Über Recovery Manager for Active Directory Forest Edition
Transcription
Über Recovery Manager for Active Directory Forest Edition
8.2 Forest Edition Bereitstellungshandbuch © 2012 Quest Software, Inc. ALLE RECHTE VORBEHALTEN. Dieses Handbuch enthält urheberrechtlich geschützte Informationen. Die im vorliegenden Handbuch beschriebene Software unterliegt den Bedingungen der jeweiligen Softwarelizenz oder Geheimhaltungsvereinbarung. Die Software darf nur gemäß den Bedingungen der Vereinbarung benutzt oder kopiert werden. Diese Anleitung darf ohne schriftliche Erlaubnis von Quest Software Inc. weder ganz noch teilweise in beliebiger Form oder durch beliebige elektronische oder mechanische Hilfsmittel einschließlich des Fotokopierens und Speicherns für andere Zwecke als den persönlichen Gebrauch des Käufers vervielfältigt oder weitergegeben werden. Die Informationen in diesem Dokument werden in Verbindung mit Quest-Produkten zur Verfügung gestellt. Durch dieses Dokument wird weder explizit noch implizit, durch Duldungsvollmacht oder auf andere Weise eine Lizenz auf intellektuelle Eigentumsrechte erteilt, auch nicht in Verbindung mit dem Erwerb von Quest-Produkten. MIT AUSNAHME DER BESTIMMUNGEN IN DEN ALLGEMEINEN GESCHÄFTSBEDINGUNGEN VON QUEST, DIE IN DER LIZENZVEREINBARUNG FÜR DIESES PRODUKT AUFGEFÜHRT SIND, ÜBERNIMMT QUEST KEINERLEI HAFTUNG UND SCHLIESST JEDE EXPLIZITE, IMPLIZITE ODER GESETZLICHE GEWÄHRLEISTUNG FÜR SEINE PRODUKTE AUS, INSBESONDERE DIE IMPLIZITE GEWÄHRLEISTUNG DER MARKTFÄHIGKEIT, DER EIGNUNG ZU EINEM BESTIMMTEN ZWECK UND DIE GEWÄHRLEISTUNG DER NICHTVERLETZUNG VON RECHTEN. UNTER KEINEN UMSTÄNDEN HAFTET QUEST FÜR UNMITTELBARE, MITTELBARE ODER FOLGESCHÄDEN, SCHADENERSATZ, BESONDERE ODER KONKRETE SCHÄDEN (INSBESONDERE SCHÄDEN, DIE AUS ENTGANGENEN GEWINNEN, GESCHÄFTSUNTERBRECHUNGEN ODER DATENVERLUSTEN ENTSTEHEN), DIE SICH DURCH DIE NUTZUNG ODER UNMÖGLICHKEIT DER NUTZUNG DIESES DOKUMENTS ERGEBEN, AUCH WENN QUEST ÜBER DIE MÖGLICHKEIT SOLCHER SCHÄDEN INFORMIERT WURDE. Quest übernimmt keine Garantie für die Richtigkeit oder Vollständigkeit der Inhalte dieses Dokuments und behält sich vor, jederzeit und ohne vorherige Ankündigung Änderungen an den Spezifikationen und Produktbeschreibungen vorzunehmen. Quest geht keinerlei Verpflichtung ein, die in diesem Dokument enthaltenen Informationen zu aktualisieren. Bei Fragen zur möglichen Verwendung dieser Materialien wenden Sie sich an: Quest Software World Headquarters LEGAL Dept 5 Polaris Way Aliso Viejo, CA 92656 www.quest.com E-Mail: [email protected] Informationen über unsere lokalen und internationalen Büros finden Sie auf unserer Website. Marken Quest, Quest Software, das Quest Software-Logo, Aelita, Akonix, Akonix, AppAssure, Benchmark Factory, Big Brother, ChangeAuditor, DataFactory, DeployDirector, ERDisk, Foglight, Funnel Web, GPOAdmin, I/Watch, Imceda, InLook, IntelliProfile, InTrust, Invertus, IT Dad, I/Watch, JClass, Jint, JProbe, LeccoTech, LiteSpeed, LiveReorg, MessageStats, NBSpool, NetBase, Npulse, NetPro, PassGo, PerformaSure, Quest Central, SharePlex, Sitraka, SmartAlarm, Spotlight, SQL LiteSpeed, SQL Navigator, SQL Watch, SQLab, Stat, StealthCollect, Tag and Follow, Toad, T.O.A.D., Toad World, vAnalyzer, vAutomator, vControl, vConverter, vEssentials, vFoglight, vMigrator, vOptimizer Pro, vPackager, vRanger, vRanger Pro, vReplicator, vSpotlight, vToad, Vintela, Virtual DBA, VizionCore, Vizioncore vAutomation Suite, Vizioncore vEssentials, Xaffire und XRT sind Marken und eingetragene Marken von Quest Software, Inc in den Vereinigten Staaten von Amerika und anderen Ländern. Andere in dieser Anleitung verwendete Marken und eingetragene Marken sind Eigentum ihrer jeweiligen Inhaber. Beiträge von Drittanbietern Recovery Manager for Active Directory Forest Edition enthält Komponenten von Drittanbietern (siehe Liste unten). Die entsprechenden Lizenzkopien finden Sie auf unserer Website unter www.quest.com/legal/third-party-licenses.aspx. KOMPONENTE LIZENZ ODER BESTÄTIGUNG Boost 1.44.0 Boost Softwarelizenz 1.0 ZLib 1.1.4 ZLib 1.2.3 Recovery Manager for Active Directory Forest Edition - Bereitstellungshandbuch Aktualisiert – 31. Januar 2012 Softwareversion – 8.2 INHALT ZIELGRUPPE DIESES HANDBUCHS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 FORMATIERUNGSKONVENTIONEN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 ÜBER QUEST SOFTWARE, INC.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 KONTAKT ZU QUEST SOFTWARE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 KONTAKT ZUM QUEST SUPPORT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 EINLEITUNG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 ÜBER RECOVERY MANAGER FOR ACTIVE DIRECTORY FOREST EDITION . . . . . . . . . . . 8 ERFORDERLICHE BERECHTIGUNGEN FÜR DIE INSTALLATION UND VERWENDUNG VON RECOVERY MANAGER . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 INSTALLIEREN VON RECOVERY MANAGER . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 VERWENDEN DES INSTALLATIONSASSISTENTEN . . . . . . . . . . . . . . . . . . . . 12 DURCHFÜHREN EINER AUTOMATISCHEN INSTALLATION . . . . . . . . . . . . . . . . 13 INSTALLIEREN DES FOREST RECOVERY-AGENTEN . . . . . . . . . . . . . . . . . . . . . . . 15 PLANEN DER ACTIVE DIRECTORY-GESAMTSTRUKTURWIEDERHERSTELLUNG . . . . . . . 15 ENTWICKELN EINES BENUTZERDEFINIERTEN GESAMTSTRUKTUR-WIEDERHERSTELLUNGSPLANS . . . . . . . . . . . . . . . . . . . . . . . 16 VOR DER WIEDERHERSTELLUNG AUSZUFÜHRENDE SCHRITTE . . . . . . . . . . . . . . . . 16 ERSTELLEN EINES GESAMTSTRUKTUR-WIEDERHERSTELLUNGSPROJEKTS . . . . . . 17 TESTEN DES GESAMTSTRUKTUR-WIEDERHERSTELLUNGSPROJEKTS . . . . . . . . . 17 WIEDERHERSTELLEN EINER ACTIVE DIRECTORY-GESAMTSTRUKTUR . . . . . . . . . . . . 18 ENTSCHEIDEN, WANN EINE GESAMTSTRUKTURWIEDERHERSTELLUNG DURCHGEFÜHRT WERDEN SOLL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 AUSWÄHLEN DER ZU VERWENDENDEN SICHERUNGEN . . . . . . . . . . . . . . . . . . . . . 18 AUSWÄHLEN DER WIEDERHERZUSTELLENDEN DOMÄNENCONTROLLER . . . . . . . . . . . . 19 EMPFOHLENE VORGEHENSWEISEN FÜR DAS BEREITSTELLEN DER RECOVERY MANAGER-KONSOLE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 EMPFOHLENE VORGEHENSWEISEN FÜR DIE VERWENDUNG VON COMPUTERSAMMLUNGEN . . 21 EMPFOHLENE VORGEHENSWEISEN FÜR DAS AUSFÜHREN VON WIEDERHERSTELLUNGEN . . . 22 UNTERSCHIEDE ZWISCHEN AGENTENBASIERTEN UND AGENTENLOSEN METHODEN DER WIEDERHERSTELLUNG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 AGENTENLOSE METHODE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 AGENTENBASIERTE METHODE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 WIEDERHERSTELLEN VON KENNWÖRTERN UND DES SID-VERLAUFS . . . . . . . . . . . . 24 iii Recovery Manager for Active Directory Forest Edition BEIBEHALTEN DER KENNWÖRTER UND DES SID-VERLAUFS IN OBJEKT-TOMBSTONES. . . . . . . . . . . . . . . . . . . . . . . . 24 EMPFOHLENE VORGEHENSWEISEN FÜR DAS ERSTELLEN VON SICHERUNGEN . . . . . . . 26 ENTWICKELN EINES SICHERUNGS- UND WIEDERHERSTELLUNGSPLANS . . . . . . . . . . . 26 FESTLEGEN DER ZU SICHERNDEN DOMÄNENCONTROLLER UND DER ENTSPRECHENDEN ZEITPLÄNE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 METHODEN ZUR BEREITSTELLUNG DES SICHERUNGSAGENTEN . . . . . . . . . . . . . . . . 26 BEIBEHALTEN DER NEUEN SICHERUNGEN . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 SPEICHERORT VON SICHERUNGEN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 SPEICHERN VON SICHERUNGEN FÜR EINE GRANULARE ONLINE- ODER EINE VOLLSTÄNDIGE OFFLINE-WIEDERHERSTELLUNG . . . . . . . . 28 SPEICHERN VON SICHERUNGEN FÜR DIE GESAMTSTRUKTURWIEDERHERSTELLUNG . . . . . . . . . . . . . . . . . . . . . . . . 29 ERSTELLEN DIFFERENZIELLER SICHERUNGEN . . . . . . . . . . . . . . . . . . . . . . . . . . 30 TECHNISCHE DATEN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 TYPISCHE GRÖßE DER DATENBANKEN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 MICROSOFT ACCESS-DATENBANKDATEIEN . . . . . . . . . . . . . . . . . . . . . . . 31 BERICHTSDATENBANKDATEIEN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31 STANDARDZEITEN FÜR DIE ERSTELLUNG VON SICHERUNGEN . . . . . . . . . . . . . . . . 32 EMPFEHLUNGEN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 STANDARDZEITEN FÜR DAS ENTPACKEN VON SICHERUNGEN . . . . . . . . . . . . . . . . . 33 VON RECOVERY MANAGER VERWENDETE PORTS . . . . . . . . . . . . . . . . . . . . . . . . 34 iv Bereitstellungshandbuch Zielgruppe dieses Handbuchs Dieses Dokument soll als Einführung in Recovery Manager for Active Directory Forest Edition dienen. Das Handbuch Bereitstellungshandbuch enthält Informationen, die für die Installation und Verwendung von Recovery Manager for Active Directory Forest Edition erforderlich sind. Es richtet sich an Netzwerkadministratoren, Berater, Analysten und andere IT-Fachleute, die das Produkt verwenden. Formatierungskonventionen In diesem Handbuch werden bestimmte Formatierungskonventionen eingehalten, die Ihnen dabei helfen sollen, es so effizient wie möglich zu verwenden. Diese Konventionen werden auf unterschiedliche Vorgänge, Symbole, Tastenkombinationen und Querverweise angewandt. ELEMENT KONVENTION Auswählen Dieses Wort bezieht sich auf Vorgänge, wie zum Beispiel das Auswählen oder Markieren diverser Benutzeroberflächenelemente wie Dateien und Ordner. Fettdruck In Quest Software-Produkten angezeigte Benutzeroberflächenelemente wie zum Beispiel Menüs und Befehle. Kursivdruck Wird für Anmerkungen verwendet. Fetter Kursivdruck Wird zur Hervorhebung verwendet. Blaue Schrift Zeigt einen Querverweis an. Kann in Adobe® Reader® als Hyperlink verwendet werden. Wird zum Hervorheben zusätzlicher Informationen verwendet, die für den jeweils beschriebenen Vorgang sachdienlich sind. Wird für empfohlene Vorgehensweisen verwendet. In empfohlenen Vorgehensweisen wird der Ablauf von Vorgängen zum Erzielen optimaler Ergebnisse ausführlich beschrieben. Hebt Vorgänge hervor, die mit Bedacht durchgeführt werden sollen. + Ein Pluszeichen zwischen zwei Tasten bedeutet, dass beide Tasten gleichzeitig gedrückt werden müssen. | Ein senkrechter Strich zwischen zwei Elementen bedeutet, dass diese Elemente in der angegebenen Reihenfolge ausgewählt werden müssen. 