Notfall Szenario Idee Domaincontroller Kopie statt Restore

[Pipeline 11]

Moin zusammen,

ich weiß, AD bzw. DC Restore ist ein oft diskutiertes Thema. Ich habe dazu auch eine Menge gelesen.

 

Doch ich möchte hier einmal kurz unser Gedankenspiel (Szenario) für einen Notfall beschreiben und eine ganz provokant simple Lösung von euch bewerten lassen.
Denn alles was ich gelesen habe ist aufwändig und bringt diverse Voraussetzungen mit. Ich vermute, da sich nur Admins mit großen komplexen ADs diese Gedanken machen gibt es auch nur entsprechende Anleitungen.

 

Szenario:

• Vorab:
  • nur zwei DCs und diese sind virtuell
  • Kein MS Exchange
  • AD ist recht klein und simpel: nur eine Domain nur ein Forest, ca. 300 User, 60 Server, 350 Client PCs, 30 GPOs, sehr seltene Änderungen (höchstens mal neue User)
    • alle FSMO Rollen auf einem DC, beide DC sind auch GC
    • DNS ist AD integiert und beide DC sind als DNS auf den Servern und Clients hinterlegt
• Notfall tritt ein: DCs schrott (warum auch immer, nur mal angenommen, komplett schrott und nicht startfähig)
• Hypervisor Pool/Cluster Umgebung auch komplett schrott

 

Idee für schnellen, simplen Restore:

• Auf einem gesonderten (eigenständigen) Hypervisor Server im Backup RZ gibt es aus der Virtualisierung Disaster Recovery Kopie des ersten DC
• Diese Kopie wird wöchentlich neu erstellt
• Es bleiben z.B. sechs Kopien als Historie liegen (um auch weiter zurück zu kommen, falls etwa ein Ransomware Angriff erst nach einigen Wochen entdeckt wird)
• Im Disasterfall wird eine der Kopie Versionen auf dem extra Server gestartet
• Der ältere Stand wird aufgrund der geringen Änderungsrate in Kauf genommen
• Einige Computerkonten und Userkonten werden abgelaufene Passwörter haben, wird dann halt individuell behandelt
• RID Konflikte erwarte ich nicht, da nur ein DC im Restore, der zweite wird anschließend im AD bereinigt und ein neuer zweiter DC aufgesetzt und hochgestuft

 

Was meint ihr dazu? Übersehe ich was? Denke ich mir das zu einfach? 

Bin gespannt auf eure Hinweise und Gedanken.

 

Viele Grüße

 

[zahni 550]

Warum kein Backup von den DC's? Wichtig ist, dass man im DR-Fall nur einen DC wiederherstellt und alle anderen DC's neu installiert. Dazu muss man nach dem Restore natürlich vorher die alten DC's im AD entfernen. Einen DC kann man durchaus per Snapshot sichern. Der muss dann aber im DR-Fall der alleinige DC sein. Man darf keinen anderen DC aus einer Snapshot-Sicherung wiederherstellen oder geben einen anderen noch funktionierenden DC.

[cj_berlin 1.306]

Moin,

 

das entscheidende Stichwort in Deiner Schilderung ist "warum auch immer", und da gabelt sich der Weg. Als ich vor 25 Jahren die ersten AD-Trainings gemacht habe, war das Disaster, das wir betrachtet haben, eine Naturkatastrophe, d.h. die Daten sind an sich gut und vertrauenswürdig, es geht also nur darum, sie technisch konsistent wieder auf die Straße zu bekommen. In diesem Szenario ist Deine Lösung komplett valide, sie kann aber auch durch einen Backup ersetzt werden, da muss man nichts neu erfinden.

