Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Guido Grillenmeier Senior Solution Architect Hewlett-Packard.

Ähnliche Präsentationen


Präsentation zum Thema: "Guido Grillenmeier Senior Solution Architect Hewlett-Packard."—  Präsentation transkript:

1 Guido Grillenmeier Senior Solution Architect Hewlett-Packard

2 Intro zu Windows Server Backup (WSB) Auswirkungen & Empfehlungen für Standard AD Backup & Recovery Neue Optionen zum Schutz und zur Wiederherstellung von Daten im Active Directory Zusammenfassung

3 Das neue Datensicherungs-Tool in Windows Server 2008 Als Feature für Full Server und Server Core verfügbar Baut voll auf Volume Shadow Copy Services (VSS) Ersetzt NTBackup – Neue Funktionen Nicht alle Funktionen von NTBackup wurden übernommen Zielgruppe: Kleine und Mittlere Unternehmen

4 VSS basierte Block-Level Backups Nur NTFS Partitionen werden unterstützt (MBR und GPT) Ausnahme: ESP (EFI System Partition) auf IA64 Keine Sicherung mehr auf Bandlaufwerke, aber auf DVD* WSB sichert die Daten nur auf Basic Disks, nicht aber auf: Dynamic Disks EFS geschützten Bereiche Es wird immer die komplette Partition gesichert WSB erlaubt keine Auswahl der Dateien oder Ordner die gesichert werden sollen – eine Partition ist die kleinste Einheit Ausnahme ist System State Backup (sichert alle Systemdateien) * Windows Server 2008 hat weiterhin volle Unterstützung für Bandlaufwerke und Band Medien – diese werden lediglich von WSB nicht genutzt

5 Scheduled Backup benötigt ausschließlichen Zugriff auf die Ziel Backup-Disk Nur System State Backup kann das Backup auch auf Quell-Partition speichern * Nur Fixed Geräte Typen. Keine Wechselfestplatten. (Info: Die meisten externen USB Platten sind vom Typ "Fixed")

6 Weitere Info: System Recovery und System State Recovery sind nur von Backups möglich, die alle kritischen Partitionen beinhalten. UI hat hierfür eine Auswahl-Option. CLI (WBADMIN.exe) hat die Option "-allcritical" um kritische Partitionen mit zusichern (immer der Fall bei Scheduled Backups).

7 Am einfachsten per WSB UI allerdings sollten die meisten DCs für erhöhte Sicherheit als Server Core Maschinen implementiert werden Deswegen CMD Version (WBADMIN.exe) verwenden! wird sowohl von Full Server als auch von Server Core unterstützt Beispiele: Sichern aller kritischen Partitionen des Systems (incl. AD Datenbank) nach D: WBADMIN Start Backup –backupTarget:D: -allCritical Sichern nur des System States (ebenfalls mit AD Datenbank) nach C: WBADMIN Start SystemStateBackup –backupTarget:C:

8 WSB speichert alle Daten in einer VHD Datei (zzgl. ein paar kleiner Konfig-Dateien)

9 Quell-Disk 2 - Block-Level Backup 4 - Shadow Copy Bereich für Änderungen auf Backup-Disk 3 - Applikation schreibt auf Quell-Disk 5 - Update Backup Image Backup-Disk (Image als VHD Datei) 1 - Shadow Copy Bereich für Änderungen auf Quell-Disk Achtung: WSB UI erlaubt die Einstellung wichtiger Performance Parameter für Backups – hierfür gibt es derzeit keine CLI Alternative (heißt: remote Zugriff per UI auf Server Core zur Einstellung notwendig)

10 Step 1: WSB takes a snapshot of an entire volume which includes all the writers that have a component on that volume. Step 2: WSB then reads at block level (using volume level APIs) each block on the source disks and copies them over to the target disk. Step 3: On the target disk, the blocks are written to a VHD file created by WSB. There is one VHD file created for each source volume. Step 4: After transfer of data completes, backup engine creates a "snapshot" of the target volume. WSB will maintain the multiple versions using snapshots. During next backup run, VHD file contents are overwritten, but previous version still exists in the shadow copy.