5 Recovery Manager for Active Directory Forest Edition Über Quest Software, Inc. Quest Software ermöglicht mehr als 100.000 Kunden weltweit eine einfachere und kostengünstigere IT-Verwaltung. Unsere innovativen Lösungen helfen bei der Behebung komplexer Probleme der IT-Verwaltung und versetzen Kunden in die Lage, bei physischen, virtuellen und cloudgestützten Umgebungen Zeit und Kosten zu sparen. Weitere Informationen zu Quest finden Sie unter www.quest.com. Kontakt zu Quest Software E-Mail [email protected] Postanschrift Quest Software, Inc. World Headquarters 5 Polaris Way Aliso Viejo, CA 92656 USA Website www.quest.com Informationen über unsere lokalen und internationalen Büros finden Sie auf unserer Website. Kontakt zum Quest Support Quest Support ist für Kunden verfügbar, die über eine Evaluierungsversion eines Quest-Produkts verfügen oder eine kommerzielle Version erworben haben und über einen gültigen Wartungsvertrag verfügen. Quest Support steht Ihnen über unsere Service-Website, SupportLink, rund um die Uhr zur Verfügung. Besuchen Sie SupportLink unter http://support.quest.com/. Auf der SupportLink-Website haben Sie folgende Möglichkeiten: • Schnell Tausende von Lösungen finden (Knowledgebase-Artikel und Dokumente). • Patches und Aktualisierungen herunterladen. • Die Hilfe eines technisch geschulten Support-Mitarbeiters anfordern. • Ihren Fall protokollieren, aktualisieren und seinen Status überprüfen. Eine ausführliche Erläuterung zu den Support-Programmen und zu den Online-Diensten sowie Kontaktinformationen und Angaben zu Richtlinien und Verfahren finden Sie im Global Support Guide. Das Dokument ist verfügbar unter:http://support.quest.com/pdfs/Global Support Guide.pdf. Hinweis: Dieses Dokument ist nur auf Englisch verfügbar. 6 Bereitstellungshandbuch Einleitung Dieses Handbuch enthält Informationen über die Bereitstellung von Quest Recovery Manager for Active Directory Forest Edition einschließlich der Installation und Konfiguration der Anwendungskomponenten. Es enthält außerdem einige empfohlene Vorgehensweisen für die Verwendung von Quest Recovery Manager Forest Edition, um eine Active Directory-Gesamtstruktur wiederherzustellen, wenn ein gesamtstrukturweiter Fehler die normale Funktionsweise aller Domänencontroller in der Gesamtstruktur verhindert. Mit Quest Recovery Manager Forest Edition können durch Beschädigungen oder fehlerhafte Änderungen der Active Directory-Gesamtstruktur und -Daten bedingte Ausfallzeiten minimiert werden. Dieses Handbuch geht davon aus, dass der für die Bereitstellung der Anwendung verantwortliche Fachmann (ein Active Directory-Administrator) die zugrunde liegenden Active Directory-Konzepte kennt und sich der Bedeutung der Vorgangs-Masterfunktionen (auch bekannt als Flexible Single Master Operation oder FSMO) wie etwa Schema-Master, Domänennamen-Master, RID-Master, PDC-Emulator und Infrastruktur-Master bewusst ist. Darüber hinaus muss der Active Directory-Administrator wissen, wie Active Directory mit Quest Recovery Manager for Active Directory gesichert und wiederhergestellt wird, und er muss diese Verfahren regelmäßig in einer Testumgebung durchgeführt haben. 7 Recovery Manager for Active Directory Forest Edition Über Recovery Manager for Active Directory Forest Edition Recovery Manager Forest Edition dient zur Wiederherstellung der Active Directory-Gesamtstruktur oder bestimmter Domänen in der Gesamtstruktur. Mit Recovery Manager Forest Edition können durch Beschädigungen oder fehlerhafte Änderungen der Active Directory-Gesamtstruktur und -Daten bedingte Ausfallzeiten minimiert werden. Recovery Manager Forest Edition vereinfacht und automatisiert den Prozess der Active Directory-Gesamtstruktur- oder Domänenwiederherstellung. Mit Recovery Manager Forest Edition werden die mit der Wiederherstellung verbundenen manuellen Aufgaben automatisiert, beschädigte Domänencontroller per Fernzugriff in Quarantäne gestellt und Domänencontroller wiederhergestellt, damit der Geschäftsbetrieb schnell wieder aufgenommen werden kann. Recovery Manager for Active Directory Forest Edition basiert auf zum Patent angemeldeter Technologie. 8 Bereitstellungshandbuch Erforderliche Berechtigungen für die Installation und Verwendung von Recovery Manager Die folgende Tabelle enthält die Mindestberechtigungen für ein Benutzerkonto, die zum Ausführen einiger häufig verwendeter Aufgaben mit Recovery Manager erforderlich sind. AUFGABE MINDESTBERECHTIGUNGEN Recovery Manager installieren Das Konto muss ein Mitglied der lokalen Administratorengruppe auf dem Computer sein, auf dem Sie Recovery Manager installieren möchten. Wenn Sie während der Installation eine vorhandene SQL Server-Instanz angeben, muss das Konto, mit dem Recovery Manager eine Verbindung zu dieser Instanz herstellt, über die folgenden Berechtigungen für diese Instanz verfügen: • Datenbank erstellen • Tabelle erstellen • Verfahren erstellen • Funktion erstellen Recovery Manager-Konsole öffnen und verwenden Das Konto muss ein Mitglied der lokalen Administratorengruppe auf dem Computer sein, auf dem die Recovery Manager-Konsole installiert ist. Das Konto muss außerdem über die folgenden Berechtigungen für die von Recovery Manager verwendete SQL-Server-Instanz verfügen: • Einfügen • Löschen • Aktualisieren • Auswählen • Ausführen Klonassistent starten und verwenden Das Konto muss ein Mitglied der lokalen Administratorengruppe auf dem Computer sein, auf dem der Klonassistent installiert ist. Virtuellen Snapshot erstellen So erstellen Sie einen virtuellen Snapshot eines Computers, auf dem die Benutzerkontensteuerung nicht installiert bzw. deaktiviert ist: Hinweis: Diese Funktion ist nur in Recovery Manager for Active Directory Forest Edition verfügbar. • Das Konto, das Sie für den Zugriff auf den Zielcomputer verwenden, muss ein Mitglied der lokalen Administratorengruppe auf diesem Computer sein. So erstellen Sie einen virtuellen Snapshot eines Computers, auf dem die Benutzerkontensteuerung aktiviert ist: • Das Konto, das Sie für den Zugriff auf den Zielcomputer verwenden, muss das integrierte Administratorkonto auf diesem Computer sein. Sicherungsagenten manuell vorinstallieren Das Konto, das Sie für den Zugriff auf den Zielcomputer verwenden, muss ein Mitglied der lokalen Administratorengruppe auf diesem Computer sein. Sicherungsagenten aktualisieren Vorinstallierte Instanzen des Sicherungsagenten ermitteln Sicherungsagenten deinstallieren Aktualisieren Sie die in der Recovery Manager-Konsole angezeigten Informationen über den Sicherungsagenten Das für den Zugriff auf die Zieldomänencontroller verwendete Konto muss folgende Voraussetzungen erfüllen: • Es muss über Schreibberechtigungen für den folgenden Ordner verfügen: %AllUsersProfile%\Application Data\Quest Software\RMAD. Dieser Ordner befindet sich auf dem Recovery Manager-Computer. • Es muss auf jedem Zieldomänencontroller ein Mitglied der Sicherungsoperatorengruppe sein. 9 Recovery Manager for Active Directory Forest Edition AUFGABE MINDESTBERECHTIGUNGEN Installieren Sie den Sicherungsagenten automatisch und sichern Sie die Active Directory-Daten Zur automatischen Installation des Sicherungsagenten muss das Konto folgende Voraussetzungen erfüllen: • Es muss über die Schreibberechtigung für den folgenden Ordner verfügen: %AllUsersProfile%\Application Data\Quest Software\RMAD. Dieser Ordner befindet sich auf dem Recovery Manager-Computer. • Administratorberechtigungen auf dem Zieldomänencontroller. Um Daten sichern zu können, muss das Konto ein Mitglied der Sicherungsoperatorengruppe auf jedem Zieldomänencontroller sein. Active Directory mit dem vorinstallierten Sicherungsagenten sichern Das für den Zugriff auf die Zieldomänencontroller verwendete Konto muss folgende Voraussetzungen erfüllen: • Es muss über Schreibberechtigungen für den folgenden Ordner verfügen: %AllUsersProfile%\Application Data\Quest Software\RMAD. Dieser Ordner befindet sich auf dem Recovery Manager-Computer. • Es muss ein Mitglied der Sicherungsoperatorengruppe auf jedem zu sichernden Domänencontroller sein. Vollständige Offline-Wiederherstellung von Active Directory durchführen Das für den Zugriff auf die Zieldomänencontroller verwendete Konto muss folgende Voraussetzungen erfüllen: • Es muss über Schreibberechtigungen für den folgenden Ordner verfügen: %AllUsersProfile%\Application Data\Quest Software\RMAD. Dieser Ordner befindet sich auf dem Recovery Manager-Computer. • Es muss ein Mitglied der lokalen Administratoren- und Domänenadministratorengruppen auf jedem zu sichernden Domänencontroller sein. Selektive Online-Wiederherstellung von Active Directory-Objekten durchführen Das für den Zugriff auf die Zieldomänencontroller verwendete Konto muss folgende Voraussetzungen erfüllen: • Es muss über die Schreibberechtigung für den folgenden Ordner verfügen: %AllUsersProfile%\Application Data\Quest Software\RMAD. Dieser Ordner befindet sich auf dem Recovery Manager-Computer. • Es muss über das erweiterte Zugriffsrecht „Tombstones wiederbeleben“ in der Domäne, in der die Objekte wiederhergestellt werden sollen, verfügen. • Es muss über die Schreibberechtigung für jedes Objektattribut, das bei der Wiederherstellung aktualisiert