Über Recovery Manager for Active Directory Forest Edition

Transcription

8.2
Forest Edition
Bereitstellungshandbuch
© 2012 Quest Software, Inc.
ALLE RECHTE VORBEHALTEN.
Dieses Handbuch enthält urheberrechtlich geschützte Informationen. Die im vorliegenden Handbuch beschriebene
Software unterliegt den Bedingungen der jeweiligen Softwarelizenz oder Geheimhaltungsvereinbarung. Die Software
darf nur gemäß den Bedingungen der Vereinbarung benutzt oder kopiert werden. Diese Anleitung darf ohne
schriftliche Erlaubnis von Quest Software Inc. weder ganz noch teilweise in beliebiger Form oder durch beliebige
elektronische oder mechanische Hilfsmittel einschließlich des Fotokopierens und Speicherns für andere Zwecke als
den persönlichen Gebrauch des Käufers vervielfältigt oder weitergegeben werden.
Die Informationen in diesem Dokument werden in Verbindung mit Quest-Produkten zur Verfügung gestellt. Durch
dieses Dokument wird weder explizit noch implizit, durch Duldungsvollmacht oder auf andere Weise eine Lizenz auf
intellektuelle Eigentumsrechte erteilt, auch nicht in Verbindung mit dem Erwerb von Quest-Produkten. MIT
AUSNAHME DER BESTIMMUNGEN IN DEN ALLGEMEINEN GESCHÄFTSBEDINGUNGEN VON QUEST, DIE IN DER
LIZENZVEREINBARUNG FÜR DIESES PRODUKT AUFGEFÜHRT SIND, ÜBERNIMMT QUEST KEINERLEI HAFTUNG UND
SCHLIESST JEDE EXPLIZITE, IMPLIZITE ODER GESETZLICHE GEWÄHRLEISTUNG FÜR SEINE PRODUKTE AUS,
INSBESONDERE DIE IMPLIZITE GEWÄHRLEISTUNG DER MARKTFÄHIGKEIT, DER EIGNUNG ZU EINEM BESTIMMTEN
ZWECK UND DIE GEWÄHRLEISTUNG DER NICHTVERLETZUNG VON RECHTEN. UNTER KEINEN UMSTÄNDEN HAFTET
QUEST FÜR UNMITTELBARE, MITTELBARE ODER FOLGESCHÄDEN, SCHADENERSATZ, BESONDERE ODER KONKRETE
SCHÄDEN (INSBESONDERE SCHÄDEN, DIE AUS ENTGANGENEN GEWINNEN, GESCHÄFTSUNTERBRECHUNGEN ODER
DATENVERLUSTEN ENTSTEHEN), DIE SICH DURCH DIE NUTZUNG ODER UNMÖGLICHKEIT DER NUTZUNG DIESES
DOKUMENTS ERGEBEN, AUCH WENN QUEST ÜBER DIE MÖGLICHKEIT SOLCHER SCHÄDEN INFORMIERT WURDE.
Quest übernimmt keine Garantie für die Richtigkeit oder Vollständigkeit der Inhalte dieses Dokuments und behält sich
vor, jederzeit und ohne vorherige Ankündigung Änderungen an den Spezifikationen und Produktbeschreibungen
vorzunehmen. Quest geht keinerlei Verpflichtung ein, die in diesem Dokument enthaltenen Informationen zu
aktualisieren.
Bei Fragen zur möglichen Verwendung dieser Materialien wenden Sie sich an:
Quest Software World Headquarters
LEGAL Dept
5 Polaris Way
Aliso Viejo, CA 92656
www.quest.com
E-Mail: [email protected]
Informationen über unsere lokalen und internationalen Büros finden Sie auf unserer Website.
Marken
Quest, Quest Software, das Quest Software-Logo, Aelita, Akonix, Akonix, AppAssure, Benchmark Factory, Big
Brother, ChangeAuditor, DataFactory, DeployDirector, ERDisk, Foglight, Funnel Web, GPOAdmin, I/Watch, Imceda,
InLook, IntelliProfile, InTrust, Invertus, IT Dad, I/Watch, JClass, Jint, JProbe, LeccoTech, LiteSpeed, LiveReorg,
MessageStats, NBSpool, NetBase, Npulse, NetPro, PassGo, PerformaSure, Quest Central, SharePlex, Sitraka,
SmartAlarm, Spotlight, SQL LiteSpeed, SQL Navigator, SQL Watch, SQLab, Stat, StealthCollect, Tag and Follow, Toad,
T.O.A.D., Toad World, vAnalyzer, vAutomator, vControl, vConverter, vEssentials, vFoglight, vMigrator, vOptimizer
Pro, vPackager, vRanger, vRanger Pro, vReplicator, vSpotlight, vToad, Vintela, Virtual DBA, VizionCore, Vizioncore
vAutomation Suite, Vizioncore vEssentials, Xaffire und XRT sind Marken und eingetragene Marken von Quest
Software, Inc in den Vereinigten Staaten von Amerika und anderen Ländern. Andere in dieser Anleitung verwendete
Marken und eingetragene Marken sind Eigentum ihrer jeweiligen Inhaber.
Beiträge von Drittanbietern
Recovery Manager for Active Directory Forest Edition enthält Komponenten von Drittanbietern (siehe Liste unten).
Die entsprechenden Lizenzkopien finden Sie auf unserer Website unter
www.quest.com/legal/third-party-licenses.aspx.
KOMPONENTE
LIZENZ ODER BESTÄTIGUNG
Boost 1.44.0
Boost Softwarelizenz 1.0
ZLib 1.1.4
ZLib 1.2.3
Recovery Manager for Active Directory Forest Edition - Bereitstellungshandbuch
Aktualisiert – 31. Januar 2012
Softwareversion – 8.2
INHALT
ZIELGRUPPE DIESES HANDBUCHS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
FORMATIERUNGSKONVENTIONEN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
ÜBER QUEST SOFTWARE, INC.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
KONTAKT ZU QUEST SOFTWARE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
KONTAKT ZUM QUEST SUPPORT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
EINLEITUNG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
ÜBER RECOVERY MANAGER FOR ACTIVE DIRECTORY FOREST EDITION . . . . . . . . . . . 8
ERFORDERLICHE BERECHTIGUNGEN FÜR DIE INSTALLATION UND
VERWENDUNG VON RECOVERY MANAGER . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
INSTALLIEREN VON RECOVERY MANAGER . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
VERWENDEN DES INSTALLATIONSASSISTENTEN . . . . . . . . . . . . . . . . . . . . 12
DURCHFÜHREN EINER AUTOMATISCHEN INSTALLATION . . . . . . . . . . . . . . . . 13
INSTALLIEREN DES FOREST RECOVERY-AGENTEN . . . . . . . . . . . . . . . . . . . . . . . 15
PLANEN DER ACTIVE DIRECTORY-GESAMTSTRUKTURWIEDERHERSTELLUNG . . . . . . . 15
ENTWICKELN EINES BENUTZERDEFINIERTEN
GESAMTSTRUKTUR-WIEDERHERSTELLUNGSPLANS . . . . . . . . . . . . . . . . . . . . . . . 16
VOR DER WIEDERHERSTELLUNG AUSZUFÜHRENDE SCHRITTE . . . . . . . . . . . . . . . . 16
ERSTELLEN EINES GESAMTSTRUKTUR-WIEDERHERSTELLUNGSPROJEKTS . . . . . . 17
TESTEN DES GESAMTSTRUKTUR-WIEDERHERSTELLUNGSPROJEKTS . . . . . . . . . 17
WIEDERHERSTELLEN EINER ACTIVE DIRECTORY-GESAMTSTRUKTUR . . . . . . . . . . . . 18
ENTSCHEIDEN, WANN EINE GESAMTSTRUKTURWIEDERHERSTELLUNG
DURCHGEFÜHRT WERDEN SOLL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
AUSWÄHLEN DER ZU VERWENDENDEN SICHERUNGEN . . . . . . . . . . . . . . . . . . . . . 18
AUSWÄHLEN DER WIEDERHERZUSTELLENDEN DOMÄNENCONTROLLER . . . . . . . . . . . . 19
EMPFOHLENE VORGEHENSWEISEN FÜR DAS BEREITSTELLEN DER RECOVERY
MANAGER-KONSOLE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
EMPFOHLENE VORGEHENSWEISEN FÜR DIE VERWENDUNG VON COMPUTERSAMMLUNGEN . . 21
EMPFOHLENE VORGEHENSWEISEN FÜR DAS AUSFÜHREN VON WIEDERHERSTELLUNGEN . . . 22
UNTERSCHIEDE ZWISCHEN AGENTENBASIERTEN UND AGENTENLOSEN
METHODEN DER WIEDERHERSTELLUNG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
AGENTENLOSE METHODE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
AGENTENBASIERTE METHODE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
WIEDERHERSTELLEN VON KENNWÖRTERN UND DES SID-VERLAUFS . . . . . . . . . . . . 24
iii
Recovery Manager for Active Directory Forest Edition
BEIBEHALTEN DER KENNWÖRTER UND DES
SID-VERLAUFS IN OBJEKT-TOMBSTONES. . . . . . . . . . . . . . . . . . . . . . . . 24
EMPFOHLENE VORGEHENSWEISEN FÜR DAS ERSTELLEN VON SICHERUNGEN . . . . . . . 26
ENTWICKELN EINES SICHERUNGS- UND WIEDERHERSTELLUNGSPLANS . . . . . . . . . . . 26
FESTLEGEN DER ZU SICHERNDEN DOMÄNENCONTROLLER UND
DER ENTSPRECHENDEN ZEITPLÄNE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
METHODEN ZUR BEREITSTELLUNG DES SICHERUNGSAGENTEN . . . . . . . . . . . . . . . . 26
BEIBEHALTEN DER NEUEN SICHERUNGEN . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
SPEICHERORT VON SICHERUNGEN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27
SPEICHERN VON SICHERUNGEN FÜR EINE GRANULARE
ONLINE- ODER EINE VOLLSTÄNDIGE OFFLINE-WIEDERHERSTELLUNG . . . . . . . . 28
SPEICHERN VON SICHERUNGEN FÜR DIE
GESAMTSTRUKTURWIEDERHERSTELLUNG . . . . . . . . . . . . . . . . . . . . . . . . 29
ERSTELLEN DIFFERENZIELLER SICHERUNGEN . . . . . . . . . . . . . . . . . . . . . . . . . . 30
TECHNISCHE DATEN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
TYPISCHE GRÖßE DER DATENBANKEN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
MICROSOFT ACCESS-DATENBANKDATEIEN . . . . . . . . . . . . . . . . . . . . . . . 31
BERICHTSDATENBANKDATEIEN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
STANDARDZEITEN FÜR DIE ERSTELLUNG VON SICHERUNGEN . . . . . . . . . . . . . . . . 32
EMPFEHLUNGEN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
STANDARDZEITEN FÜR DAS ENTPACKEN VON SICHERUNGEN . . . . . . . . . . . . . . . . . 33
VON RECOVERY MANAGER VERWENDETE PORTS . . . . . . . . . . . . . . . . . . . . . . . . 34
iv
Zielgruppe dieses Handbuchs
Dieses Dokument soll als Einführung in Recovery Manager for Active Directory Forest Edition dienen. Das
Handbuch Bereitstellungshandbuch enthält Informationen, die für die Installation und Verwendung von
Recovery Manager for Active Directory Forest Edition erforderlich sind. Es richtet sich an
Netzwerkadministratoren, Berater, Analysten und andere IT-Fachleute, die das Produkt verwenden.