11 SystemState Backup Option nicht im GUI verfügbar; muss WBADMIN verwenden: WBADMIN start SystemStateBackup –backupTarget:C: Erstellt File-Based Backup aller System Dateien Ziel Partition für das Backup kann gleich der Quell Partition (z.B. C: ) sein, benötigt hierfür allerdings Anpassung in Registry des Servers Kann System State ohne restliche Daten des Servers Sichern und Wiederherstellen – Ermöglicht keine inkrementelle Backups – Erheblich langsamer als VSS Block-Based Backups (wie sie beim normalen System Backup genutzt werden) – Kann nur für System State Recovery auf gleicher HW und OS Installation verwendet werden

12 Recovery Option: System Recovery Wann? Hardware Problem mit Server oder Festplatten Option 1: System Partitionen zurücksichern (Disk ist OK, aber Daten korrupt oder gelöscht) Option 2: Formatieren und Re-Partitionieren der Disks (Neue Disks oder neuer Server, auch andere HW!) Wie? Booten von WS2008 Setup-CD und wechseln in das WinRE (Windows Recovery Environment), welches auf WinPE basiert. Ist nicht remote per TS bedienbar Backup Ort auswählen (Disk, DVD, Netzwerk Freigabe) WSB liest die VHD Datei die vom Backup erstellt wurde. WSB schreibt Daten Block-für-Block von VHD Datei zurück zur Zielpartition.

13 DC Server von Windows Server 2008 Setup DVD Starten …

14 Recovery Option: System State Recovery Wann? Wiederherstellung der Active Directory Datenbank (benötigt DSRM *) Rollback bei Registry Änderungen/Korruption Wiederherstellung des Status von System Services wie DNS, DHCP, Certificate Authority, IIS, COM+ etc. Wiederherstellung aller OS Dateien wegen Korruption/Löschung. Wie? Bei AD DCs zuerst Booten in DSRM – ansonsten Recovery direkt möglich. Backup Ort auswählen (Disk, Netzwerk Freigabe) WSB liest die VHD Datei die vom Backup erstellt wurde. WSB mounted die VHD Datei separate Disk, die im Explorer nicht sichtbar ist. WSB stellt alle Dateien/Ordner der "System State Writers" sowie die Registry des Servers wieder her. Admin needs to reboot server to help replace files in use, the registry and few other files. * DSRM = Directory Services Restore Mode

15 Recovery Option: Volume Recovery Wann? Bei Volume Level (Disk/Partition) Datenkorruption, z.B. bei Ersatz der Daten Disk Wie? Im laufenden Betrieb per UI oder CLI möglich – einfach Backup Ort angeben. WSB liest die VHD Datei die vom Backup erstellt wurde. WSB schreibt Daten Block-für-Block von VHD Datei zurück zur Zielpartition. Recovery Option : Datei/Ordner Recovery Wann? Bei versehentlichem Löschen von Dateien oder Ordnern Wie? Im laufenden Betrieb per UI – einfach Backup Ort angeben. WSB liest die VHD Datei die vom Backup erstellt wurde. WSB mounted die VHD Datei separate Disk, die im Explorer nicht sichtbar ist. Administrator kann benötigte Dateien/Ordner in einem Suchdialog auswählen – die Dateien werden dann einzeln zurückgesichert.

16 Intro zu Windows Server Backup (WSB) Auswirkungen & Empfehlungen für Standard AD Backup & Recovery Neue Optionen zum Schutz und zur Wiederherstellung von Daten im Active Directory Zusammenfassung

17 Bevorzugte Methode: Normales Block- Level Backup aller kritischen Partitionen Deutlich schneller als System State Backup Erlaubt inkrementelle Backups (nur Disk) Flexibler: ermöglicht sowohl Bare-Metal Restore des DCs als auch System State Recovery Achtung: Separate Disk oder Partition für die Backups notwendig! Bare-Metal Restore nicht fernbedienbar Kann Server seitig durch HW Lösungen (z.B. ILO Boards) gelöst werden

18 Single Role DCs Sollten mit keinen anderen Apps oder als File Server verwendet werden (problematisch für System Recovery) Kann sowohl als physikalischer Server sowie als virtueller Server implementiert werden Welche DCs sollten gesichert werden? Mind. 2 beschreibbare DCs pro Domäne RODCs können nicht zur Recovery von AD Daten verwendet werden!

