23
Best practice - Domain Controller Backup
Hallo liebe Mitglieder,
ich arbeite mich gerade in das Thema ein und würde mich freuen, einige Erfahrungen und Meinungen dazu zu bekommen. Wie macht ihr das?
Aufbau: 2 Domaincontroller (1x physisch (RAID 1) und 1x VM)
Mich interessiert das Backup der physischen Maschine und der Restore.
Ich habe da die Windows eigene "Windows-Server-Sicherung" im Blick. Reicht diese auch für einen DC?
Vielen Dank im Voraus.
Liebe Grüße
ich arbeite mich gerade in das Thema ein und würde mich freuen, einige Erfahrungen und Meinungen dazu zu bekommen. Wie macht ihr das?
Aufbau: 2 Domaincontroller (1x physisch (RAID 1) und 1x VM)
Mich interessiert das Backup der physischen Maschine und der Restore.
Ich habe da die Windows eigene "Windows-Server-Sicherung" im Blick. Reicht diese auch für einen DC?
Vielen Dank im Voraus.
Liebe Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 526145
Url: https://administrator.de/contentid/526145
Printed on: April 26, 2024 at 11:04 o'clock
23 Comments
Latest comment
Hi.
Ich finde die interne Sicherung gut und nutze sie bei DCs.
Spiel das bitte einmal mit 3 VMs (2 DCs und einem Client) durch, um dir ein Bild zu machen.
Ich finde die interne Sicherung gut und nutze sie bei DCs.
Spiel das bitte einmal mit 3 VMs (2 DCs und einem Client) durch, um dir ein Bild zu machen.
1
Hallo liebes Mitglied
ein Domain Controller wird eigentlich als Image nicht mehr zurück gespielt, da der noch vorhandene Controller ihn nicht mehr als vertrauenswürdig ansehen würde. Deshalb ist die Windows Sicherung überflüssig, bzw bei nur einem Controller sinnvoll. Eine Sicherung wäre auf granularer Ebene sinnvoll, wenn Du gelöschte User oder Computer oder andere Sachen zurück spielen willst. Dafür wäre das Veeam Backup gut geeignet. Die Windows Sicherung kann das nicht.
Mit zwei Controllern hast Du schon eine gute Ausfallsicherheit. Einen defekten Controller installiert man einfach neu / dazu und man überträgt die FSMO Rollen auf einen noch vorhandenen Controller.
Grüße
ein Domain Controller wird eigentlich als Image nicht mehr zurück gespielt, da der noch vorhandene Controller ihn nicht mehr als vertrauenswürdig ansehen würde. Deshalb ist die Windows Sicherung überflüssig, bzw bei nur einem Controller sinnvoll. Eine Sicherung wäre auf granularer Ebene sinnvoll, wenn Du gelöschte User oder Computer oder andere Sachen zurück spielen willst. Dafür wäre das Veeam Backup gut geeignet. Die Windows Sicherung kann das nicht.
Mit zwei Controllern hast Du schon eine gute Ausfallsicherheit. Einen defekten Controller installiert man einfach neu / dazu und man überträgt die FSMO Rollen auf einen noch vorhandenen Controller.
Grüße
2
Achja, DerWoWusste hat bei mir noch einen wichtigen Punkt geweckt. Natürlich benötigst Du ein Image, wenn beide Controller Mist syncronisiert haben. Das interne Backup ist ok dafür, das kostenlose Veeam macht es aber auch, zusätzliche noch mit granularem Recovery.
1
Also schadet es nicht, sogar zusätzlich ein Veeam Backup zu haben/machen? (Abgesehen von der Ausfallsicherheit mit dem zweiten DC)
Wir reden hier von "Veeam Agent for Microsoft Windows FREE" oder?
Wir reden hier von "Veeam Agent for Microsoft Windows FREE" oder?
Es gibt seltene Fälle, wo das eine oder andere Programm Probleme machen kann. Beides zu nutzen ist damit zwar besser, aber sehr selten, dass so etwas eintrifft.
Hi
also grundsätzlich reicht die WB Sicherung schon aus. Aber wenn man das macht muss man schon wissen, wie man das dann im Fehlerfall wiederherstellen kann. Das ist nicht ganz so trivial wie ein normaler restore. Spiele das also mal in einer isolierten Umgebung durch und dokumentiere das ordentlich.