Formatierungskonventionen
In diesem Handbuch werden bestimmte Formatierungskonventionen eingehalten, die Ihnen dabei helfen
sollen, es so effizient wie möglich zu verwenden. Diese Konventionen werden auf unterschiedliche
Vorgänge, Symbole, Tastenkombinationen und Querverweise angewandt.
ELEMENT
KONVENTION
Auswählen
Dieses Wort bezieht sich auf Vorgänge, wie zum Beispiel das Auswählen oder
Markieren diverser Benutzeroberflächenelemente wie Dateien und Ordner.
Fettdruck
In Quest Software-Produkten angezeigte Benutzeroberflächenelemente wie zum
Beispiel Menüs und Befehle.
Kursivdruck
Wird für Anmerkungen verwendet.
Fetter
Kursivdruck
Wird zur Hervorhebung verwendet.
Blaue Schrift
Zeigt einen Querverweis an. Kann in Adobe® Reader® als Hyperlink verwendet
werden.
Wird zum Hervorheben zusätzlicher Informationen verwendet, die für den jeweils
beschriebenen Vorgang sachdienlich sind.
Wird für empfohlene Vorgehensweisen verwendet. In empfohlenen Vorgehensweisen
wird der Ablauf von Vorgängen zum Erzielen optimaler Ergebnisse ausführlich
beschrieben.
Hebt Vorgänge hervor, die mit Bedacht durchgeführt werden sollen.
+
Ein Pluszeichen zwischen zwei Tasten bedeutet, dass beide Tasten gleichzeitig
gedrückt werden müssen.
|
Ein senkrechter Strich zwischen zwei Elementen bedeutet, dass diese Elemente in
der angegebenen Reihenfolge ausgewählt werden müssen.
5
Über Quest Software, Inc.
Quest Software ermöglicht mehr als 100.000 Kunden weltweit eine einfachere und kostengünstigere
IT-Verwaltung. Unsere innovativen Lösungen helfen bei der Behebung komplexer Probleme der
IT-Verwaltung und versetzen Kunden in die Lage, bei physischen, virtuellen und cloudgestützten
Umgebungen Zeit und Kosten zu sparen. Weitere Informationen zu Quest finden Sie unter
www.quest.com.
Kontakt zu Quest Software
E-Mail
[email protected]
Postanschrift
Quest Software, Inc.
World Headquarters
5 Polaris Way
Aliso Viejo, CA 92656
USA
Website
www.quest.com
Informationen über unsere lokalen und internationalen Büros finden Sie auf unserer Website.
Kontakt zum Quest Support
Quest Support ist für Kunden verfügbar, die über eine Evaluierungsversion eines Quest-Produkts
verfügen oder eine kommerzielle Version erworben haben und über einen gültigen Wartungsvertrag
verfügen. Quest Support steht Ihnen über unsere Service-Website, SupportLink, rund um die Uhr zur
Verfügung. Besuchen Sie SupportLink unter http://support.quest.com/.
Auf der SupportLink-Website haben Sie folgende Möglichkeiten:
•
Schnell Tausende von Lösungen finden (Knowledgebase-Artikel und Dokumente).
•
Patches und Aktualisierungen herunterladen.
•
Die Hilfe eines technisch geschulten Support-Mitarbeiters anfordern.
•
Ihren Fall protokollieren, aktualisieren und seinen Status überprüfen.
Eine ausführliche Erläuterung zu den Support-Programmen und zu den Online-Diensten sowie
Kontaktinformationen und Angaben zu Richtlinien und Verfahren finden Sie im Global Support Guide.
Das Dokument ist verfügbar unter:http://support.quest.com/pdfs/Global Support Guide.pdf.
Hinweis: Dieses Dokument ist nur auf Englisch verfügbar.
6
Einleitung
Dieses Handbuch enthält Informationen über die Bereitstellung von Quest Recovery Manager for Active
Directory Forest Edition einschließlich der Installation und Konfiguration der Anwendungskomponenten.
Es enthält außerdem einige empfohlene Vorgehensweisen für die Verwendung von Quest Recovery
Manager Forest Edition, um eine Active Directory-Gesamtstruktur wiederherzustellen, wenn ein
gesamtstrukturweiter Fehler die normale Funktionsweise aller Domänencontroller in der Gesamtstruktur
verhindert.
Mit Quest Recovery Manager Forest Edition können durch Beschädigungen oder fehlerhafte Änderungen
der Active Directory-Gesamtstruktur und -Daten bedingte Ausfallzeiten minimiert werden.
Dieses Handbuch geht davon aus, dass der für die Bereitstellung der Anwendung verantwortliche
Fachmann (ein Active Directory-Administrator) die zugrunde liegenden Active Directory-Konzepte kennt
und sich der Bedeutung der Vorgangs-Masterfunktionen (auch bekannt als Flexible Single Master
Operation oder FSMO) wie etwa Schema-Master, Domänennamen-Master, RID-Master, PDC-Emulator
und Infrastruktur-Master bewusst ist. Darüber hinaus muss der Active Directory-Administrator wissen,
wie Active Directory mit Quest Recovery Manager for Active Directory gesichert und wiederhergestellt
wird, und er muss diese Verfahren regelmäßig in einer Testumgebung durchgeführt haben.
7
Über Recovery Manager for Active Directory
Forest Edition
Recovery Manager Forest Edition dient zur Wiederherstellung der Active Directory-Gesamtstruktur oder
bestimmter Domänen in der Gesamtstruktur. Mit Recovery Manager Forest Edition können durch
Beschädigungen oder fehlerhafte Änderungen der Active Directory-Gesamtstruktur und -Daten bedingte
Ausfallzeiten minimiert werden.
Recovery Manager Forest Edition vereinfacht und automatisiert den Prozess der Active
Directory-Gesamtstruktur- oder Domänenwiederherstellung. Mit Recovery Manager Forest Edition
werden die mit der Wiederherstellung verbundenen manuellen Aufgaben automatisiert, beschädigte
Domänencontroller per Fernzugriff in Quarantäne gestellt und Domänencontroller wiederhergestellt,
damit der Geschäftsbetrieb schnell wieder aufgenommen werden kann.
Recovery Manager for Active Directory Forest Edition basiert auf zum Patent angemeldeter Technologie.
8
Erforderliche Berechtigungen für die Installation
und Verwendung von Recovery Manager
Die folgende Tabelle enthält die Mindestberechtigungen für ein Benutzerkonto, die zum Ausführen
einiger häufig verwendeter Aufgaben mit Recovery Manager erforderlich sind.
AUFGABE
MINDESTBERECHTIGUNGEN
Recovery Manager installieren
Das Konto muss ein Mitglied der lokalen Administratorengruppe auf dem
Computer sein, auf dem Sie Recovery Manager installieren möchten.
Wenn Sie während der Installation eine vorhandene SQL Server-Instanz
angeben, muss das Konto, mit dem Recovery Manager eine Verbindung zu
dieser Instanz herstellt, über die folgenden Berechtigungen für diese Instanz
verfügen:
• Datenbank erstellen
• Tabelle erstellen
• Verfahren erstellen
• Funktion erstellen
Recovery Manager-Konsole
öffnen und verwenden
Computer sein, auf dem die Recovery Manager-Konsole installiert ist.
Das Konto muss außerdem über die folgenden Berechtigungen für die von
Recovery Manager verwendete SQL-Server-Instanz verfügen:
• Einfügen
• Löschen
• Aktualisieren
• Auswählen
• Ausführen
Klonassistent starten und
verwenden
Computer sein, auf dem der Klonassistent installiert ist.
Virtuellen Snapshot erstellen
So erstellen Sie einen virtuellen Snapshot eines Computers, auf dem die
Benutzerkontensteuerung nicht installiert bzw. deaktiviert ist:
Hinweis: Diese Funktion ist
nur in Recovery Manager for
Active Directory Forest Edition
verfügbar.
• Das Konto, das Sie für den Zugriff auf den Zielcomputer verwenden, muss
ein Mitglied der lokalen Administratorengruppe auf diesem Computer sein.
So erstellen Sie einen virtuellen Snapshot eines Computers, auf dem die
Benutzerkontensteuerung aktiviert ist:
• Das Konto, das Sie für den Zugriff auf den Zielcomputer verwenden, muss
das integrierte Administratorkonto auf diesem Computer sein.
Sicherungsagenten manuell
vorinstallieren
Das Konto, das Sie für den Zugriff auf den Zielcomputer verwenden, muss ein
Mitglied der lokalen Administratorengruppe auf diesem Computer sein.
Sicherungsagenten
aktualisieren
Vorinstallierte Instanzen des
Sicherungsagenten ermitteln
Sicherungsagenten
deinstallieren
Aktualisieren Sie die in der
angezeigten Informationen
über den Sicherungsagenten
Das für den Zugriff auf die Zieldomänencontroller verwendete Konto muss
folgende Voraussetzungen erfüllen:
• Es muss über Schreibberechtigungen für den folgenden Ordner verfügen:
%AllUsersProfile%\Application Data\Quest Software\RMAD.
Dieser Ordner befindet sich auf dem Recovery Manager-Computer.
• Es muss auf jedem Zieldomänencontroller ein Mitglied der
Sicherungsoperatorengruppe sein.
9
AUFGABE
Installieren Sie den
Sicherungsagenten
automatisch und sichern Sie
die Active Directory-Daten
Zur automatischen Installation des Sicherungsagenten muss das Konto folgende
Voraussetzungen erfüllen:
• Es muss über die Schreibberechtigung für den folgenden Ordner verfügen:
• Administratorberechtigungen auf dem Zieldomänencontroller.
Um Daten sichern zu können, muss das Konto ein Mitglied der
Sicherungsoperatorengruppe auf jedem Zieldomänencontroller sein.
Active Directory mit dem
vorinstallierten
Sicherungsagenten sichern
• Es muss ein Mitglied der Sicherungsoperatorengruppe auf jedem zu
sichernden Domänencontroller sein.
Vollständige
Offline-Wiederherstellung von
Active Directory durchführen
• Es muss ein Mitglied der lokalen Administratoren- und
Domänenadministratorengruppen auf jedem zu sichernden
Domänencontroller sein.
Selektive
Online-Wiederherstellung von
Active Directory-Objekten
durchführen
• Es muss über die Schreibberechtigung für den folgenden Ordner verfügen:
• Es muss über das erweiterte Zugriffsrecht „Tombstones wiederbeleben“ in
der Domäne, in der die Objekte wiederhergestellt werden sollen, verfügen.
