Guido Grillenmeier Senior Solution Architect Hewlett-Packard

Präsentation zum Thema: "Guido Grillenmeier Senior Solution Architect Hewlett-Packard"—  Präsentation transkript:

1 Guido Grillenmeier Senior Solution Architect Hewlett-Packard
3/28/2017 8:11 PM Active Directory Backup und Recovery in Windows Server 2008 { Was Sie wissen sollten } Guido Grillenmeier Senior Solution Architect Hewlett-Packard © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

2 Agenda Intro zu Windows Server Backup (WSB)
Auswirkungen & Empfehlungen für Standard AD Backup & Recovery Neue Optionen zum Schutz und zur Wiederherstellung von Daten im Active Directory Zusammenfassung

3 Windows Server Backup (WSB)
Das neue Datensicherungs-Tool in Windows Server 2008 Als „Feature“ für Full Server und Server Core verfügbar Baut voll auf Volume Shadow Copy Services (VSS) Ersetzt NTBackup – Neue Funktionen Nicht alle Funktionen von NTBackup wurden übernommen Zielgruppe: Kleine und Mittlere Unternehmen

4 Was ist Neu? VSS basierte Block-Level Backups
Nur NTFS Partitionen werden unterstützt (MBR und GPT) Ausnahme: ESP (EFI System Partition) auf IA64 Keine Sicherung mehr auf Bandlaufwerke, aber auf DVD* WSB sichert die Daten nur auf Basic Disks, nicht aber auf: Dynamic Disks EFS geschützten Bereiche Es wird immer die komplette Partition gesichert WSB erlaubt keine Auswahl der Dateien oder Ordner die gesichert werden sollen – eine Partition ist die kleinste Einheit Ausnahme ist System State Backup (sichert alle Systemdateien) * Windows Server 2008 hat weiterhin volle Unterstützung für Bandlaufwerke und Band Medien – diese werden lediglich von WSB nicht genutzt

5 Backup Storage Locations
Ziel / Backup Ort Backup Typ Ad-hoc Backup/ Backup Once Scheduled Backup Lokale Disk JA DVD NEIN Netzwerk Freigabe USB Disk JA* USB Flash-Speicher * Nur “Fixed“ Geräte Typen. Keine Wechselfestplatten. (Info: Die meisten externen USB Platten sind vom Typ "Fixed") Scheduled Backup benötigt ausschließlichen Zugriff auf die Ziel Backup-Disk Nur System State Backup kann das Backup auch auf Quell-Partition speichern

6 Recovery Funktion – Support Matrix
Backup Ort Recovery Typ System Recovery (Bare Metal Restore or BMR) System State Recovery Volume (Partition) File/App Lokale Disk JA DVD JA  NEIN Netzwerk Freigabe USB Disk Weitere Info: System Recovery und System State Recovery sind nur von Backups möglich, die alle kritischen Partitionen beinhalten. UI hat hierfür eine Auswahl-Option. CLI (WBADMIN.exe) hat die Option "-allcritical" um kritische Partitionen mit zusichern (immer der Fall bei Scheduled Backups).

7 Wie wird ein DC Backup erstellt ?
Am einfachsten per WSB UI allerdings sollten die meisten DCs für erhöhte Sicherheit als Server Core Maschinen implementiert werden Deswegen CMD Version (WBADMIN.exe) verwenden! wird sowohl von Full Server als auch von Server Core unterstützt Beispiele: Sichern aller kritischen Partitionen des Systems (incl. AD Datenbank) nach D: WBADMIN Start Backup –backupTarget:D: -allCritical Sichern nur des System States (ebenfalls mit AD Datenbank) nach C: WBADMIN Start SystemStateBackup –backupTarget:C:

8 Ergebnis eines WSB Backups
WSB speichert alle Daten in einer VHD Datei (zzgl. ein paar kleiner Konfig-Dateien)

9 WSB  Block-Based Backups
3/28/2017 8:11 PM WSB  Block-Based Backups 3 - Applikation schreibt auf Quell-Disk Quell-Disk 1 - Shadow Copy Bereich für Änderungen auf Quell-Disk 2 - Block-Level Backup 5 - Update Backup Image Backup-Disk (Image als VHD Datei) 4 - Shadow Copy Bereich für Änderungen auf Backup-Disk Achtung: WSB UI erlaubt die Einstellung wichtiger Performance Parameter für Backups – hierfür gibt es derzeit keine CLI Alternative (heißt: remote Zugriff per UI auf Server Core zur Einstellung notwendig) © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

10 How Backup Happens Step 1: WSB takes a snapshot of an entire volume which includes all the writers that have a component on that volume. Step 2: WSB then reads at block level (using volume level APIs) each block on the source disks and copies them over to the target disk. Step 3: On the target disk, the blocks are written to a VHD file created by WSB. There is one VHD file created for each source volume. Step 4: After transfer of data completes, backup engine creates a "snapshot" of the target volume. WSB will maintain the multiple versions using snapshots. During next backup run, VHD file contents are overwritten, but previous version still exists in the shadow copy.