Aber andererseits solltest du auf teufel komm raus den Fehlerfall bei mehreren DCs vermeiden. Du hast ja im Moment schon 2 DCs. Fällt einer davon aus, ist das fast egal, weil du dann einfach eine neue Maschine installierst, zum DC machst und wartest bis alles repliziert ist.
Wenn es aber wirklich mal dazu kommen sollte, das BEIDE sterben, dann wird es komplizierter und das muss dann geübt sein.
Den Server mit den unique Rollen wie der "PDC-Emulator" Rolle würde ich btw nicht auf ein Blech machen. Leg den auf die hoffentlich redundant ausgelegten VM-Server.
also grundsätzlich reicht die WB Sicherung schon aus. Aber wenn man das macht muss man schon wissen, wie man das dann im Fehlerfall wiederherstellen kann. Das ist nicht ganz so trivial wie ein normaler restore. Spiele das also mal in einer isolierten Umgebung durch und dokumentiere das ordentlich.
Aber andererseits solltest du auf teufel komm raus den Fehlerfall bei mehreren DCs vermeiden. Du hast ja im Moment schon 2 DCs. Fällt einer davon aus, ist das fast egal, weil du dann einfach eine neue Maschine installierst, zum DC machst und wartest bis alles repliziert ist.
Wenn es aber wirklich mal dazu kommen sollte, das BEIDE sterben, dann wird es komplizierter und das muss dann geübt sein.
Den Server mit den unique Rollen wie der "PDC-Emulator" Rolle würde ich btw nicht auf ein Blech machen. Leg den auf die hoffentlich redundant ausgelegten VM-Server.
1
Wenn du nur AD sichern willst brauchst du nur ein System State Backup von einem der Domain Controller, und das auch nur für den Fall das beide DCs zerstört werden (Brand o. ä.). Ansonsten kann man mit dem AD Papierkorb alles wiederherstellen was man so versehentlich gelöscht hat.
/Thomas
1
Zitat von @NordicMike:
Es gibt seltene Fälle, wo das eine oder andere Programm Probleme machen kann. ....
Es gibt seltene Fälle, wo das eine oder andere Programm Probleme machen kann. ....
bedenke Murphys Gesetz und entscheide nach Wichtigkeit der Ressource
mfg
kowa
Hallo.
Wir setzen auch das Windows Backup ein und haben zusätzlich einen Veeam Server laufen, der unser VCenter sichert.
Damit fahren wir sehr gut und auch die regelmäßige (alle 12 Monate) Erprobung des "Ernstfalls" konnten wir damit immer sehr gut hinter uns bringen. Die GF und ich können in jedem Fall gut und beruhigt schlafen
Gruß
Radiogugu
Wir setzen auch das Windows Backup ein und haben zusätzlich einen Veeam Server laufen, der unser VCenter sichert.
Damit fahren wir sehr gut und auch die regelmäßige (alle 12 Monate) Erprobung des "Ernstfalls" konnten wir damit immer sehr gut hinter uns bringen. Die GF und ich können in jedem Fall gut und beruhigt schlafen
Gruß
Radiogugu
1Zitat von @NordicMike:
Achja, DerWoWusste hat bei mir noch einen wichtigen Punkt geweckt. Natürlich benötigst Du ein Image, wenn beide Controller Mist syncronisiert haben. Das interne Backup ist ok dafür, das kostenlose Veeam macht es aber auch, zusätzliche noch mit granularem Recovery.
Achja, DerWoWusste hat bei mir noch einen wichtigen Punkt geweckt. Natürlich benötigst Du ein Image, wenn beide Controller Mist syncronisiert haben. Das interne Backup ist ok dafür, das kostenlose Veeam macht es aber auch, zusätzliche noch mit granularem Recovery.
Wir reden hier von "Veeam Agent for Microsoft Windows FREE" oder?
Ich dachte an: Veeam Backup & Recovery Community Edition free
1
Moin
Die wichtigste Frage ist doch nicht, womit Du sicherst, sondern wie du sicherst.
Sicherst Du mit der eingebauten Windows Serversicherung, so erkennt das System bei einer Rücksicherung des Systemstate, dass du einen DC restaurierst.
