kjekol - Fotolia
Mögliche Optionen für Backup und Wiederherstellung des Active Directory
Auch das Active Directory sollte in regelmäßigen Abständen gesichert werden. Diese Möglichkeiten gibt es bei Backup und Wiederherstellung.
Welche Möglichkeiten gibt es für ein Backup des Active Directory und wie kann es am einfachsten wiederhergestellt werden?
Microsofts Verzeichnisdienst Active Directory (AD) dient der Authentifizierung von Anwendern und Computern in Windows-Umgebungen. Das Active Directory hilft bei der Implementierung und Durchsetzung von Sicherheitsrichtlinien, beispielsweise indem es die Installation neuer Updates und Patches erforderlich macht. Da das Active Directory auf diese Weise schnell zum Dreh- und Angelpunkt für viele IT-Services wird, ist der Backup-Prozess des Active Directory eine äußerst kritische Aufgabe jeder IT-Abteilung – genauso wie die schnelle und zuverlässige Wiederherstellung.
Über das native Backup-Tool in Windows Server gibt es verschiedene Möglichkeiten der Datensicherung, beispielsweise über normale, inkrementelle, differenzielle und tägliche Backups oder durch einfache Kopien. Für Active-Directory-Datenbanken gelten allerdings sehr spezielle Backup-Anforderungen, die eher gewöhnliche Backup-Arten nahelegen.
Das Backup eines Active Directory muss besonders sorgfältig durchgeführt werden, weil es sich hierbei nicht um einzelne Ordner oder Dateien handelt, sondern um eine Kombination spezifischer Active-Directory-Server. Dazu gehören Boot-Dateien, Registry-Einträge, COM-Registrierungsdatenbanken, SYSVOL-Dateien für Gruppenrichtlinien und Skripte und zu guter Letzt alle Komponenten der Active-Directory-Datenbank. Zusammengenommen ergibt sich daraus dann in etwa der Systemzustand des AD-Domänencontrollers.
Jüngere Versionen von Windows Server, beispielsweise Windows Server 2008 R2, ermöglichen die Datensicherung kritischer Laufwerke, wodurch alle Laufwerke gesichert werden, die Systemdaten enthalten. Hierzu zählen Laufwerke mit Boot-Dateien, das Windows-Betriebssystem, die Registry, SYSVOL, die AD-Datenbank und AD-Log-Dateien. Zusätzlich zum Backup des Systemzustandes oder kritischer Laufwerke können Administratoren auch eine vollständige Datensicherung des Server anfertigen, was dann ein komplettes Image aller Systemdateien enthält und vorteilhaft sein kann, wenn auf dem Server auch andere IT-Services laufen.
Wiederherstellung des Active Directory
Auch für die Wiederherstellung des Active Directory können Administratoren aus verschiedenen Optionen wählen. Die offensichtlichste Möglichkeit ist natürlich, die volle Wiederherstellung, entweder über ein vollständiges Server-Backup, um eine Bare-Metal-Wiederherstellung des Domänencontrollers durchzuführen, oder über ein Backup des Systemzustandes, um eine frühere Version des Active Directory wiederherzustellen.
Zudem kann festgelegt werden, ob die Wiederherstellung authoritative oder nonauthoritative durchgeführt werden soll. Bei einer nonauthoritativen Wiederherstellung wird der wiederhergestellte Domänencontroller automatisch Suchanfragen starten und sich mit anderen Domänencontrollern synchronisieren, um die Übereinstimmung mit dem aktuellsten AD-Zustand anderer Domänencontrollern sicherzustellen. Bei einer authoritativen Wiederherstellung dagegen gilt der wiederhergestellte Domänencontroller als der aktuellste Stand und repliziert sich zu den anderen Domänencontrollern.
Wiederherstellungen erfordern normalerweise einen Neustart des betroffenen Servers im Directory Service Restore Modus, der im Windows-Sicherheitsmodus durchgeführt wird. An diesem Punkt können Administratoren zwischen authoritativer oder nonauthoritativer Wiederherstellung wählen. Gerade für authoritative Backups sollte natürlich peinlichst genau auf das richtige Backup-Medium geachtet werden. Die tatsächlichen Tools zur Wiederherstellung variieren stark je nach Version von Windows Server und dem Problem, das überhaupt erst zur Wiederherstellung geführt hat. Daher ist es vor der Wiederherstellung wichtig zu verstehen, welche möglichen Prozeduren in der jeweiligen Umgebung zur Verfügung stehen.
Versionen nach Windows Server 2008 R2 bieten zudem einen AD-Papierkorb, über den gelöschte Daten einfacher wiederhergestellt werden können, ohne gleich einen kompletten Wiederherstellungsvorgang durchlaufen zu müssen.
Folgen Sie SearchDataCenter.de auch auf Twitter, Google+ und Facebook!