• Es muss über die Schreibberechtigung für jedes Objektattribut, das bei der
Wiederherstellung aktualisiert werden soll, verfügen.
• Es muss über die Berechtigung „Alle untergeordneten Objekte erstellen“ im
Zielcontainer verfügen.
• Es muss über die Berechtigung zum Auflisten von Inhalten für den
Container „Gelöschte Objekte“ in der Domäne verfügen, in der die Objekte
wiederhergestellt werden sollen.
Weitere Informationen darüber, wie einem anderen Konto als einem
Administratorkonto die Berechtigung zum Auflisten von Inhalten
zugewiesen wird, finden Sie im Microsoft Knowledge Base-Artikel 892806,
„How to let non-administrators view the Active Directory deleted objects
container in Windows Server 2003 and in Windows 2000 Server“, unter
http://support.microsoft.com.
Recovery
Manager-Konfiguration
anzeigen
Das Konto muss über die Schreibberechtigung für den folgenden Ordner verfügen:
Sicherungsagenten
automatisch installieren und
eine AD LDS (ADAM)-Instanz
sichern
Das für den Zugriff auf den Hostcomputer der Instanz verwendete Konto muss
• Es muss ein Mitglied der lokalen Administratorengruppe auf dem
Hostcomputer der AD LDS (ADAM)-Instanz sein.
10
AUFGABE
AD LDS (ADAM)-Instanz mit
dem vorinstallierten
Sicherungsagenten sichern
AD LDS (ADAM)-Instanz
wiederherstellen
11
Installieren von Recovery Manager
Dieser Abschnitt enthält Informationen über die Installation und Konfiguration der
Anwendungskomponenten (Forest Recovery-Konsole und Forest Recovery-Agent).
In der folgenden Abbildung wird die Bereitstellung von Recovery Manager Forest Edition dargestellt:
Recoverr y Manager for Active Directo
Recove
Directorr y Forest Edition
FR-Agent (auf jedem DC)
FR-Konsole
Gesamtstruktur
OPERA.MYCOMPANY.COM
OPERA-DC2 MOZILLA-DC1
MOZILLA.MYCOMPANY.COM
OPERA-DC1 MOZILLA-DC2
Anwendungsserver
Recovery Manager for Active Directory Forest Edition gewährleistet eine intuitive Bedienbarkeit und eine
enge Integration in das Windows-Betriebssystem.
Verwenden des Installationsassistenten
So installieren Sie Recovery Manager Forest Edition mit Hilfe des Installationsassistenten:
12
1.
Führen Sie die Datei „Autorun.exe“ aus, die sich im Stammordner der Recovery
Manager-Installations-CD befindet.
2.
Klicken Sie im Fenster „Autorun“ auf Installation, und klicken Sie dann auf Recovery
Manager for Active Directory Forest Edition.
3.
Befolgen Sie die Anweisungen des Installationsassistenten.
4.
Klicken Sie auf der Seite „User Information“ (Benutzerinformationen) auf Licenses
(Lizenzen). Klicken Sie im Dialogfeld License Status (Lizenzstatus) auf Browse
License (Lizenz durchsuchen), um die gewünschte Lizenzschlüsseldatei zu suchen und zu
öffnen.
5.
Befolgen Sie die Anweisungen des Assistenten, um die Installation abzuschließen.
Durchführen einer automatischen Installation
Eine automatische (oder unbeaufsichtigte) Installation von Recovery Manager Forest Edition erfordert
kein Eingreifen seitens des Benutzers. Bei dieser Methode geben Sie die Recovery Manager Forest
Edition-Installationsparameter an der Eingabeaufforderung an, bevor Sie die eigentliche Installation
durchführen.
Sie können die automatische Installation von Recovery Manager nur durchführen, wenn die folgenden
Bedingungen erfüllt sind:
• Eine der genannten Microsoft SQL Server-Versionen im Bereich „Systemvoraussetzungen“ in den
Versionshinweisen ist auf dem Computer, auf dem Recovery Manager installiert werden soll,
verfügbar.
• Eine der genannten Microsoft SQL Server Reporting Services-Versionen im Bereich
„Systemvoraussetzungen“ in den Versionshinweisen ist auf dem Computer, auf dem Recovery
Manager installiert werden soll, verfügbar.
– ODER –
Quest Reports Viewer ist auf dem Computer, auf dem Recovery Manager installiert werden soll,
installiert und verfügbar.
So führen Sie eine automatische Installation von Recovery Manager Forest Edition durch:
•
Geben Sie folgenden Befehl in der Befehlszeile ein:
Msiexec /i "<Pfad zur Recovery Manager Forest Edition-Installations-CD>
\Setup\Rmadfe.msi" /qb SQLSERVER="<SQL-Servername>\<Instanzname>"
In der Tabelle unten sind die Parameter beschrieben, die Sie für die Durchführung einer automatischen
Installation von Recovery Manager Forest Edition verwenden können.
PARAMETER
BESCHREIBUNG
BEISPIEL
SQLSERVER
Gibt den Namen und die Instanz
eines lokalen oder dezentralen
SQL-Servers für die Speicherung
der Recovery Manager Forest
Edition-Daten an.
Msiexec /i „E:\Setup\Rmadfe.msi" /qb
SQLSERVER="<SQL-Servername>\
<Instanzname>"
Dies ist ein erforderlicher
Parameter.
SQLDBNAME_REPORTING
Gibt eine vorhandene oder neue
Datenbank für die Speicherung von
Recovery Manager Forest
Edition-Berichtsdaten an. Diese
Datenbank befindet sich in der SQL
Server-Instanz, die im Parameter
SQLSERVER definiert ist.
<Instanzname>"
SQLDBNAME_REPORTING=
"<Datenbankname>"
Wenn Sie eine Datenbank
angeben, die nicht vorhanden ist,
wird sie erstellt.
Wenn Sie keinen Wert für den
Parameter
SQLDBNAME_REPORTING
angeben, wird eine neue
Datenbank mit dem folgenden
Namen erstellt und verwendet:
RecoveryManager-Reporting<Name des Recovery
Manager-Computers>
13
PARAMETER
BESCHREIBUNG
BEISPIEL
INSTALLDIR
Gibt das Recovery Manager Forest
Edition-Installationsverzeichnis an.
<Instanzname>" INSTALLDIR="<Pfad zum
Installationsverzeichnis>"
Wenn Sie diesen Parameter nicht
angeben, wird das folgende
Standardverzeichnis verwendet:
%Programme%\Quest
Software\Recovery Manager for
Active Directory Forest Edition
BACKUP_PATH
Gibt den Speicherort an, an dem
Recovery Manager Forest Edition
Active Directory-Sicherungen
speichert.
<Instanzname>" BACKUP_PATH="<Pfad zur
Speicherung von AD-Sicherungen>"
Wenn kein Wert für diesen
Parameter angegeben wird,
werden die Sicherungen unter
„%Allusersprofile%\
Application Data\Quest
Software\RMAD\Backups“
gespeichert.
SQLAUTHENTICATION
Gibt die SQL
Server-Authentifizierungsmethode
an. Sie können einen der
folgenden Werte verwenden:
<Instanzname>"
SQLAUTHENTICATION="0"
• 0. Gibt an, dass die
Windows-Anmeldeinformation
en des aktuellen
Benutzerkontos zur
Authentifizierung verwendet
werden sollen.
• 1. Gibt an, dass die in den
Parametern SQLUSERNAME
und SQLUSERPASSWORD
festgelegten
Anmeldeinformationen zur
Authentifizierung verwendet
werden sollen.
Wenn kein Wert für diesen
Parameter angegeben wird,
werden die
Windows-Anmeldeinformationen
des aktuellen Benutzerkontos
verwendet.
SQLUSERNAME
Gibt den Benutzernamen für die
Authentifizierung beim
SQL-Server an.
Dieser Parameter ist erforderlich,
wenn Sie für den Parameter
SQLAUTHENTICATION den Wert
„1“ festlegen.
SQLUSERPASSWORD
Gibt das Kennwort für die
Authentifizierung beim
SQL-Server an.
SQLAUTHENTICATION den Wert
„1“ festlegen.
14
<Instanzname>"
SQLAUTHENTICATION="1"
SQLUSERNAME="<Benutzername>"
SQLUSERPASSWORD="<Kennwort>"
PARAMETER
BESCHREIBUNG
BEISPIEL
VIEWER_APPLICATION_TYPE
Gibt die Anwendung für die
Anzeige von Recovery Manager
Forest Edition-Berichten an.
<Instanzname>"
VIEWER_APPLICATION_TYPE="<Wert>"
Sie können einen der folgenden
Werte verwenden:
• local. Gibt an, dass der auf
dem Recovery Manager
Forest Edition-Computer
installierte Quest Reports
Viewer verwendet werden
soll.
• remote. Gibt an, dass die auf
einem Remotecomputer
installierten Microsoft SQL
Server Reporting Services
verwendet werden sollen.
VIEWER_REPORTING_SERVER
Gibt die HTTP-Adresse für den
Zugriff auf Microsoft SQL Server
Reporting Services an.
VIEWER_APPLICATION_TYPE den
Wert „remote“ festgelegt haben.
<Instanzname>"
VIEWER_APPLICATION_TYPE="remote"
VIEWER_REPORTING_SERVER=
"http://<HTTP-Adresse>"
Stellen Sie bei der Angabe des als Standard-Speicherort für Sicherungsdateien (.bkf) verwendeten
Ordners sicher, dass das Laufwerk, auf dem sich der angegebene Standardordner für die
Sicherungsspeicherung befindet, über ausreichend freien Speicherplatz verfügt. Die Sicherungsdateien
können eine Größe von mehreren hundert Megabyte erreichen.
Installieren des Forest Recovery-Agenten
Recovery Manager for Active Directory Forest Edition greift auf den Forest Recovery-Agenten zurück, um
Active Directory auf den wiederherzustellenden Zieldomänencontrollern wiederherzustellen. Daher muss
der Forest Recovery-Agent auf jedem Domänencontroller in der wiederherzustellenden Gesamtstruktur
installiert sein.
Wenn der Forest Recovery-Agent nicht auf einem Zieldomänencontroller installiert wurde, bevor ein
Notfall eintritt, kann die Anwendung diesen Domänencontroller möglicherweise nicht wiederherstellen.
Anweisungen zur Installation des Forest Recovery-Agenten auf einem Zieldomänencontroller finden Sie
im Benutzerhandbuch, das im Lieferumfang dieser Version von Recovery Manager for Active Directory
Forest Edition enthalten ist.
Planen der Active
Directory-Gesamtstrukturwiederherstellung
Dieser Abschnitt enthält grundlegende Informationen zu empfohlenen Vorgehensweisen bei der Planung
der Wiederherstellung einer Active Directory-Gesamtstruktur. Ausführliche Anweisungen zur
Wiederherstellung der gesamten Active Directory-Gesamtstruktur oder ausgewählter Domänen in der
Gesamtstruktur finden Sie im „Recovery Manager Forest Edition Benutzerhandbuch“, das im
Lieferumfang dieser Version enthalten ist.
