Active Directory Domain Controller sichern
Ich habe einen Domain Controller (Windows Server 2019 Standard Edition) aufgesetzt und in eine bestehende Domain "promoted". Die Domain ist klein, vielleicht 5 Benuzter und 10 Computer.
Ich habe nur die notwendigen Rollen installiert, sonst nicht, aktuell noch nicht mal Antivirus oder auch nur ein Druckertreiber.
Nun belegt das Windows schon 15 GB. Ist das normal für ein fast leeres Windows oder hab ich was falsch gemacht? (Mein Linux mit kompletter Entwicklungsumgebung, mehreren Compilern, GUIs, Office, Browsern und allem, was man so braucht sind nur 10 GB und die meisten meiner Linux Container sind weiter unter 1 GB, daher erscheinen mir 15 GB ein bisschen viel).
Ich hatte ein vermeidtlich großzügiges Backupstorage konfiguriert, 16 GB. Also 1 GB mehr, als aktuell belegt ist. Da habe ich mit Windows Server Backup eine Komplettsicherung nach Zeitplan konfiguriert. Die hat aber nie geklappt. Da steht "Fehler der Windows-Sicherung beim Schreiben von Daten auf..." und die Punkte stehen da wirklich. Ich kann noch ein "Liste aller fehlerhaften Dateien anzeigen" klicken, dann kommt, und ich zitiere vollständig, "Fehler beim Sichern des Volumes "C:": Fehler der Windows-Sicherung beim Schreiben von Daten auf das Sicherungsziel.". Ich muss zugeben, ich hätte schon gern gewusst, welcher Fehler denn passiert ist. Gerüchten zufolge soll das ja manchmal helfen In der Ereignisanzeige steht unter "Anwendung" (als ob Backup eine Anwendung und keine Systemfunktion wäre) steht:
Danach googlen bringt nur unzutreffendes. Wo gibt es denn eine Liste der Microsoft-Windows-Fehler-Codes? Ich habe nur indirekte Hinweise, dass es möglicherweise "An error occurred in Windows Backup while writing data to the backup destination." sein könnte. Aber das wäre ja schon echt däm... ähh ungeschickt, für ein Backup den Fehlercode "Backupfehler" festzulegen, den kriegt man ja dann in allen möglichen Fällen!
Das Backupvolume wird von Windows ja aus irgendwelchen Gründen versteckt. Weiß jemand, warum? Ich habe einfach trotzdem mal ein Laufwerk drauf gelegt ("Computer Verwaltung", "Datenträgerverwaltung") und sehe den Grund: es ist einfach voll. Warum hat Windows keinen Fehlercode "Out of disk space"?
Interessant ist aber auch die Frage, warum das Backup von 15 GB nicht auf ein16 GB Volume passt. Gibt's da so eine "negative Kompression"?
Aber eigentlich möchte ich ja "nur" mein Active Directory Kram sichern. LDAP kenn ich noch von früher, für paar Benutzer und Systemobjekte wird man, großzügig angenommen, vielleicht 500 KB benötigen. Dann noch meine 56 KB SYSVOL. Vielleicht noch eine Infodatei, sagen wir 1 MB. Dazu habe ich ein "System State Backup" gemacht, das sichert aber fast 10 GB, das ist Faktor 10.000 (!), und zwar augenscheinlich auch noch in ein Diskimage (heißt jedenfalls .vhdx). Ich wollte die testweise mal öffnen und reingucken oder zippen, aber das geht wieder nicht ("wird von einem anderen Prozess verwendet", ja, die Sicherung ist schon längst fertig). 10 GB für die Namen, Passwörter und Eigenschaften von 5 Benutzern (die Benutzerdateien liegen ja woanders).
Kann man nicht irgendwie LDIF exportieren und importieren oder so?
Oder ist das normal, und man muss halt einfach mehr als 20 GB für jedes DC Backup einplanen? Das ist für mich doof, weil die images ja nicht inkrementell sichern kann (bzw. es spart dann keinen Platz beim Sicherungsziel).
Ich habe nur die notwendigen Rollen installiert, sonst nicht, aktuell noch nicht mal Antivirus oder auch nur ein Druckertreiber.
Nun belegt das Windows schon 15 GB. Ist das normal für ein fast leeres Windows oder hab ich was falsch gemacht? (Mein Linux mit kompletter Entwicklungsumgebung, mehreren Compilern, GUIs, Office, Browsern und allem, was man so braucht sind nur 10 GB und die meisten meiner Linux Container sind weiter unter 1 GB, daher erscheinen mir 15 GB ein bisschen viel).