 

Heute geht ein AD in der Regel durch einen Cyber-Vorfall hops, und da sind die Daten inklusive Betriebssystem  eben NICHT gut und vertrauenswürdig. Mit Komplett-Backups bist Du also schnell bei der Diskussion "welches Backup ist noch nicht infiziert", und diese Frage kann im Breach Response nie schnell genug beantwortet werden. In diesem Szenario sind alle Recovery-Verfahren, die auf Komplettbackups oder -kopien basieren, problematisch. Es gibt Anbieter für Tools, die auch "Cyber-geschädigte" ADs recovern können. Da einer davon mein Arbeitgeber ist, werde ich hier keine Namen nennen.

bearbeitet 26. März von cj_berlin

[NilsK 2.930]

Moin,

 

am Ende ist die geschilderte Idee ja auch nicht neu und ebenso wenig "provokant". Es ist das, was VM-Backup-Tools eben tun. Also ACK, dass man das im Prinzip so machen kann ...

 

... aber: der relevante Punkt ist, um Evgenij zu zitieren (im AD-Zusammenhang geht das ja):

 

vor 41 Minuten schrieb cj_berlin:

"warum auch immer", und da gabelt sich der Weg

 

Da das AD für viel, viel Weiteres in einem Netzwerk die Grundlage ist, sollte man auch mehrere Optionen zur Wiederherstellung haben. Und da rate ich schon seit etwa 20 Jahren dazu, nicht nur mehrere Backups (im Sinne von: das AD von mehreren DCs aus sichern) zu haben, sondern auch mehrere Techniken parallel zu nutzen. Ich würde in so einem Gesamtkonzept immer ein AD-Backup mit Bordmitteln dabei haben, weil es das einzige AD-Backup ist, das vom AD-Hersteller vollständig supportet wird.

 

Und: "einfach" ist im Zusammenhang mit Datensicherung ein schlechtes Hauptkriterium. Es kann ein Aspekt sein, aber ich würde vor allem vom Recovery her denken, und da wird es in der Regel leider nicht einfach.

 

Gruß, Nils

 

bearbeitet 26. März von NilsK

[zahni 550]

Bei uns Backup-DC:

- System State und File-System via Backup Agent

-AD-Backup via AD-Agenten der Backupsoftware (damit kann man einzelne Objekte zurück sichern)

 -Snapshot-Sicherungen der virtuellen DC's.

 

Da kann man sich dann was aussuchen.

[Pipeline 11]

 

Vielen Dank für eure Antworten! Ihr seid super.

 

Ja ich wollte da gar nicht den Eindruck erwecken meine Idee ist neu, nur findet man hauptsächlich Anleitungen die entsprechend etwas komplexere weil differenziertere Wiederherstellungen beschreiben.

 

Ich habe jetzt hier nur diesen einen Fall beschrieben. Natürlich fahren wir mehrgleisig und wollen mehre Möglichkeiten zur Hand haben da ja nie vorher bekannt ist welchen Vorfall man erlebt.
File- und Systemstate Backup ist vorhanden, bislang nur mit Backup Software. Ich werde das onboard Windows Backup ergänzen. 

 

Das mit dem "da gabelt sich der Weg" ist genau der Kern, ja.
Der Cyber-Vorfall ist sicherlich sehr eklig, weil in der Regel (zu) lange unklar und das Vertrauen verloren ist.
Die DR Kopie ist hier nur ein Mittel die komplett ohne Abhängigkeiten nutzbar ist.

vor 4 Stunden schrieb cj_berlin:

Tools, die auch "Cyber-geschädigte" ADs recovern können

Danke für den Tipp, war mir noch gar nicht untergekommen.

 

Und @NilsK ja, "einfach" endet dann bei einem echten Vorfall und dem nötigen Restore.
Ich finde deine Formulierung :

vor 3 Stunden schrieb NilsK:

vom Recovery her denken

richtig gut, schön griffig und trifft den Punkt.

Daher werde ich versuchen eine gute Testumgebung einzurichten und Restore Varianten zu testen. Jedoch kenne ich die Herausforderung zu einer guten Testumgebung, diese muss halt "mit Leben gefüllt" werden sonst hat das keine Aussagekraft. Und für umfangreiche Testumgebungen in denen auch Testbetrieb läuft sind wir mit unseren Admin-Ressourcen zu knapp.

Gruß

Stefan

[NilsK 2.930]

Moin,

 

sehr gut. Bei Detailfragen melde dich gern wieder. (Beim AD-Recovery gibt es leider eine ganze Menge Details, an denen es nervig werden kann.)