15
Entwickeln eines benutzerdefinierten
Gesamtstruktur-Wiederherstellungsplans
Bei der Planung einer Active Directory-Gesamtstrukturwiederherstellung sollten Sie zunächst eine
detaillierte Topologiekarte Ihrer Gesamtstrukturen erstellen. Die Karte sollte alle Informationen über die
Domänencontroller enthalten, z. B. ihre Namen, den Sicherungsstatus und die Vertrauensstellungen
zwischen den Domänencontrollern.
Um eine Gesamtstrukturwiederherstellung durchführen zu können, ist ein Administratorkontokennwort
für jede Domäne in der Gesamtstruktur erforderlich. Es empfiehlt sich, den Verlauf der
Administratorkontokennwörter zu archivieren und das Archiv an einem sicheren Ort zu speichern.
Vor der Wiederherstellung auszuführende Schritte
Da die Wiederherstellung einer Gesamtstruktur ein äußerst komplexer und kritischer Vorgang ist, wird
empfohlen, dass der Active Directory-Administrator die folgenden Regeln einhält, um einen Ausfall der
Gesamtstruktur zu verhindern:
•
Verwenden Sie nur zuverlässige und fehlerfreie Hardware (Festplatten, unterbrechungsfreie
Stromversorgung usw.).
•
Testen Sie jede neue Konfiguration zunächst in einer Testumgebung, bevor Sie sie in der
Produktionsumgebung umsetzen.
•
Stellen Sie sicher, dass jede Domäne in der Gesamtstruktur über mindestens zwei
Domänencontroller verfügt.
•
Lassen Sie ausführliche tägliche Protokolle über den aktuellen Zustand von Active Directory
erstellen, damit bei einem Ausfall der gesamten Struktur der ungefähre Zeitpunkt des Ausfalls
ermittelt werden kann.
•
Sichern Sie regelmäßig alle Domänencontroller in der Gesamtstruktur mit Hilfe von Quest
Recovery Manager.
•
Installieren Sie den Forest Recovery-Agenten auf allen Domänencontrollern in der
Gesamtstruktur.
•
Erstellen Sie mit Hilfe der Forest Recovery-Konsole ein Wiederherstellungsprojekt für Ihre
Gesamtstruktur. Testen Sie das Gesamtstruktur-Wiederherstellungsprojekt regelmäßig und
insbesondere dann, wenn sich die Mitglieder der Unternehmensadministratorengruppe oder
Domänenadministratorengruppe ändern. Dadurch wird gewährleistet, dass das IT-Personal
den Gesamtstruktur-Wiederherstellungsplan in vollem Umfang versteht.
Es empfiehlt sich, eine Computersammlung zu erstellen, die alle Domänencontroller in der
Gesamtstruktur umfasst, und diese Sammlung jedes Mal, wenn Sie Änderungen an der Infrastruktur der
Gesamtstruktur vornehmen, zu sichern.
Um zu gewährleisten, dass Forest Recovery Agent auf allen Domänencontrollern installiert ist, öffnen Sie
die Recovery Manager-Konsole (MMC-Snap-In), und führen Sie die folgenden Schritte durch:
1. Erweitern Sie in der Konsolenstruktur den Knoten Computer Collections
(Computersammlungen), und wählen Sie dann die Computersammlung aus, die alle
Domänencontroller in der Gesamtstruktur enthält.
2. Klicken Sie im Menü Action (Aktion) auf Properties (Eigenschaften), und klicken Sie dann auf
die Registerkarte Agent Settings (Agenteneinstellungen).
3. Aktivieren Sie auf der Registerkarte Agent Settings (Agenteneinstellungen) das
Kontrollkästchen Ensure Forest Recovery agent is deployed (Sicherstellen, dass der Forest
Recovery-Agent bereitgestellt wird). Klicken Sie abschließend auf OK.
16
Erstellen eines Gesamtstruktur-Wiederherstellungsprojekts
Das Wiederherstellungsprojekt ist der Bereich, in dem Sie die Wiederherstellung aller
wiederherzustellenden Domänencontroller in der Gesamtstruktur verwalten. Das Projekt umfasst auch
die Liste der Domänencontroller und die von Ihnen konfigurierten Einstellungen, z. B. die
Wiederherstellungsmethode für die einzelnen Domänencontroller und die Anmeldeinformationen, die die
Anwendung für den Zugriff auf den Domänencontroller verwendet. Die Projektdatei (FRPROJ-Datei)
enthält Informationen über den Inhalt und die Eigenschaften des Projekts.
Um ein Wiederherstellungsprojekt zu erstellen, öffnen Sie die Forest Recovery-Konsole, und führen Sie
die folgenden Schritte durch:
1.
Klicken Sie in der Menüleiste auf File (Datei), und dann auf New Project (Neues
Projekt). Befolgen Sie die Anweisungen des Assistenten.
2.
Geben Sie auf der Seite Retrieving the Forest Infrastructure (Abfragen der
Gesamtstruktur-Infrastruktur) an, wie die Verbindung zu der wiederherzustellenden
Gesamtstruktur hergestellt werden soll.
3.
Befolgen Sie die Anweisungen, um den Assistenten abzuschließen.
4.
Klicken Sie im Menü File (Datei) auf Save Project (Projekt speichern), und füllen Sie
dann das Dialogfeld Save Forest Recovery Project (Forest Recovery-Projekt
speichern) aus.
Alle Wiederherstellungsprojekte müssen durch ein Kennwort geschützt werden. Nachdem Sie den
Projektnamen im Dialogfeld Save Forest Recovery Project (Forest Recovery-Projekt speichern)
angegeben haben, wird das Dialogfeld Set the Project Password (Projektkennwort festlegen)
geöffnet, in dem Sie das Kennwort zum Schutz des Projekts eingeben können.
Testen des Gesamtstruktur-Wiederherstellungsprojekts
Um zu gewährleisten, dass Sie die Gesamtstruktur mit minimaler Ausfallzeit wiederherstellen können,
wird empfohlen, dass Sie das Gesamtstruktur-Wiederherstellungsprojekt regelmäßig mit Hilfe der
Testmodusfunktion von Recovery Manager Forest Edition testen.
Wenn Sie das Gesamtstruktur-Wiederherstellungsprojekt testen, fragt Recovery Manager Forest Edition
die wiederherzustellenden Domänencontroller und den auf diesen Domänencontrollern installierten
Forest Recovery-Agenten ab. Die Anwendung überprüft, ob der Forest Recovery-Agent installiert ist und
ausgeführt wird. Die Anwendung gewährleistet außerdem, dass der Forest Recovery-Agent mit den
angegebenen Anmeldeinformationen auf die Domänencontroller und Sicherungsdateien zugreifen kann.
Die Ergebnisse dieser Abfragen werden dem Active Directory-Administrator gemeldet.
Die Verwendung des Testmodus erleichtert die Gesamtstrukturwiederherstellung und Fehlerbehebung,
da er die Erkennung möglicher Probleme erlaubt.
So testen Sie das Wiederherstellungsprojekt:
1.
Erstellen oder öffnen Sie ein Wiederherstellungsprojekt.
2.
Klicken Sie in der Menüleiste auf Test.
3.
Um einen Bericht über die Testergebnisse anzuzeigen, klicken Sie in der Menüleiste auf
View Report (Bericht anzeigen).
17
Wiederherstellen einer Active
Directory-Gesamtstruktur
Dieser Abschnitt enthält grundlegende Informationen zu empfohlenen Vorgehensweisen bei der
Wiederherstellung einer Active Directory-Gesamtstruktur. Ausführliche Anweisungen zur
Wiederherstellung der gesamten Active Directory-Gesamtstruktur oder ausgewählter Domänen in der
Gesamtstruktur finden Sie im „Recovery Manager Forest Edition Benutzerhandbuch“, das im
Lieferumfang dieser Version enthalten ist.
Entscheiden, wann eine
Gesamtstrukturwiederherstellung durchgeführt werden
soll
Im Microsoft-Dokument „Planning for Active Directory Forest Recovery“
(http://download.microsoft.com/download/d/4/d/d4d211ff-c179-4092-8e23-796268402efa/ForestRec.
doc) heißt es: „Im Allgemeinen ist eine Gesamtstrukturwiederherstellung notwendig, wenn keiner der
Domänencontroller in der Gesamtstruktur normal ausgeführt werden kann oder wenn die beschädigten
Domänencontroller gefährliche Daten auf neue Domänencontroller ausbreiten können.“
Nachfolgend sind einige Beispiele für gesamtstrukturweite Ausfälle aufgeführt:
•
Die Replikationsfunktion in der Gesamtstruktur funktioniert nicht ordnungsgemäß.
•
Die von Ihnen an Active Directory vorgenommenen Änderungen werden nicht gespeichert.
•
Sie können zu keiner Domäne neue Domänencontroller hinzufügen.
•
Alle Business-Anwendungen, die von Active Directory abhängig sind, funktionieren nicht.
•
Ein verärgerter Mitarbeiter mit Administratorrechten hat das Active Directory-Schema
beschädigt.
•
Ein Mitarbeiter mit Administratorrechten hat versehentlich ein Skript ausgeführt, durch das
Daten in der Active Directory-Gesamtstruktur beschädigt werden.
•
Das Active Directory-Schema wurde absichtlich oder unabsichtlich um bösartige oder Konflikte
verursachende Änderungen erweitert.
Wenn Symptome einer gesamtstrukturweiten Störung etwa in Ereignisprotokollen oder anderen
Überwachungslösungen auftreten, stellen Sie in Zusammenarbeit mit dem Microsoft-Kundensupport
(CSC) die Ursache für die Störung fest, und evaluieren Sie alle möglichen Maßnahmen zur Behebung des
Problems.
Da die Wiederherstellung einer Gesamtstruktur ein äußerst komplexer und kritischer Vorgang ist, sollte
die Active Directory-Gesamtstrukturwiederherstellung die letzte Option sein. Wenden Sie sich an den
Microsoft-Kundensupport, bevor Sie eine endgültige Entscheidung treffen.
Auswählen der zu verwendenden Sicherungen
Laut dem Microsoft-Dokument „Planning for Active Directory Forest Recovery“ wird „dringend
empfohlen, dass Sie die Domänencontroller mit Hilfe von Sicherungen wiederherstellen, die einige Tage
vor dem Auftreten der Störung erstellt wurden. Im Allgemeinen müssen Sie zwischen Aktualität und
Sicherheit der wiederhergestellten Daten abwägen. Bei Auswahl einer neueren Sicherung werden mehr
nützliche Daten wiederhergestellt, aber dadurch wird auch das Risiko erhöht, gefährliche Daten erneut
in die wiederhergestellte Gesamtstruktur einzuschleusen.