Ich hatte ein vermeidtlich großzügiges Backupstorage konfiguriert, 16 GB. Also 1 GB mehr, als aktuell belegt ist. Da habe ich mit Windows Server Backup eine Komplettsicherung nach Zeitplan konfiguriert. Die hat aber nie geklappt. Da steht "Fehler der Windows-Sicherung beim Schreiben von Daten auf..." und die Punkte stehen da wirklich. Ich kann noch ein "Liste aller fehlerhaften Dateien anzeigen" klicken, dann kommt, und ich zitiere vollständig, "Fehler beim Sichern des Volumes "C:": Fehler der Windows-Sicherung beim Schreiben von Daten auf das Sicherungsziel.". Ich muss zugeben, ich hätte schon gern gewusst, welcher Fehler denn passiert ist. Gerüchten zufolge soll das ja manchmal helfen In der Ereignisanzeige steht unter "Anwendung" (als ob Backup eine Anwendung und keine Systemfunktion wäre) steht:
Fehler bei der um 2023-07-14T19:00:10.571487300Z gestarteten Sicherung. Fehlercode: "0x80780166" (Fehler der Windows-Sicherung beim Schreiben von Daten auf das Sicherungsziel.). Suchen Sie in den Ereignisdetails nach einer Lösung, und führen Sie die Sicherung erneut aus, nachdem das Problem behoben wurde.
Danach googlen bringt nur unzutreffendes. Wo gibt es denn eine Liste der Microsoft-Windows-Fehler-Codes? Ich habe nur indirekte Hinweise, dass es möglicherweise "An error occurred in Windows Backup while writing data to the backup destination." sein könnte. Aber das wäre ja schon echt däm... ähh ungeschickt, für ein Backup den Fehlercode "Backupfehler" festzulegen, den kriegt man ja dann in allen möglichen Fällen!
Das Backupvolume wird von Windows ja aus irgendwelchen Gründen versteckt. Weiß jemand, warum? Ich habe einfach trotzdem mal ein Laufwerk drauf gelegt ("Computer Verwaltung", "Datenträgerverwaltung") und sehe den Grund: es ist einfach voll. Warum hat Windows keinen Fehlercode "Out of disk space"?
Interessant ist aber auch die Frage, warum das Backup von 15 GB nicht auf ein16 GB Volume passt. Gibt's da so eine "negative Kompression"?
Aber eigentlich möchte ich ja "nur" mein Active Directory Kram sichern. LDAP kenn ich noch von früher, für paar Benutzer und Systemobjekte wird man, großzügig angenommen, vielleicht 500 KB benötigen. Dann noch meine 56 KB SYSVOL. Vielleicht noch eine Infodatei, sagen wir 1 MB. Dazu habe ich ein "System State Backup" gemacht, das sichert aber fast 10 GB, das ist Faktor 10.000 (!), und zwar augenscheinlich auch noch in ein Diskimage (heißt jedenfalls .vhdx). Ich wollte die testweise mal öffnen und reingucken oder zippen, aber das geht wieder nicht ("wird von einem anderen Prozess verwendet", ja, die Sicherung ist schon längst fertig). 10 GB für die Namen, Passwörter und Eigenschaften von 5 Benutzern (die Benutzerdateien liegen ja woanders).
Kann man nicht irgendwie LDIF exportieren und importieren oder so?
Oder ist das normal, und man muss halt einfach mehr als 20 GB für jedes DC Backup einplanen? Das ist für mich doof, weil die images ja nicht inkrementell sichern kann (bzw. es spart dann keinen Platz beim Sicherungsziel).
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7853146250
Url: https://administrator.de/forum/active-directory-domain-controller-sichern-7853146250.html
Ausgedruckt am: 22.12.2024 um 18:12 Uhr
14 Kommentare
Neuester Kommentar
Zitat von @lastcentral:
ps: Jetzt hat die Sicherung zum ersten Mal geklappt:
20.4 GB ist die Sicherung von meinem 15.2 GB Server groß. Da haut doch was nicht hin?!
ps: Jetzt hat die Sicherung zum ersten Mal geklappt:
20.4 GB ist die Sicherung von meinem 15.2 GB Server groß. Da haut doch was nicht hin?!
Vllt - versehentlich - irgendwo auf dem Server eine Komprimierung eingestellt im Dateisystem?