11 Besonderheiten des System State Backup
SystemState Backup Option nicht im GUI verfügbar; muss WBADMIN verwenden: WBADMIN start SystemStateBackup –backupTarget:C: Erstellt File-Based Backup aller System Dateien Ziel Partition für das Backup kann gleich der Quell Partition (z.B. C: ) sein, benötigt hierfür allerdings Anpassung in Registry des Servers Kann System State ohne restliche Daten des Servers Sichern und Wiederherstellen Ermöglicht keine inkrementelle Backups Erheblich langsamer als VSS Block-Based Backups (wie sie beim „normalen“ System Backup genutzt werden) Kann „nur“ für System State Recovery auf gleicher HW und OS Installation verwendet werden

12 Bare-Metal Restore eines kompletten DCs
Recovery Option: System Recovery Wann? Hardware Problem mit Server oder Festplatten Option 1: System Partitionen zurücksichern (Disk ist OK, aber Daten korrupt oder gelöscht) Option 2: Formatieren und Re-Partitionieren der Disks (Neue Disks oder neuer Server, auch andere HW!) Wie? Booten von WS2008 Setup-CD und wechseln in das WinRE (Windows Recovery Environment), welches auf WinPE basiert. Ist nicht remote per TS bedienbar Backup Ort auswählen (Disk, DVD, Netzwerk Freigabe) WSB liest die VHD Datei die vom Backup erstellt wurde. WSB schreibt Daten Block-für-Block von VHD Datei zurück zur Zielpartition.

13 Windows Recovery Environment (WinRE)
DC Server von Windows Server 2008 Setup DVD Starten …

14 Recovery von AD auf einem DC
Recovery Option: System State Recovery Wann? Wiederherstellung der Active Directory Datenbank (benötigt DSRM *) Rollback bei Registry Änderungen/Korruption Wiederherstellung des Status von System Services wie DNS, DHCP, Certificate Authority, IIS, COM+ etc. Wiederherstellung aller OS Dateien wegen Korruption/Löschung. Wie? Bei AD DCs zuerst Booten in DSRM – ansonsten Recovery direkt möglich. Backup Ort auswählen (Disk, Netzwerk Freigabe) WSB liest die VHD Datei die vom Backup erstellt wurde. WSB mounted die VHD Datei separate Disk, die im Explorer nicht sichtbar ist. WSB stellt alle Dateien/Ordner der "System State Writers" sowie die Registry des Servers wieder her. Admin needs to reboot server to help replace files in use, the registry and few other files. * DSRM = Directory Services Restore Mode

15 Andere Recovery Optionen
Recovery Option: Volume Recovery Wann? Bei Volume Level (Disk/Partition) Datenkorruption, z.B. bei Ersatz der Daten Disk Wie? Im laufenden Betrieb per UI oder CLI möglich – einfach Backup Ort angeben. WSB liest die VHD Datei die vom Backup erstellt wurde. WSB schreibt Daten Block-für-Block von VHD Datei zurück zur Zielpartition. Recovery Option : Datei/Ordner Recovery Bei versehentlichem Löschen von Dateien oder Ordnern Im laufenden Betrieb per UI – einfach Backup Ort angeben. WSB mounted die VHD Datei separate Disk, die im Explorer nicht sichtbar ist. Administrator kann benötigte Dateien/Ordner in einem Suchdialog auswählen – die Dateien werden dann einzeln zurückgesichert.