18
Wenn der Zeitpunkt des Auftretens der Störung unbekannt ist, führen Sie weitere Untersuchungen
durch, um Sicherungen zu ermitteln, die den letzten sicheren Status der Active
Directory-Gesamtstruktur enthalten. Diese Vorgehensweise ist weniger wünschenswert. Daher wird
dringend empfohlen, ausführliche Protokolle über den aktuellen Zustand von Active Directory zu
erstellen, damit bei einem Ausfall der gesamten Struktur der ungefähre Zeitpunkt des Ausfalls ermittelt
werden kann.“
Die Forest Recovery-Konsole enthält einen Sicherungsfilter, mit dem Sie Kriterien für die Sicherungen,
aus denen Sie Active Directory wiederherstellen möchten, angeben können. Weitere Informationen über
die Verwendung des Sicherungsfilters finden Sie im „Recovery Manager Forest Edition
Benutzerhandbuch“.
Auswählen der wiederherzustellenden
Domänencontroller
Die aktuelle Version von Quest Recovery Manager Forest Edition unterstützt die Wiederherstellung von
Domänencontrollern aus Sicherungen, die mit Recovery Manager for Active Directory erstellt wurden.
Daher können Sie nur Domänencontroller wiederherstellen, die über eine „gute“ (vertrauenswürdige)
Sicherung verfügen. Eine gute Sicherung ist eine Sicherung, die ein paar Tage vor der Störung erstellt
wurde und möglichst viele nützliche Daten enthält.
Bei der Wiederherstellung der Gesamtstruktur wird jede Domäne in der Gesamtstruktur in dem Zustand
wiederhergestellt, den sie zum Zeitpunkt der Erstellung der vertrauenswürdigen Sicherung hatte.
Folglich führt der Wiederherstellungsvorgang zum Verlust von mindestens den folgenden Active
Directory-Daten:
• Alle Objekte (wie etwa Benutzer und Computer), die nach der letzten vertrauenswürdigen Sicherung
hinzugefügt wurden
• Alle Aktualisierungen, die seit der letzten vertrauenswürdigen Sicherung an vorhandenen Objekten
vorgenommen wurden
• Alle Änderungen, die entweder an der Konfigurationspartition oder an der Schemapartition in Active
Directory vorgenommen wurden (wie etwa Schemaänderungen)
19
Empfohlene Vorgehensweisen für das
Bereitstellen der Recovery Manager-Konsole
Es wird empfohlen, die Recovery Manager-Konsole auf einem Mitgliedsserver und nicht auf einem
Domänencontroller zu installieren. Bei Installation auf einem Domänencontroller belegt die Recovery
Manager-Konsole dessen Ressourcen und kann die Leistung des Domänencontrollers beeinträchtigen.
Um eine selektive Online-Wiederherstellung von Active Directory-Daten auszuführen, genügt es, eine
Instanz der Recovery Manager-Konsole in der Active Directory-Gesamtstruktur bereitzustellen.
Um eine vollständige Offline-Wiederherstellung von Active Directory auszuführen, wird empfohlen, eine
Instanz der Recovery Manager-Konsole für jede Active Directory-Site bereitzustellen.
20
Empfohlene Vorgehensweisen für die
Verwendung von Computersammlungen
Mit Hilfe einer Computersammlung können Sie Computer (Domänencontroller oder AD LDS
(ADAM)-Hosts), auf die Sie dieselben Sicherungseinstellungen anwenden möchten, in Gruppen
zusammenfassen. Weitere Informationen zum Erstellen und Verwalten von Computersammlungen finden
Sie im Benutzerhandbuch, das im Lieferumfang dieser Version von Recovery Manager enthalten ist.
Es wird empfohlen, Computer derselben Computersammlung hinzuzufügen, wenn Sie eine der folgenden
Aktionen ausführen möchten:
•
Sichern der gleichen Systemstatuskomponenten auf allen diesen Computern.
•
Anwenden der gleichen Sicherungsspeicherrichtlinie auf allen diesen Computern.
So können Sie mit diesem Verfahren beispielsweise Domänencontrollersicherungen an einem
zentralen Speicherort speichern, auf den die Recovery Manager-Konsole über eine schnelle
Verbindung zugreifen kann. Bei diesem Szenario müssen Sicherungen nicht über das gesamte
Netzwerk kopiert werden, bevor Sie einen Online-Wiederherstellungsvorgang durchführen,
und die Wiederherstellung kann zentral verwaltet werden.
•
Einrichten des gleichen Zeitplans für die Sicherungserstellung für alle diese Computer.
In der folgenden Abbildung ist ein Beispiel für die Verwendung von Computersammlungen dargestellt:
Beispiel für die Verwendung von Computersammlungen
Tokio
London
(Recovery Manager-Konsole)
New York
Computersammlung 1
(alle DCs)
Computersammlung 2
(alle DCs)
Computersammlung 3
(alle DCs)
Computersammlung 4
(2 DCs vom Standort in London)
In diesem Beispiel ist die Recovery Manager-Konsole am Standort London installiert. Die
Computersammlungen 1, 2 und 3 umfassen sämtliche Domänencontroller der Standorte Tokio, London
und New York. Die Computersammlung 4 umfasst zwei Domänencontroller am Standort London. Die
Recovery Manager-Konsole kann über eine schnelle Verbindung auf die Sicherungen dieser beiden
Domänencontroller zugreifen. Die Sicherungen können für die selektive Online-Wiederherstellung von
Active Directory-Objekten verwendet werden.
21
Ausführen von Wiederherstellungen
Dieser Abschnitt enthält Empfehlungen zur Ausführung von Wiederherstellungsvorgängen mit Recovery
Manager for Active Directory Forest Edition.
Unterschiede zwischen agentenbasierten und
agentenlosen Methoden der Wiederherstellung
Mit Recovery Manager können Sie durch LDAP-Funktionen (agentenlose Methode) oder über den in
Recovery Manager for Active Directory Forest Edition enthaltenen Wiederherstellungsagenten
(agentenbasierte Methode) auf den Zieldomänencontroller zugreifen. Jede dieser Methoden hat
bestimmte Vorteile, Einschränkungen und Voraussetzungen.
Agentenlose Methode
VORTEILE
• Durch die Nutzung der LDAP-Funktionen wirkt
sich der Assistent weniger stark auf den
Domänencontroller aus.
• Administratorrechte sind nicht erforderlich, um
die Wiederherstellungs- und Vergleichsvorgänge
ausführen zu können.
EINSCHRÄNKUNGEN
• Zum Wiederherstellen einiger Objektattribute wie
z. B. Benutzerkennwort und SID-Verlauf müssen Sie
das Active Directory-Schema ändern. Weitere
Informationen finden Sie unter „Wiederherstellen
von Kennwörtern und des SID-Verlaufs“ im
Benutzerhandbuch.
• Gelöschte Objekte können bei Windows Server
2000-basierten Domänencontrollern nicht durch
LDAP-Funktionen wiederhergestellt werden.
Erforderliche Berechtigungen für die agentenlose Methode
Das Konto, mit dem Recovery Manager for Active Directory Forest Edition auf den Zieldomänencontroller
zugreift, benötigt bestimmte Berechtigungen, damit Datenwiederherstellungsaufgaben ausgeführt
werden können.
AUFGABE
ERFORDERLICHE BERECHTIGUNGEN
Objektattribute wiederherstellen
Schreibzugriff auf die Attribute, die wiedergestellt
werden sollen
Gelöschtes Objekt wiederherstellen
• Steuerungszugriffsrecht „Tombstone
wiederbeleben“.
• Schreibzugriff auf jedes Attribut, das während der
Wiederherstellung aktualisiert werden soll
• Erstellungsrechte für untergeordnete Objekte im
Zielcontainer für die Klasse des Objekts, das
wiederhergestellt werden soll
Domänenübergreifende Gruppenmitgliedschaften
wiederherstellen
22
Schreibzugriff auf universelle Gruppen und lokale
Gruppen der Domäne in anderen Domänen
Agentenbasierte Methode
VORTEILE
• Bei dieser Methode können Sie sämtliche Objekte
(auch gelöschte Objekte) und Attribute (auch
Benutzerkennwort und SID-Verlauf) vergleichen
und wiederherstellen.
• Ein Wiederherstellungsvorgang kann auf einem
Domänencontroller durchgeführt werden, auf
dem eine beliebige, von Produktname
unterstützte Version eines
Windows-Betriebssystems ausgeführt wird.
• Die agentenbasierte Wiederherstellungsmethode
ist normalerweise schneller als die agentenlose
Methode.
EINSCHRÄNKUNGEN
• Der Zieldomänencontroller muss identisch mit der
Sicherungsquelle sein.
• Das Benutzerkonto, mit dem Sie auf den
Zieldomänencontroller zugreifen, muss über
Administratorrechte für die Domäne verfügen und
ein Mitglied der Sicherungsoperatorengruppe sein,
wenn auf dem Zieldomänencontroller Windows
Server 2003 ausgeführt wird.
• Produktname installiert automatisch den
Wiederherstellungsagenten (die Datei „RstAgent.exe“)
vor dem Start einer Wiederherstellung und entfernt
ihn nach Abschluss des Vorgangs wieder automatisch.
Die Größe der Datei „RstAgent.exe“ beträgt etwa
380.000 Byte.
Erforderliche Berechtigungen für die agentenbasierte Methode
Das Konto, mit dem Recovery Manager for Active Directory Forest Edition auf den Zieldomänencontroller
zugreift, muss über folgende Berechtigungen verfügen:
•
Es muss über ausreichende Berechtigungen zum Kopieren von Dateien auf den
Zieldomänencontroller verfügen.
•
Es muss Access Service Control Manager auf dem Zieldomänencontroller sein.
•
Es muss über Schreibzugriff auf universelle Gruppen und lokale Domänengruppen in anderen
Domänen verfügen (nur zum Wiederherstellen von domänenübergreifenden
Gruppenmitgliedschaften).
Damit die oben genannten Voraussetzungen erfüllt sind, muss das Konto Mitglied einer der folgenden
Gruppen sein:
•
Lokale Administratorengruppe auf den einzelnen Zieldomänencontrollern
•
Sicherungsoperatorengruppe oder Domänenadministratorengruppe auf jedem
Zieldomänencontroller mit Windows Server 2003 oder einer späteren Version von Windows
23
Wiederherstellen von Kennwörtern und des
SID-Verlaufs
Wenn das Löschen eines Objekts mit Hilfe der agentenlosen Wiederherstellungsmethode rückgängig
gemacht wird, verwendet der Online-Wiederherstellungsassistent die LDAP-Funktionen sowie die vom
Windows-Betriebssystem bereitgestellte Funktion „Wiederherstellung gelöschter Objekte“. Diese
Funktion stellt nur die Attribute wieder her, die im Tombstone eines Objekts gespeichert wurden. Die
anderen Attribute werden aus einer Sicherung wiederhergestellt. Einige Objektattribute wie das
Benutzerkennwort und der SID-Verlauf können jedoch nicht mit LDAP-Funktionen geschrieben und
daher auch nicht mit der agentenlosen Methode aus einer Sicherung wiederhergestellt werden.