19 Funktioniert prinzipiell wie zuvor -8E8A-443A-9027-C522DEE35D85&displaylang=en -8E8A-443A-9027-C522DEE35D85&displaylang=en Neue Vorteile: Die meisten DCs in WS2008 Forest sollten RODCs sein können im Problemfall zunächst ignoriert werden Administrator kann sich zuerst auf Recovery von wenigen schreibbaren DCs im Datacenter konzentrieren (beschleunigt Forest Recovery Prozess) schnelle Erstellung von IFM Medien jetzt durch NTDSUTIL möglich

20 Intro zu Windows Server Backup (WSB) Auswirkungen & Empfehlungen für Standard AD Backup & Recovery Neue Optionen zum Schutz und zur Wiederherstellung von Daten im Active Directory Zusammenfassung

21 Problem: Versehentlichen Änderungen wie das Löschen einer OU mit vielen Objekten sind relativ schwer im AD rückgängig zu machen Delegierte Admins sollten nicht das Recht zum Löschen von OUs (oder anderen sensiblen Objekten) haben, aber auch Domain Admins machen mal Fehler… Neue Option in ADUC: Protect object from accidental deletion Verfügbar auf Object Tab von jedem Objekt

22 Ist dies denn eine besondere Fähigkeit von Windows Server 2008? Nein, eigentlichen nicht! ADUC setzt mit der neuen Schutzoption lediglich zwei DENY Rechte auf das zu schützende Objekt: Everyone – Delete Everyone – Delete Subtree Die gleichen Rechte können zum Schutz in Windows 2000 oder Windows Server 2003 AD Forests gesetzt werden

23 Unterstützt neue Mechanismen um Änderungen rückgängig zu machen, nachdem es zu spät ist … Bisher musste die AD Datenbank immer per System(State) Restore wiederhergestellt werden um gelöschte oder fälschlich überschriebene Objekte per Authoritative Restore zurück zu gewinnen. WS2008 bietet Alternative zum AD Datenbank Restore: Kann SNAPSHOTS der System Partitionen auch zum Zugriff auf AD Datenbank nutzen (z.B. via NTDSUTIL) Neues DSAMAIN Tool kann die AD Datenbank-Datei (NTDS.DIT) aus SnapShot mit Read-Only Zugriff via LDAP zur Verfügung stellen

24 Snapshot Erstellen start NTDSUTIL ntdsutil: snapshot snapshot: activate instance ntds snapshot: create Erstellt neuen Snapshot mit folgendem Output (o.Ä.) Snapshot set {f4ab47dd-5d7d-4765-b038- 1ceee03e5ce5} generated successfully. Snapshot Mounten start NTDSUTIL ntdsutil: snapshot snapshot: list all (zeigt alle verfügbaren Snapshots) snapshot: mount Macht Snapshot im Datei-System sichtbar

25 In diesem Beispiel liegt die NTDS.DIT Datei (AD database) in: C:\$SNAP_ _VOLUMEC$\Windows\NTDS\ntds.dit

26 Initiierung per Database Mounting Tool DSAMAIN mit zwei Parametern -dbpath: voller Pfad zu der NTDS.DIT Datei (im Snapshot) -ldapPort: (jeder freie Port reicht aus) Beispiel: C:\>dsamain dbpath C:\$SNAP_ _VOLUMEC$\Windows\NTD S\ntds.dit -ldapPort Erlaubt Read-Only Zugriff zur AD Datenbank via LDAP Protokol Jetzt kann man Tools wie LDP oder ADSIEDIT nutzen um auf SnapShot Kopie von AD zuzugreifen und dessen Inhalte lesen!

