35
Active Directory Backup und Recovery in Windows Server 2008 { Was Sie wissen sollten } Guido Grillenmeier Senior Solution Architect Hewlett-Packard

Guido Grillenmeier Senior Solution Architect Hewlett-Packard

Embed Size (px)

Citation preview

Page 1: Guido Grillenmeier Senior Solution Architect Hewlett-Packard

Active Directory Backup und Recovery in Windows Server 2008{ Was Sie wissen sollten }

Guido GrillenmeierSenior Solution ArchitectHewlett-Packard

Page 2: Guido Grillenmeier Senior Solution Architect Hewlett-Packard

Agenda

Intro zu Windows Server Backup (WSB) Auswirkungen & Empfehlungen für

Standard AD Backup & Recovery

Neue Optionen zum Schutz und zur Wiederherstellung von Daten im Active Directory

Zusammenfassung

Page 3: Guido Grillenmeier Senior Solution Architect Hewlett-Packard

Windows Server Backup (WSB)Das neue Datensicherungs-Tool in Windows Server 2008

Als „Feature“ für Full Server und Server Core verfügbar

Baut voll auf Volume Shadow Copy Services (VSS)Ersetzt NTBackup – Neue Funktionen

Nicht alle Funktionen von NTBackup wurden übernommen

Zielgruppe: Kleine und Mittlere Unternehmen

Page 4: Guido Grillenmeier Senior Solution Architect Hewlett-Packard

Was ist Neu?VSS basierte Block-Level BackupsNur NTFS Partitionen werden unterstützt (MBR und GPT)

Ausnahme: ESP (EFI System Partition) auf IA64

Keine Sicherung mehr auf Bandlaufwerke, aber auf DVD* WSB sichert die Daten nur auf Basic Disks, nicht aber auf:

Dynamic DisksEFS geschützten Bereiche

Es wird immer die komplette Partition gesichertWSB erlaubt keine Auswahl der Dateien oder Ordner die gesichert werden sollen – eine Partition ist die kleinste EinheitAusnahme ist System State Backup (sichert alle Systemdateien)

* Windows Server 2008 hat weiterhin volle Unterstützung für Bandlaufwerke und Band Medien – diese werden lediglich von WSB nicht genutzt

Page 5: Guido Grillenmeier Senior Solution Architect Hewlett-Packard

Backup Storage Locations

• Scheduled Backup benötigt ausschließlichen Zugriff auf die Ziel Backup-Disk

• Nur System State Backup kann das Backup auch auf Quell-Partition speichern

Ziel / Backup Ort

Backup Typ

  Ad-hoc Backup/ Backup Once

Scheduled Backup

Lokale Disk JA JA

DVD JA NEIN

Netzwerk Freigabe

JA NEIN

USB Disk JA* JA*

USB Flash-Speicher

NEIN NEIN* Nur “Fixed“ Geräte Typen. Keine

Wechselfestplatten. (Info: Die meisten externen USB Platten sind vom Typ "Fixed")

Page 6: Guido Grillenmeier Senior Solution Architect Hewlett-Packard

Recovery Funktion – Support MatrixBackup Ort Recovery Typ  

  System Recovery (Bare Metal Restore or BMR)

System State Recovery

Volume (Partition)

File/App

Lokale Disk JA JA JA JA

DVD JA  NEIN JA NEIN

Netzwerk Freigabe

JA  JA JA JA

USB Disk JA JA JA JAWeitere Info: • System Recovery und System State Recovery

sind nur von Backups möglich, die alle kritischen Partitionen beinhalten.• UI hat hierfür eine Auswahl-Option. CLI

(WBADMIN.exe) hat die Option "-allcritical" um kritische Partitionen mit zusichern (immer der Fall bei Scheduled Backups).