Oft ist es kein großes Problem, wenn das Kennwort-Attribut nicht aus einer Sicherung wiederhergestellt
werden kann, da das Objektkennwort nach der Wiederherstellung des Objekts zurückgesetzt werden
kann. Die Wiederherstellung des Attributs „SID-Verlauf“ kann jedoch unternehmenskritisch sein. Als
Beispiel sei hier eine Situation aufgeführt, in der die Domäne, aus der das Objekt migriert wurde, nicht
verfügbar oder außer Betrieb ist und somit der SID-Verlauf nicht wieder hinzugefügt werden kann.
Damit diese beiden Attribute mit der agentenlosen Methode wiederhergestellt werden können, kann das
Active Directory-Schema so geändert werden, dass diese Attribute in Objekt-Tombstones erhalten
bleiben. Entsprechend verfügt ein Objekt, dessen Löschung rückgängig gemacht wurde, über das gleiche
Kennwort und den gleichen SID-Verlauf wie vor der Löschung.
Da für diese Lösung Schemaänderungen erforderlich sind, sollte sie sorgfältig abgewogen werden.
Microsoft empfiehlt die Änderung oder Erweiterung des Schemas nur in Ausnahmefällen. Gehen Sie
daher mit höchster Vorsicht vor, denn ein Fehler kann den Verzeichnisdienst destabilisieren und eine
Neuinstallation erforderlich machen.
Häufig nehmen Organisationen nur ungern Änderungen am Schema vor, weil Schemaänderungen zu
einem hohen Replikationsdatenverkehr führen können. Dies gilt nicht für die in diesem Artikel
beschriebenen Schemaänderungen, weil sie nicht den partiellen Attributsatz (PAS) betreffen.
Recovery Manager bietet außerdem eine agentenbasierte Methode für die Wiederherstellung oder das
Rückgängig machen des Löschvorgangs von Objekten. Bei der agentenbasierten Methode können alle
Attribute wiederhergestellt werden. Die agentenbasierte Methode erfordert keine Schemaänderungen.
Beibehalten der Kennwörter und des SID-Verlaufs in
Objekt-Tombstones
Schritt 1: Sicherstellen, dass die Voraussetzungen erfüllt sind
24
•
Sie sind als ein Mitglied der Unternehmensadministratorengruppe angemeldet.
•
Schreibvorgänge am Schema sind zulässig. Weitere Informationen darüber, wie
Schreibvorgänge am Schema zugelassen werden, finden Sie im Microsoft Knowledge
Base-Artikel 216060 „Registry Modification Required to Allow Write Operations to Schema“
unter http://support.microsoft.com.
Schritt 2: Ändern des Werts für das Attribut „searchFlags“
Damit der SID-Verlauf in den Tombstones erhalten bleibt, ändern Sie den Wert des Attributs
searchFlags für das SID-Verlauf-Schemaobjekt (sIDHistory).
Damit Kennwörter in Tombstones erhalten bleiben, müssen Sie den Wert des Attributs searchFlags für
die folgenden kennwortbezogenen Schemaobjekte ändern:
•
Unicode-Pwd (unicodePwd)
•
DBCS-Pwd (dBCSPwd)
•
Supplemental-Credentials (supplementalCredentials)
•
Lm-Pwd-History (lmPwdHistory)
•
Nt-Pwd-History (nTPwdHistory)
In den Attributen „Lm-Pwd-History“ und „Nt-Pwd-History“ wird der Kennwortverlauf gespeichert. Aus
Sicherheitsgründen wird empfohlen, diese Attribute zusammen mit dem Kennwort wiederherzustellen.
Um festzustellen, welcher neue Wert für das Attribut searchFlags festgelegt werden muss, verwenden
Sie die folgende Formel:
8 + aktueller Attributwert von searchFlags = neuer Attributwert von searchFlags.
So ändern Sie den Wert für das Attribut „searchFlags“:
1.
Melden Sie sich am Schema-FSMO-Domänencontroller an.
2.
Starten Sie das Tool „Adsiedit.msc“ (klicken Sie auf Start und dann auf Ausführen, geben
Sie Adsiedit.msc ein, drücken Sie dann die Eingabetaste), und stellen Sie eine Verbindung
zum Schema-Namenskontext her.
3.
Erweitern Sie den Container Schema in der Konsolenstruktur, um den Container
auszuwählen, der die Schemaobjekte enthält, die Sie ändern möchten.
4.
Klicken Sie im Detailfenster mit der rechten Maustaste auf das zu ändernde Objekt, und
klicken Sie dann auf Eigenschaften.
5.
Geben Sie den neuen Attributwert für searchFlags ein, den Sie zuvor in Schritt 2: Ändern
des Werts für das Attribut „searchFlags“ ermittelt haben.
In Windows Server 2003 oder einer höheren Version von Windows:
a) Wählen Sie auf der Registerkarte Attribut-Editor die Option searchFlags aus der Liste
Attribute, und klicken Sie dann auf die Schaltfläche Bearbeiten.
b) Geben Sie im Feld Attribut-Editor einen Wert ein, und klicken Sie dann auf OK.
– ODER –
In Windows 2000:
a) Wählen Sie auf der Registerkarte Attribut(e) den Eintrag searchFlags aus der Liste
Anzuzeigende Eigenschaft.
b) Geben Sie im Feld Attribut bearbeiten einen Wert ein, klicken Sie auf Festlegen, und
klicken Sie auf OK.
25
Erstellen von Sicherungen
Dieser Abschnitt enthält einige empfohlene Vorgehensweisen für die Sicherung von Active
Directory-Daten mit Hilfe von Recovery Manager for Active Directory Forest Edition.
Entwickeln eines Sicherungs- und Wiederherstellungsplans
Es wird empfohlen, die folgenden Regeln zu beachten, um einen Ausfall von Active Directory zu vermeiden:
•
Verwenden Sie nur zuverlässige und fehlerfreie Hardware (Festplatten und
unterbrechungsfreie Stromversorgung).
•
Testen Sie jede neue Konfiguration zunächst in einer Testumgebung, bevor Sie sie in der
Produktionsumgebung umsetzen.
•
Stellen Sie sicher, dass jede Domäne in der Active Directory-Gesamtstruktur über mindestens
zwei Domänencontroller verfügt.
•
Lassen Sie ausführliche tägliche Protokolle über den aktuellen Zustand von Active Directory
erstellen, damit bei einem Ausfall der gesamten Struktur der ungefähre Zeitpunkt des Ausfalls
ermittelt werden kann.
Festlegen der zu sichernden Domänencontroller und der
entsprechenden Zeitpläne
Um eine Online-Wiederherstellung gelöschter oder fehlerhafter Active Directory-Objekte durchführen zu
können, sollten aus Redundanzgründen mindestens zwei Domänencontroller je Domäne gesichert
werden. Falls domänenübergreifende Gruppenmitgliedschaften wiederhergestellt werden sollen, ist es
außerdem erforderlich, einen globalen Katalogserver zu sichern. Die Sicherung des globalen
Katalogservers muss mit der Option When backing up Global Catalog servers, collect group
membership information from all domains within the Active Directory forest (Beim Sichern
von globalen Katalogservern Gruppenmitgliedschaftsinformationen von allen Domänen
innerhalb der Active Directory-Gesamtstruktur sammeln) auf der Registerkarte System State
(Systemstatus) im Dialogfeld Computer Collection Properties (Eigenschaften der
Computersammlung) erstellt werden.
Wenn Sie Domänencontroller nach einem Ausfall mit Recovery Manager wiederherstellen möchten (z. B.
mit dem Reparaturassistenten), empfiehlt es sich, alle Domänencontroller in allen Domänen sichern.
Aktivieren Sie dazu die Option Collect Forest Recovery metadata (Forest Recovery-Metadaten
sammeln) auf der Registerkarte System State (Systemstatus) im Dialogfeld Computer Collection
Properties (Eigenschaften der Computersammlung). Bei aktivierter Option werden Sicherungen
erstellt, die von der Forest Recovery-Konsole für die Wiederherstellung einer Gesamtstruktur verwendet
werden können. Weitere Informationen finden Sie im Benutzerhandbuch, das im Lieferumfang dieser
Version von Recovery Manager enthalten ist.
Es wird empfohlen, die Domänencontroller mindestens täglich zu sichern. Zusätzlich sollten Sie alle
Domänencontroller immer dann sichern, wenn wichtige Änderungen in der IT-Umgebung vorgenommen
wurden.
Methoden zur Bereitstellung des Sicherungsagenten
Recovery Manager erstellt mit dem Sicherungsagenten Sicherungen von Remote-Domänencontrollern.
Der Sicherungsagent muss auf jedem Remote-Domänencontroller bereitgestellt werden, auf dem Active
Directory-Daten gesichert werden sollen.
Es gibt zwei Methoden, den Sicherungsagenten bereitzustellen:
26
•
Lassen Sie Recovery Manager vor Beginn einer Sicherungserstellung den Sicherungsagenten
automatisch bereitstellen und bei Abschluss des Sicherungsvorgangs automatisch wieder
entfernen.
•
Installieren Sie den Sicherungsagenten vorab manuell auf allen Zieldomänencontrollern, auf
denen Active Directory-Daten gesichert werden sollen.
Die letztere Methode ermöglicht außerdem Folgendes:
•
Ausführen eines Sicherungsvorgangs ohne Domänenadministratorrechte. Es reicht aus, wenn
Recovery Manager mit den Anmeldeinformationen eines Sicherungsoperators ausgeführt
wird.
•
Verringern des Netzwerkdatenverkehrs bei der Sicherung einer Computersammlung.
•
Sichern von Domänencontrollern in Domänen, die in keiner Vertrauensstellung zu der Domäne
stehen, in der Recovery Manager ausgeführt wird. Dadurch wird das „No Trust“-Problem
behoben.
Um den Sicherungsagenten vorab zu installieren, können Sie den
Sicherungsagent-Installationsassistenten verwenden oder eine automatische Installation durchführen.
Weitere Informationen finden Sie im Handbuch Erste Schritte, das im Lieferumfang dieser Version von
Recovery Manager for Active Directory Forest Edition enthalten ist.
Beibehalten der neuen Sicherungen
Wenn Sie (wie weiter oben in diesem Dokument empfohlen) täglich vollständige Sicherungen erstellen,
sollten Sie eine Sicherungsaufbewahrungsrichtlinie konfigurieren, um die Sicherungen mindestens zwei
Wochen lang aufzubewahren (sodass Sie pro Domänencontroller immer die 14 Sicherungskopien der
zurückliegenden 14 Tage zur Verfügung haben). So stehen Ihnen immer eine ausreichende Anzahl von
Sicherungen für eine Wiederherstellung nach einem Fehler von Active Directory zur Verfügung, falls
dieser über längere Zeit unerkannt geblieben ist. Informationen zur Konfiguration einer
Sicherungsaufbewahrungsrichtlinie finden Sie im Benutzerhandbuch, das im Lieferumfang dieser Version
von Recovery Manager for Active Directory Forest Edition enthalten ist.