werden soll, verfügen. • Es muss über die Berechtigung „Alle untergeordneten Objekte erstellen“ im Zielcontainer verfügen. • Es muss über die Berechtigung zum Auflisten von Inhalten für den Container „Gelöschte Objekte“ in der Domäne verfügen, in der die Objekte wiederhergestellt werden sollen. Weitere Informationen darüber, wie einem anderen Konto als einem Administratorkonto die Berechtigung zum Auflisten von Inhalten zugewiesen wird, finden Sie im Microsoft Knowledge Base-Artikel 892806, „How to let non-administrators view the Active Directory deleted objects container in Windows Server 2003 and in Windows 2000 Server“, unter http://support.microsoft.com. Recovery Manager-Konfiguration anzeigen Das Konto muss über die Schreibberechtigung für den folgenden Ordner verfügen: %AllUsersProfile%\Application Data\Quest Software\RMAD. Dieser Ordner befindet sich auf dem Recovery Manager-Computer. Sicherungsagenten automatisch installieren und eine AD LDS (ADAM)-Instanz sichern Das für den Zugriff auf den Hostcomputer der Instanz verwendete Konto muss folgende Voraussetzungen erfüllen: • Es muss über Schreibberechtigungen für den folgenden Ordner verfügen: %AllUsersProfile%\Application Data\Quest Software\RMAD. Dieser Ordner befindet sich auf dem Recovery Manager-Computer. • Es muss ein Mitglied der lokalen Administratorengruppe auf dem Hostcomputer der AD LDS (ADAM)-Instanz sein. 10 Bereitstellungshandbuch AUFGABE MINDESTBERECHTIGUNGEN AD LDS (ADAM)-Instanz mit dem vorinstallierten Sicherungsagenten sichern Das für den Zugriff auf den Hostcomputer der Instanz verwendete Konto muss folgende Voraussetzungen erfüllen: • Es muss über Schreibberechtigungen für den folgenden Ordner verfügen: %AllUsersProfile%\Application Data\Quest Software\RMAD. Dieser Ordner befindet sich auf dem Recovery Manager-Computer. • Es muss ein Mitglied der lokalen Administratorengruppe auf dem Hostcomputer der AD LDS (ADAM)-Instanz sein. AD LDS (ADAM)-Instanz wiederherstellen Das für den Zugriff auf den Hostcomputer der Instanz verwendete Konto muss folgende Voraussetzungen erfüllen: • Es muss über Schreibberechtigungen für den folgenden Ordner verfügen: %AllUsersProfile%\Application Data\Quest Software\RMAD. Dieser Ordner befindet sich auf dem Recovery Manager-Computer. • Es muss ein Mitglied der lokalen Administratorengruppe auf dem Hostcomputer der AD LDS (ADAM)-Instanz sein. 11 Recovery Manager for Active Directory Forest Edition Installieren von Recovery Manager Dieser Abschnitt enthält Informationen über die Installation und Konfiguration der Anwendungskomponenten (Forest Recovery-Konsole und Forest Recovery-Agent). In der folgenden Abbildung wird die Bereitstellung von Recovery Manager Forest Edition dargestellt: Recoverr y Manager for Active Directo Recove Directorr y Forest Edition FR-Agent (auf jedem DC) FR-Konsole Gesamtstruktur OPERA.MYCOMPANY.COM OPERA-DC2 MOZILLA-DC1 MOZILLA.MYCOMPANY.COM OPERA-DC1 MOZILLA-DC2 Anwendungsserver Recovery Manager for Active Directory Forest Edition gewährleistet eine intuitive Bedienbarkeit und eine enge Integration in das Windows-Betriebssystem. Verwenden des Installationsassistenten So installieren Sie Recovery Manager Forest Edition mit Hilfe des Installationsassistenten: 12 1. Führen Sie die Datei „Autorun.exe“ aus, die sich im Stammordner der Recovery Manager-Installations-CD befindet. 2. Klicken Sie im Fenster „Autorun“ auf Installation, und klicken Sie dann auf Recovery Manager for Active Directory Forest Edition. 3. Befolgen Sie die Anweisungen des Installationsassistenten. 4. Klicken Sie auf der Seite „User Information“ (Benutzerinformationen) auf Licenses (Lizenzen). Klicken Sie im Dialogfeld License Status (Lizenzstatus) auf Browse License (Lizenz durchsuchen), um die gewünschte Lizenzschlüsseldatei zu suchen und zu öffnen. 5. Befolgen Sie die Anweisungen des Assistenten, um die Installation abzuschließen. Bereitstellungshandbuch Durchführen einer automatischen Installation Eine automatische (oder unbeaufsichtigte) Installation von Recovery Manager Forest Edition erfordert kein Eingreifen seitens des Benutzers. Bei dieser Methode geben Sie die Recovery Manager Forest Edition-Installationsparameter an der Eingabeaufforderung an, bevor Sie die eigentliche Installation durchführen. Sie können die automatische Installation von Recovery Manager nur durchführen, wenn die folgenden Bedingungen erfüllt sind: • Eine der genannten Microsoft SQL Server-Versionen im Bereich „Systemvoraussetzungen“ in den Versionshinweisen ist auf dem Computer, auf dem Recovery Manager installiert werden soll, verfügbar. • Eine der genannten Microsoft SQL Server Reporting Services-Versionen im Bereich „Systemvoraussetzungen“ in den Versionshinweisen ist auf dem Computer, auf dem Recovery Manager installiert werden soll, verfügbar. – ODER – Quest Reports Viewer ist auf dem Computer, auf dem Recovery Manager installiert werden soll, installiert und verfügbar. So führen Sie eine automatische Installation von Recovery Manager Forest Edition durch: • Geben Sie folgenden Befehl in der Befehlszeile ein: Msiexec /i "<Pfad zur Recovery Manager Forest Edition-Installations-CD> \Setup\Rmadfe.msi" /qb SQLSERVER="<SQL-Servername>\<Instanzname>" In der Tabelle unten sind die Parameter beschrieben, die Sie für die Durchführung einer automatischen Installation von Recovery Manager Forest Edition verwenden können. PARAMETER BESCHREIBUNG BEISPIEL SQLSERVER Gibt den Namen und die Instanz eines lokalen oder dezentralen SQL-Servers für die Speicherung der Recovery Manager Forest Edition-Daten an. Msiexec /i „E:\Setup\Rmadfe.msi" /qb SQLSERVER="<SQL-Servername>\ <Instanzname>" Dies ist ein erforderlicher Parameter. SQLDBNAME_REPORTING Gibt eine vorhandene oder neue Datenbank für die Speicherung von Recovery Manager Forest Edition-Berichtsdaten an. Diese Datenbank befindet sich in der SQL Server-Instanz, die im Parameter SQLSERVER definiert ist. Msiexec /i „E:\Setup\Rmadfe.msi" /qb SQLSERVER="<SQL-Servername>\ <Instanzname>" SQLDBNAME_REPORTING= "<Datenbankname>" Wenn Sie eine Datenbank angeben, die nicht vorhanden ist, wird sie erstellt. Wenn Sie keinen Wert für den Parameter SQLDBNAME_REPORTING angeben, wird eine neue Datenbank mit dem folgenden Namen erstellt und verwendet: RecoveryManager-Reporting<Name des Recovery Manager-Computers> 13 Recovery Manager for Active Directory Forest Edition PARAMETER BESCHREIBUNG BEISPIEL INSTALLDIR Gibt das Recovery Manager Forest Edition-Installationsverzeichnis an. Msiexec /i „E:\Setup\Rmadfe.msi" /qb SQLSERVER="<SQL-Servername>\ <Instanzname>" INSTALLDIR="<Pfad zum Installationsverzeichnis>" Wenn Sie diesen Parameter nicht angeben, wird das folgende Standardverzeichnis verwendet: %Programme%\Quest Software\Recovery Manager for Active Directory Forest Edition BACKUP_PATH Gibt den Speicherort an, an dem Recovery Manager Forest Edition Active Directory-Sicherungen speichert. Msiexec /i „E:\Setup\Rmadfe.msi" /qb SQLSERVER="<SQL-Servername>\ <Instanzname>" BACKUP_PATH="<Pfad zur Speicherung von AD-Sicherungen>" Wenn kein Wert für diesen Parameter angegeben wird, werden die Sicherungen unter „%Allusersprofile%\ Application Data\Quest Software\RMAD\Backups“ gespeichert. SQLAUTHENTICATION Gibt die SQL Server-Authentifizierungsmethode an. Sie können einen der folgenden Werte verwenden: Msiexec /i „E:\Setup\Rmadfe.msi" /qb SQLSERVER="<SQL-Servername>\ <Instanzname>" SQLAUTHENTICATION="0" • 0. Gibt an, dass die Windows-Anmeldeinformation en des aktuellen Benutzerkontos zur Authentifizierung verwendet werden sollen. • 1. Gibt an, dass die in den Parametern SQLUSERNAME und SQLUSERPASSWORD festgelegten Anmeldeinformationen zur Authentifizierung verwendet werden sollen. Wenn kein Wert für diesen Parameter angegeben wird, werden die Windows-Anmeldeinformationen des aktuellen Benutzerkontos verwendet. SQLUSERNAME Gibt den Benutzernamen für die Authentifizierung beim SQL-Server an. Dieser Parameter ist erforderlich, wenn Sie für den Parameter SQLAUTHENTICATION den Wert „1“ festlegen. SQLUSERPASSWORD Gibt das Kennwort für die Authentifizierung beim SQL-Server an. Dieser Parameter ist erforderlich, wenn Sie für den Parameter SQLAUTHENTICATION den Wert „1“ festlegen. 14 Msiexec /i „E:\Setup\Rmadfe.msi" /qb SQLSERVER="<SQL-Servername>\ <Instanzname>" SQLAUTHENTICATION="1" SQLUSERNAME="<Benutzername>" SQLUSERPASSWORD="<Kennwort>" Bereitstellungshandbuch PARAMETER BESCHREIBUNG BEISPIEL VIEWER_APPLICATION_TYPE Gibt die Anwendung für die Anzeige von Recovery Manager Forest Edition-Berichten an. Msiexec /i „E:\Setup\Rmadfe.msi" /qb SQLSERVER="<SQL-Servername>\ <Instanzname>" VIEWER_APPLICATION_TYPE="<Wert>" Sie können einen der folgenden Werte verwenden: • local. Gibt an, dass der auf dem Recovery Manager Forest Edition-Computer installierte Quest Reports Viewer verwendet werden soll. • remote. Gibt an, dass die auf einem Remotecomputer installierten Microsoft SQL Server Reporting Services verwendet werden sollen. VIEWER_REPORTING_SERVER Gibt die HTTP-Adresse für den Zugriff auf Microsoft SQL Server Reporting Services an. Dieser Parameter ist erforderlich, wenn Sie für den Parameter VIEWER_APPLICATION_TYPE den Wert „remote“ festgelegt haben. Msiexec /i „E:\Setup\Rmadfe.msi" /qb SQLSERVER="<SQL-Servername>\ <Instanzname>" VIEWER_APPLICATION_TYPE="remote" VIEWER_REPORTING_SERVER= "http://<HTTP-Adresse>" Stellen Sie bei der Angabe des als Standard-Speicherort für Sicherungsdateien (.bkf) verwendeten Ordners sicher, dass das Laufwerk, auf dem sich der angegebene Standardordner für die Sicherungsspeicherung befindet, über ausreichend freien Speicherplatz verfügt. Die Sicherungsdateien können eine Größe von mehreren hundert