Acronis Backup / USN-Rollback verhindern

[SBK 3]

Hallo Leute,

 

Seit einigen Jahren sichern wir die Serverlandschaft mit Acronis Backup (Aktuell Verison 12.5). Acronis bietet nebst Systembackups (also Images vom ganzen System) auch Applikationsbackup von Active Directory, Exchange, SQL und anderen Applikationen. Natürlich habe ich das Applikationsbackup aktiviert und konfiguriert.

 

Jetzt wollte ich das Notfallszenario mal durchspielen (wir haben im Moment 2 Domain Controller im Active Directory). Beim Wiederherstellen konnte ich aber keine Einstellung finden, dass das AD so wiederhergestellt wird, das kein USN-Rollback passiert. Der Acronissupport verweist hierbei auf https://www.acronis.com/de-de/support/documentation/AcronisBackup_12.5/#39119.html

 

Dort steht: Eine Maschine, auf der die Active Directory Domain Services (Active Directory-Domänendienste) laufen, kann per applikationskonformem Backup geschützt werden. Falls eine Domain mehr als zwei Domain-Controller enthält und Sie einen davon wiederherstellen, wird eine 'nicht autorisierte' Wiederherstellung durchgeführt und so ein USN-Rollback nach der Wiederherstellung vermieden.

 

Hat jemand Erfahrungen mit dem Acronis Backup Tool? Kann man davon ausgehen dass Acronis den Restore wirklich vollautomatisch als nicht autorisierend druchführt? Wie testet Ihr ein solches Disaster Recovery in eurer Umgebung?

 

Gruss SBK

[testperson 1.674]

Hi,

vor 46 Minuten schrieb SBK:

Jetzt wollte ich das Notfallszenario mal durchspielen

was ist denn das "Notfallszenario"?

 

Generell: Solange noch ein DC funktionstüchtig ist, würde ich einen zweiten, dritten, vierten, etc. DC nicht restoren. Einfach "entsorgen", aufräumen und neu installieren. Sind alle DCs "verloren" sicherst du halt nur einen zurück, räumst auf und installierst dann später einen zweiten, dritten, vierten, etc. neu.

 

Gruß

Jan

[SBK 3]

Das Notfallszenario ist wenn ein DC oder sogar beide ausfall sollten. Den zweiten, dritten oder vierten DC nicht restoren und die Einträge aufärumen, ist ein Lösungs-Ansatz. Dieser funktioniert aber nur wenn ich einen DC habe, der nichts anderes macht. Bei kleinen Umgebungen ist es aber so, das man nicht unzählige (auch virtuelle) Server zur Verfügung hat und man meistens mehrere Funktionen oder Rollen auf den DC mitinstallieren muss.

 

Aber es ist eine Überlegung wert mehrere DC zu installieren, welche nichts anderes machen als das AD replizieren.

[NorbertFe 2.027]

vor 1 Minute schrieb SBK:

Aber es ist eine Überlegung wert mehrere DC zu installieren, welche nichts anderes machen als das AD replizieren.

Das sollte der Standard sein und keine Überlegung.

[SBK 3]

NorbertFe da wirst Du Recht haben, aber der Small Business Server hat es vorgezeigt wie es anders geht (DC, Exchange, Fileserver, Druckerserver, SQL-Server, WSUS-Server uvm.) und bei KMU's ist das Geld nun mal rar....

bearbeitet 25. Februar 2019 von SBK

[NorbertFe 2.027]

SBS war und ist immer die Ausnahme gewesen und davon ab wird’s inzwischen selten das Teil.

[SBK 3]

Keine Regel ohne Ausnahme wie man so schön sagt. 

 

Aber etwas würde mich wunder nehmen, falls ein DC ausfällt, macht ihr alle diesen platt, bereinigt die Einträge und installiert einen neuen DC? Niemand macht sich die Mühe das AD zu backuppen und ggf. nicht authorisierend zu restoren?

[testperson 1.674]

vor 7 Minuten schrieb SBK:

Niemand macht sich die Mühe das AD zu backuppen und ggf. nicht authorisierend zu restoren?

Doch. Aber eben nicht für ein Notfallszenario.

 

Gruß

Jan

 

P.S.: Nahezu egal, was die Backupsoftware verspricht, mache ich das gerne noch zusätzlich mit der Windows Server Sicherung.

[MrCocktail 192]

Hi,

 

naja, wir haben schon ein Backup, aber ich würde annehmen, das bei uns alle hoffen, es nicht zu brauchen.

Wir spielen das ein oder zwei mal im Jahr durch, aber dann eher immer, das alles Richtung Krisensituation, weil bei uns bedeutet es:

Mindestens 2 GEO redunante RZs sind abgeraucht und nicht mehr zugreifbar, so dass wir auf das Offsite Backup zurückgreifen müssten.

 

Gruß

 

[NilsK 2.930]

Moin,

 

wenn die DCs nur DCs sind, ergibt es überhaupt keinen Sinn, einen von mehreren DCs per Restore wiederherzustellen.

 

Was Acronis da macht, ist prinzipiell schon in Ordnung. Ein Restore, das vom AD weiß, setzt ein Flag, durch das der DC weiß, dass er wiederhergestellt wurde. Dasselbe passiert auch beim Restore des Systemstate mit Bordmitteln. Ob man das Verfahren braucht, steht auf einem anderen Blatt.

 

Gruß, Nils

 

[SBK 3]

Danke für eure Feedbacks, das hilft ein Disaster Recovery mit mehreren Lösungswegen zu planen.

[NilsK 2.930]

Moin,

 

schön, danke für die Rückmeldung.

 

Ein Vorschlag: Unterscheide Szenarien, in denen eine Wiederherstellung wichtig ist. "Disaster Recovery" ist kein Oberbegriff, sondern eine seltene Ausnahme - dass wirklich eine Katastrophe im Stil von "alles weg" eintritt, ist weit exotischer, als viele annehmen. Viel wichtiger ist, Handlungsweisen für "kleine" Ausfälle zu haben und dann zu wissen, was man in welcher Qualität wiederherstellen muss.

 

Gruß, Nils

 

[SBK 3]

Danke Nils für die Ergänzungen, werde das beherzigen.

 

Gruss SBK