Active Directory sichern

Sicherung

Für die Sicherung und Wiederherstellung des Active Directory gibt es eine Reihe von API-Funktionen bei Windows. Sie werden einerseits von Microsofts eigenem Backup-Programm genutzt,andererseits aber auch von vielen Drittherstellern. Über diese Schnittstellen lassen sich die nachfolgend besprochenen Kernfunktionen für die Sicherung und Wiederherstellung nutzen. Weitere Informationen zu den APIs finden Sie unter http://msdn.microsoft.com.

Die Sicherung als solche ist unproblematisch. Das Active Directory wird grundsätzlich vollständig gesichert. Über die normalen Sicherungsmechanismen kann keine partielle Sicherung durchgeführt werden. Das ginge allerdings über Exportfunktionen, mit denen ein Teil der Daten ausgelesen wird, es macht aber im Zusammenhang mit den spezifischen Prozeduren für die Wiederherstellung des Active Directory wenig Sinn.

Das Active Directory wird als Teil des System State gesichert, der folgende Komponenten umfasst:

  • Die Startdateien des Systems.

  • Die Registry mit allen wichtigen Einstellungen.

  • Die Datenbanken mit den Klassenregistrierungen, die von COM (Component Object Model) benötigt wird, damit Anwendungen korrekt arbeiten.

  • Das Systemvolume (SYSVOL), auf dem sich unter anderem Anmeldeprogramme, Informationen des FRS (File Replication Service) und Teile der Gruppenrichtlinien finden.

  • Das Active Directory selbst, einschließlich der Transaktionslogs und der Datenbank mit Checkpoints.

Es ist nicht möglich, einzelne Komponenten auszuwählen. Der Systemstatus muss zwingend vollständig gesichert werden.

Da das Active Directory Teil des Systemstatus ist und dieses auch andere wichtige Elemente umfasst, die aber lokal für den einzelnen Server von Bedeutung sind, reicht es nicht aus, eine Sicherung des Active Directory nur auf einem oder wenigen Domänencontrollern durchzuführen. Die Sicherung muss vielmehr Teil der regulären Sicherungsprozeduren für andere Daten auf den Servern sein. Dabei ist nur zu beachten, dass für den Systemstatus abweichend von sonst häufig gewählten Vorgehensweisen eine tägliche vollständige Sicherung erfolgen muss und eben keine inkrementelle Sicherung unterstützt wird.

Für das Active Directory kann auch eine Sicherung in einem sehr kurzen Intervall erforderlich sein, also mehr als die normale tägliche Sicherung. Hintergrund ist, dass sich nur so ein früherer Status wieder herstellen lässt, ohne dass allzu viele Änderungen verloren gehen. Dabei sollte allerdings eine längere Historie gehalten werden, also beispielsweise Sicherungen der letzten 24 Stunden im Abstand von jeweils drei Stunden plus einige ältere tägliche Sicherungen. Da man sich dabei auf den Systemstatus beschränken kann, wird nicht übermäßig viel Plattenplatz konsumiert.

Letztlich bedeutet das, dass man für die Sicherung des Active Directory ein eigenständiges Konzept entwickeln muss, weil die Anforderungen von denen bei der „normalen“ Datensicherung abweichen. Zusätzliche, sofortige Sicherungen müssen in bestimmten Situationen ebenfalls durchgeführt werden:

  • Bei grundlegenden Änderungen an Domänencontrollern wie Aktualisierungen oder dem Verschieben von Active Directory-Dateien.

  • Vor der Installation eines Services Pack oder von Hotfixes, die das Active Directory betreffen.

  • Bei Änderungen an den Einstellungen für das tombstone lifetime-Intervall, das die Zeit beeinflusst, in der ein Backup verwendbar ist.

  • Vor Schema-Änderungen.

  • Vor grundlegenden Anpassungen an der Struktur des Active Directory wie der Erstellung neuer Domänen.

Für die maximale Lebensdauer von Backups von Backups spielen zwei Parameter eine wichtige Rolle. Einer davon ist das Attribut tombstoneLifetime im Active Directory. Es wird in der Partition Configuration unterhalb von cn=Services,cn=Windows NT bei cn=Directory Service definiert (Bild 2). Es gibt an, wann gelöschte Objekte endgültig entfernt werden. Nach diesem Zeitraum lässt sich ein Backup nicht mehr für die Wiederherstellung nutzen, da eine Integrität des resultierenden Zustands des Active Directory nicht mehr gewährleistet werden könnte.

Bild 2: Das Intervall tombstoneLifetime bei den Eigenschaften des Active Directory auf einem Domänencontroller.
Bild 2: Das Intervall tombstoneLifetime bei den Eigenschaften des Active Directory auf einem Domänencontroller.

Der zweite wichtige Parameter steht in engem Zusammenhang. Der Wert Backup Latency Threshold(days) in HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\NTDS\Parameters wird normalerweise auf die Hälfte der tombstoneLifetime gesetzt. Diesen Parameter gibt es allerdings erst ab dem Service Pack 1 für den Windows Server 2003.

Wenn das Intervall überschritten ist, wird ein Eintrag im Protokoll des Verzeichnisdienstes erstellt, der darauf hinweist, dass das Active Directory nicht ausreichend häufig gesichert wurde. Allerdings macht es Sinn, hier mit einem deutlich geringeren Wert und einem entsprechend höheren Intervall zu arbeiten. Der Standardwert ist von Bedeutung, um zumindest eine Sicherung zu erhalten, die noch für die Wiederherstellung nutzbar ist.