Megabyte erreichen. Installieren des Forest Recovery-Agenten Recovery Manager for Active Directory Forest Edition greift auf den Forest Recovery-Agenten zurück, um Active Directory auf den wiederherzustellenden Zieldomänencontrollern wiederherzustellen. Daher muss der Forest Recovery-Agent auf jedem Domänencontroller in der wiederherzustellenden Gesamtstruktur installiert sein. Wenn der Forest Recovery-Agent nicht auf einem Zieldomänencontroller installiert wurde, bevor ein Notfall eintritt, kann die Anwendung diesen Domänencontroller möglicherweise nicht wiederherstellen. Anweisungen zur Installation des Forest Recovery-Agenten auf einem Zieldomänencontroller finden Sie im Benutzerhandbuch, das im Lieferumfang dieser Version von Recovery Manager for Active Directory Forest Edition enthalten ist. Planen der Active Directory-Gesamtstrukturwiederherstellung Dieser Abschnitt enthält grundlegende Informationen zu empfohlenen Vorgehensweisen bei der Planung der Wiederherstellung einer Active Directory-Gesamtstruktur. Ausführliche Anweisungen zur Wiederherstellung der gesamten Active Directory-Gesamtstruktur oder ausgewählter Domänen in der Gesamtstruktur finden Sie im „Recovery Manager Forest Edition Benutzerhandbuch“, das im Lieferumfang dieser Version enthalten ist. 15 Recovery Manager for Active Directory Forest Edition Entwickeln eines benutzerdefinierten Gesamtstruktur-Wiederherstellungsplans Bei der Planung einer Active Directory-Gesamtstrukturwiederherstellung sollten Sie zunächst eine detaillierte Topologiekarte Ihrer Gesamtstrukturen erstellen. Die Karte sollte alle Informationen über die Domänencontroller enthalten, z. B. ihre Namen, den Sicherungsstatus und die Vertrauensstellungen zwischen den Domänencontrollern. Um eine Gesamtstrukturwiederherstellung durchführen zu können, ist ein Administratorkontokennwort für jede Domäne in der Gesamtstruktur erforderlich. Es empfiehlt sich, den Verlauf der Administratorkontokennwörter zu archivieren und das Archiv an einem sicheren Ort zu speichern. Vor der Wiederherstellung auszuführende Schritte Da die Wiederherstellung einer Gesamtstruktur ein äußerst komplexer und kritischer Vorgang ist, wird empfohlen, dass der Active Directory-Administrator die folgenden Regeln einhält, um einen Ausfall der Gesamtstruktur zu verhindern: • Verwenden Sie nur zuverlässige und fehlerfreie Hardware (Festplatten, unterbrechungsfreie Stromversorgung usw.). • Testen Sie jede neue Konfiguration zunächst in einer Testumgebung, bevor Sie sie in der Produktionsumgebung umsetzen. • Stellen Sie sicher, dass jede Domäne in der Gesamtstruktur über mindestens zwei Domänencontroller verfügt. • Lassen Sie ausführliche tägliche Protokolle über den aktuellen Zustand von Active Directory erstellen, damit bei einem Ausfall der gesamten Struktur der ungefähre Zeitpunkt des Ausfalls ermittelt werden kann. • Sichern Sie regelmäßig alle Domänencontroller in der Gesamtstruktur mit Hilfe von Quest Recovery Manager. • Installieren Sie den Forest Recovery-Agenten auf allen Domänencontrollern in der Gesamtstruktur. • Erstellen Sie mit Hilfe der Forest Recovery-Konsole ein Wiederherstellungsprojekt für Ihre Gesamtstruktur. Testen Sie das Gesamtstruktur-Wiederherstellungsprojekt regelmäßig und insbesondere dann, wenn sich die Mitglieder der Unternehmensadministratorengruppe oder Domänenadministratorengruppe ändern. Dadurch wird gewährleistet, dass das IT-Personal den Gesamtstruktur-Wiederherstellungsplan in vollem Umfang versteht. Es empfiehlt sich, eine Computersammlung zu erstellen, die alle Domänencontroller in der Gesamtstruktur umfasst, und diese Sammlung jedes Mal, wenn Sie Änderungen an der Infrastruktur der Gesamtstruktur vornehmen, zu sichern. Um zu gewährleisten, dass Forest Recovery Agent auf allen Domänencontrollern installiert ist, öffnen Sie die Recovery Manager-Konsole (MMC-Snap-In), und führen Sie die folgenden Schritte durch: 1. Erweitern Sie in der Konsolenstruktur den Knoten Computer Collections (Computersammlungen), und wählen Sie dann die Computersammlung aus, die alle Domänencontroller in der Gesamtstruktur enthält. 2. Klicken Sie im Menü Action (Aktion) auf Properties (Eigenschaften), und klicken Sie dann auf die Registerkarte Agent Settings (Agenteneinstellungen). 3. Aktivieren Sie auf der Registerkarte Agent Settings (Agenteneinstellungen) das Kontrollkästchen Ensure Forest Recovery agent is deployed (Sicherstellen, dass der Forest Recovery-Agent bereitgestellt wird). Klicken Sie abschließend auf OK. 16 Bereitstellungshandbuch Erstellen eines Gesamtstruktur-Wiederherstellungsprojekts Das Wiederherstellungsprojekt ist der Bereich, in dem Sie die Wiederherstellung aller wiederherzustellenden Domänencontroller in der Gesamtstruktur verwalten. Das Projekt umfasst auch die Liste der Domänencontroller und die von Ihnen konfigurierten Einstellungen, z. B. die Wiederherstellungsmethode für die einzelnen Domänencontroller und die Anmeldeinformationen, die die Anwendung für den Zugriff auf den Domänencontroller verwendet. Die Projektdatei (FRPROJ-Datei) enthält Informationen über den Inhalt und die Eigenschaften des Projekts. Um ein Wiederherstellungsprojekt zu erstellen, öffnen Sie die Forest Recovery-Konsole, und führen Sie die folgenden Schritte durch: 1. Klicken Sie in der Menüleiste auf File (Datei), und dann auf New Project (Neues Projekt). Befolgen Sie die Anweisungen des Assistenten. 2. Geben Sie auf der Seite Retrieving the Forest Infrastructure (Abfragen der Gesamtstruktur-Infrastruktur) an, wie die Verbindung zu der wiederherzustellenden Gesamtstruktur hergestellt werden soll. 3. Befolgen Sie die Anweisungen, um den Assistenten abzuschließen. 4. Klicken Sie im Menü File (Datei) auf Save Project (Projekt speichern), und füllen Sie dann das Dialogfeld Save Forest Recovery Project (Forest Recovery-Projekt speichern) aus. Alle Wiederherstellungsprojekte müssen durch ein Kennwort geschützt werden. Nachdem Sie den Projektnamen im Dialogfeld Save Forest Recovery Project (Forest Recovery-Projekt speichern) angegeben haben, wird das Dialogfeld Set the Project Password (Projektkennwort festlegen) geöffnet, in dem Sie das Kennwort zum Schutz des Projekts eingeben können. Testen des Gesamtstruktur-Wiederherstellungsprojekts Um zu gewährleisten, dass Sie die Gesamtstruktur mit minimaler Ausfallzeit wiederherstellen können, wird empfohlen, dass Sie das Gesamtstruktur-Wiederherstellungsprojekt regelmäßig mit Hilfe der Testmodusfunktion von Recovery Manager Forest Edition testen. Wenn Sie das Gesamtstruktur-Wiederherstellungsprojekt testen, fragt Recovery Manager Forest Edition die wiederherzustellenden Domänencontroller und den auf diesen Domänencontrollern installierten Forest Recovery-Agenten ab. Die Anwendung überprüft, ob der Forest Recovery-Agent installiert ist und ausgeführt wird. Die Anwendung gewährleistet außerdem, dass der Forest Recovery-Agent mit den angegebenen Anmeldeinformationen auf die Domänencontroller und Sicherungsdateien zugreifen kann. Die Ergebnisse dieser Abfragen werden dem Active Directory-Administrator gemeldet. Die Verwendung des Testmodus erleichtert die Gesamtstrukturwiederherstellung und Fehlerbehebung, da er die Erkennung möglicher Probleme erlaubt. So testen Sie das Wiederherstellungsprojekt: 1. Erstellen oder öffnen Sie ein Wiederherstellungsprojekt. 2. Klicken Sie in der Menüleiste auf Test. 3. Um einen Bericht über die Testergebnisse anzuzeigen, klicken Sie in der Menüleiste auf View Report (Bericht anzeigen). 17 Recovery Manager for Active Directory Forest Edition Wiederherstellen einer Active Directory-Gesamtstruktur Dieser Abschnitt enthält grundlegende Informationen zu empfohlenen Vorgehensweisen bei der Wiederherstellung einer Active Directory-Gesamtstruktur. Ausführliche Anweisungen zur Wiederherstellung der gesamten Active Directory-Gesamtstruktur oder ausgewählter Domänen in der Gesamtstruktur finden Sie im „Recovery Manager Forest Edition Benutzerhandbuch“, das im Lieferumfang dieser Version enthalten ist. Entscheiden, wann eine Gesamtstrukturwiederherstellung durchgeführt werden soll Im Microsoft-Dokument „Planning for Active Directory Forest Recovery“ (http://download.microsoft.com/download/d/4/d/d4d211ff-c179-4092-8e23-796268402efa/ForestRec. doc) heißt es: „Im Allgemeinen ist eine Gesamtstrukturwiederherstellung notwendig, wenn keiner der Domänencontroller in der Gesamtstruktur normal ausgeführt werden kann oder wenn die beschädigten Domänencontroller gefährliche Daten auf neue Domänencontroller ausbreiten können.“ Nachfolgend sind einige Beispiele für gesamtstrukturweite Ausfälle aufgeführt: • Die Replikationsfunktion in der Gesamtstruktur funktioniert nicht ordnungsgemäß. • Die von Ihnen an Active Directory vorgenommenen Änderungen werden nicht gespeichert. • Sie können zu keiner Domäne neue Domänencontroller hinzufügen. • Alle Business-Anwendungen, die von Active Directory abhängig sind, funktionieren nicht. • Ein verärgerter Mitarbeiter mit Administratorrechten hat das Active Directory-Schema beschädigt. • Ein Mitarbeiter mit Administratorrechten hat versehentlich ein Skript ausgeführt, durch das Daten in der Active Directory-Gesamtstruktur beschädigt werden. • Das Active Directory-Schema wurde absichtlich oder unabsichtlich um bösartige oder Konflikte verursachende Änderungen erweitert. Wenn Symptome einer gesamtstrukturweiten Störung etwa in Ereignisprotokollen oder anderen Überwachungslösungen auftreten, stellen Sie in Zusammenarbeit mit dem Microsoft-Kundensupport (CSC) die Ursache für die Störung fest, und evaluieren Sie alle möglichen Maßnahmen zur Behebung des Problems. Da die Wiederherstellung einer Gesamtstruktur ein äußerst komplexer und kritischer Vorgang ist, sollte die Active Directory-Gesamtstrukturwiederherstellung die letzte Option sein. Wenden Sie sich an den Microsoft-Kundensupport, bevor Sie eine endgültige Entscheidung treffen. Auswählen der zu verwendenden Sicherungen Laut dem Microsoft-Dokument „Planning for Active Directory Forest Recovery“ wird „dringend empfohlen, dass Sie die Domänencontroller mit Hilfe von Sicherungen wiederherstellen, die einige Tage vor dem Auftreten der Störung erstellt wurden. Im Allgemeinen müssen Sie zwischen Aktualität und Sicherheit der wiederhergestellten Daten abwägen. Bei Auswahl einer neueren Sicherung werden mehr nützliche Daten wiederhergestellt, aber dadurch wird auch das Risiko erhöht, gefährliche Daten erneut in die wiederhergestellte Gesamtstruktur einzuschleusen. 