Grundsätzlich kann man sich das Thema Sicherung und Wiederherstellung relativ leicht machen. Mit einer Komplettsicherung von Servern einschließlich des Systemstatus (System State), ist man auf der sicheren Seite. Allerdings gibt es dabei auch Einschränkungen: Die selektive Wiederherstellung von Diensten nach Konfigurationsfehlern wird schwieriger. Außerdem steigt der Aufwand für die Wiederherstellung. Hinzu kommt, dass in vielen Umgebungen unterschiedliche Operatoren für die verschiedenen Anwendungen zuständig sind und damit eigenständig die Kontrolle über die Sicherung und Wiederherstellung spezifischer Informationen einzelner Dienste haben sollten.
DNS
DNS ist insofern ein interessanter Dienst, als er in zwei verschiedenen Varianten betrieben werden kann: Die Daten lassen sich sowohl im Active Directory als auch im Dateisystem speichern.
Falls die Active Directory-integrierte Variante zum Einsatz kommt, können die DNS-Informationen bei der Sicherung des Active Directory mit gesichert werden. Das gilt auch dann, wenn man mit Anwendungsverzeichnispartitionen beim Windows Server 2003 arbeitet, die DNS-Informationen also in eigenständigen Partitionen des Active Directory abgelegt werden. Die Sicherung des Active Directory über die im ersten Artikel des Hefts beschriebenen Mechanismen umfasst auch die Anwendungsverzeichnispartitionen.
Werden die DNS-Informationen im Dateisystem abgelegt, finden sie sich in
%systemroot%\system32\dns
Im untergeordneten Verzeichnis backup werden außerdem Sicherungskopien der Zonendatei angelegt, allerdings nicht weiter aktualisiert, weshalb sie nur begrenzt nutzbar. Wichtig bei der Sicherung ist, dass auch ein Systemstatus erfasst werden muss, um die Registry-Einstellungen zu sichern. Alternativ dazu könnten die DNS-spezifischen Anpassungen in der Registry auch manuell dokumentiert werden, um die – meist wenigen – Änderungen bei Bedarf nach einer Wiederherstellung manuell nachzuvollziehen.
Durch die Cluster-Unterstützung für DNS und die Integration mit dem Active Directory ist der Dienst insgesamt unter dem Aspekt der Sicherung und Wiederherstellung relativ unproblematisch, soweit man mit den entsprechenden Konzepten beim Active Directory vertraut ist.
Ereignisanzeige
Das Ereignisprotokoll zählt zu den Informationen, die gerade bei Fehlern von einiger Bedeutung sind. Spezielle Sicherungsfunktionen gibt es aber nicht. Zwar steht in den Kontextmenüs jeweils die Option Protokolldatei speichern unter zur Verfügung, sie ist aber primär für die Sicherung der Protokolldateien vor dem Löschen gedacht.
Mit ergänzenden Werkzeugen wie dem Microsoft Operations Manager kann man aber die Ereignisinformationen laufend über das Netzwerk auslesen und zentral verarbeiten, was für die meisten Anforderungen ohnehin mehr Sinn macht.
Gruppenrichtlinien
Gruppenrichtlinien sind im Grundsatz ebenfalls relativ unproblematisch, wenn es um die Sicherung und Wiederherstellung geht. Da die Informationen einerseits im System Volume (SYSVOL), andererseits im Active Directory gespeichert werden, werden sie bei der Sicherung und Wiederherstellung des Active Directory auch mit verarbeitet.
Die Gruppenrichtlinienverwaltung (Group Policy Management Console, GPMC) enthält aber auch spezielle Funktionen für die Sicherung, Wiederherstellung und sogar den gezielten Import von Informationen aus einer Gruppenrichtlinie in eine andere.
Im Ordner Gruppenrichtlinienobjekte einer Domäne lassen sich im Kontextmenü zwei Befehle ausführen:
-
Mit Alle sichern können alle Gruppenrichtlinienobjekte gesichert werden. Falls es bei der Sicherung Probleme gibt, weil beispielsweise bestimmte SIDs, hier als Sicherheitsprinzipale bezeichnet, nicht aufgelöst werden können, werden Warnungen ausgegeben (Bild 2).
-
Nach Auswahl von Sicherungen verwalten wird eine Liste der Sicherungen angezeigt, die hier verwaltet werden können. Darauf wird weiter unten noch näher eingegangen.
Die Sicherung erfolgt im Dateisystem. Die so gesicherten GPOs sollten anschließend im Rahmen der regulären Sicherung des Dateisystems beispielsweise auf ein Band geschrieben werden.
Auch bei den einzelnen Gruppenrichtlinienobjekten finden sich im Kontextmenü mehrere Befehle für die Sicherung und Wiederherstellung (Bild 1). Damit können diese Richtlinien festgelegt oder aus einer Sicherung wieder hergestellt werden. Außerdem lassen sich Einstellungen aus anderen Richtlinien importieren.
