WSB auf AD DCsBevorzugte Methode: Normales
Block-Level Backup aller kritischen Partitionen
Deutlich schneller als System State BackupErlaubt inkrementelle Backups (nur Disk)Flexibler: ermöglicht sowohl Bare-Metal Restore des DCs als auch System State RecoveryAchtung: Separate Disk oder Partition für die Backups notwendig!
Bare-Metal Restore nicht fernbedienbar
Kann Server seitig durch HW Lösungen (z.B. ILO Boards) gelöst werden
Generelle DC AnforderungenSingle Role DCs
Sollten mit keinen anderen Apps oder als File Server verwendet werden (problematisch für System Recovery)Kann sowohl als physikalischer Server sowie als virtueller Server implementiert werden
Welche DCs sollten gesichert werden?Mind. 2 beschreibbare DCs pro DomäneRODCs können nicht zur Recovery von AD Daten verwendet werden!
Forest Recovery in WS2008Funktioniert prinzipiell wie zuvorhttp://www.microsoft.com/downloads/details.aspx?FamilyID=AFE436FA-8E8A-443A-9027-C522DEE35D85&displaylang=en
Neue Vorteile:
Die meisten DCs in WS2008 Forest sollten RODCs sein können im Problemfall zunächst ignoriert werdenAdministrator kann sich zuerst auf Recovery von wenigen schreibbaren DCs im Datacenter konzentrieren (beschleunigt Forest Recovery Prozess)schnelle Erstellung von IFM Medien jetzt durch NTDSUTIL möglich
Agenda
Intro zu Windows Server Backup (WSB)Auswirkungen & Empfehlungen für
Standard AD Backup & Recovery
Neue Optionen zum Schutz und zur Wiederherstellung von Daten im Active Directory
Zusammenfassung
Versehentliches Löschen von Daten im AD verhindern
Problem:Versehentlichen Änderungen wie das Löschen einer OU mit vielen Objekten sind relativ schwer im AD rückgängig zu machenDelegierte Admins sollten nicht das Recht zum Löschen von OUs (oder anderen sensiblenObjekten) haben, aber auchDomain Admins machen malFehler…
Neue Option in ADUC:“Protect object from accidental deletion”Verfügbar auf Object Tab von jedem Objekt
Ist dies denn eine besondere Fähigkeit von Windows Server 2008?
Nein, eigentlichen nicht!ADUC setzt mit der neuenSchutzoption lediglich zweiDENY Rechte auf das zu schützende Objekt:
Everyone – DeleteEveryone – Delete Subtree
Die gleichen Rechte könnenzum Schutz in Windows 2000 oder Windows Server 2003 AD Forests gesetzt werden
Versehentliches Löschen von Daten im AD verhindern
Brandneu: AD SnapShotsUnterstützt neue Mechanismen um Änderungen rückgängig zu machen, nachdem es zu spät ist …
Bisher musste die AD Datenbank immer per System(State) Restore wiederhergestellt werden um gelöschte oder fälschlich überschriebene Objekte per „Authoritative Restore“ zurück zu gewinnen.
WS2008 bietet Alternative zum AD Datenbank Restore:
Kann SNAPSHOTS der System Partitionen auch zum Zugriff auf AD Datenbank nutzen (z.B. via NTDSUTIL)Neues DSAMAIN Tool kann die AD Datenbank-Datei (NTDS.DIT) aus SnapShot mit Read-Only Zugriff via LDAP zur Verfügung stellen
Erstellen von Snapshots fürs AD RecoverySnapshot Erstellen
start NTDSUTILntdsutil: snapshotsnapshot: activate instance ntdssnapshot: create
Erstellt neuen Snapshot mit folgendem Output (o.Ä.)Snapshot set {f4ab47dd-5d7d-4765-b038-1ceee03e5ce5} generated successfully.
Snapshot Mountenstart NTDSUTIL
ntdsutil: snapshotsnapshot: list all (zeigt alle verfügbaren Snapshots)snapshot: mount <ID oder GUID>
Macht Snapshot im Datei-System sichtbar
Snapshot im Datei-SystemIn diesem Beispiel liegt die NTDS.DIT Datei (AD database) in: C:\$SNAP_200802111118_VOLUMEC$\Windows\NTDS\ntds.dit
Nutzen der AD SnapShots für Recovery
Initiierung per Database Mounting ToolDSAMAIN mit zwei Parametern
-dbpath: voller Pfad zu der NTDS.DIT Datei (im Snapshot)-ldapPort: 60000 (jeder freie Port reicht aus)
Beispiel: C:\>dsamain ‑dbpath C:\$SNAP_200802111118_VOLUMEC$\Windows\NTDS\ntds.dit -ldapPort 60000Erlaubt Read-Only Zugriff zur AD Datenbank via LDAP Protokol
Jetzt kann man Tools wie LDP oder ADSIEDIT nutzen um auf SnapShot Kopie von AD zuzugreifen und dessen Inhalte lesen!