Heißt der Smilie, ich hab zuviel / falsch installiert, oder heißt das, eigentlich ist das schon fast wenig und vollkommen normal?
Normal bis wenig.
Ich würde den/einen DC immer vollständig sichern und nicht nur einzelne Bereiche.
Ja, ich habe mit Windows Server Backup eine vollständige Sicherung konfiguriert. Ich wundere mich nur, dass die deutlich größer ist. Bei Linux ist die immer etwa gleich groß oder kleiner (wenn komprimiert). Ist ja auch logisch, warum sollte es so viel mehr werden, wenn es gepackt wird...
Hier ein guter Artikel von Veeam.
Da steht im Screenshot "Restore Point Details", dass "Win C: 19.5 GB" gesichert worden sei und die Total Backup Size 5.23 GB wäre. Also Kompression auf ca 25% runter. Ich hab Kompression auf 133% rauf...
Aber Windows Server für ca. 1000 Euro das Stück wird ja wohl das eigene Backup zippen können, vermutlich sind die Veeam Screenshots von einem speziell erstellten, werbewirksamen Server (mit vielen großen Null-Dateien oder so).
Veeam zeigt oft die Größe des Volumes an. Dedupliziert recht brauchbar und komprimiert. Bei einem unserer DCs ist Vol C z.B. 120GB groß, Veeam hat im Fullbackup 35,5GB gelesen und es am Ende auf 17GB komprimiert.
Edit: Insgesamt schafft es Veeam bei uns das Vollbackup div. VMs (ESX) von 4,4TB Volumegröße und 2,1TB Dataread auf 1,4TB zu packen und das dann auf Disk/Band und NAS zu packen.
Moin, ein quasi nackter Windows Server mit DC-Rolle braucht in "meinen" Umgebungen eher knapp 30 GB, bei 15 GB würde ich misstrauisch werden.
Allerdings sind dies doch bei weitem keine Größenordnungen, die im gewerblichen Kontext irgendein Problem darstellen sollten?
Zur Sicherung: Auf das in Windows integrierte Backup würde ich mich nicht verlassen. So gut wie keine Konfigurationsmöglichkeiten, unzuverlässig und wie mir scheint auch seit Jahren nicht weiterentwickelt seitens Microsoft.
Nimm Veeam, das funktioniert und gibt es für kleine Umgebungen sogar kostenfrei. "Backup & Replication" für VMs, "Veeam Agent" für physische Maschinen.
Und ja, wie @lastcentral schon schrieb: Sichere das Ding komplett. Es sollte doch wirklich kein Problem sein, 100 GB backup space für einen Server vorzuhalten?
Allerdings sind dies doch bei weitem keine Größenordnungen, die im gewerblichen Kontext irgendein Problem darstellen sollten?
Zur Sicherung: Auf das in Windows integrierte Backup würde ich mich nicht verlassen. So gut wie keine Konfigurationsmöglichkeiten, unzuverlässig und wie mir scheint auch seit Jahren nicht weiterentwickelt seitens Microsoft.
Nimm Veeam, das funktioniert und gibt es für kleine Umgebungen sogar kostenfrei. "Backup & Replication" für VMs, "Veeam Agent" für physische Maschinen.
Und ja, wie @lastcentral schon schrieb: Sichere das Ding komplett. Es sollte doch wirklich kein Problem sein, 100 GB backup space für einen Server vorzuhalten?
Zitat von @lastcentral:
Jetzt wird es noch merkwürdiger: jetzt habe ich meine mit 15 GB gefüllte und meine mit 20 GB gefüllte Disk gesichert und Proxmox erzeugt dabei nur ein 19 GB großes Archiv!
Jetzt wird es noch merkwürdiger: jetzt habe ich meine mit 15 GB gefüllte und meine mit 20 GB gefüllte Disk gesichert und Proxmox erzeugt dabei nur ein 19 GB großes Archiv!
Vllt Dateisystemunterschiede in der Sektorengröße? Default ist ja bei vielen FS 4KB, hast du im Proxmox vllt was anderes eingestellt? Oder auf dem Speicher der Win-Installation?
lHi.
3 große Faktoren für eine große Belegung auf C:\
1. pagefile.sys : also die Auslagerungsdatei deines Systems. Je nach zugewiesenem RAM kann die - automatisch verwaltet- auch schnell 4 bis 8 GB groß sein......
... hier bietet es sich an, eine 2te VHD anzulegen und die Auslagerungsdatei dorthin zu verschieben ...