Page 7: Guido Grillenmeier Senior Solution Architect Hewlett-Packard

Wie wird ein DC Backup erstellt ?Am einfachsten per WSB UI

allerdings sollten die meisten DCs für erhöhte Sicherheit als Server Core Maschinen implementiert werden

Deswegen CMD Version (WBADMIN.exe) verwenden!

wird sowohl von Full Server als auch von Server Core unterstützt

Beispiele:Sichern aller kritischen Partitionen des Systems (incl. AD Datenbank) nach D:WBADMIN Start Backup –backupTarget:D: -allCritical

Sichern nur des System States (ebenfalls mit AD Datenbank) nach C:WBADMIN Start SystemStateBackup –backupTarget:C:

Page 8: Guido Grillenmeier Senior Solution Architect Hewlett-Packard

Ergebnis eines WSB BackupsWSB speichert alle Daten in einer VHD Datei (zzgl. ein paar kleiner Konfig-Dateien)

Page 9: Guido Grillenmeier Senior Solution Architect Hewlett-Packard

WSB Block-Based Backups

Quell-Disk

2 - Block-Level Backup

4 - Shadow Copy Bereichfür Änderungen auf Backup-Disk

3 - Applikation schreibt auf Quell-Disk

5 - Update Backup ImageBackup-Disk

(Image alsVHD Datei)

1 - Shadow Copy Bereichfür Änderungen auf Quell-Disk

Achtung: WSB UI erlaubt die Einstellung wichtiger Performance Parameter für Backups – hierfür gibt es derzeit keine CLI Alternative (heißt: remote Zugriff per UI auf Server Core zur Einstellung notwendig)

Page 10: Guido Grillenmeier Senior Solution Architect Hewlett-Packard

Besonderheiten des System State Backup

SystemState Backup Option nicht im GUI verfügbar; muss WBADMIN verwenden:WBADMIN start SystemStateBackup –backupTarget:C:

Erstellt File-Based Backup aller System Dateien+ Ziel Partition für das Backup kann gleich der Quell

Partition (z.B. C: ) sein, benötigt hierfür allerdings Anpassung in Registry des Servershttp://support.microsoft.com/default.aspx?scid=kb;EN-US;944530

+ Kann System State ohne restliche Daten des Servers Sichern und Wiederherstellen

– Ermöglicht keine inkrementelle Backups– Erheblich langsamer als VSS Block-Based Backups

(wie sie beim „normalen“ System Backup genutzt werden)

– Kann „nur“ für System State Recovery auf gleicher HW und OS Installation verwendet werden

Page 11: Guido Grillenmeier Senior Solution Architect Hewlett-Packard

Bare-Metal Restore eines kompletten DCs

Recovery Option: System RecoveryWann? Hardware Problem mit Server oder Festplatten

Option 1: System Partitionen zurücksichern (Disk ist OK, aber Daten korrupt oder gelöscht)

Option 2: Formatieren und Re-Partitionieren der Disks (Neue Disks oder neuer Server, auch andere HW!)

Wie? Booten von WS2008 Setup-CD und wechseln in das WinRE

(Windows Recovery Environment), welches auf WinPE basiert. Ist nicht remote per TS bedienbar

Backup Ort auswählen (Disk, DVD, Netzwerk Freigabe) WSB liest die VHD Datei die vom Backup erstellt wurde. WSB schreibt Daten Block-für-Block von VHD Datei zurück zur

Zielpartition.

Page 12: Guido Grillenmeier Senior Solution Architect Hewlett-Packard

Windows Recovery Environment (WinRE)DC Server von Windows Server 2008 Setup DVD

Starten …

Page 13: Guido Grillenmeier Senior Solution Architect Hewlett-Packard

Recovery von AD auf einem DCRecovery Option: System State RecoveryWann? Wiederherstellung der Active Directory Datenbank (benötigt DSRM

*) Rollback bei Registry Änderungen/Korruption Wiederherstellung des Status von System Services wie DNS, DHCP,

Certificate Authority, IIS, COM+ etc. Wiederherstellung aller OS Dateien wegen Korruption/Löschung. Wie? Bei AD DCs zuerst Booten in DSRM – ansonsten Recovery direkt

möglich. Backup Ort auswählen (Disk, Netzwerk Freigabe) WSB liest die VHD Datei die vom Backup erstellt wurde. WSB mounted die VHD Datei separate Disk, die im Explorer nicht

sichtbar ist. WSB stellt alle Dateien/Ordner der "System State Writers" sowie die

