Warum Images nicht als Datensicherung taugen

[blub 115]

Hallo Motzel,

Es kommen immer wieder Totalausfälle auch in grösseren ADs vor. Sei es ein fahrlässiger Admin, der mit einem schlampigen Schemaupdate alles zerstört, oder ein Angriff von einem bösartigen Zeitgenossen. Wenn's mein AD zerlegen würde und kein Restorekonzpet vorliegen würde, das innerhalb von 24h alles wieder herstellen könnte, wären wahrscheinlich 60.000 MA in Deutschland von heute auf morgen ihren Job los. Da gilt ein "wird hoffentlich nicht vorkommen" nicht.

In gepflegten Umgebungen werden keine anderen Programme auf DCs installiert und wenn, dann sind diese sowie alle Patches dokumentiert und in dei Basismages bzw. die Installationsverfahren eingearbeitet.

Letztlich kann ich nur empfehlen, dein wie auch immer ausgearbeitetes Restorekonzept an einer möglichst produktionsnahen Umgebung auszuprobieren und immer mal zu wiederholen. Das ist teuer, aber was kostets wenn man's nicht parat hat?

 

cu

blub

[motzel 10]

Hallo blub,

 

okay, geb ich zu mit Fahrlässigkeit oder Vorsatz lässt sich auch das grösste AD zerstören (auch in einer Umgebung mit 60.000 Usern).

 

Ich möchte auch nicht Kritik an deinem Vorgehen üben, jeden DC komplett neu aufzusetzen. Ich denke aber an kleinere Einheiten (Filialen mit einem Server und ein paar Clients), in denen der DC auch Benutzerprofile hält, Fileserver, DNS, DHCP, WINS und Printserver ist, und somit täglich komplett gesichert werden muss.

 

Wenn mein Vorschlag ein ntbackup des Systemstatus gekoppelt mit einem nachfolgenden Imagen des Rechners fehlerhaft ist, dann bin ich für einen entsprechenden Hinweis wirklich sehr dankbar.

 

MfG

 

motzel

[blub 115]

Ok,

a) Ein Restore eines ausgefallenen DCs kann funktionieren, aber machmal auch nicht z.b. wegen interner Pssawörter (machineaccount, kdc, evtl. trustpasswörter). Da musst du wissen, wie man nacharbeitet.

b) der DC muss während des restores vom Netz., sonst bekanntes High-Watermarkproblem. Das weisst du (jetzt). Kannst du dich darauf verlassen, dass deine Vertretungen dies ebenso zuverlässig, jetzt und zukünfitg, handhaben wie du?

 

cu

blub

[GerhardG 10]

Hallo blub,

 

Wenn mein Vorschlag ein ntbackup des Systemstatus gekoppelt mit einem nachfolgenden Imagen des Rechners fehlerhaft ist, dann bin ich für einen entsprechenden Hinweis wirklich sehr dankbar.

 

ein backup ist nichts anderes als der jeweils aktuelle stand des systems. ob man jetzt ntbackup, backup exec, arc, trueimage,... verwendet, macht am ende keinen unterschied.

 

im notfall braucht man nicht nur einen systemstate, sondern muss auch genau wissen was man wie zu restoren hat.

[motzel 10]

klar muss man wissen wie man ein System restored, allerdings muss man auch wissen wie man ein neues System aufsetzt, deshalb ist es wichtig den K-Fall zu testen.

 

Ein restore vom systemstate via imaging allein halte ich allerdings für fehleranfällig, wurde hier mehrfach diskutiert und wird zumindest von MS auch nicht supported.

 

@blub

der Einwand mit dem Computerkonto ist berechtigt, aus diesem Grund sollte die Sicherung tagesaktuell sein (tombstone 120 Tage bei W2K3)

 

Viele Grüsse

 

motzel

[blub 115]

ein forestrestore, auch in einer Testumgebung, ist schon eine spannende Sache! Sollte in jeder AD-Umgebung für die DCs ebenso wie der Restore eines einzelnen DCs mal gemacht worden sein!

 

cu

blub

[WSUSPraxis 48]

@blub

 

Ich war in der letzten Woche auf eine Schulung von Symantec und es

ging 2 Tage lang nur um Backup Exec System Recovery.

 

Mehr als ein halben Tag ging es um den Restor eines DC bzw. auch

mehrere.

Diesen Vortrag bzw. diesen Teil des Workshops hat ein Techniker von

Symantec mit einem Fachberater von Microsoft zusammen gehalten.

 

Und es ging sehr lange um den Punkt, ob so ein Vorgehen supportet wird

oder nicht ?

Und es die eindeutige Aussage war sowohl von Symantec wie auch

von dem Fachberater aus das es kein Grund gibt ein Support dafür abzulehnen.

Da Backup Exec System Recovery für W3K dafür zertifiziert ist.......

 

In jedem Fall muss man trotzdem wissen was bei eine Restore passiert und

was man manchen muss und was man lieber lassen solle ?

 

Aber wenn es Produkt gibt, was einem deutlich an Zeit spart und was

auch zertifiziert ist ? Warum soll man dies nicht nutzen ?

[Velius 10]

Und es ging sehr lange um den Punkt, ob so ein Vorgehen supportet wird

oder nicht ?

Und es die eindeutige Aussage war sowohl von Symantec wie auch

von dem Fachberater aus das es kein Grund gibt ein Support dafür abzulehnen.

Da Backup Exec System Recovery für W3K dafür zertifiziert ist.......

 

Vergessen sollte man dabei nicht, dass sich diese Aussage, bzw. die Funktion erst mit den erst kürzlich erschienen Versionen von Symantec oder auch Acronis geändert haben soll. Die Programmierer haben scheinbar dazu gelehrnt.....

[blub 115]

@schwabe,

Es spricht natürlich überhaupt nichts dagegen, eine weiterentwickelte Software/ Technologie zu evaluieren und einzusetzen. Das ist ein Teil unseres Jobs

Haben die Dozenten High-Watermark bzw. USN-Rollback angesprochen, bzw. angedeutet, wie dieses Problem umgangen wird?

 

cu

blub

[Velius 10]

@Blub

 

AFAIK liegt es an der neu dazugekommenen VSS Unterstützung. Scheinbar wird auf einem DC, sobald VSS die DB einfriert, ein Backup derselben mit einer neuen Invocation ID gemacht. Das würde erklären wieso W2K DCs nicht unterstützt werden, da die kein VSS können. Auf einem W2K3 DC wird ja auch VSS aufgerufen sobald man NTBackup ausführt.