Die speziellen Funktionen für die Sicherung und Wiederherstellung von Gruppenrichtlinienobjekten sind eine Ergänzung zur generellen Sicherung mit dem Active Directory und dem SYSVOL. Mit ihnen lassen sich beispielsweise ältere Versionen von Gruppenrichtlinien wieder herstellen, um Änderungen rückgängig zu machen. Gerade dafür ist auch die Verwaltung der Sicherungen interessant (Bild 3). Dort findet sich eine Liste der Sicherungen mit den jeweiligen Sicherungsdaten, auf die zurückgegriffen werden kann. Damit lässt sich gezielt die Version auswählen, die als funktionierend bekannt ist.
Internetinformationsdienste
Die Internetinformationsdienste (IIS) zählen zu den Komponenten, bei denen die Sicherung und Wiederherstellung besonders interessant ist. Neben der Metabasis (Metabase) gilt es auch, Zertifikate zu sichern. Nach der Installation wird im Verzeichnis %%systemroot%\system32\inetsrv\metaback automatisch ein erste Sicherungskopie mit der ursprünglichen Konfiguration gespeichert. Über diese Informationen können die IIS jederzeit wieder in den Zustand zurückversetzt werden, in dem sie sich bei der Installation befangen. Sicherungskopien werden außerdem automatisch bei grundlegenden Konfigurationsänderungen erstellt, beispielsweise bei der Installation zusätzlicher Dienste.
Im Kontextmenü eines Servers im Internetinformationsdienste-Manager findet sich der Befehl Alle Tasks/Konfiguration sichern/wiederherstellen. Im angezeigten Dialogfeld (Bild 4) sind die verschiedenen bereits vorhandenen Sicherungskopien aufgeführt. Mit Sicherungskopie erstellen kann eine weitere Sicherungskopie des aktuellen Status erstellt werden. Durch Auswahl einer Sicherungskopie und Anklicken von Wiederherstellen lassen sich Systemstati von einer Sicherungskopie wieder herstellen. Die Sicherungskopien können mit Kennwörtern verschlüsselt werden. Optional ist die Nutzung des Tools iisback.vbs in
%systemroot%\system32
möglich. Bei jeder Sicherung werden zwei Versionen gespeichert. In der Datei mit der Endung .MDx (x als fortlaufende Nummer) finden sich die Metabasis-Informationen, in der .SDx-Datei die Schemainformationen.
Statt die gesamte Metabasis zu sichern, können Sie auch die Konfiguration einzelner Systembereiche in Dateien schreiben. Dazu verwenden Sie die Befehle Alle Tasks/Konfiguration in einer Datei speichern bzw. Alle Tasks/Konfiguration auf Datenträger speichern. Die so gesicherten Konfigurationen verwenden Sie, um entsprechende Objekte neu zu erstellen. So erstellen Sie einen Anwendungspool aus einer Datei, indem Sie auf die gespeicherte Konfiguration zurückgreifen. Diese Funktion ist neben der Sicherung auch für den Export und Import von Anwendungen von Bedeutung.
Deutlich einfacher ist der Umgang mit Zertifikaten, die im Register Verzeichnissicherheit der Eigenschaften von Websites verwaltet werden. Mit den Funktionen im Bereich Sichere Kommunikation kann man beim Anzeigen eines Zertifikats auch eine Sicherung durchführen, indem man das Zertifikat in eine Datei kopiert (Bild 5).
Zertifizierungsstellen
Schließlich sind noch die Zertifizierungsstellen als wichtige Infrastrukturkomponenten zu nennen. Dort finden Sie im Kontextmenü der CA im Menü Alle Tasks die beiden Befehle Zertifizierungsstelle sichern und Zertifizierungsstelle wiederherstellen.
Bei der Sicherung wird ein Assistent gestartet, der schrittweise durch diesen Prozess führt (Bild 6). Sie geben einfach an, welche Informationen gesichert werden sollen. Bei der Sicherung privater Schlüssel und des Zertifizierungsstellenzertifikats ist besondere Vorsicht geboten, da diese Informationen unter keinen Umständen in falsche Hände gelangen dürfen. Die Sicherung muss in ein leeres Verzeichnis erfolgen. Die Zugriffsberechtigungen auf dieses Verzeichnis sind sehr restriktiv zu handhaben.
Eine Wiederherstellung kann jederzeit auf Basis solcher Sicherungen erfolgen. Für die Wiederherstellung müssen die Zertifikatsdienste allerdings beendet werden.
Zusammenfassung
Beim Blick auf verschiedene Infrastrukturkomponenten der Windows-Server zeigt sich, dass es neben den allgemeinen Verfahren für die Sicherung und Wiederherstellung gerade bei den Anwendungen, bei denen das Risiko von Konfigurationsfehlern besonders groß oder eine manuelle Wiederherstellung nach Konfigurationsfehlern besonders komplex ist, auch spezielle Sicherungsfunktionen gibt, mit denen die Wiederherstellung eines früheren Systemzustands meist relativ einfach möglich ist. Außerdem lassen sich diese Funktionen häufig auch für die Migration der Dienste auf andere Server nutzen.
Wichtig ist, dass man bei der Entwicklung von Betriebskonzepten die verschiedenen Ebenen der Sicherung und Wiederherstellung vom gesamten Server bis hin zu einzelnen Konfigurationsinformationen beispielsweise von Websites berücksichtigt.