Registry des Servers wieder her. Admin needs to reboot server to help replace files in use,

the registry and few other files. * DSRM = Directory Services Restore Mode

Page 14: Guido Grillenmeier Senior Solution Architect Hewlett-Packard

Agenda

Intro zu Windows Server Backup (WSB) Auswirkungen & Empfehlungen für

Standard AD Backup & Recovery

Neue Optionen zum Schutz und zur Wiederherstellung von Daten im Active Directory

Zusammenfassung

Page 15: Guido Grillenmeier Senior Solution Architect Hewlett-Packard

Auswirkung von WSB auf AD DCsBevorzugte Methode: Normales

Block-Level Backup aller kritischen Partitionen

Deutlich schneller als System State BackupErlaubt inkrementelle Backups (nur Disk)Flexibler: ermöglicht sowohl Bare-Metal Restore des DCs als auch System State RecoveryAchtung: Separate Disk oder Partition für die Backups notwendig!

Bare-Metal Restore nicht fernbedienbar

Kann Server seitig durch HW Lösungen (z.B. ILO Boards) gelöst werden

Page 16: Guido Grillenmeier Senior Solution Architect Hewlett-Packard

Generelle DC AnforderungenSingle Role DCs

Sollten mit keinen anderen Apps oder als File Server verwendet werden (problematisch für System Recovery)Kann sowohl als physikalischer Server sowie als virtueller Server implementiert werden

Welche DCs sollten gesichert werden?Mind. 2 beschreibbare DCs pro DomäneRODCs können nicht zur Recovery von AD Daten verwendet werden!

Page 17: Guido Grillenmeier Senior Solution Architect Hewlett-Packard

Forest Recovery in WS2008Funktioniert prinzipiell wie zuvorhttp://www.microsoft.com/downloads/details.aspx?FamilyID=AFE436FA-8E8A-443A-9027-C522DEE35D85&displaylang=en

Neue Vorteile:

Die meisten DCs in WS2008 Forest sollten RODCs sein können im Problemfall zunächst ignoriert werdenAdministrator kann sich zuerst auf Recovery von wenigen schreibbaren DCs im Datacenter konzentrieren (beschleunigt Forest Recovery Prozess)schnelle Erstellung von IFM Medien jetzt durch NTDSUTIL möglich

Page 18: Guido Grillenmeier Senior Solution Architect Hewlett-Packard

Agenda

Intro zu Windows Server Backup (WSB)Auswirkungen & Empfehlungen für

Standard AD Backup & Recovery

Neue Optionen zum Schutz und zur Wiederherstellung von Daten im Active Directory

Zusammenfassung

Page 19: Guido Grillenmeier Senior Solution Architect Hewlett-Packard

Versehentliches Löschen von Daten im AD verhindern

Problem:Versehentlichen Änderungen wie das Löschen einer OU mit vielen Objekten sind relativ schwer im AD rückgängig zu machenDelegierte Admins sollten nicht das Recht zum Löschen von OUs (oder anderen sensiblenObjekten) haben, aber auchDomain Admins machen malFehler…

Neue Option in ADUC:“Protect object from accidental deletion”Verfügbar auf Object Tab von jedem Objekt

Page 20: Guido Grillenmeier Senior Solution Architect Hewlett-Packard

Ist dies denn eine besondere Fähigkeit von Windows Server 2008?

Nein, eigentlichen nicht!ADUC setzt mit der neuenSchutzoption lediglich zweiDENY Rechte auf das zu schützende Objekt:

Everyone – DeleteEveryone – Delete Subtree

Die gleichen Rechte könnenzum Schutz in Windows 2000 oder Windows Server 2003 AD Forests gesetzt werden

Versehentliches Löschen von Daten im AD verhindern

Page 21: Guido Grillenmeier Senior Solution Architect Hewlett-Packard

Brandneu: AD SnapShotsUnterstützt neue Mechanismen um Änderungen rückgängig zu machen, nachdem es zu spät ist …

Bisher musste die AD Datenbank immer per System(State) Restore wiederhergestellt werden um gelöschte oder fälschlich überschriebene Objekte per „Authoritative Restore“ zurück zu gewinnen.