2. hiberfil.sys : Die Datei für den Ruhezustand ... ist meist so groß wie der zugewiesene RAM....
... in einer VM kann man bedenkenlos den Ruhezustand abschalten und dadurch den Platz sparen ...
3. SoftwareDistribution : Sammlung aller seit der Installsation heruntergeladenen Update-Dateien ...
Nachdem man die 3 Punkte "bereinigt" hat - es gibt noch ein paar mehr - sollte man den freigewordenen Speicher mit SysInternals: sdelete den freien Speicher nullen und mit VM-Tools den Speicherplatz komprimieren ...
.
3 große Faktoren für eine große Belegung auf C:\
1. pagefile.sys : also die Auslagerungsdatei deines Systems. Je nach zugewiesenem RAM kann die - automatisch verwaltet- auch schnell 4 bis 8 GB groß sein......
... hier bietet es sich an, eine 2te VHD anzulegen und die Auslagerungsdatei dorthin zu verschieben ...
2. hiberfil.sys : Die Datei für den Ruhezustand ... ist meist so groß wie der zugewiesene RAM....
... in einer VM kann man bedenkenlos den Ruhezustand abschalten und dadurch den Platz sparen ...
3. SoftwareDistribution : Sammlung aller seit der Installsation heruntergeladenen Update-Dateien ...
Nachdem man die 3 Punkte "bereinigt" hat - es gibt noch ein paar mehr - sollte man den freigewordenen Speicher mit SysInternals: sdelete den freien Speicher nullen und mit VM-Tools den Speicherplatz komprimieren ...
.
Faktor zehntausend ist jetzt selbst für Windows schon ne Hausnummer, finde ich...
Das hast Du Dir ja auch in der Größenordnung nur so ausgedacht.
Wenn Du Windows Server einsetzen willst, musst Du ihn auch so annehmen, wie der hersteller es vorsieht. Auch wenn es theoretisch nur ein paar KB Textinformationen wären.
Ich sicher das nicht nur auf Disks (ZFS mit Snapshots), sondern über eine lahme DSL Leitung (so die "georeplication für Arme" ) und wenn ich z.b. alle Stunde sichere und 20 GB kriege sind das schon permanent 50 MBit/s, wenn mich mein Gefühl nicht trügt.
Lass halt die Sicherung des DC außen vor beim Online-Backup. Bei 5 Usern in der Domain den DC jede Stunde online wegzusichern ist doch absoluter Overkill.
Jetzt hab ich ein "leeren" DC (5 User, 10 Computer) und der braucht mehr, als all meine Linuxe ZUSAMMEN (da ist Work Server, Mail Server, Kalender Server, File Server, VPN, TK Anlage, eine Test Instanz von UrBackup, ein paar Container). Das hat sich jetzt verdoppelt.
Warum nutzt Du denn überhaupt einen Windows-basierten Domaincontroller? UCS oder so etwas wäre doch dann viel eher Deine Spielwiese.
Was, echt jetzt? Das kommt doch vom Hersteller und wer sonst sollte wissen, wie man das unsägliche System wieder hinkriegt? Ich hatte gerade Probleme, da stoßen dann selbst die Herstelleranleitungen schon an die Grenzen! Das soll jemand von aussen besser können, als die 1000 Euro Software die ureigenste Grundfunktion?
Die Windows-Sicherung basiert auf der Funktionalität des volume shadow copy services, ist wohl mehr oder weniger nur eine GUI dafür. Veeam und vermutlich viele andere Produkte auch bedienen sich dieses Dienstes, bieten dabei aber viel mehr Funktionalität.
Du meinst das offizielle "Microsoft Server Backup", was man über "Server Manager" installiert? Das ist unzuverlässig? Du machst mir Angst!
Genau das meine ich. Funktioniert sicherlich für manche, aber ich ganz persönlich (anekdotische Evidenz!) hatte damit schon viele Probleme.
Zusätzlich ist es absolut unflexibel im Gegensatz zu guten Backup-Lösungen.
Wenn Dich dies so schockiert: Schau doch mal, wie viele Apple-User schon Datenverlust hatten, weil TimeMachine so "zuverlässig" funktoniert...
Ja, der Hersteller sollte *eigentlich* am besten wissen, wie man das eigene Produkt sichert. Ein Windows-Server-Admin sollte daher wissen, um welche Teile dieses Molochs man besser einen Bogen macht.