18 Bereitstellungshandbuch Wenn der Zeitpunkt des Auftretens der Störung unbekannt ist, führen Sie weitere Untersuchungen durch, um Sicherungen zu ermitteln, die den letzten sicheren Status der Active Directory-Gesamtstruktur enthalten. Diese Vorgehensweise ist weniger wünschenswert. Daher wird dringend empfohlen, ausführliche Protokolle über den aktuellen Zustand von Active Directory zu erstellen, damit bei einem Ausfall der gesamten Struktur der ungefähre Zeitpunkt des Ausfalls ermittelt werden kann.“ Die Forest Recovery-Konsole enthält einen Sicherungsfilter, mit dem Sie Kriterien für die Sicherungen, aus denen Sie Active Directory wiederherstellen möchten, angeben können. Weitere Informationen über die Verwendung des Sicherungsfilters finden Sie im „Recovery Manager Forest Edition Benutzerhandbuch“. Auswählen der wiederherzustellenden Domänencontroller Die aktuelle Version von Quest Recovery Manager Forest Edition unterstützt die Wiederherstellung von Domänencontrollern aus Sicherungen, die mit Recovery Manager for Active Directory erstellt wurden. Daher können Sie nur Domänencontroller wiederherstellen, die über eine „gute“ (vertrauenswürdige) Sicherung verfügen. Eine gute Sicherung ist eine Sicherung, die ein paar Tage vor der Störung erstellt wurde und möglichst viele nützliche Daten enthält. Bei der Wiederherstellung der Gesamtstruktur wird jede Domäne in der Gesamtstruktur in dem Zustand wiederhergestellt, den sie zum Zeitpunkt der Erstellung der vertrauenswürdigen Sicherung hatte. Folglich führt der Wiederherstellungsvorgang zum Verlust von mindestens den folgenden Active Directory-Daten: • Alle Objekte (wie etwa Benutzer und Computer), die nach der letzten vertrauenswürdigen Sicherung hinzugefügt wurden • Alle Aktualisierungen, die seit der letzten vertrauenswürdigen Sicherung an vorhandenen Objekten vorgenommen wurden • Alle Änderungen, die entweder an der Konfigurationspartition oder an der Schemapartition in Active Directory vorgenommen wurden (wie etwa Schemaänderungen) 19 Recovery Manager for Active Directory Forest Edition Empfohlene Vorgehensweisen für das Bereitstellen der Recovery Manager-Konsole Es wird empfohlen, die Recovery Manager-Konsole auf einem Mitgliedsserver und nicht auf einem Domänencontroller zu installieren. Bei Installation auf einem Domänencontroller belegt die Recovery Manager-Konsole dessen Ressourcen und kann die Leistung des Domänencontrollers beeinträchtigen. Um eine selektive Online-Wiederherstellung von Active Directory-Daten auszuführen, genügt es, eine Instanz der Recovery Manager-Konsole in der Active Directory-Gesamtstruktur bereitzustellen. Um eine vollständige Offline-Wiederherstellung von Active Directory auszuführen, wird empfohlen, eine Instanz der Recovery Manager-Konsole für jede Active Directory-Site bereitzustellen. 20 Bereitstellungshandbuch Empfohlene Vorgehensweisen für die Verwendung von Computersammlungen Mit Hilfe einer Computersammlung können Sie Computer (Domänencontroller oder AD LDS (ADAM)-Hosts), auf die Sie dieselben Sicherungseinstellungen anwenden möchten, in Gruppen zusammenfassen. Weitere Informationen zum Erstellen und Verwalten von Computersammlungen finden Sie im Benutzerhandbuch, das im Lieferumfang dieser Version von Recovery Manager enthalten ist. Es wird empfohlen, Computer derselben Computersammlung hinzuzufügen, wenn Sie eine der folgenden Aktionen ausführen möchten: • Sichern der gleichen Systemstatuskomponenten auf allen diesen Computern. • Anwenden der gleichen Sicherungsspeicherrichtlinie auf allen diesen Computern. So können Sie mit diesem Verfahren beispielsweise Domänencontrollersicherungen an einem zentralen Speicherort speichern, auf den die Recovery Manager-Konsole über eine schnelle Verbindung zugreifen kann. Bei diesem Szenario müssen Sicherungen nicht über das gesamte Netzwerk kopiert werden, bevor Sie einen Online-Wiederherstellungsvorgang durchführen, und die Wiederherstellung kann zentral verwaltet werden. • Einrichten des gleichen Zeitplans für die Sicherungserstellung für alle diese Computer. In der folgenden Abbildung ist ein Beispiel für die Verwendung von Computersammlungen dargestellt: Beispiel für die Verwendung von Computersammlungen Tokio London (Recovery Manager-Konsole) New York Computersammlung 1 (alle DCs) Computersammlung 2 (alle DCs) Computersammlung 3 (alle DCs) Computersammlung 4 (2 DCs vom Standort in London) In diesem Beispiel ist die Recovery Manager-Konsole am Standort London installiert. Die Computersammlungen 1, 2 und 3 umfassen sämtliche Domänencontroller der Standorte Tokio, London und New York. Die Computersammlung 4 umfasst zwei Domänencontroller am Standort London. Die Recovery Manager-Konsole kann über eine schnelle Verbindung auf die Sicherungen dieser beiden Domänencontroller zugreifen. Die Sicherungen können für die selektive Online-Wiederherstellung von Active Directory-Objekten verwendet werden. 21 Recovery Manager for Active Directory Forest Edition Empfohlene Vorgehensweisen für das Ausführen von Wiederherstellungen Dieser Abschnitt enthält Empfehlungen zur Ausführung von Wiederherstellungsvorgängen mit Recovery Manager for Active Directory Forest Edition. Unterschiede zwischen agentenbasierten und agentenlosen Methoden der Wiederherstellung Mit Recovery Manager können Sie durch LDAP-Funktionen (agentenlose Methode) oder über den in Recovery Manager for Active Directory Forest Edition enthaltenen Wiederherstellungsagenten (agentenbasierte Methode) auf den Zieldomänencontroller zugreifen. Jede dieser Methoden hat bestimmte Vorteile, Einschränkungen und Voraussetzungen. Agentenlose Methode VORTEILE • Durch die Nutzung der LDAP-Funktionen wirkt sich der Assistent weniger stark auf den Domänencontroller aus. • Administratorrechte sind nicht erforderlich, um die Wiederherstellungs- und Vergleichsvorgänge ausführen zu können. EINSCHRÄNKUNGEN • Zum Wiederherstellen einiger Objektattribute wie z. B. Benutzerkennwort und SID-Verlauf müssen Sie das Active Directory-Schema ändern. Weitere Informationen finden Sie unter „Wiederherstellen von Kennwörtern und des SID-Verlaufs“ im Benutzerhandbuch. • Gelöschte Objekte können bei Windows Server 2000-basierten Domänencontrollern nicht durch LDAP-Funktionen wiederhergestellt werden. Erforderliche Berechtigungen für die agentenlose Methode Das Konto, mit dem Recovery Manager for Active Directory Forest Edition auf den Zieldomänencontroller zugreift, benötigt bestimmte Berechtigungen, damit Datenwiederherstellungsaufgaben ausgeführt werden können. AUFGABE ERFORDERLICHE BERECHTIGUNGEN Objektattribute wiederherstellen Schreibzugriff auf die Attribute, die wiedergestellt werden sollen Gelöschtes Objekt wiederherstellen • Steuerungszugriffsrecht „Tombstone wiederbeleben“. • Schreibzugriff auf jedes Attribut, das während der Wiederherstellung aktualisiert werden soll • Erstellungsrechte für untergeordnete Objekte im Zielcontainer für die Klasse des Objekts, das wiederhergestellt werden soll Domänenübergreifende Gruppenmitgliedschaften wiederherstellen 22 Schreibzugriff auf universelle Gruppen und lokale Gruppen der Domäne in anderen Domänen Bereitstellungshandbuch Agentenbasierte Methode VORTEILE • Bei dieser Methode können Sie sämtliche Objekte (auch gelöschte Objekte) und Attribute (auch Benutzerkennwort und SID-Verlauf) vergleichen und wiederherstellen. • Ein Wiederherstellungsvorgang kann auf einem Domänencontroller durchgeführt werden, auf dem eine beliebige, von Produktname unterstützte Version eines Windows-Betriebssystems ausgeführt wird. • Die agentenbasierte Wiederherstellungsmethode ist normalerweise schneller als die agentenlose Methode. EINSCHRÄNKUNGEN • Der Zieldomänencontroller muss identisch mit der Sicherungsquelle sein. • Das Benutzerkonto, mit dem Sie auf den Zieldomänencontroller zugreifen, muss über Administratorrechte für die Domäne verfügen und ein Mitglied der Sicherungsoperatorengruppe sein, wenn auf dem Zieldomänencontroller Windows Server 2003 ausgeführt wird. • Produktname installiert automatisch den Wiederherstellungsagenten (die Datei „RstAgent.exe“) vor dem Start einer Wiederherstellung und entfernt ihn nach Abschluss des Vorgangs wieder automatisch. Die Größe der Datei „RstAgent.exe“ beträgt etwa 380.000 Byte. Erforderliche Berechtigungen für die agentenbasierte Methode Das Konto, mit dem Recovery Manager for Active Directory Forest Edition auf den Zieldomänencontroller zugreift, muss über folgende Berechtigungen verfügen: • Es muss über ausreichende Berechtigungen zum Kopieren von Dateien auf den Zieldomänencontroller verfügen. • Es muss Access Service Control Manager auf dem Zieldomänencontroller sein. • Es muss über Schreibzugriff auf universelle Gruppen und lokale Domänengruppen in anderen Domänen verfügen (nur zum Wiederherstellen von domänenübergreifenden Gruppenmitgliedschaften). Damit die oben genannten Voraussetzungen erfüllt sind, muss das