Zusätzlich zu den aufbewahrten Sicherungen können Sie außerdem wöchentlich mindestens eine
Sicherung der Domänencontroller archivieren. So können Sie Active Directory-Daten (beispielsweise
gelöschte Objekte) aus einem Zeitraum, der vor dem aufbewahrten Sicherungsverlauf liegt, wieder
abrufen. Stellen Sie sicher, dass diese archivierten Sicherungen die gesamte Tombstone-Lebensdauer
abdecken (d. h. 60 Tage oder 180 Tage in der Standardeinstellung, abhängig von der Version des
Windows-Betriebssystems).
Aus Sicherheitsgründen empfiehlt es sich außerdem, mindestens eine Kopie jeder Sicherung außerhalb
des Netzwerks in einer ordnungsgemäß kontrollierten Umgebung aufzubewahren, damit diese Kopie vor
möglichen schädlichen Angriffen über das Netzwerk geschützt ist.
Speicherort von Sicherungen
Für jede Computersammlung können Sie angeben, wo die Sicherungsdateien der Sammlung gespeichert
werden. Sie können die Sicherungen auf dem Computer, auf dem Recovery Manager ausgeführt wird,
auf dem Domänencontroller, der gesichert wird, oder auf einer beliebigen verfügbaren Netzwerkfreigabe
speichern.
Dieser Abschnitt enthält allgemeine Empfehlungen zum Speicherort von Sicherungen, die in spezifischen
Wiederherstellungsszenarien verwendet werden sollten, wie zum Beispiel bei der granularen
Online-Wiederherstellung von Verzeichnisobjekten, der vollständigen Offline-Wiederherstellung von
Active Directory oder der Wiederherstellung einer Active Directory-Gesamtstruktur.
Weitere Informationen zur Festlegung der Speichereinstellungen für Sicherungen finden Sie im
Benutzerhandbuch, das im Lieferumfang dieser Version von Recovery Manager enthalten ist.
27
Speichern von Sicherungen für eine granulare Online- oder eine
vollständige Offline-Wiederherstellung
In der folgenden Abbildung wird die empfohlene Methode zum Speichern der Sicherungen dargestellt,
die Sie für eine granulare Online- oder eine vollständige Offline-Wiederherstellung von Active Directory
verwenden möchten:
Sicherungen für eine granulare Online- oder eine
vollständige Offline-Wiederherstellung
DC 1
DC 2
Sicherungsdatei 1
Sicherungsdatei 1
DC 3
Sicherungsdatei 1
Zentraler Speicherort für Sicherung
Schnelle Verbindung
Recovery
Manager-Konsole
Es wird empfohlen, diese Sicherungen in einem zentralen Sicherungsspeicher zu speichern, auf den die
Recovery Manager-Konsole über eine schnelle und zuverlässige Verbindung zugreifen kann. Eine solche
Verbindung ist erforderlich, da während eines Wiederherstellungsvorgangs möglicherweise
Sicherungsdateien vom zentralen Sicherungsspeicher auf den Computer, auf dem die Recovery
Manager-Konsole verwendet wird, kopiert oder entpackt werden.
28
Speichern von Sicherungen für die Gesamtstrukturwiederherstellung
In der folgenden Abbildung wird die empfohlene Methode für das Speichern von Sicherungen dargestellt,
die für eine Wiederherstellung der Gesamtstruktur verwendet werden sollen:
Sicherungen für die Gesamtstrukturwiederherstellung
DC 1
Sicherungsdatei
DC 2
Sicherungsdatei
DC 3
Sicherungsdatei
Wenn Sie Recovery Manager verwenden möchten, um die vollständige Gesamtstruktur von Active
Directory oder bestimmter Domänen in der Gesamtstruktur wiederherzustellen, empfiehlt es sich, jede
Sicherungsdatei auf dem Domänencontroller zu speichern, der gesichert werden soll. Dadurch wird die
Netzwerkbelastung während des Wiederherstellungsvorgangs vermindert und der
Wiederherstellungsprozess beschleunigt. Außerdem vereinfacht das Speichern der Sicherungsdateien
auf den Zieldomänencontrollern die Organisation der erforderlichen Berechtigungen für den Zugriff auf
diese Dateien.
29
Erstellen differenzieller Sicherungen
In Recovery Manager Forest Edition können differenzielle Sicherungen von in Computersammlungen
enthaltenen Domänencontrollern erstellt werden. Bei einer differenziellen Sicherung werden die Änderungen
in der Active Directory-Datenbank gespeichert, die seit der letzten vollständigen Sicherung vorgenommen
wurden. Die bei einer differenziellen Sicherung gespeicherten Daten enthalten ausschließlich die
Transaktionsprotokolldateien bis zum Zeitpunkt der Sicherung. Mit Hilfe von differenziellen Sicherungen
können Sie die Größe der in der Sicherungsregistrierungsdatenbank gespeicherten Sicherungsdateien
verringern. Sie können das Erstellen differenzieller Sicherungen in den Eigenschaften von
Computersammlungen auf der Registerkarte Differential Backup (Differenzielle Sicherung) verwalten.
Um die Erstellung von differenziellen Sicherungen für Domänencontroller in einer Sammlung zu
ermöglichen, gehen Sie wie nachfolgend beschrieben vor.
Schritt 1: Aktivieren der Erstellung von differenziellen Sicherungen in der Recovery
Manager-Konsole
Die Aktivierung der Erstellung von differenziellen Sicherungen kann dazu führen, dass der
Domänencontroller nicht mehr über ausreichend Speicherplatz verfügt, wenn vollständige Sicherungen
des Domänencontrollers nicht häufig genug oder gar nicht erstellt werden.
So aktivieren Sie die Erstellung von differenziellen Sicherungen:
1.
2.
3.
Erweitern Sie in der Recovery Manager-Konsolenstruktur den Knoten Computer Collections
(Computersammlungen), und wählen Sie die Computersammlung aus, die gesichert
werden soll.
Klicken Sie im Menü Action (Aktion) auf Properties (Eigenschaften). Geben Sie im
Dialogfeld Properties (Eigenschaften) an, welche Daten gesichert werden sollen, wo die
Sicherungen gespeichert werden sollen und wie die Protokollierung erfolgen soll.
Klicken Sie im Dialogfeld Properties (Eigenschaften) auf die Registerkarte Differential
Backup (Differenzielle Sicherung), und führen Sie folgende Schritte aus:
•
•
Aktivieren Sie das Kontrollkästchen Create differential backups (Differenzielle Sicherung
erstellen).
Klicken Sie auf Add (Hinzufügen), um Kriterien für die Erstellung einer vollständigen Sicherung
anzugeben.
Schritt 2: Ändern der Systemregistrierung auf jedem DC in der Sammlung
Erstellen Sie vor der Änderung der Registrierung eine Sicherungskopie. Nehmen Sie die Änderungen nur vor,
wenn Sie auch wissen, wie die Registrierung wiederhergestellt werden kann, wenn ein Problem auftritt.
Wenn Sie den Registrierungs-Editor nicht sachgemäß verwenden, kann dies zu ernsthaften Problemen
führen, die eine Neuinstallation des Betriebssystems erforderlich machen können. Quest Software, Inc.
kann nicht gewährleisten, dass Sie Probleme lösen können, die durch unsachgemäße Verwendung des
Registrierungs-Editors entstehen. Die Verwendung des Registrierungs-Editors erfolgt auf eigene Gefahr.
So ändern Sie die Systemregistrierung:
1. Starten Sie auf dem Zieldomänencontroller den Registrierungs-Editor (regedit.exe), suchen
Sie folgenden Registrierungsschlüssel, und wählen Sie ihn aus:
HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters.
2. Zeigen Sie im Menü Edit (Bearbeiten) auf New (Neu), und klicken Sie auf String Value
(Zeichenkettenwert).
3. Legen Sie die folgenden Werte für die Parameter „Name“ und „Daten“ des von Ihnen
erstellten Zeichenkettenwerts fest:
Name: DSA Heuristics
Daten: 0000000100
4. Damit die Änderungen wirksam werden, muss der Zieldomänencontroller neu gestartet
werden.
• Differenzielle Sicherungen werden vom Reparaturassistenten nicht unterstützt. Nur der
Online-Wiederherstellungsassistent, der Gruppenrichtlinien-Wiederherstellungsassistent und der
Extraktionsassistent können differenzielle Sicherungen verwenden.
• Die Erstellung differenzieller Sicherungen wird nur für Windows 2000 Server- und Windows
Server 2003-basierte Domänencontroller unterstützt.
30
Technische Daten
In diesem Abschnitt sind einige technische Daten des Produkts aufgeführt.
Typische Größe der Datenbanken
Microsoft Access-Datenbankdateien
Recovery Manager verwendet die folgenden Microsoft Access-Datenbankdateien (.mdb):
•
ERDiskAD.mdb. Recovery Manager-Konfigurationsdatenbank. Sie enthält Informationen zur
Konsolenkonfiguration, z. B. die verwalteten Computersammlungen, die
Sicherungserstellungssitzungen usw.
•
Backups.mdb. Recovery Manager-Sicherungsregistrierungsdatenbank. Sie enthält Daten zu
den registrierten Active Directory- und AD LDS (ADAM)-Sicherungen.
Die Größe der Datenbankdateien (.mdb) beträgt in der Regel weniger als 10 MB.
Die Datenbankdateien werden im Unterorder „\Quest Software\RMAD\“ des Ordners gespeichert, der die
Anwendungsdaten für alle Benutzer enthält. Normalerweise ist dies der Pfad „C:\Dokumente und
Einstellungen\Alle Benutzer\Anwendungsdaten\Quest Software\RMAD\“.
Berichtsdatenbankdateien
Der Online-Wiederherstellungsassistent erstellt Vergleichs- und Wiederherstellungsberichte. Diese
Berichte beruhen auf attributspezifischen Vergleichen der Verzeichnisobjekte, die in einer Sicherung
ausgewählt werden, mit ihren Entsprechungen in Active Directory oder in einer anderen Sicherung.
Recovery Manager verwendet dazu Microsoft SQL Reporting Services (SRS). Microsoft SRS ist der neue
Berichtsstandard für Quest und ersetzt die XML-basierten Vergleichs- und Wiederherstellungsberichte
der früheren Versionen. Weitere Informationen finden Sie im Benutzerhandbuch, das im Lieferumfang
dieser Version von Recovery Manager enthalten ist.
Die Größe einer Berichtsdatenbankdatei wird von folgenden Parametern beeinflusst:
•
Anzahl der Verzeichnisobjekte, die der Online-Wiederherstellungsassistent verarbeitet hat.
•
Anzahl der verarbeiteten Attribute.
•
Typ der verarbeiteten Attribute.
