Domänen-Controller sichern: Best Practices für den AD-Schutz (Teil 1)

Ihr Weg durch die Artikelreihe:

Microsoft Active Directory hat sich in Unternehmensumgebungen, in denen Authentifizierung und zentrale Benutzerverwaltung erforderlich sind, als Standard etabliert. Es ist kaum noch vorstellbar, wie Systemadministratoren ohne diese Technologie effektiv arbeiten können. Active Directory bietet Unternehmen jedoch nicht nur vielfältige Möglichkeiten, sondern bedeutet für Administratoren auch große Verantwortung. Um die Funktionen optimal nutzen zu können, sollte man gut mit dem Verzeichnisdienst vertraut sein.

Zweck dieser Artikelreihe ist es, Sie beim erfolgreichen Sichern und Wiederherstellen von Active-Directory-Doänen-Services mit Veeam zu unterstützen. Bevor Sie sich jedoch mit diesen Artikeln beschäftigen, empfehlen wir die bereits veröffentlichte Reihe zu Best Practices für die AD-Administration.

In der vorliegenden Reihe erläutern wir, wie Sie mit Veeam Active-Directory-Daten, Domänen-Controller (DCs) oder individuelle AD-Objekte schützen und bei Bedarf wiederherstellen können.

Hier behandeln wir die Backup-Optionen, die Veeam für physische und virtuelle Domänen-Controller bietet, und worauf Sie dabei achten sollten.

Domänen-Controller sichern

Active-Directory-Domänen-Services sind mit einer gewissen Redundanz versehen, sodass die üblichen Backup-Regeln und -Taktiken entsprechend angepasst werden können. Richtlinien wie für SQL- oder Exchange-Server eignen sich nicht. Im Folgenden finden Sie Hinweise dazu, wie Sie Ihre eigenen Active-Directory-Richtlinien entwickeln können:

• Zunächst müssen Sie wissen, welche Domänen-Controller in Ihrer Umgebung FSMO-Rollen (Flexible Single Master Operations) übernehmen. Hinweis: Das lässt sich ganz einfach über die Befehlszeile überprüfen: >netdom query fsmo
• Wenn Sie eine vollständige Domänen-Wiederherstellung durchführen möchten, sollten Sie mit dem DC mit den meisten FSMO-Rollen anfangen. Das ist üblicherweise derjenige mit der PDC-Emulatorrolle. Andernfalls müssen Sie die Rollen nach dem Restore mit dem Befehl ntdsutil seize manuell wiederherstellen. Priorisieren Sie Ihre Domänen-Controller also entsprechend. Weitere Informationen zu FSMO-Rollen erhalten Sie im Whitepaper „Grundlagen zu Active Directory“.
• Wenn Sie mehrere Domänen-Controller für einen Standort haben und individuelle Objekte sichern möchten, müssen Sie nicht für alle DCs ein Backup durchführen. Wie bei der Wiederherstellung auf Objektebene ist eine Kopie der Active-Directory-Datenbank (ntds.dit) ausreichend.
• Es besteht immer das Risiko einer versehentlichen oder absichtlichen Löschung bzw. Änderung von AD-Objekten. Denken Sie an eine Delegierung der Administratoraufgaben, die Beschränkung des Zugriffs auf Gruppen mit erweiterten Rechten und die Aufrechterhaltung einer „Lag“-Site.
• Üblicherweise wird empfohlen, nicht mehrere Domänen-Controller gleichzeitig zu sichern, damit es nicht zu Schwierigkeiten mit der DFS-Replikation kommt, auch wenn moderne Backup-Anwendungen (wie Veeam Backup & Replication v7 ab Patch 3) damit umgehen können.
• Wenn Sie eine virtuelle VMware-Umgebung haben und Ihren Domänen-Controller nicht über das Netzwerk verbinden können, wie es bei einer DMZ der Fall sein kann, nimmt Veeam ein Failover zur VIX-Verbindung vor und sollte Ihren DC verarbeiten können.

Wie Sie einen virtuellen Domänen-Controller sichern

Die Microsoft Active-Directory-Services organisieren und speichern Informationen zu Einzelobjekten im Forest und sichern sie in einer relationalen Datenbank (ntds.dit), die von einem Domänen-Controller gehostet wird. Ein Backup von Domänen-Controllern war bislang ein langwieriger Prozess, für den der Systemzustand des Servers gesichert werden musste. Es ist bekannt, dass Active-Directory-Services nicht viele Systemressourcen brauchen, sodass Domänen-Controller immer die ersten Server zu sein scheinen, die in der Umgebung virtualisiert werden. Wenn auch Sie ein Fan von physischen DCs sind, kann ich Ihnen diesen Blogartikel empfehlen.

Sobald DCs einmal virtualisiert sind, lassen sie sich leicht von einem Domänen-/Systemadministrator verwalten und mit Veeam Backup & Replication sichern. Für die detaillierte Verwaltung sollten Sie Veeam Backup & Replication installieren und konfigurieren. Die Systemvoraussetzungen (für Version 9.0) sind wie folgt:

Virtuelle Plattform: VMware vSphere 4.1 und neuer; Microsoft Hyper-V 2008 R2 SP1 und neuer

Veeam-Server: Windows Server 2008 SP2 und neuer; Windows 7 SP1 und neuer, 64-Bit-Betriebssystem

Domänen-Controller-VM (virtuelle Maschine): Windows Server 2003 SP1 und neuer, die Forest-Mindestfunktionen von Windows 2003

Berechtigungen: Administratorrechte für das Ziel-Active-Directory Konto eines Enterprise- oder Domänen-Administrators

In diesem Artikel soll es jedoch nicht um die Installation und Konfiguration von Veeam Backup & Replication gehen, da wir dies bereits mehrfach erläutert haben. Wenn Sie dennoch Unterstützung brauchen, sehen Sie sich dieses Video eines Veeam Systems Engineers an.