Konto Mitglied einer der folgenden Gruppen sein: • Lokale Administratorengruppe auf den einzelnen Zieldomänencontrollern • Sicherungsoperatorengruppe oder Domänenadministratorengruppe auf jedem Zieldomänencontroller mit Windows Server 2003 oder einer späteren Version von Windows 23 Recovery Manager for Active Directory Forest Edition Wiederherstellen von Kennwörtern und des SID-Verlaufs Wenn das Löschen eines Objekts mit Hilfe der agentenlosen Wiederherstellungsmethode rückgängig gemacht wird, verwendet der Online-Wiederherstellungsassistent die LDAP-Funktionen sowie die vom Windows-Betriebssystem bereitgestellte Funktion „Wiederherstellung gelöschter Objekte“. Diese Funktion stellt nur die Attribute wieder her, die im Tombstone eines Objekts gespeichert wurden. Die anderen Attribute werden aus einer Sicherung wiederhergestellt. Einige Objektattribute wie das Benutzerkennwort und der SID-Verlauf können jedoch nicht mit LDAP-Funktionen geschrieben und daher auch nicht mit der agentenlosen Methode aus einer Sicherung wiederhergestellt werden. Oft ist es kein großes Problem, wenn das Kennwort-Attribut nicht aus einer Sicherung wiederhergestellt werden kann, da das Objektkennwort nach der Wiederherstellung des Objekts zurückgesetzt werden kann. Die Wiederherstellung des Attributs „SID-Verlauf“ kann jedoch unternehmenskritisch sein. Als Beispiel sei hier eine Situation aufgeführt, in der die Domäne, aus der das Objekt migriert wurde, nicht verfügbar oder außer Betrieb ist und somit der SID-Verlauf nicht wieder hinzugefügt werden kann. Damit diese beiden Attribute mit der agentenlosen Methode wiederhergestellt werden können, kann das Active Directory-Schema so geändert werden, dass diese Attribute in Objekt-Tombstones erhalten bleiben. Entsprechend verfügt ein Objekt, dessen Löschung rückgängig gemacht wurde, über das gleiche Kennwort und den gleichen SID-Verlauf wie vor der Löschung. Da für diese Lösung Schemaänderungen erforderlich sind, sollte sie sorgfältig abgewogen werden. Microsoft empfiehlt die Änderung oder Erweiterung des Schemas nur in Ausnahmefällen. Gehen Sie daher mit höchster Vorsicht vor, denn ein Fehler kann den Verzeichnisdienst destabilisieren und eine Neuinstallation erforderlich machen. Häufig nehmen Organisationen nur ungern Änderungen am Schema vor, weil Schemaänderungen zu einem hohen Replikationsdatenverkehr führen können. Dies gilt nicht für die in diesem Artikel beschriebenen Schemaänderungen, weil sie nicht den partiellen Attributsatz (PAS) betreffen. Recovery Manager bietet außerdem eine agentenbasierte Methode für die Wiederherstellung oder das Rückgängig machen des Löschvorgangs von Objekten. Bei der agentenbasierten Methode können alle Attribute wiederhergestellt werden. Die agentenbasierte Methode erfordert keine Schemaänderungen. Beibehalten der Kennwörter und des SID-Verlaufs in Objekt-Tombstones Schritt 1: Sicherstellen, dass die Voraussetzungen erfüllt sind 24 • Sie sind als ein Mitglied der Unternehmensadministratorengruppe angemeldet. • Schreibvorgänge am Schema sind zulässig. Weitere Informationen darüber, wie Schreibvorgänge am Schema zugelassen werden, finden Sie im Microsoft Knowledge Base-Artikel 216060 „Registry Modification Required to Allow Write Operations to Schema“ unter http://support.microsoft.com. Bereitstellungshandbuch Schritt 2: Ändern des Werts für das Attribut „searchFlags“ Damit der SID-Verlauf in den Tombstones erhalten bleibt, ändern Sie den Wert des Attributs searchFlags für das SID-Verlauf-Schemaobjekt (sIDHistory). Damit Kennwörter in Tombstones erhalten bleiben, müssen Sie den Wert des Attributs searchFlags für die folgenden kennwortbezogenen Schemaobjekte ändern: • Unicode-Pwd (unicodePwd) • DBCS-Pwd (dBCSPwd) • Supplemental-Credentials (supplementalCredentials) • Lm-Pwd-History (lmPwdHistory) • Nt-Pwd-History (nTPwdHistory) In den Attributen „Lm-Pwd-History“ und „Nt-Pwd-History“ wird der Kennwortverlauf gespeichert. Aus Sicherheitsgründen wird empfohlen, diese Attribute zusammen mit dem Kennwort wiederherzustellen. Um festzustellen, welcher neue Wert für das Attribut searchFlags festgelegt werden muss, verwenden Sie die folgende Formel: 8 + aktueller Attributwert von searchFlags = neuer Attributwert von searchFlags. So ändern Sie den Wert für das Attribut „searchFlags“: 1. Melden Sie sich am Schema-FSMO-Domänencontroller an. 2. Starten Sie das Tool „Adsiedit.msc“ (klicken Sie auf Start und dann auf Ausführen, geben Sie Adsiedit.msc ein, drücken Sie dann die Eingabetaste), und stellen Sie eine Verbindung zum Schema-Namenskontext her. 3. Erweitern Sie den Container Schema in der Konsolenstruktur, um den Container auszuwählen, der die Schemaobjekte enthält, die Sie ändern möchten. 4. Klicken Sie im Detailfenster mit der rechten Maustaste auf das zu ändernde Objekt, und klicken Sie dann auf Eigenschaften. 5. Geben Sie den neuen Attributwert für searchFlags ein, den Sie zuvor in Schritt 2: Ändern des Werts für das Attribut „searchFlags“ ermittelt haben. In Windows Server 2003 oder einer höheren Version von Windows: a) Wählen Sie auf der Registerkarte Attribut-Editor die Option searchFlags aus der Liste Attribute, und klicken Sie dann auf die Schaltfläche Bearbeiten. b) Geben Sie im Feld Attribut-Editor einen Wert ein, und klicken Sie dann auf OK. – ODER – In Windows 2000: a) Wählen Sie auf der Registerkarte Attribut(e) den Eintrag searchFlags aus der Liste Anzuzeigende Eigenschaft. b) Geben Sie im Feld Attribut bearbeiten einen Wert ein, klicken Sie auf Festlegen, und klicken Sie auf OK. 25 Recovery Manager for Active Directory Forest Edition Empfohlene Vorgehensweisen für das Erstellen von Sicherungen Dieser Abschnitt enthält einige empfohlene Vorgehensweisen für die Sicherung von Active Directory-Daten mit Hilfe von Recovery Manager for Active Directory Forest Edition. Entwickeln eines Sicherungs- und Wiederherstellungsplans Es wird empfohlen, die folgenden Regeln zu beachten, um einen Ausfall von Active Directory zu vermeiden: • Verwenden Sie nur zuverlässige und fehlerfreie Hardware (Festplatten und unterbrechungsfreie Stromversorgung). • Testen Sie jede neue Konfiguration zunächst in einer Testumgebung, bevor Sie sie in der Produktionsumgebung umsetzen. • Stellen Sie sicher, dass jede Domäne in der Active Directory-Gesamtstruktur über mindestens zwei Domänencontroller verfügt. • Lassen Sie ausführliche tägliche Protokolle über den aktuellen Zustand von Active Directory erstellen, damit bei einem Ausfall der gesamten Struktur der ungefähre Zeitpunkt des Ausfalls ermittelt werden kann. Festlegen der zu sichernden Domänencontroller und der entsprechenden Zeitpläne Um eine Online-Wiederherstellung gelöschter oder fehlerhafter Active Directory-Objekte durchführen zu können, sollten aus Redundanzgründen mindestens zwei Domänencontroller je Domäne gesichert werden. Falls domänenübergreifende Gruppenmitgliedschaften wiederhergestellt werden sollen, ist es außerdem erforderlich, einen globalen Katalogserver zu sichern. Die Sicherung des globalen Katalogservers muss mit der Option When backing up Global Catalog servers, collect group membership information from all domains within the Active Directory forest (Beim Sichern von globalen Katalogservern Gruppenmitgliedschaftsinformationen von allen Domänen innerhalb der Active Directory-Gesamtstruktur sammeln) auf der Registerkarte System State (Systemstatus) im Dialogfeld Computer Collection Properties (Eigenschaften der Computersammlung) erstellt werden. Wenn Sie Domänencontroller nach einem Ausfall mit Recovery Manager wiederherstellen möchten (z. B. mit dem Reparaturassistenten), empfiehlt es sich, alle Domänencontroller in allen Domänen sichern. Aktivieren Sie dazu die Option Collect Forest Recovery metadata (Forest Recovery-Metadaten sammeln) auf der Registerkarte System State (Systemstatus) im Dialogfeld Computer Collection Properties (Eigenschaften der Computersammlung). Bei aktivierter Option werden Sicherungen erstellt, die von der Forest Recovery-Konsole für die Wiederherstellung einer Gesamtstruktur verwendet werden können. Weitere Informationen finden Sie im Benutzerhandbuch, das im Lieferumfang dieser Version von Recovery Manager enthalten ist. Es wird empfohlen, die Domänencontroller mindestens täglich zu sichern. Zusätzlich sollten Sie alle Domänencontroller immer dann sichern, wenn wichtige Änderungen in der IT-Umgebung vorgenommen wurden. Methoden zur Bereitstellung des Sicherungsagenten Recovery Manager erstellt mit dem Sicherungsagenten Sicherungen von Remote-Domänencontrollern. Der Sicherungsagent muss auf jedem Remote-Domänencontroller bereitgestellt werden, auf dem Active Directory-Daten gesichert werden sollen. Es gibt zwei Methoden, den Sicherungsagenten bereitzustellen: 26 • Lassen Sie Recovery Manager vor Beginn einer Sicherungserstellung den Sicherungsagenten automatisch bereitstellen und bei Abschluss des Sicherungsvorgangs automatisch wieder entfernen. • Installieren Sie den Sicherungsagenten vorab manuell auf allen Zieldomänencontrollern, auf denen Active Directory-Daten gesichert werden sollen. Bereitstellungshandbuch Die letztere Methode ermöglicht außerdem Folgendes: • Ausführen eines Sicherungsvorgangs ohne Domänenadministratorrechte. Es reicht aus, wenn Recovery Manager mit den Anmeldeinformationen eines Sicherungsoperators ausgeführt wird. • Verringern des Netzwerkdatenverkehrs bei der Sicherung einer Computersammlung. • Sichern von Domänencontrollern in Domänen, die in keiner Vertrauensstellung zu der Domäne stehen, in der Recovery Manager ausgeführt wird. Dadurch wird das „No Trust“-Problem behoben. Um den Sicherungsagenten vorab zu installieren, können Sie den