 

Gruß, Nils

 

[Nobbyaushb 1.464]

Moin,

 

dann möchte ich noch meine Erfahrungen aus einer 24/7 Umgebung hinzufügen

 

Die 60 Server laufen alle als VMßs oder sind physische dabei?

Alles Windows oder Mix?

Bei 300 Usern würde ich wohl einen weiteren DC vorhalten, allerdings in physik z.B. einen Intel Nook oder einen Lenovo Tiny PC

(Macht Sinn, wenn die virtuellen DC´s nicht verschiedenen Host´s laufen/können und vor allem wenn die Host Domain-Member sind (shared-nothing-live Migrationen))

 

Ansonsten eine alte Weisheit (war glaube ich Nils...) Aus einem Wiederherstellungs-Szenario bzw. Desaster-Recovery entsteht ein Backup-Szenario

Wie lange darf es dauern, bis was wieder einwandfrei funktioniert

 

Ein Beratungs-resistenter Kunde von mir hat alle Backup auf ein lokales NAS gefahren

Nachdem sich zwei verschiedene Hacker in dem System ausgetobt haben, waren auch alle Backup verschlüsselt ...

 

Ich bn ein großer Fan von Offline-Backups auf Tape - das haben aber noch mehr Leute gemerkt und Laufwerke bzw. Wechsler sind kaum bis gar nicht lieferbar

 

So, genug...

 

Wie immer - kommt drauf an

 

[v-rtc 88]

Ich Liebe Bänder

[Marco31 33]

Ich sichere seit 20 Jahren auf Bänder,  vor ein paar Jahren musste man sich noch anhören wie rückständig das wäre... Zeiten ändern sich 😉

[BOfH_666 577]

vor 6 Stunden schrieb Nobbyaushb:

Intel Nook

 

Du meinst ... "NUC"?  

 

... dann bitte nicht lange zögern ... die gibt es nicht mehr lange von Intel. 

[Nobbyaushb 1.464]

vor 40 Minuten schrieb BOfH_666:

 

Du meinst ... "NUC"?  

Ja, habe ich mit meinem (uralt..) eBook Reader verwechselt

kann wie gesagt gerne ein anderer Mini-PC sein

[NilsK 2.930]

Moin,

 

Ich möchte das mal relativieren. Billige Client-Hardware ist nur als Notlösung geeignet, um einen DC zu betreiben. In einem Netzwerk mit 300 Usern und 60 Servern darf es schon was Ordentliches sein.

 

Nicht dass das noch als Best Practice aufgefasst wird.

 

Gruß, Nils

bearbeitet 27. März von NilsK

[Userle 145]

vor 14 Stunden schrieb Nobbyaushb:

Aus einem Wiederherstellungs-Szenario bzw. Desaster-Recovery entsteht ein Backup-Szenario

 

Damit ist eigentlich so gut wie alles gesagt. Das Ganze gepaart mit Dokumentation mit allen notwendigen Datenträgern und Zugangsdaten, die z.B. alle 3 Monate auf aktuellen Stand gebracht wird, falls es Änderungen gegeben hat und auch mindestens alle 3 Monate einen Recovery Test streng nach genau diesem Handbuch mit Protokoll.

 

vor 9 Stunden schrieb Marco31:

Ich sichere seit 20 Jahren auf Bänder

 

Na ja, Bänder haben uns tatsächlich über Jahre hinweg gute Dienste geleistet, aber sind nur schwer vergleichbar mit Systemen wie Fast-LTA/SilentBrick . Im Notfall kannst Du da eine defekte VM direkt darauf starten und im Betrieb verschieben/wiederherstellen. Das merkt der User maximal an temporärem Performance Verlust. Vor allem kann die Backup Software nicht nur klassisch prüfen ob das Backup erfolgreich war, sondern die VM können im Rahmen des Backups auch in einer Sandbox gestartet werden um zu prüfen ob alles OK ist.

 

Greetings Ralf

[Marco31 33]

Das ist vielleicht falsch rübergekommen; primär sichern wir auf Disk mit Veeam, da habe ich auch vergleichbare Möglichkeiten. Instant Recovery, Surebackup etc. Und nachts geht's dann auf Band.