WS2008 bietet Alternative zum AD Datenbank Restore:

Kann SNAPSHOTS der System Partitionen auch zum Zugriff auf AD Datenbank nutzen (z.B. via NTDSUTIL)Neues DSAMAIN Tool kann die AD Datenbank-Datei (NTDS.DIT) aus SnapShot mit Read-Only Zugriff via LDAP zur Verfügung stellen

Page 22: Guido Grillenmeier Senior Solution Architect Hewlett-Packard

Erstellen von Snapshots fürs AD RecoverySnapshot Erstellen

start NTDSUTILntdsutil: snapshotsnapshot: activate instance ntdssnapshot: create

Erstellt neuen Snapshot mit folgendem Output (o.Ä.)Snapshot set {f4ab47dd-5d7d-4765-b038-1ceee03e5ce5} generated successfully.

Snapshot Mountenstart NTDSUTIL

ntdsutil: snapshotsnapshot: list all (zeigt alle verfügbaren Snapshots)snapshot: mount <ID oder GUID>

Macht Snapshot im Datei-System sichtbar

Page 23: Guido Grillenmeier Senior Solution Architect Hewlett-Packard

Snapshot im Datei-SystemIn diesem Beispiel liegt die NTDS.DIT Datei (AD database) in: C:\$SNAP_200802111118_VOLUMEC$\Windows\NTDS\ntds.dit

Page 24: Guido Grillenmeier Senior Solution Architect Hewlett-Packard

Nutzen der AD SnapShots für Recovery

Initiierung per Database Mounting ToolDSAMAIN mit zwei Parametern

-dbpath: voller Pfad zu der NTDS.DIT Datei (im Snapshot)-ldapPort: 60000 (jeder freie Port reicht aus)

Beispiel: C:\>dsamain ‑dbpath C:\$SNAP_200802111118_VOLUMEC$\Windows\NTDS\ntds.dit -ldapPort 60000Erlaubt Read-Only Zugriff zur AD Datenbank via LDAP Protokol

Jetzt kann man Tools wie LDP oder ADSIEDIT nutzen um auf SnapShot Kopie von AD zuzugreifen und dessen Inhalte lesen!

Page 25: Guido Grillenmeier Senior Solution Architect Hewlett-Packard

Auf “Vorherige Version” vonAD via LDAP zugreifen

Zum Beispiel LDP.exe nutzen und mit Port und Server auf dem DSAMAIN genutzt wurde verbinden

Browsen der Read-Only Ansicht von AD jetztmöglich (View Tree )Die Daten aus SnapShot können somit verwendet werden um diese in das „Produktions AD“zurückzuschreiben

Nutzen der AD SnapShots für Recovery

Page 26: Guido Grillenmeier Senior Solution Architect Hewlett-Packard

1. Benötigt mind. einen Windows Server 2003/2008 DC in einer AD Domäne

2. DC muss NICHT ge-booted werden(Echtes Online Recovery!)

3. Benötigt besondere Prozesse oder Tools um Tombstones zu reanimieren(einige davon sind frei verfügbar, z.B. Micosoft/Sysinternal ADrestore)

4. Das größere Problem hiernach ist die Wiederherstellung der Daten die nicht im Tombstone enthalten sind…(wird von den freien Tools nicht erledigt)

Die „Online Recovery“ Restore Option...Gelöschte Objekte können via Tombstone Reanimierung innerhalb eines Active Directory sehr einfach wiederhergestellt werden!

Page 27: Guido Grillenmeier Senior Solution Architect Hewlett-Packard

1. ADrestore [searchfilter]Bsp. ADrestore adm.mary*

2. ADrestore –r [searchfilter]Bsp. ADrestore –r adm.mary

Man kombiniere: Tombstone Reanimierung & SnapShots

Der Vorgang mit ADrestore:

… kann zusammen mit AD Snapshots zur vollständigen Objektwiederherstellung genutzt werden!