Sicherungsagent-Installationsassistenten verwenden oder eine automatische Installation durchführen. Weitere Informationen finden Sie im Handbuch Erste Schritte, das im Lieferumfang dieser Version von Recovery Manager for Active Directory Forest Edition enthalten ist. Beibehalten der neuen Sicherungen Wenn Sie (wie weiter oben in diesem Dokument empfohlen) täglich vollständige Sicherungen erstellen, sollten Sie eine Sicherungsaufbewahrungsrichtlinie konfigurieren, um die Sicherungen mindestens zwei Wochen lang aufzubewahren (sodass Sie pro Domänencontroller immer die 14 Sicherungskopien der zurückliegenden 14 Tage zur Verfügung haben). So stehen Ihnen immer eine ausreichende Anzahl von Sicherungen für eine Wiederherstellung nach einem Fehler von Active Directory zur Verfügung, falls dieser über längere Zeit unerkannt geblieben ist. Informationen zur Konfiguration einer Sicherungsaufbewahrungsrichtlinie finden Sie im Benutzerhandbuch, das im Lieferumfang dieser Version von Recovery Manager for Active Directory Forest Edition enthalten ist. Zusätzlich zu den aufbewahrten Sicherungen können Sie außerdem wöchentlich mindestens eine Sicherung der Domänencontroller archivieren. So können Sie Active Directory-Daten (beispielsweise gelöschte Objekte) aus einem Zeitraum, der vor dem aufbewahrten Sicherungsverlauf liegt, wieder abrufen. Stellen Sie sicher, dass diese archivierten Sicherungen die gesamte Tombstone-Lebensdauer abdecken (d. h. 60 Tage oder 180 Tage in der Standardeinstellung, abhängig von der Version des Windows-Betriebssystems). Aus Sicherheitsgründen empfiehlt es sich außerdem, mindestens eine Kopie jeder Sicherung außerhalb des Netzwerks in einer ordnungsgemäß kontrollierten Umgebung aufzubewahren, damit diese Kopie vor möglichen schädlichen Angriffen über das Netzwerk geschützt ist. Speicherort von Sicherungen Für jede Computersammlung können Sie angeben, wo die Sicherungsdateien der Sammlung gespeichert werden. Sie können die Sicherungen auf dem Computer, auf dem Recovery Manager ausgeführt wird, auf dem Domänencontroller, der gesichert wird, oder auf einer beliebigen verfügbaren Netzwerkfreigabe speichern. Dieser Abschnitt enthält allgemeine Empfehlungen zum Speicherort von Sicherungen, die in spezifischen Wiederherstellungsszenarien verwendet werden sollten, wie zum Beispiel bei der granularen Online-Wiederherstellung von Verzeichnisobjekten, der vollständigen Offline-Wiederherstellung von Active Directory oder der Wiederherstellung einer Active Directory-Gesamtstruktur. Weitere Informationen zur Festlegung der Speichereinstellungen für Sicherungen finden Sie im Benutzerhandbuch, das im Lieferumfang dieser Version von Recovery Manager enthalten ist. 27 Recovery Manager for Active Directory Forest Edition Speichern von Sicherungen für eine granulare Online- oder eine vollständige Offline-Wiederherstellung In der folgenden Abbildung wird die empfohlene Methode zum Speichern der Sicherungen dargestellt, die Sie für eine granulare Online- oder eine vollständige Offline-Wiederherstellung von Active Directory verwenden möchten: Sicherungen für eine granulare Online- oder eine vollständige Offline-Wiederherstellung DC 1 DC 2 Sicherungsdatei 1 Sicherungsdatei 1 DC 3 Sicherungsdatei 1 Zentraler Speicherort für Sicherung Schnelle Verbindung Recovery Manager-Konsole Es wird empfohlen, diese Sicherungen in einem zentralen Sicherungsspeicher zu speichern, auf den die Recovery Manager-Konsole über eine schnelle und zuverlässige Verbindung zugreifen kann. Eine solche Verbindung ist erforderlich, da während eines Wiederherstellungsvorgangs möglicherweise Sicherungsdateien vom zentralen Sicherungsspeicher auf den Computer, auf dem die Recovery Manager-Konsole verwendet wird, kopiert oder entpackt werden. 28 Bereitstellungshandbuch Speichern von Sicherungen für die Gesamtstrukturwiederherstellung In der folgenden Abbildung wird die empfohlene Methode für das Speichern von Sicherungen dargestellt, die für eine Wiederherstellung der Gesamtstruktur verwendet werden sollen: Sicherungen für die Gesamtstrukturwiederherstellung DC 1 Sicherungsdatei DC 2 Sicherungsdatei DC 3 Sicherungsdatei Recovery Manager-Konsole Wenn Sie Recovery Manager verwenden möchten, um die vollständige Gesamtstruktur von Active Directory oder bestimmter Domänen in der Gesamtstruktur wiederherzustellen, empfiehlt es sich, jede Sicherungsdatei auf dem Domänencontroller zu speichern, der gesichert werden soll. Dadurch wird die Netzwerkbelastung während des Wiederherstellungsvorgangs vermindert und der Wiederherstellungsprozess beschleunigt. Außerdem vereinfacht das Speichern der Sicherungsdateien auf den Zieldomänencontrollern die Organisation der erforderlichen Berechtigungen für den Zugriff auf diese Dateien. 29 Recovery Manager for Active Directory Forest Edition Erstellen differenzieller Sicherungen In Recovery Manager Forest Edition können differenzielle Sicherungen von in Computersammlungen enthaltenen Domänencontrollern erstellt werden. Bei einer differenziellen Sicherung werden die Änderungen in der Active Directory-Datenbank gespeichert, die seit der letzten vollständigen Sicherung vorgenommen wurden. Die bei einer differenziellen Sicherung gespeicherten Daten enthalten ausschließlich die Transaktionsprotokolldateien bis zum Zeitpunkt der Sicherung. Mit Hilfe von differenziellen Sicherungen können Sie die Größe der in der Sicherungsregistrierungsdatenbank gespeicherten Sicherungsdateien verringern. Sie können das Erstellen differenzieller Sicherungen in den Eigenschaften von Computersammlungen auf der Registerkarte Differential Backup (Differenzielle Sicherung) verwalten. Um die Erstellung von differenziellen Sicherungen für Domänencontroller in einer Sammlung zu ermöglichen, gehen Sie wie nachfolgend beschrieben vor. Schritt 1: Aktivieren der Erstellung von differenziellen Sicherungen in der Recovery Manager-Konsole Die Aktivierung der Erstellung von differenziellen Sicherungen kann dazu führen, dass der Domänencontroller nicht mehr über ausreichend Speicherplatz verfügt, wenn vollständige Sicherungen des Domänencontrollers nicht häufig genug oder gar nicht erstellt werden. So aktivieren Sie die Erstellung von differenziellen Sicherungen: 1. 2. 3. Erweitern Sie in der Recovery Manager-Konsolenstruktur den Knoten Computer Collections (Computersammlungen), und wählen Sie die Computersammlung aus, die gesichert werden soll. Klicken Sie im Menü Action (Aktion) auf Properties (Eigenschaften). Geben Sie im Dialogfeld Properties (Eigenschaften) an, welche Daten gesichert werden sollen, wo die Sicherungen gespeichert werden sollen und wie die Protokollierung erfolgen soll. Klicken Sie im Dialogfeld Properties (Eigenschaften) auf die Registerkarte Differential Backup (Differenzielle Sicherung), und führen Sie folgende Schritte aus: • • Aktivieren Sie das Kontrollkästchen Create differential backups (Differenzielle Sicherung erstellen). Klicken Sie auf Add (Hinzufügen), um Kriterien für die Erstellung einer vollständigen Sicherung anzugeben. Schritt 2: Ändern der Systemregistrierung auf jedem DC in der Sammlung Erstellen Sie vor der Änderung der Registrierung eine Sicherungskopie. Nehmen Sie die Änderungen nur vor, wenn Sie auch wissen, wie die Registrierung wiederhergestellt werden kann, wenn ein Problem auftritt. Wenn Sie den Registrierungs-Editor nicht sachgemäß verwenden, kann dies zu ernsthaften Problemen führen, die eine Neuinstallation des Betriebssystems erforderlich machen können. Quest Software, Inc. kann nicht gewährleisten, dass Sie Probleme lösen können, die durch unsachgemäße Verwendung des Registrierungs-Editors entstehen. Die Verwendung des Registrierungs-Editors erfolgt auf eigene Gefahr. So ändern Sie die Systemregistrierung: 1. Starten Sie auf dem Zieldomänencontroller den Registrierungs-Editor (regedit.exe), suchen Sie folgenden Registrierungsschlüssel, und wählen Sie ihn aus: HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters. 2. Zeigen Sie im Menü Edit (Bearbeiten) auf New (Neu), und klicken Sie auf String Value (Zeichenkettenwert). 3. Legen Sie die folgenden Werte für die Parameter „Name“ und „Daten“ des von Ihnen erstellten Zeichenkettenwerts fest: Name: DSA Heuristics Daten: 0000000100 4. Damit die Änderungen wirksam werden, muss der Zieldomänencontroller neu gestartet werden. • Differenzielle Sicherungen werden vom Reparaturassistenten nicht unterstützt. Nur der Online-Wiederherstellungsassistent, der Gruppenrichtlinien-Wiederherstellungsassistent und der Extraktionsassistent können differenzielle Sicherungen verwenden. • Die Erstellung differenzieller Sicherungen wird nur für Windows 2000 Server- und Windows Server 2003-basierte Domänencontroller unterstützt. 