blub 115 Geschrieben 8. Oktober 2006 Melden Teilen Geschrieben 8. Oktober 2006 Hallo Motzel, Es kommen immer wieder Totalausfälle auch in grösseren ADs vor. Sei es ein fahrlässiger Admin, der mit einem schlampigen Schemaupdate alles zerstört, oder ein Angriff von einem bösartigen Zeitgenossen. Wenn's mein AD zerlegen würde und kein Restorekonzpet vorliegen würde, das innerhalb von 24h alles wieder herstellen könnte, wären wahrscheinlich 60.000 MA in Deutschland von heute auf morgen ihren Job los. Da gilt ein "wird hoffentlich nicht vorkommen" nicht. In gepflegten Umgebungen werden keine anderen Programme auf DCs installiert und wenn, dann sind diese sowie alle Patches dokumentiert und in dei Basismages bzw. die Installationsverfahren eingearbeitet. Letztlich kann ich nur empfehlen, dein wie auch immer ausgearbeitetes Restorekonzept an einer möglichst produktionsnahen Umgebung auszuprobieren und immer mal zu wiederholen. Das ist teuer, aber was kostets wenn man's nicht parat hat? cu blub Zitieren Link zu diesem Kommentar
motzel 10 Geschrieben 8. Oktober 2006 Melden Teilen Geschrieben 8. Oktober 2006 Hallo blub, okay, geb ich zu mit Fahrlässigkeit oder Vorsatz lässt sich auch das grösste AD zerstören (auch in einer Umgebung mit 60.000 Usern). Ich möchte auch nicht Kritik an deinem Vorgehen üben, jeden DC komplett neu aufzusetzen. Ich denke aber an kleinere Einheiten (Filialen mit einem Server und ein paar Clients), in denen der DC auch Benutzerprofile hält, Fileserver, DNS, DHCP, WINS und Printserver ist, und somit täglich komplett gesichert werden muss. Wenn mein Vorschlag ein ntbackup des Systemstatus gekoppelt mit einem nachfolgenden Imagen des Rechners fehlerhaft ist, dann bin ich für einen entsprechenden Hinweis wirklich sehr dankbar. MfG motzel Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 8. Oktober 2006 Melden Teilen Geschrieben 8. Oktober 2006 Ok, a) Ein Restore eines ausgefallenen DCs kann funktionieren, aber machmal auch nicht z.b. wegen interner Pssawörter (machineaccount, kdc, evtl. trustpasswörter). Da musst du wissen, wie man nacharbeitet. b) der DC muss während des restores vom Netz., sonst bekanntes High-Watermarkproblem. Das weisst du (jetzt). Kannst du dich darauf verlassen, dass deine Vertretungen dies ebenso zuverlässig, jetzt und zukünfitg, handhaben wie du? cu blub Zitieren Link zu diesem Kommentar
GerhardG 10 Geschrieben 8. Oktober 2006 Melden Teilen Geschrieben 8. Oktober 2006 Hallo blub, Wenn mein Vorschlag ein ntbackup des Systemstatus gekoppelt mit einem nachfolgenden Imagen des Rechners fehlerhaft ist, dann bin ich für einen entsprechenden Hinweis wirklich sehr dankbar. ein backup ist nichts anderes als der jeweils aktuelle stand des systems. ob man jetzt ntbackup, backup exec, arc, trueimage,... verwendet, macht am ende keinen unterschied. im notfall braucht man nicht nur einen systemstate, sondern muss auch genau wissen was man wie zu restoren hat. Zitieren Link zu diesem Kommentar
motzel 10 Geschrieben 8. Oktober 2006 Melden Teilen Geschrieben 8. Oktober 2006 klar muss man wissen wie man ein System restored, allerdings muss man auch wissen wie man ein neues System aufsetzt, deshalb ist es wichtig den K-Fall zu testen. Ein restore vom systemstate via imaging allein halte ich allerdings für fehleranfällig, wurde hier mehrfach diskutiert und wird zumindest von MS auch nicht supported. @blub der Einwand mit dem Computerkonto ist berechtigt, aus diesem Grund sollte die Sicherung tagesaktuell sein (tombstone 120 Tage bei W2K3) Viele Grüsse motzel Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 8. Oktober 2006 Melden Teilen Geschrieben 8. Oktober 2006 ein forestrestore, auch in einer Testumgebung, ist schon eine spannende Sache! Sollte in jeder AD-Umgebung für die DCs ebenso wie der Restore eines einzelnen DCs mal gemacht worden sein! cu blub Zitieren Link zu diesem Kommentar
WSUSPraxis 48 Geschrieben 8. Oktober 2006 Melden Teilen Geschrieben 8. Oktober 2006 @blub Ich war in der letzten Woche auf eine Schulung von Symantec und es ging 2 Tage lang nur um Backup Exec System Recovery. Mehr als ein halben Tag ging es um den Restor eines DC bzw. auch mehrere. Diesen Vortrag bzw. diesen Teil des Workshops hat ein Techniker von Symantec mit einem Fachberater von Microsoft zusammen gehalten. Und es ging sehr lange um den Punkt, ob so ein Vorgehen supportet wird oder nicht ? Und es die eindeutige Aussage war sowohl von Symantec wie auch von dem Fachberater aus das es kein Grund gibt ein Support dafür abzulehnen. Da Backup Exec System Recovery für W3K dafür zertifiziert ist....... In jedem Fall muss man trotzdem wissen was bei eine Restore passiert und was man manchen muss und was man lieber lassen solle ? Aber wenn es Produkt gibt, was einem deutlich an Zeit spart und was auch zertifiziert ist ? Warum soll man dies nicht nutzen ? Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 8. Oktober 2006 Melden Teilen Geschrieben 8. Oktober 2006 Und es ging sehr lange um den Punkt, ob so ein Vorgehen supportet wird oder nicht ? Und es die eindeutige Aussage war sowohl von Symantec wie auch von dem Fachberater aus das es kein Grund gibt ein Support dafür abzulehnen. Da Backup Exec System Recovery für W3K dafür zertifiziert ist....... Vergessen sollte man dabei nicht, dass sich diese Aussage, bzw. die Funktion erst mit den erst kürzlich erschienen Versionen von Symantec oder auch Acronis geändert haben soll. Die Programmierer haben scheinbar dazu gelehrnt..... Zitieren Link zu diesem Kommentar
blub 115 Geschrieben 8. Oktober 2006 Melden Teilen Geschrieben 8. Oktober 2006 @schwabe, Es spricht natürlich überhaupt nichts dagegen, eine weiterentwickelte Software/ Technologie zu evaluieren und einzusetzen. Das ist ein Teil unseres Jobs Haben die Dozenten High-Watermark bzw. USN-Rollback angesprochen, bzw. angedeutet, wie dieses Problem umgangen wird? cu blub Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 9. Oktober 2006 Melden Teilen Geschrieben 9. Oktober 2006 @Blub AFAIK liegt es an der neu dazugekommenen VSS Unterstützung. Scheinbar wird auf einem DC, sobald VSS die DB einfriert, ein Backup derselben mit einer neuen Invocation ID gemacht. Das würde erklären wieso W2K DCs nicht unterstützt werden, da die kein VSS können. Auf einem W2K3 DC wird ja auch VSS aufgerufen sobald man NTBackup ausführt. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.