Das gratis Veeam hatte ich mir mal angeguckt, da fehlte irgendwas grundlegendes. Kann es sein, dass man das nicht scripten konnte und nur manuell starten konnte oder sowas? Das kostenpflichtige System ist echt super, finde ich, aber für 5 User ist mir das zu teuer (10 Instanzen [für 10 VMs] 1000 Euro oder so PRO JAHR, was ein kostenloses rsync auch kann, da bin ich dann raus. Schade um die hübschen GUIs und vor allem die Reports, aber für *mich* *hier* ist das zu viel).
Nein, es fehlt nichts. Support natürlich, wobei sie sogar dafür kostenfrei best effort anbieten. Probiere es halt mal aus, zu verlieren hast Du ja nichts.
DeDup und Komprimierung kann Veeam übrigens auch, was bei Deiner Storage/Bandbreiten-Knappheit ja offenbar gold wert ist.
na ja, 100 GB reicht ja nur für ne Retention von 5 Stück bei 20 GB, selbst wenn man nur alle 4 Stunden sichert, hätte man nicht mal einen Tag Historie!
Warum sollte jedes Backup ein Vollbackup sein? Ab hier glaube ich, Du müsstest Dein Wissen zu einigen Dingen erst einmal auffrischen, bevor Du die neue Infrastruktur aufbaust.
Forever incremental ist überhaupt kein Problem, je nach Paranoia-Level baut man dann ein Full oder SyntheticFull pro Woche/Monat/Jahr mit ein.
Ich möchte nicht wissen, wie lange Platten bei Dir leben, wenn Du einmal pro Stunde von allen Systemen ein Vollbackup ziehst.
Ohne mir jetzt nochmal die Mühe zu machen, alle Texte im Detail zu lesen, greife ich die Hinweise von @Datenreise auf...
OnPremise - also lokale Rechner und Server solltest du primär lokal sichern. auf einem dedizierten Backup-Server und bestenfalls zu ruhigem Zeitpunkt auf Band ...
Eine Online-Sicherung der OnPremise-Ressouecen sollte als nützliche ZusatzSicherung gesehen und gemäß der verfügbaren Bandbreiten und lokalen Sicherungen nur in größeren Abständen erfolgen. Das schont eure komplette Infrastruktur. Also könntest du ein erfolgreiches Wochen-Voll-Backup am meist ungenutzten Wochenende in die Cloud hochladen ...
Und: Bloß weil Backups in der Cloud gesichert werden, heißt das nicht, das bereits infizierte Dateien harmlos werden!
Es bleibt also IMMER der primäre Schutz gegen den Befall!
OnPremise - also lokale Rechner und Server solltest du primär lokal sichern. auf einem dedizierten Backup-Server und bestenfalls zu ruhigem Zeitpunkt auf Band ...
Eine Online-Sicherung der OnPremise-Ressouecen sollte als nützliche ZusatzSicherung gesehen und gemäß der verfügbaren Bandbreiten und lokalen Sicherungen nur in größeren Abständen erfolgen. Das schont eure komplette Infrastruktur. Also könntest du ein erfolgreiches Wochen-Voll-Backup am meist ungenutzten Wochenende in die Cloud hochladen ...
Und: Bloß weil Backups in der Cloud gesichert werden, heißt das nicht, das bereits infizierte Dateien harmlos werden!
Es bleibt also IMMER der primäre Schutz gegen den Befall!
Ist ja schön, wenn wir Dir so einigermaßen weiterhelfen können.
Also Dein DC läuft jetzt virtualisiert über Proxmox oder wie? Ist mir irgendwie nicht wirklich klar geworden in diesem Thread.
Proxmox wird offiziell von Veeam nicht unterstützt. Inoffiziell klappt es aber wohl trotzdem (hab's nicht getestet).
Was aber auf jeden Fall geht: Du installierst Veeam Agent direkt auf der VM und sicherst den DC als wäre er physisch. Ist nicht ganz so elegant, aber das Windows-interne Backup würde ja auch nichts anderes tun.
Also Dein DC läuft jetzt virtualisiert über Proxmox oder wie? Ist mir irgendwie nicht wirklich klar geworden in diesem Thread.
Proxmox wird offiziell von Veeam nicht unterstützt. Inoffiziell klappt es aber wohl trotzdem (hab's nicht getestet).
Was aber auf jeden Fall geht: Du installierst Veeam Agent direkt auf der VM und sicherst den DC als wäre er physisch. Ist nicht ganz so elegant, aber das Windows-interne Backup würde ja auch nichts anderes tun.