Page 28: Guido Grillenmeier Senior Solution Architect Hewlett-Packard

User behält zwar die gleiche SID, aber weitere Details fehlen – insb. auch die Gruppenzugehörigkeit

Reanimierter User – und jetzt ?

Keine weitere Gruppen…

?

Page 29: Guido Grillenmeier Senior Solution Architect Hewlett-Packard

Reanimiertes Objekt mit Daten füllen……ganz einfach per PowerShell aus SnapShot-AD !

# variables for this example$ADSnapShotDir = “W2K8FULL01.CORP.NET:60000"$ProductionDir = "W2K8FULL01.CORP.NET"$UserDN = "CN=Tom,OU=Users,OU=MyOU,DC=corp,DC=net“

# create adsPath of current object and connect to object in Production AD

$adsPath1 = "LDAP://$ProductionDir/" + $UserDN$UsrProduction = [ADSI]($adsPath1)

# create adsPath of user object and connect to object in SnapShot AD

$adsPath2 = "LDAP://$ADSnapShotDir/" + $UserDN$UsrSnapShot = [ADSI]($adsPath2)

# write data from snapshot AD to object in production AD$UsrProduction.DisplayName = $UsrSnapShot.DisplayName$UsrProduction.setInfo()

Page 30: Guido Grillenmeier Senior Solution Architect Hewlett-Packard

Alle relevanten Daten sind wieder da! *Reanimierter User – wieder vollständig

* Gruppen-Mitgliedschaften von „MemberOf“ Attribut aus User-Objekt im SnapShot-AD ausgelesen und dann User per Script der jeweiligen Gruppe im Production-AD wieder hinzugefügt….Achtung: Links zu Gruppen in anderen Domains (z.B. Domain Local Groups) müssen ggf. mit SnapShots der anderen Domains ausgelesen und wiederhergestellt werden!

Page 31: Guido Grillenmeier Senior Solution Architect Hewlett-Packard

Agenda

Intro zu Windows Server Backup (WSB)Auswirkungen & Empfehlungen für

Standard AD Backup & Recovery

Neue Optionen zum Schutz und zur Wiederherstellung von Daten im Active Directory

Zusammenfassung

Page 32: Guido Grillenmeier Senior Solution Architect Hewlett-Packard

ZusammenfassungWindows Server Backup (WSB) ≠ NTbackup

Plattenaufteilung der Festplatten in DCs muss bei Nutzung von WSB neu geplant werdenWSB kann dennoch gut für die Basis-Absicherung und zum vollständigen Forest Recovery genutzt werdenRODCs vermindern auch Aufwand bei Forest Recovery

Neuer AD SnapShot Support und DB-Viewer eröffnen super Online-Recovery Prozesse

Kann mit den von WSB automatisch erstellten SnapShots zusammenarbeitenScripting ist hilfreich = DB-Viewer bietet keine direkte Übernahme der Daten in das „Produktions-AD“ an

Page 33: Guido Grillenmeier Senior Solution Architect Hewlett-Packard

Windows Server 2008weitere Ressourcen

Windows Server 2008 Tech Centerhttp://www.microsoft.com/germany/technet/prodtechnol/windowsserver/2008/default.mspx

Windows Server 2008 Webcasts:http://www.microsoft.com/germany/technet/webcasts/windowsserver2008.mspx

Windows Server 2008 Produktseite:http://www.microsoft.com/germany/windowsserver2008/default.mspx

Microsoft Virtualization:http://www.microsoft.com/virtualization/default.mspx

Page 34: Guido Grillenmeier Senior Solution Architect Hewlett-Packard

Ask the ExpertsWir freuen uns auf Ihre Fragen: Technische Experten stehen Ihnen während der gesamten Veranstaltung in der Haupthalle zur Verfügung.

Page 35: Guido Grillenmeier Senior Solution Architect Hewlett-Packard

© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.

The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after

the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.