Sicherst Du mit einer reinen Imagelösung, so wird bei einem Restore das Image ganz stumpf zurückgespielt und dann gestartet. Was dann meist in Fehlern mündet. So wird mit allergrößter Wahrscheinlichkeit die AD-Kommunikation/Replikation mit dem Rest der Domäne nicht mehr funktionieren, weil das Kerberos-Ticket auf dem Server ungültig ist. Das sind aber Dinge, die man mit nur wenig Aufwand in den Griff kriegen kann.
Gruß
Hubert
Die wichtigste Frage ist doch nicht, womit Du sicherst, sondern wie du sicherst.
Sicherst Du mit der eingebauten Windows Serversicherung, so erkennt das System bei einer Rücksicherung des Systemstate, dass du einen DC restaurierst.
Sicherst Du mit einer reinen Imagelösung, so wird bei einem Restore das Image ganz stumpf zurückgespielt und dann gestartet. Was dann meist in Fehlern mündet. So wird mit allergrößter Wahrscheinlichkeit die AD-Kommunikation/Replikation mit dem Rest der Domäne nicht mehr funktionieren, weil das Kerberos-Ticket auf dem Server ungültig ist. Das sind aber Dinge, die man mit nur wenig Aufwand in den Griff kriegen kann.
Gruß
Hubert
1Zitat von @Hubert.N:
Sicherst Du mit der eingebauten Windows Serversicherung, so erkennt das System bei einer Rücksicherung des Systemstate, dass du einen DC restaurierst.
Gruß
Hubert
Sicherst Du mit der eingebauten Windows Serversicherung, so erkennt das System bei einer Rücksicherung des Systemstate, dass du einen DC restaurierst.
Gruß
Hubert
Verstehe ich das richtig? Wenn ich mit Windows Serversicherung sichere, erkennt das System, dass ich einen DC wiederherstelle und somit gibt es keine Probleme mit der Vertrauenswürdigkeit des verbliebenen Controllers?
??? Wieso sollte es da Probleme geben? Du verlierst einen Server und die anderen 5 (oder wie viele auch immer) DCs wollen auf einmal nicht mehr weil Du einen einzigen aus dem Backup wiederhergestellt hast??!
Es gibt eher Probleme bei der Vertrauenswürdigkeit des wiederhergestellten Servers. Und das unter Garantie, wenn sich um ein resauriertes Image handelt.
Es gibt eher Probleme bei der Vertrauenswürdigkeit des wiederhergestellten Servers. Und das unter Garantie, wenn sich um ein resauriertes Image handelt.
1Zitat von @Hubert.N:
Es gibt eher Probleme bei der Vertrauenswürdigkeit des wiederhergestellten Servers. Und das unter Garantie, wenn sich um ein resauriertes Image handelt.
Es gibt eher Probleme bei der Vertrauenswürdigkeit des wiederhergestellten Servers. Und das unter Garantie, wenn sich um ein resauriertes Image handelt.
OK Danke. D.h. ein Windowsbackup schadet nicht, ein VeeamBackup (wegen dem "granularen Recovery" wie NordicMike meint) erst recht nicht und im besten Fall sowieso mit dem verbliebenen DC einen neuen aufsetzten und alles wiederherstellen.
Vielen Dank an alle!
Fazit:
1. Um Ausfallzeiten zu verhindern einen zweiten DC betreiben.
2. VeeamBackup macht das WindowsBackup überflüssig und hat sogar noch die Option des "granularen Recovery"
3. VeeamBackup nur nutzen, wenn beide DCs fehlerhaft sind und der AD Papierkorb nichts mehr bringt.
4. Sonst direkt einen neuen DC aufsetzten und mit Hilfe des zweiten DCs die Daten neu replizieren lassen.
Zitat von @Mann-000:
2. VeeamBackup macht das WindowsBackup überflüssig und hat sogar noch die Option des "granularen Recovery"
3. VeeamBackup nur nutzen, wenn beide DCs fehlerhaft sind und der AD Papierkorb nichts mehr bringt.
2. VeeamBackup macht das WindowsBackup überflüssig und hat sogar noch die Option des "granularen Recovery"
3. VeeamBackup nur nutzen, wenn beide DCs fehlerhaft sind und der AD Papierkorb nichts mehr bringt.
Du brauchst keine 3rd Party Software für die Domaincontroller. Das granulare Recovery ist mit dem Papierkorb erschlagen und wenn beide DC defekt sind hast du eine System State Sicherung mit Bordmitteln. Ansonsten stellt man DCs ja auch nicht wieder her sondern installiert sie neu.