27 Auf Vorherige Version von AD via LDAP zugreifen Zum Beispiel LDP.exe nutzen und mit Port und Server auf dem DSAMAIN genutzt wurde verbinden Browsen der Read-Only Ansicht von AD jetzt möglich (View Tree ) Die Daten aus SnapShot können somit verwendet werden um diese in das Produktions AD zurückzuschreiben

28 1.Benötigt mind. einen Windows Server 2003/2008 DC in einer AD Domäne 2.DC muss NICHT ge-booted werden (Echtes Online Recovery!) 3.Benötigt besondere Prozesse oder Tools um Tombstones zu reanimieren (einige davon sind frei verfügbar, z.B. Micosoft/Sysinternal ADrestore)Micosoft/Sysinternal ADrestore 4.Das größere Problem hiernach ist die Wiederherstellung der Daten die nicht im Tombstone enthalten sind… (wird von den freien Tools nicht erledigt) Gelöschte Objekte können via Tombstone Reanimierung innerhalb eines Active Directory sehr einfach wiederhergestellt werden!

29 1.ADrestore [searchfilter] Bsp. ADrestore adm.mary* 2.ADrestore –r [searchfilter] Bsp. ADrestore –r adm.mary Der Vorgang mit ADrestore: … kann zusammen mit AD Snapshots zur vollständigen Objektwiederherstellung genutzt werden!

30 User behält zwar die gleiche SID, aber weitere Details fehlen – insb. auch die Gruppenzugehörigkeit Keine weitere Gruppen… ? ?

31 Reanimiertes Objekt mit Daten füllen… …ganz einfach per PowerShell aus SnapShot-AD ! # variables for this example $ADSnapShotDir = W2K8FULL01.CORP.NET:60000" $ProductionDir = "W2K8FULL01.CORP.NET" $UserDN = "CN=Tom,OU=Users,OU=MyOU,DC=corp,DC=net # create adsPath of current object and connect to object in Production AD $adsPath1 = "LDAP://$ProductionDir/" + $UserDN $UsrProduction = [ADSI]($adsPath1) # create adsPath of user object and connect to object in SnapShot AD $adsPath2 = "LDAP://$ADSnapShotDir/" + $UserDN $UsrSnapShot = [ADSI]($adsPath2) # write data from snapshot AD to object in production AD $UsrProduction.DisplayName = $UsrSnapShot.DisplayName $UsrProduction.setInfo()

32 Alle relevanten Daten sind wieder da! * * Gruppen-Mitgliedschaften von MemberOf Attribut aus User-Objekt im SnapShot-AD ausgelesen und dann User per Script der jeweiligen Gruppe im Production-AD wieder hinzugefügt…. Achtung: Links zu Gruppen in anderen Domains (z.B. Domain Local Groups) müssen ggf. mit SnapShots der anderen Domains ausgelesen und wiederhergestellt werden!

33 Intro zu Windows Server Backup (WSB) Auswirkungen & Empfehlungen für Standard AD Backup & Recovery Neue Optionen zum Schutz und zur Wiederherstellung von Daten im Active Directory Zusammenfassung

34 Windows Server Backup (WSB) NTbackup Plattenaufteilung der Festplatten in DCs muss bei Nutzung von WSB neu geplant werden WSB kann dennoch gut für die Basis-Absicherung und zum vollständigen Forest Recovery genutzt werden RODCs vermindern auch Aufwand bei Forest Recovery Neuer AD SnapShot Support und DB-Viewer eröffnen super Online-Recovery Prozesse Kann mit den von WSB automatisch erstellten SnapShots zusammenarbeiten Scripting ist hilfreich = DB-Viewer bietet keine direkte Übernahme der Daten in das Produktions-AD an

35 Windows Server 2008 Tech Center fault.mspx fault.mspx Windows Server 2008 Webcasts: Windows Server 2008 Produktseite: Microsoft Virtualization:

36 Wir freuen uns auf Ihre Fragen: Technische Experten stehen Ihnen während der gesamten Veranstaltung in der Haupthalle zur Verfügung.

37 © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.


Herunterladen ppt "Guido Grillenmeier Senior Solution Architect Hewlett-Packard."

Ähnliche Präsentationen


Google-Anzeigen