Active Directory sichern

Zu den täglichen Herausforderungen beim Betrieb von Windows-Infrastrukturen gehört die Sicherung und Wiederherstellung des Active Directory. Der Artikel beschreibt wichtige Punkte, die bei diesen Aufgaben zu beachten sind, und stellt unterschiedliche Lösungsansätze vor.

Eines der unerfreulichsten Ereignisse, die in der IT auftreten können, ist der Ausfall zentraler Infrastrukturkomponenten. Wenn ein DNS-Server nicht funktioniert und Systeme nicht erreichbar sind, oder wenn das Active Directory nicht mehr korrekt arbeitet, sind das mit die schwerwiegendsten Probleme, abgesehen vielleicht vom Ausfall zentraler Produktivsysteme. Daher sind Konzepte für die Sicherung, das Failover und die schnelle Wiederherstellung solcher Infrastrukturdienste von zentraler Bedeutung innerhalb von IT-Betriebskonzepten.

Dem Active Directory als dem zentralen Element innerhalb von Windows-Infrastrukturen kommt dabei besondere Bedeutung zu. Der Artikel erläutert die wichtigsten Aspekte der Sicherung und Wiederherstellung des Active Directory.

Verfügbarkeit und Failover

Die redundante Struktur des Active Directory ist in gewisser Hinsicht Segen und Fluch in Bezug für das Thema der Verfügbarkeit mit korrekten Daten.

Da man in aller Regel mit mehreren Domänencontrollern arbeitet, die auch mit einer geringen Zeitverzögerung die gleichen Informationen halten, kann beim Ausfall eines Domänencontrollers auf andere Systeme zugegriffen werden. Die DNS-Einträge, die über SRV-Records auf alle Domänencontroller verweisen, und die Mechanismen der Clients für die Lokalisierung von Domänencontrollern sorgen auch dafür, dass ein solcher Failover funktioniert.

Problematisch bei dem Konzept sind aber zwei andere Punkte:

  • Wenn Daten versehentlich gelöscht oder in fehlerhafter Weise verändert werden, werden diese Änderungen automatisch auch auf alle anderen Domänencontroller verteilt. Man hat also keine Instanz, deren Daten noch im korrekten Zustand sind und auf die man einfach zurückgreifen könnte.

  • Durch die verteilte Struktur wird auch die Wiederherstellung komplexer, vor allem wenn gezielt Änderungen rückgängig gemacht werden sollen.

Daher ist es wichtig, Änderungen im Active Directory nur im Rahmen definierter Prozesse durchzuführen. Das gilt natürlich insbesondere für strukturelle Anpassungen wie das Hinzufügen von Domänen oder das Verschieben von OUs sowie die Schema-Änderungen. Aber auch andere Anpassungen sollten nur gemäß vorher definierter Richtlinien erfolgen, um größere Probleme 0zu vermeiden.

Bild 1: Mit dem Sicherungsprogramm kann der System State gesichert werden, zu dem auch das Active Directory gehört.
Bild 1: Mit dem Sicherungsprogramm kann der System State gesichert werden, zu dem auch das Active Directory gehört.

Die spezifischen Berechtigungen für einige Operationen, die über die Gruppen der Schema-Admins und Organisations-Admins umgesetzt werden, schützen zum Teil vor unberechtigten und undurchdachten Änderungen. Dennoch sind ergänzende, klar definierte Regelungen für den Betrieb des Active Directory zwingend erforderlich. Denn die Wiederherstellung des Active Directory aufgrund fehlerhafter Änderungen sollte möglichst nie erforderlich werden.