Für unsere Zwecke nehmen wir an, dass Ihr System einwandfrei funktioniert. Nun nehmen wir außerdem an, dass Sie eine Backup-Aufgabe für Ihren virtuellen Domänen-Controller konfigurieren möchten. Die Konfiguration selbst ist recht einfach (siehe Abb. 1 unten):

1. Starten Sie einen Assistenten zur Backup-Job-Erstellung.
2. Fügen Sie der Aufgabe einen gewünschten Domänen-Controller hinzu.
3. Legen Sie die Aufbewahrungsrichtlinie für die Backup-Kette fest.
4. Aktivieren Sie die anwendungsspezifische Image-Verarbeitung (AAIP), um Transaktionskonsistenz für das Betriebssystem und die in der VM laufenden Anwendungen sicherzustellen, einschließlich der Active-Directory-Datenbank und des SYSVOL-Katalogs.

Wenn Sie AAIP nicht aktivieren, erkennt das Gastbetriebssystem nicht, dass es gesichert und geschützt wurde. In diesem Fall gibt es ggf. in den Serverprotokollen eine interne Warnung (Ereignis 2089), die darauf hinweist, dass es keine Backups für „Sicherungslatenzintervall (Tage)“ gegeben hat.

5. Planen Sie einen Job oder führen Sie ihn manuell aus.
6. Stellen Sie sicher, dass der Job ohne Fehler oder Warnungen ausgeführt wurde.

7. Navigieren Sie zu der neu erstellten Backup-Datei im Backup-Repository. Das war’s schon.

Zusätzlich können Sie ein Backup in der Cloud speichern. Das geht mit Veeam Cloud Connect (VCC) for Service Provider oder einem anderen Backup-Repository mit Veeam Backup-Copy-Jobs. Eine Archivierung auf Tape ist mit einem Backup-to-Tape-Job möglich. Nach dem Speichern der Backup-Datei können Sie diese bei Bedarf jederzeit wiederherstellen.

Wie Sie einen physischen Domänen-Controller sichern

Ich hoffe, dass die AD-Services in Ihrem Unternehmen so aktuell sind, dass Ihre Domänen-Controller schon längst virtualisiert wurden. Ist das nicht der Fall, nutzen Sie hoffentlich zumindest ein relativ aktuelles Windows-Server-Betriebssystem, also Windows Server 2008 R2 oder neuer. (Wenn Sie noch ältere Systeme verwalten, überspringen Sie das Folgende und lesen Sie direkt den dritten Artikel.)

Nehmen wir also an, dass Sie einen (oder mehrere) physische Domänen-Controller haben, der mit Windows Server 2008 R2 oder neuer läuft, und dass Sie Ihr AD sichern möchten. Hier kommt Veeam Endpoint Backup ins Spiel, ein Dienstprogramm, mit dem die Daten auf Ihren verbleibenden physischen Endpunkten und Servern sicher sind. Veeam Endpoint Backup erfasst die gewünschten Daten der physischen Maschinen und sichert sie in einer Backup-Datei. Im Desaster-Fall können Sie dann unter Beibehaltung der vollen Kontrolle eine Bare-Metal-Wiederherstellung bzw. eine Wiederherstellung auf Volume-Ebene durchführen. Mit dem Veeam Explorer for Microsoft Active Directory ist zudem eine Wiederherstellung auf Objektebene möglich.

Gehen Sie wie folgt vor, um Ihren physischen Domänen-Controller mit diesem Tool wiederherzustellen:

• Laden Sie Veeam Endpoint Backup KOSTENLOS auf dieser Seite herunter und kopieren Sie es auf Ihren DC.
• Starten Sie den Installationsassistenten, akzeptieren Sie die Lizenzvereinbarung und installieren Sie das Programm.
  Hinweis: Lesen Sie diese Anweisungen, um es im Unattended Mode zu installieren.

• Konfigurieren Sie einen Backup-Job, indem Sie den entsprechenden Backup-Modus auswählen. Es ist am einfachsten und wird empfohlen, den gesamten Computer zu sichern. Wenn Sie sich für ein Backup auf Dateiebene entscheiden, wählen Sie als zu sicherndes Objekt unbedingt das Betriebssystem aus (siehe Abb. 3). So stellen Sie sicher, dass das Programm alle Dateien für eine Bare-Metal-Wiederherstellung erfasst. Auch die Active-Directory-Datenbank und der SYSVOL-Katalog werden gesichert. Weitere Informationen finden Sie im Benutzerhandbuch des Produkts.

• Führen Sie das Backup aus und stellen Sie sicher, dass keine Fehler aufgetreten sind.

• Das war’s! Ihr Backup ist fertig und Ihr Domänen-Controller ab sofort gesichert. Navigieren Sie zum Backup-Ziel, wo das Backup bzw. die Backup-Kette gespeichert ist.

Fazit

Ist das Backup eines Domänen-Controllers wirklich so einfach? Ja und nein. Ein erfolgreiches Backup ist der erste Schritt, aber nicht der letzte. Denn was nutzt Ihnen ein Backup, wenn Sie es nicht wiederherstellen können?

In den folgenden Artikeln dieser Reihe geht es um Active-Directory-Wiederherstellungsszenarien, unter anderem die Wiederherstellung eines bestimmten Domänen-Controllers sowie gelöschter und veränderter Einzelobjekte über native Microsoft-Dienstprogramme und Veeam Explorer for Active Directory.

Siehe auch:

• Whitepaper Granulare Wiederherstellung von Active Directory-Objekten
• Veeam Community-Foren: Domänen-Controller in einer anderen AD-Domäne sichern