Auf “Vorherige Version” vonAD via LDAP zugreifen
Zum Beispiel LDP.exe nutzen und mit Port und Server auf dem DSAMAIN genutzt wurde verbinden
Browsen der Read-Only Ansicht von AD jetztmöglich (View Tree )Die Daten aus SnapShot können somit verwendet werden um diese in das „Produktions AD“zurückzuschreiben
Nutzen der AD SnapShots für Recovery
1. Benötigt mind. einen Windows Server 2003/2008 DC in einer AD Domäne
2. DC muss NICHT ge-booted werden(Echtes Online Recovery!)
3. Benötigt besondere Prozesse oder Tools um Tombstones zu reanimieren(einige davon sind frei verfügbar, z.B. Micosoft/Sysinternal ADrestore)
4. Das größere Problem hiernach ist die Wiederherstellung der Daten die nicht im Tombstone enthalten sind…(wird von den freien Tools nicht erledigt)
Die „Online Recovery“ Restore Option...Gelöschte Objekte können via Tombstone Reanimierung innerhalb eines Active Directory sehr einfach wiederhergestellt werden!
1. ADrestore [searchfilter]Bsp. ADrestore adm.mary*
2. ADrestore –r [searchfilter]Bsp. ADrestore –r adm.mary
Man kombiniere: Tombstone Reanimierung & SnapShots
Der Vorgang mit ADrestore:
… kann zusammen mit AD Snapshots zur vollständigen Objektwiederherstellung genutzt werden!
User behält zwar die gleiche SID, aber weitere Details fehlen – insb. auch die Gruppenzugehörigkeit
Reanimierter User – und jetzt ?
Keine weitere Gruppen…
?
Reanimiertes Objekt mit Daten füllen……ganz einfach per PowerShell aus SnapShot-AD !
# variables for this example$ADSnapShotDir = “W2K8FULL01.CORP.NET:60000"$ProductionDir = "W2K8FULL01.CORP.NET"$UserDN = "CN=Tom,OU=Users,OU=MyOU,DC=corp,DC=net“
# create adsPath of current object and connect to object in Production AD
$adsPath1 = "LDAP://$ProductionDir/" + $UserDN$UsrProduction = [ADSI]($adsPath1)
# create adsPath of user object and connect to object in SnapShot AD
$adsPath2 = "LDAP://$ADSnapShotDir/" + $UserDN$UsrSnapShot = [ADSI]($adsPath2)
# write data from snapshot AD to object in production AD$UsrProduction.DisplayName = $UsrSnapShot.DisplayName$UsrProduction.setInfo()
Alle relevanten Daten sind wieder da! *Reanimierter User – wieder vollständig
* Gruppen-Mitgliedschaften von „MemberOf“ Attribut aus User-Objekt im SnapShot-AD ausgelesen und dann User per Script der jeweiligen Gruppe im Production-AD wieder hinzugefügt….Achtung: Links zu Gruppen in anderen Domains (z.B. Domain Local Groups) müssen ggf. mit SnapShots der anderen Domains ausgelesen und wiederhergestellt werden!
Agenda
Intro zu Windows Server Backup (WSB)Auswirkungen & Empfehlungen für
Standard AD Backup & Recovery
Neue Optionen zum Schutz und zur Wiederherstellung von Daten im Active Directory
Zusammenfassung
ZusammenfassungWindows Server Backup (WSB) ≠ NTbackup
Plattenaufteilung der Festplatten in DCs muss bei Nutzung von WSB neu geplant werdenWSB kann dennoch gut für die Basis-Absicherung und zum vollständigen Forest Recovery genutzt werdenRODCs vermindern auch Aufwand bei Forest Recovery
Neuer AD SnapShot Support und DB-Viewer eröffnen super Online-Recovery Prozesse
Kann mit den von WSB automatisch erstellten SnapShots zusammenarbeitenScripting ist hilfreich = DB-Viewer bietet keine direkte Übernahme der Daten in das „Produktions-AD“ an
Windows Server 2008weitere Ressourcen
Windows Server 2008 Tech Centerhttp://www.microsoft.com/germany/technet/prodtechnol/windowsserver/2008/default.mspx
Windows Server 2008 Webcasts:http://www.microsoft.com/germany/technet/webcasts/windowsserver2008.mspx
Windows Server 2008 Produktseite:http://www.microsoft.com/germany/windowsserver2008/default.mspx
Microsoft Virtualization:http://www.microsoft.com/virtualization/default.mspx
Ask the ExpertsWir freuen uns auf Ihre Fragen: Technische Experten stehen Ihnen während der gesamten Veranstaltung in der Haupthalle zur Verfügung.
© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after
the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.