•
Anzahl der verfügbaren Sitzungen des Online-Wiederherstellungsassistenten. Die Daten zu
allen Sitzungen werden in einer einzigen Berichtsdatenbankdatei gespeichert.
Wenden Sie die folgende empirische Formel an, um die ungefähre Größe der Berichtsdatenbankdatei zu
ermitteln:
6 x <Anzahl der verarbeiteten Objekte>/1000 [MB]
Beispiel: Wenn der Online-Wiederherstellungsassistent 3000 Objekte verarbeitet hat, beträgt die Größe
der Berichtsdatenbankdatei etwa 18 MB.
31
Standardzeiten für die Erstellung von Sicherungen
Die zum Erstellen einer Sicherung erforderliche Zeit hängt von der Größe der Active Directory-Datenbank
(Datei „NTDS.dit“) und der Komprimierungsmethode ab, die der Sicherungsagent bei der Verarbeitung
der Datei „NTDS.dit“ einsetzt. Sie können die Komprimierungsmethode auf der Registerkarte
Performance (Leistung) im Dialogfeld Computer Collection Properties (Eigenschaften der
Computersammlung) festlegen. Weitere Informationen finden Sie im Benutzerhandbuch, das im
Lieferumfang dieser Version von Recovery Manager enthalten ist.
In der folgenden Tabelle sind die typischen Zeiten zum Erstellen einer Sicherung für verschiedene
Komprimierungsverfahren aufgeführt.
KOMPRIMIERUNGSMETHODE
GRÖßE DER SICHERUNGSDATEI
ERSTELLUNGSZEIT (MIN:S)
Keine
3,17 GB
09:07
Schnell
1,27 GB
07:35
Normal
1,22 GB
08:27
Maximum
1,20 GB
17:54
Die in der Tabelle enthaltenen Angaben wurden bei folgender Konfiguration ermittelt:
• Größe der Datei „NTDS.dit“: 3,14 GB
• Hardware des Recovery Manager-Computers: CPU 2x Intel Xeon 2,8 Hz; 1 GB RAM
Empfehlungen
Die Erstellungszeiten für die Sicherung der Active Directory-Datenbank können variieren und hängen
u. a. von der Größe der Datenbank und einer Reihe anderer Faktoren wie der Hardware im
Domänencontroller und der Dichte der Informationen in der Active Directory-Datenbank ab. Sie können
die Beispiele oben als Richtschnur verwenden, um zu ermitteln, wie lange die Sicherung Ihrer eigenen
Active Directory-Datenbank dauert. Beachten Sie jedoch, dass diese Zeiten nicht direkt mit der Größe
der Datenbank in Verbindung stehen (die Sicherung einer 6 GB großen Datenbank dauert
möglicherweise nicht genau doppelt so lange wie die Sicherung einer 3 GB großen Datenbank). Die beste
Methode, um die erforderliche Zeit zur Sicherung in Ihrer eigenen Umgebung zu ermitteln, ist die
Erstellung der Sicherung eines Domänencontrollers der Produktionsumgebung.
Die Komprimierungsverhältnisse können abhängig davon, wie dicht die Active Directory-Datenbank
gefüllt ist, variieren. Die Nutzung einer Methode mit einer höheren Komprimierung führt jedoch meist zu
abnehmenden Ergebnissen im Hinblick auf die komprimierte Größe der Sicherung. Um sowohl eine
angemessene Sicherungsdauer als auch eine angemessene komprimierte Größe der Sicherung zu
gewährleisten, wird empfohlen, entweder die schnelle oder die normale Komprimierung zu verwenden.
Wenn die mit Recovery Manager erstellten Sicherungen von anderen MTF-kompatiblen
Sicherungsprogrammen verwendet werden sollen, muss als Datenkomprimierungsmethode Keine
ausgewählt werden.
32
Standardzeiten für das Entpacken von Sicherungen
Damit eine gepackte Sicherungsdatei verwendet werden kann (z. B. im
Online-Wiederherstellungsassistenten), muss sie von Recovery Manager entpackt werden.
In der folgenden Tabelle sind die typischen Zeiten aufgeführt, die zum Entpacken von Sicherungen
benötigt werden.
KOMPRIMIERUNGSMETHODE
GRÖßE DER GEPACKTEN
SICHERUNGSDATEI
ZEIT ZUM ENTPACKEN (MIN:S)
Keine
3,17 GB
01:57
Schnell
1,27 GB
01:29
Normal
1,22 GB
01:25
Maximum
1,20 GB
01:22
Sie können die Erstellung von nicht komprimierten Sicherungen mit Hilfe der Registerkarte Unpacked
Backups (Entpackte Sicherungen) im Dialogfeld Recovery Manager for Active Directory
Settings (Recovery Manager for Active Directory – Einstellungen) verwalten.
Zusätzlich können Sie festlegen, dass der Online-Wiederherstellungsassistent oder der
Gruppenrichtlinien-Wiederherstellungsassistent entpackte Sicherungen zur späteren Verwendung
beibehält. Weitere Informationen finden Sie im Benutzerhandbuch, das im Lieferumfang dieser Version
von Recovery Manager enthalten ist.
33
Von Recovery Manager verwendete Ports
In der folgenden Tabelle sind die von den Recovery Manager-Komponenten verwendeten Ports
aufgeführt.
EINGEHENDER PORT AUF DEM
ZIELDOMÄNENCONTROLLER
PROTOKOLL
DATENVERKEHR
TCP
Verbindungen der Recovery
Manager-Konsole
135
TCP
RPC-Locatordienst
389
TCP
LDAP
445 oder 139
TCP
Active
Directory-Domänendienste
Online-Wieder-
135
TCP
RPC-Locatordienst
herstellungsassistent
389
TCP
LDAP
445 (von Microsoft empfohlen)
oder 139
TCP
Active
Dynamischer RPC-Portbereich
TCP
Verbindungen des
Wiederherstellungsagenten
389
TCP
LDAP
445
TCP
Active
KOMPONENTE
Sicherungsagent (manuelle
Installation)
• Angegeben während der
Installation des
Sicherungsagenten.
– ODER –
• Angegeben im Dialogfeld
Recovery Manager for
Active Directory Settings
(Recovery Manager for
Active Directory –
Einstellungen).
Standardmäßig ist dies der
Port 3843.
Sicherungsagent
(automatische Installation)
(bei Verwendung der
Agenten-Wiederherstellungsmethode)
Weitere Informationen zu diesen
Ports finden Sie in den folgenden
Artikeln der Microsoft Support
Knowledge Base unter
http://support.microsoft.com:
• Konfigurieren von RPC für die
Verwendung bestimmter Ports
und Schützen dieser Ports mit
IPsec (Artikel-ID: 908472)
• Konfigurieren der
dynamischen
RPC-Portzuweisung für
Firewall-Einsatz
(Artikel-ID: 154596)
• Der dynamischen Portbereich
für TCP/IP wurde in Windows
Vista und WindowsServer2008
geändert (Artikel-ID: 929851)
Online-Wiederherstellungsassistent
(bei Verwendung der
agentenlosen
Wiederherstellungsmethode)
34
KOMPONENTE
EINGEHENDER PORT AUF DEM
Online-Wiederherstellungsassistent für
AD LDS (ADAM)
Gruppenrichtlinien-Wiederherstellungsassistent
Reparaturassistent
PROTOKOLL
DATENVERKEHR
Angegeben während der AD LDS
(ADAM)-Installation auf dem
Zieldomänencontroller
TCP
AD LDS
(ADAM)-Verbindungen
135
TCP
RPC-Locatordienst
389
TCP und UDP
LDAP
oder 139
TCP
Active
135
TCP
RPC-Locatordienst
oder 139
TCP
Active
25
TCP
Simple Mail Transfer
Protocol
135
TCP
RPC-Locatordienst
389
TCP und UDP
LDAP
oder 139
TCP
Active
• Angegeben während der
Installation des
Sicherungsagenten.
TCP
Verbindungen des
Sicherungsagenten
TCP
AD LDS
(ADAM)-Verbindungen
– ODER –
• Angegeben im Dialogfeld
Recovery Manager for
Active Directory Settings
(Recovery Manager for
Active Directory –
Einstellungen).
Standardmäßig ist dies der
Port 3843.
Angegeben während der AD LDS
(ADAM)-Installation auf dem
Zieldomänencontroller
• Um Gruppenmitgliedschaftsdaten zu sichern, muss Recovery Manager möglicherweise eine
Verbindung zu allen globalen Katalogen in der Gesamtstruktur über Port 389 herstellen.
• Um Gruppenmitgliedschaftsdaten wiederherzustellen, muss Recovery Manager möglicherweise eine
Verbindung zu allen globalen Katalogen in der Gesamtstruktur über TCP-Port 135 und über zufällig
per RPC zugeordnete hohe TCP-Ports (1024 - 65535) aufbauen.
• Stellen Sie sicher, dass der abgehende Datenverkehr auf den zufällig per RPC zugeordneten hohen
TCP-Ports 1024 – 65535 auf dem Recovery Manager-Computer zulässig ist.
• Es wird empfohlen, sicherzustellen, dass der eingehende Datenverkehr auf einer ausreichenden
Anzahl dynamisch zugewiesener TCP-Ports (zum Beispiel auf den Ports des Bereichs 1024 – 65535)
auf Zieldomänencontrollern zulässig ist. Dies ermöglicht gleichzeitige Verbindungen von Recovery
Manager und anderen Anwendungen.
35
KOMPONENTE VON
RECOVERY MANAGER
FOREST EDITION
TCP-PORT AUF DEM
DATENVERKEHR
Forest Recovery-Konsole
135
RPC-Locatordienst
Dynamischer RPC-Portbereich
Forest
Recovery-Agent-Verbindungen
Weitere Informationen zu diesen Ports
finden Sie in den folgenden Artikeln der
Microsoft Support Knowledge Base unter
http://support.microsoft.com:
• Konfigurieren von RPC für die
Verwendung bestimmter Ports und
Schützen dieser Ports mit IPsec
• Konfigurieren der dynamischen
RPC-Portzuweisung für
Firewall-Einsatz (Artikel-ID:
154596)
• Der dynamischen Portbereich für
TCP/IP wurde in Windows Vista und
Windows Server2008 geändert
Forest Recovery-Agent
36
389
LDAP
139 oder 445
Forest
Recovery-Agent-Bereitstellung
389
LDAP
139 oder 445
Zugriff auf Sicherungen, die mit
Hilfe der
Recovery Manager Forest Edition
erstellt wurden

Über Recovery Manager for Active Directory Forest Edition

Transcription

Documents pareils

comback_disaster-recovery (478,8 KiB)

Rassebeschreibung New Forest Pony

Active Directory - Security

Whitepaper

Counter-flow, high-effiCienCy heat reCovery unit DOMEO 210

Directory Migration

yo_2_delta_active people

blueSmart Active: Pdf

openLDAP | 4whatitis - ITchinesisch