F

Welche Richtlinien gibt es für ein besseres Active-Directory-Backup?

Beim Backup des Active Directory gibt es viel Optimierungspotenzial. Diese Richtlinien helfen bei Datensicherung und Wiederherstellung.

Welche Möglichkeiten gibt es, das Backup eines Active Directory zu optimieren?

Für das Backup eines Active-Directory-Domänencontrollers gibt es einige hilfreiche Tipps und  Richtlinien. Als erstes sollten sich Administratoren immer im Klaren darüber sein, welche Domänencontroller überhaupt gesichert werden sollen. In jeder Domäne sollte zumindest vom Master und von einem anderen Domänencontroller ein Backup angefertigt werden.

Sollte es in jeder Domäne mehr als zwei Domänencontroller geben, dann sollte auch von jedem davon ein funktionierendes Backup sichergestellt werden. Das Active Directory ist wie jeder Systemzustand abhängig von der Serverhardware, weshalb ein Backup von einem Server nicht für die Wiederherstellung eines anderen AD-Servers genutzt werden kann.

Als zweites sollte ein regulärer Backup-Plan für alle Domänencontroller eingerichtet werden. Ein typischer Plan würde beispielsweise vorsehen, das Active Directory zumindest zwei Mal innerhalb der sogenannten Tombstone Lifetime zu sichern, in der gelöschte Objekte in der Active-Directory-Datenbank bleiben, bevor sie über den Garbage Collector endgültig gelöscht werden.

Standardmäßig beträgt die Tombstone Lifetime in Windows Server 2008 und später 90 Tage, womit genügend Zeit bleibt, in der Änderungen über andere Domänencontroller repliziert werden können. Damit würde der Backup-Plan durchschnittlich jeden Monat ein Backup vorsehen. Der tatsächliche Backup-Plan dürfte aber wahrscheinlich eine sehr viel höhere Backup-Frequenz enthalten, basierend auf Tombstone Lifetime sowie Komplexität und Häufigkeit der Änderungen. Von kritischen Laufwerken oder einzigartigen Daten werden oft auch tägliche Backups angefertigt.

Backups sollten eine klare Kennzeichnung erhalten, damit Administratoren schnell und zielsicher für jeden Server das neueste Backup von älteren Versionen unterscheiden können. Auch die Vorhaltezeit der Backups sollte gut überlegt werden. Das Active Directory ermöglicht keine Wiederherstellung von Backups, die älter als die Tombstone Lifetime sind. Diese Beschränkung soll vor einer Beschädigung der Active-Directory-Datenbank schützen. Damit werden Backups aber auch sehr schnell unbrauchbar.

Als Mindeststandard sollten Backups des Systemzustandes angefertigt werden, die Boot-Dateien, die System-Registry, COM-Datenbanken und Laufwerksdaten enthalten. Für die Möglichkeit zur Bare-Metal-Wiederherstellung der Domänencontroller sollten zudem in regelmäßigen Abständen auch vollständige Server-Backups angefertigt werden.

Es klingt selbstverständlich, wird aber trotzdem immer wieder gemacht: Active-Directory-Backups sollten niemals auf der gleichen Festplatte gespeichert werden, auf der auch das Active Directory der Produktivumgebung läuft. Stattdessen sollte das Backup auf einer anderen Festplatte gespeichert werden, die im gleichen Server oder einem Storage-Array eingebaut sein kann oder als externe Festplatte am Backup-Server hängt. Es ist absolut unerlässlich, bei der Backup-Konfiguration einen Single Point of Failure zu vermeiden.

Obwohl es empfohlen wird, Backups geografisch vom Quell-Server zu trennen, ist es durchaus üblich Domänencontroller-Backups im gleichen Rechenzentrum aufzubewahren, um eine schnelle Verfügbarkeit zu gewährleisten und Verzögerungen bei der Wiederherstellung zu vermeiden.

Folgen Sie SearchDataCenter.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Oktober 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Windows-Server

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

Close