16 Agenda Intro zu Windows Server Backup (WSB)
Auswirkungen & Empfehlungen für Standard AD Backup & Recovery Neue Optionen zum Schutz und zur Wiederherstellung von Daten im Active Directory Zusammenfassung

17 Auswirkung von WSB auf AD DCs
Bevorzugte Methode: Normales Block-Level Backup aller kritischen Partitionen Deutlich schneller als System State Backup Erlaubt inkrementelle Backups (nur Disk) Flexibler: ermöglicht sowohl Bare-Metal Restore des DCs als auch System State Recovery Achtung: Separate Disk oder Partition für die Backups notwendig! Bare-Metal Restore nicht fernbedienbar Kann Server seitig durch HW Lösungen (z.B. ILO Boards) gelöst werden

18 Generelle DC Anforderungen
Single Role DCs Sollten mit keinen anderen Apps oder als File Server verwendet werden (problematisch für System Recovery) Kann sowohl als physikalischer Server sowie als virtueller Server implementiert werden Welche DCs sollten gesichert werden? Mind. 2 beschreibbare DCs pro Domäne RODCs können nicht zur Recovery von AD Daten verwendet werden!

19 Forest Recovery in WS2008 Funktioniert prinzipiell wie zuvor Neue Vorteile: Die meisten DCs in WS2008 Forest sollten RODCs sein  können im Problemfall zunächst ignoriert werden Administrator kann sich zuerst auf Recovery von wenigen schreibbaren DCs im Datacenter konzentrieren (beschleunigt Forest Recovery Prozess) schnelle Erstellung von IFM Medien jetzt durch NTDSUTIL möglich

20 Agenda Intro zu Windows Server Backup (WSB)
Auswirkungen & Empfehlungen für Standard AD Backup & Recovery Neue Optionen zum Schutz und zur Wiederherstellung von Daten im Active Directory Zusammenfassung

21 Versehentliches Löschen von Daten im AD verhindern
Problem: Versehentlichen Änderungen wie das Löschen einer OU mit vielen Objekten sind relativ schwer im AD rückgängig zu machen Delegierte Admins sollten nicht das Recht zum Löschen von OUs (oder anderen sensiblen Objekten) haben, aber auch Domain Admins machen mal Fehler… Neue Option in ADUC: “Protect object from accidental deletion” Verfügbar auf Object Tab von jedem Objekt

22 Versehentliches Löschen von Daten im AD verhindern
Ist dies denn eine besondere Fähigkeit von Windows Server 2008? Nein, eigentlichen nicht! ADUC setzt mit der neuen Schutzoption lediglich zwei DENY Rechte auf das zu schützende Objekt: Everyone – Delete Everyone – Delete Subtree Die gleichen Rechte können zum Schutz in Windows oder Windows Server AD Forests gesetzt werden

23 Brandneu: AD SnapShots
Unterstützt neue Mechanismen um Änderungen rückgängig zu machen, nachdem es zu spät ist … Bisher musste die AD Datenbank immer per System(State) Restore wiederhergestellt werden um gelöschte oder fälschlich überschriebene Objekte per „Authoritative Restore“ zurück zu gewinnen. WS2008 bietet Alternative zum AD Datenbank Restore: Kann SNAPSHOTS der System Partitionen auch zum Zugriff auf AD Datenbank nutzen (z.B. via NTDSUTIL) Neues DSAMAIN Tool kann die AD Datenbank-Datei (NTDS.DIT) aus SnapShot mit Read-Only Zugriff via LDAP zur Verfügung stellen

24 Erstellen von Snapshots fürs AD Recovery
Snapshot Erstellen start NTDSUTIL ntdsutil: snapshot snapshot: activate instance ntds snapshot: create Erstellt neuen Snapshot mit folgendem Output (o.Ä.) Snapshot set {f4ab47dd-5d7d-4765-b038-1ceee03e5ce5} generated successfully. Snapshot Mounten snapshot: list all (zeigt alle verfügbaren Snapshots) snapshot: mount <ID oder GUID> Macht Snapshot im Datei-System sichtbar

25 Snapshot im Datei-System
In diesem Beispiel liegt die NTDS.DIT Datei (AD database) in: C:\$SNAP_ _VOLUMEC$\Windows\NTDS\ntds.dit

26 Nutzen der AD SnapShots für Recovery
Initiierung per Database Mounting Tool DSAMAIN mit zwei Parametern -dbpath: voller Pfad zu der NTDS.DIT Datei (im Snapshot) -ldapPort: (jeder freie Port reicht aus) Beispiel: C:\>dsamain ‑dbpath C:\$SNAP_ _VOLUMEC$\Windows\NTDS\ntds.dit -ldapPort 60000 Erlaubt Read-Only Zugriff zur AD Datenbank via LDAP Protokol Jetzt kann man Tools wie LDP oder ADSIEDIT nutzen um auf SnapShot Kopie von AD zuzugreifen und dessen Inhalte lesen!