30 Bereitstellungshandbuch Technische Daten In diesem Abschnitt sind einige technische Daten des Produkts aufgeführt. Typische Größe der Datenbanken Microsoft Access-Datenbankdateien Recovery Manager verwendet die folgenden Microsoft Access-Datenbankdateien (.mdb): • ERDiskAD.mdb. Recovery Manager-Konfigurationsdatenbank. Sie enthält Informationen zur Konsolenkonfiguration, z. B. die verwalteten Computersammlungen, die Sicherungserstellungssitzungen usw. • Backups.mdb. Recovery Manager-Sicherungsregistrierungsdatenbank. Sie enthält Daten zu den registrierten Active Directory- und AD LDS (ADAM)-Sicherungen. Die Größe der Datenbankdateien (.mdb) beträgt in der Regel weniger als 10 MB. Die Datenbankdateien werden im Unterorder „\Quest Software\RMAD\“ des Ordners gespeichert, der die Anwendungsdaten für alle Benutzer enthält. Normalerweise ist dies der Pfad „C:\Dokumente und Einstellungen\Alle Benutzer\Anwendungsdaten\Quest Software\RMAD\“. Berichtsdatenbankdateien Der Online-Wiederherstellungsassistent erstellt Vergleichs- und Wiederherstellungsberichte. Diese Berichte beruhen auf attributspezifischen Vergleichen der Verzeichnisobjekte, die in einer Sicherung ausgewählt werden, mit ihren Entsprechungen in Active Directory oder in einer anderen Sicherung. Recovery Manager verwendet dazu Microsoft SQL Reporting Services (SRS). Microsoft SRS ist der neue Berichtsstandard für Quest und ersetzt die XML-basierten Vergleichs- und Wiederherstellungsberichte der früheren Versionen. Weitere Informationen finden Sie im Benutzerhandbuch, das im Lieferumfang dieser Version von Recovery Manager enthalten ist. Die Größe einer Berichtsdatenbankdatei wird von folgenden Parametern beeinflusst: • Anzahl der Verzeichnisobjekte, die der Online-Wiederherstellungsassistent verarbeitet hat. • Anzahl der verarbeiteten Attribute. • Typ der verarbeiteten Attribute. • Anzahl der verfügbaren Sitzungen des Online-Wiederherstellungsassistenten. Die Daten zu allen Sitzungen werden in einer einzigen Berichtsdatenbankdatei gespeichert. Wenden Sie die folgende empirische Formel an, um die ungefähre Größe der Berichtsdatenbankdatei zu ermitteln: 6 x <Anzahl der verarbeiteten Objekte>/1000 [MB] Beispiel: Wenn der Online-Wiederherstellungsassistent 3000 Objekte verarbeitet hat, beträgt die Größe der Berichtsdatenbankdatei etwa 18 MB. 31 Recovery Manager for Active Directory Forest Edition Standardzeiten für die Erstellung von Sicherungen Die zum Erstellen einer Sicherung erforderliche Zeit hängt von der Größe der Active Directory-Datenbank (Datei „NTDS.dit“) und der Komprimierungsmethode ab, die der Sicherungsagent bei der Verarbeitung der Datei „NTDS.dit“ einsetzt. Sie können die Komprimierungsmethode auf der Registerkarte Performance (Leistung) im Dialogfeld Computer Collection Properties (Eigenschaften der Computersammlung) festlegen. Weitere Informationen finden Sie im Benutzerhandbuch, das im Lieferumfang dieser Version von Recovery Manager enthalten ist. In der folgenden Tabelle sind die typischen Zeiten zum Erstellen einer Sicherung für verschiedene Komprimierungsverfahren aufgeführt. KOMPRIMIERUNGSMETHODE GRÖßE DER SICHERUNGSDATEI ERSTELLUNGSZEIT (MIN:S) Keine 3,17 GB 09:07 Schnell 1,27 GB 07:35 Normal 1,22 GB 08:27 Maximum 1,20 GB 17:54 Die in der Tabelle enthaltenen Angaben wurden bei folgender Konfiguration ermittelt: • Größe der Datei „NTDS.dit“: 3,14 GB • Hardware des Recovery Manager-Computers: CPU 2x Intel Xeon 2,8 Hz; 1 GB RAM Empfehlungen Die Erstellungszeiten für die Sicherung der Active Directory-Datenbank können variieren und hängen u. a. von der Größe der Datenbank und einer Reihe anderer Faktoren wie der Hardware im Domänencontroller und der Dichte der Informationen in der Active Directory-Datenbank ab. Sie können die Beispiele oben als Richtschnur verwenden, um zu ermitteln, wie lange die Sicherung Ihrer eigenen Active Directory-Datenbank dauert. Beachten Sie jedoch, dass diese Zeiten nicht direkt mit der Größe der Datenbank in Verbindung stehen (die Sicherung einer 6 GB großen Datenbank dauert möglicherweise nicht genau doppelt so lange wie die Sicherung einer 3 GB großen Datenbank). Die beste Methode, um die erforderliche Zeit zur Sicherung in Ihrer eigenen Umgebung zu ermitteln, ist die Erstellung der Sicherung eines Domänencontrollers der Produktionsumgebung. Die Komprimierungsverhältnisse können abhängig davon, wie dicht die Active Directory-Datenbank gefüllt ist, variieren. Die Nutzung einer Methode mit einer höheren Komprimierung führt jedoch meist zu abnehmenden Ergebnissen im Hinblick auf die komprimierte Größe der Sicherung. Um sowohl eine angemessene Sicherungsdauer als auch eine angemessene komprimierte Größe der Sicherung zu gewährleisten, wird empfohlen, entweder die schnelle oder die normale Komprimierung zu verwenden. Wenn die mit Recovery Manager erstellten Sicherungen von anderen MTF-kompatiblen Sicherungsprogrammen verwendet werden sollen, muss als Datenkomprimierungsmethode Keine ausgewählt werden. 32 Bereitstellungshandbuch Standardzeiten für das Entpacken von Sicherungen Damit eine gepackte Sicherungsdatei verwendet werden kann (z. B. im Online-Wiederherstellungsassistenten), muss sie von Recovery Manager entpackt werden. In der folgenden Tabelle sind die typischen Zeiten aufgeführt, die zum Entpacken von Sicherungen benötigt werden. KOMPRIMIERUNGSMETHODE GRÖßE DER GEPACKTEN SICHERUNGSDATEI ZEIT ZUM ENTPACKEN (MIN:S) Keine 3,17 GB 01:57 Schnell 1,27 GB 01:29 Normal 1,22 GB 01:25 Maximum 1,20 GB 01:22 Sie können die Erstellung von nicht komprimierten Sicherungen mit Hilfe der Registerkarte Unpacked Backups (Entpackte Sicherungen) im Dialogfeld Recovery Manager for Active Directory Settings (Recovery Manager for Active Directory – Einstellungen) verwalten. Zusätzlich können Sie festlegen, dass der Online-Wiederherstellungsassistent oder der Gruppenrichtlinien-Wiederherstellungsassistent entpackte Sicherungen zur späteren Verwendung beibehält. Weitere Informationen finden Sie im Benutzerhandbuch, das im Lieferumfang dieser Version von Recovery Manager enthalten ist. 33 Recovery Manager for Active Directory Forest Edition Von Recovery Manager verwendete Ports In der folgenden Tabelle sind die von den Recovery Manager-Komponenten verwendeten Ports aufgeführt. EINGEHENDER PORT AUF DEM ZIELDOMÄNENCONTROLLER PROTOKOLL DATENVERKEHR TCP Verbindungen der Recovery Manager-Konsole 135 TCP RPC-Locatordienst 389 TCP LDAP 445 oder 139 TCP Active Directory-Domänendienste Online-Wieder- 135 TCP RPC-Locatordienst herstellungsassistent 389 TCP LDAP 445 (von Microsoft empfohlen) oder 139 TCP Active Directory-Domänendienste Dynamischer RPC-Portbereich TCP Verbindungen des Wiederherstellungsagenten 389 TCP LDAP 445 TCP Active Directory-Domänendienste KOMPONENTE Sicherungsagent (manuelle Installation) • Angegeben während der Installation des Sicherungsagenten. – ODER – • Angegeben im Dialogfeld Recovery Manager for Active Directory Settings (Recovery Manager for Active Directory – Einstellungen). Standardmäßig ist dies der Port 3843. Sicherungsagent (automatische Installation) (bei Verwendung der Agenten-Wiederherstellungsmethode) Weitere Informationen zu diesen Ports finden Sie in den folgenden Artikeln der Microsoft Support Knowledge Base unter http://support.microsoft.com: • Konfigurieren von RPC für die Verwendung bestimmter Ports und Schützen dieser Ports mit IPsec (Artikel-ID: 908472) • Konfigurieren der dynamischen RPC-Portzuweisung für Firewall-Einsatz (Artikel-ID: 154596) • Der dynamischen Portbereich für TCP/IP wurde in Windows Vista und WindowsServer2008 geändert (Artikel-ID: 929851) Online-Wiederherstellungsassistent (bei Verwendung der agentenlosen Wiederherstellungsmethode) 34 Bereitstellungshandbuch KOMPONENTE EINGEHENDER PORT AUF DEM ZIELDOMÄNENCONTROLLER Online-Wiederherstellungsassistent für AD LDS (ADAM) Gruppenrichtlinien-Wiederherstellungsassistent Reparaturassistent Recovery Manager-Konsole PROTOKOLL DATENVERKEHR Angegeben während der AD LDS (ADAM)-Installation auf dem Zieldomänencontroller TCP AD LDS (ADAM)-Verbindungen 135 TCP RPC-Locatordienst 389 TCP und UDP LDAP 445 (von Microsoft empfohlen) oder 139 TCP Active Directory-Domänendienste 135 TCP RPC-Locatordienst 445 (von Microsoft empfohlen) oder 139 TCP Active Directory-Domänendienste 25 TCP Simple Mail Transfer Protocol 135 TCP RPC-Locatordienst 389 TCP und UDP LDAP 445 (von Microsoft empfohlen) oder 139 TCP Active Directory-Domänendienste • Angegeben während der Installation des Sicherungsagenten. TCP Verbindungen des Sicherungsagenten TCP AD LDS (ADAM)-Verbindungen – ODER – • Angegeben im Dialogfeld Recovery Manager for Active Directory Settings (Recovery Manager for Active Directory – Einstellungen). Standardmäßig ist dies der Port 3843. Angegeben während der AD LDS (ADAM)-Installation auf dem Zieldomänencontroller • Um Gruppenmitgliedschaftsdaten zu sichern, muss Recovery Manager möglicherweise eine Verbindung zu allen globalen Katalogen in der Gesamtstruktur über Port 389 herstellen. • Um Gruppenmitgliedschaftsdaten wiederherzustellen, muss Recovery Manager möglicherweise eine Verbindung zu allen globalen Katalogen in der Gesamtstruktur über TCP-Port 135 und über zufällig per RPC zugeordnete hohe TCP-Ports (1024 - 65535) aufbauen. • Stellen Sie sicher, dass der abgehende Datenverkehr auf den zufällig per RPC zugeordneten hohen TCP-Ports 1024 – 65535 auf dem Recovery Manager-Computer zulässig ist. • Es wird empfohlen, sicherzustellen, dass der eingehende Datenverkehr auf einer ausreichenden Anzahl dynamisch zugewiesener TCP-Ports (zum Beispiel auf den Ports des Bereichs 1024 – 65535) auf Zieldomänencontrollern zulässig ist. Dies ermöglicht gleichzeitige Verbindungen von Recovery Manager und anderen Anwendungen. 35 Recovery Manager for Active Directory Forest Edition KOMPONENTE VON RECOVERY MANAGER FOREST EDITION TCP-PORT AUF DEM ZIELDOMÄNENCONTROLLER DATENVERKEHR Forest Recovery-Konsole 135 RPC-Locatordienst Dynamischer RPC-Portbereich Forest Recovery-Agent-Verbindungen Weitere Informationen zu diesen Ports finden Sie in den folgenden Artikeln der Microsoft Support Knowledge Base unter http://support.microsoft.com: • Konfigurieren von RPC für die Verwendung bestimmter Ports und Schützen dieser Ports mit IPsec (Artikel-ID: 908472) • Konfigurieren der dynamischen RPC-Portzuweisung für Firewall-Einsatz (Artikel-ID: 154596) • Der dynamischen Portbereich für TCP/IP wurde in Windows Vista und Windows Server2008 geändert (Artikel-ID: 929851) Forest Recovery-Agent 36 389 LDAP 139 oder 445 Forest Recovery-Agent-Bereitstellung 389 LDAP 139 oder 445 Zugriff auf Sicherungen, die mit Hilfe der Recovery Manager Forest Edition erstellt wurden