1Zitat von @Th0mKa:
Du brauchst keine 3rd Party Software für die Domaincontroller. Das granulare Recovery ist mit dem Papierkorb erschlagen und wenn beide DC defekt sind hast du eine System State Sicherung mit Bordmitteln. Ansonsten stellt man DCs ja auch nicht wieder her sondern installiert sie neu.
Du brauchst keine 3rd Party Software für die Domaincontroller. Das granulare Recovery ist mit dem Papierkorb erschlagen und wenn beide DC defekt sind hast du eine System State Sicherung mit Bordmitteln. Ansonsten stellt man DCs ja auch nicht wieder her sondern installiert sie neu.
Anbei ist ein Bild.
Ich wähle davon immer:
- Bare metal recovery
- System state
- System Reserved
- Local disk ( C: )
System State Sicherung = Da reicht auch nur "System state" oder lieber gleich alles mit?
Zitat von @Mann-000:
System State Sicherung = Da reicht auch nur "System state" oder lieber gleich alles mit?
System State Sicherung = Da reicht auch nur "System state" oder lieber gleich alles mit?
Es reicht die System State Sicherung.
1Zitat von @Th0mKa:
Du brauchst keine 3rd Party Software für die Domaincontroller. Das granulare Recovery ist mit dem Papierkorb erschlagen und wenn beide DC defekt sind hast du eine System State Sicherung mit Bordmitteln. Ansonsten stellt man DCs ja auch nicht wieder her sondern installiert sie neu.
Zitat von @Mann-000:
2. VeeamBackup macht das WindowsBackup überflüssig und hat sogar noch die Option des "granularen Recovery"
3. VeeamBackup nur nutzen, wenn beide DCs fehlerhaft sind und der AD Papierkorb nichts mehr bringt.
2. VeeamBackup macht das WindowsBackup überflüssig und hat sogar noch die Option des "granularen Recovery"
3. VeeamBackup nur nutzen, wenn beide DCs fehlerhaft sind und der AD Papierkorb nichts mehr bringt.
Du brauchst keine 3rd Party Software für die Domaincontroller. Das granulare Recovery ist mit dem Papierkorb erschlagen und wenn beide DC defekt sind hast du eine System State Sicherung mit Bordmitteln. Ansonsten stellt man DCs ja auch nicht wieder her sondern installiert sie neu.
Du hast recht. Das eine macht das andere überflüssig. Wobei denkt bitte daran, den Papierkorb im AD zu aktivieren.
Dankeschön.
Hoi,
Ich habe bei einem MS Audit eins auf den Deckel bekommen weil ich ein 3th-Party Tool einsetzte. Das einzige was von MS supportet werde sei Windows Backup. Daher ist es sicher nich falsch dies einzusetzen.
Grüsse pocketflo
Ich habe bei einem MS Audit eins auf den Deckel bekommen weil ich ein 3th-Party Tool einsetzte. Das einzige was von MS supportet werde sei Windows Backup. Daher ist es sicher nich falsch dies einzusetzen.
Grüsse pocketflo
Zitat von @pocketflo:
Ich habe bei einem MS Audit eins auf den Deckel bekommen weil ich ein 3th-Party Tool einsetzte.
Ich habe bei einem MS Audit eins auf den Deckel bekommen weil ich ein 3th-Party Tool einsetzte.
Kaum zu glauben, ich könnte mir nur vorstellen, dass Du es auf einen unlizenzierten Hyper-V installiert hast, der sonst keine andere Rolle haben darf.
Das interessiert mich, könntest Du darauf etwas detaillierter eingehen?
There is one supported way to perform backup and restore of a virtualized domain controller:
Run Windows Server Backup in the guest operating system.
Aus:Backup AD DC Technet
Run Windows Server Backup in the guest operating system.
Aus:Backup AD DC Technet
Zitat von @pocketflo:
There is one supported way to perform backup and restore of a virtualized domain controller:
Run Windows Server Backup in the guest operating system.
Aus:Backup AD DC Technet
There is one supported way to perform backup and restore of a virtualized domain controller:
Run Windows Server Backup in the guest operating system.
Aus:Backup AD DC Technet
Ein sehr informativer Artikel!
Danke für die Info.