27 Nutzen der AD SnapShots für Recovery
Auf “Vorherige Version” von AD via LDAP zugreifen Zum Beispiel LDP.exe nutzen und mit Port und Server auf dem DSAMAIN genutzt wurde verbinden Browsen der Read-Only Ansicht von AD jetzt möglich (View  Tree ) Die Daten aus SnapShot können somit verwendet werden um diese in das „Produktions AD“ zurückzuschreiben

28 Die „Online Recovery“ Restore Option...
Gelöschte Objekte können via Tombstone Reanimierung innerhalb eines Active Directory sehr einfach wiederhergestellt werden! Benötigt mind. einen Windows Server 2003/2008 DC in einer AD Domäne DC muss NICHT ge-booted werden (Echtes Online Recovery!) Benötigt besondere Prozesse oder Tools um Tombstones zu reanimieren (einige davon sind frei verfügbar, z.B. Micosoft/Sysinternal ADrestore) Das größere Problem hiernach ist die Wiederherstellung der Daten die nicht im Tombstone enthalten sind… (wird von den freien Tools nicht erledigt)

29 Man kombiniere: Tombstone Reanimierung & SnapShots
Der Vorgang mit ADrestore: ADrestore [searchfilter] Bsp. ADrestore adm.mary* ADrestore –r [searchfilter] Bsp. ADrestore –r adm.mary … kann zusammen mit AD Snapshots zur vollständigen Objektwiederherstellung genutzt werden!

30 Reanimierter User – und jetzt ? 
User behält zwar die gleiche SID, aber weitere Details fehlen – insb. auch die Gruppenzugehörigkeit ? Keine weitere Gruppen…

31 Reanimiertes Objekt mit Daten füllen…
…ganz einfach per PowerShell aus SnapShot-AD ! # variables for this example $ADSnapShotDir = “W2K8FULL01.CORP.NET:60000" $ProductionDir = "W2K8FULL01.CORP.NET" $UserDN = "CN=Tom,OU=Users,OU=MyOU,DC=corp,DC=net“ # create adsPath of current object and connect to object in Production AD $adsPath1 = "LDAP://$ProductionDir/" + $UserDN $UsrProduction = [ADSI]($adsPath1) # create adsPath of user object and connect to object in SnapShot AD $adsPath2 = "LDAP://$ADSnapShotDir/" + $UserDN $UsrSnapShot = [ADSI]($adsPath2) # write data from snapshot AD to object in production AD $UsrProduction.DisplayName = $UsrSnapShot.DisplayName $UsrProduction.setInfo()

32 Reanimierter User – wieder vollständig 
Alle relevanten Daten sind wieder da! * * Gruppen-Mitgliedschaften von „MemberOf“ Attribut aus User-Objekt im SnapShot-AD ausgelesen und dann User per Script der jeweiligen Gruppe im Production-AD wieder hinzugefügt…. Achtung: Links zu Gruppen in anderen Domains (z.B. Domain Local Groups) müssen ggf. mit SnapShots der anderen Domains ausgelesen und wiederhergestellt werden!

33 Agenda Intro zu Windows Server Backup (WSB)
Auswirkungen & Empfehlungen für Standard AD Backup & Recovery Neue Optionen zum Schutz und zur Wiederherstellung von Daten im Active Directory Zusammenfassung

34 Zusammenfassung Windows Server Backup (WSB) ≠ NTbackup
Plattenaufteilung der Festplatten in DCs muss bei Nutzung von WSB neu geplant werden WSB kann dennoch gut für die Basis-Absicherung und zum vollständigen Forest Recovery genutzt werden RODCs vermindern auch Aufwand bei Forest Recovery Neuer AD SnapShot Support und DB-Viewer eröffnen super Online-Recovery Prozesse Kann mit den von WSB automatisch erstellten SnapShots zusammenarbeiten Scripting ist hilfreich = DB-Viewer bietet keine direkte Übernahme der Daten in das „Produktions-AD“ an

35 Windows Server 2008 weitere Ressourcen
3/28/2017 8:11 PM Windows Server 2008 weitere Ressourcen Windows Server 2008 Tech Center Windows Server 2008 Webcasts: Windows Server 2008 Produktseite: Microsoft Virtualization: © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

36 Ask the Experts Wir freuen uns auf Ihre Fragen: Technische Experten stehen Ihnen während der gesamten Veranstaltung in der Haupthalle zur Verfügung.

37 3/28/2017 8:11 PM © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION. © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.