Braucht man eine Domänencontroller-Sicherung mit USN-Rollback-Schutz
Hallo zusammen,
momentan sichere ich meine virtualisierten Domänencontroller mit Acronis vom Host aus OHNE das Active-Directory-Plugin. Und eigentlich will das nicht aktivieren, da ich dann bei Acronis Domänen-Admin Credentials hinterlegen muss. Wenn ich das deaktiviert habe, können bei der Wiederherstellung aufgrund eines USN-Rollbacks Probleme im Active Directory entstehen. Allerdings nur, wenn ich den DC wiederherstelle, wenn ein anderer DC noch aktiv ist.
Mein Szenario: DCs mit Windows 2019 3 Standorte, 4 DCs auf die Standorte verteilt.
Meine Frage dazu wäre: In welchem Szenario könnte es erforderlich werden, dass ich einen DC einzeln wiederherstellen muss? Einzelne defekte DCs kann ich doch einfach durch einen neu installierten ersetzen. Und wenn durch Ransomware alles kaputt ist, kann ich EINEN DC alleine wiederherstellen, und von dem aus die Domänencontrollerstruktur wieder neu aufbauen.
Ich tendiere zu: Nein, denn das würde mehr mehr Probleme (hinterlegte Credentials, Acronis-Agent als Domänen-Admin laufend) bringen als es löst.
Grüße
lcer
momentan sichere ich meine virtualisierten Domänencontroller mit Acronis vom Host aus OHNE das Active-Directory-Plugin. Und eigentlich will das nicht aktivieren, da ich dann bei Acronis Domänen-Admin Credentials hinterlegen muss. Wenn ich das deaktiviert habe, können bei der Wiederherstellung aufgrund eines USN-Rollbacks Probleme im Active Directory entstehen. Allerdings nur, wenn ich den DC wiederherstelle, wenn ein anderer DC noch aktiv ist.
Mein Szenario: DCs mit Windows 2019 3 Standorte, 4 DCs auf die Standorte verteilt.
Meine Frage dazu wäre: In welchem Szenario könnte es erforderlich werden, dass ich einen DC einzeln wiederherstellen muss? Einzelne defekte DCs kann ich doch einfach durch einen neu installierten ersetzen. Und wenn durch Ransomware alles kaputt ist, kann ich EINEN DC alleine wiederherstellen, und von dem aus die Domänencontrollerstruktur wieder neu aufbauen.
Ich tendiere zu: Nein, denn das würde mehr mehr Probleme (hinterlegte Credentials, Acronis-Agent als Domänen-Admin laufend) bringen als es löst.
Grüße
lcer
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 2119959002
Url: https://administrator.de/forum/braucht-man-eine-domaenencontroller-sicherung-mit-usn-rollback-schutz-2119959002.html
Ausgedruckt am: 27.04.2025 um 00:04 Uhr
9 Kommentare
Neuester Kommentar
Moin,
Höchstens, wenn Du z.B. einen einzelnen DC als NPS laufen hast. Dann benötigst Du zumindest die alte Konfig. Oder DHCP. Außerdem deutliche Geschwindigkeitsvorteile bei der Wiederbereitstellung. Sonst aus meiner Sicht nicht.
Gruß
Meine Frage dazu wäre: In welchem Szenario könnte es erforderlich werden, dass ich einen DC einzeln wiederherstellen muss? Einzelne defekte DCs kann ich doch einfach durch einen neu installierten ersetzen. Und wenn durch Ransomware alles kaputt ist, kann ich EINEN DC alleine wiederherstellen, und von dem aus die Domänencontrollerstruktur wieder neu aufbauen.
Höchstens, wenn Du z.B. einen einzelnen DC als NPS laufen hast. Dann benötigst Du zumindest die alte Konfig. Oder DHCP. Außerdem deutliche Geschwindigkeitsvorteile bei der Wiederbereitstellung. Sonst aus meiner Sicht nicht.
Gruß
Ein Scenario wäre, wenn du im Active Directory irgendwelche Fehler hast, die du mit dem Editor nicht beheben kannst oder erst gar nicht findest. Oder gelöschte Einträge... Papierkorb schon aktiviert?
Hallo,
NPS haben wir. Da sichere ich aber die Config mit Powershell Export-NpsConfiguration nach dem Ändern der Config. Das könnte man aber noch als Geplante Aufgabe automatisieren.
DHCP läuft mit Failover-Servern. Auch da könnte man mit Backup-DhcpServer als geplante Aufgabe arbeiten. Wenn ich den DC rücksichern müsste, wäre das aber mein geringstes Problem.
grüße
lcer
Zitat von @Coreknabe:
Höchstens, wenn Du z.B. einen einzelnen DC als NPS laufen hast. Dann benötigst Du zumindest die alte Konfig. Oder DHCP. Außerdem deutliche Geschwindigkeitsvorteile bei der Wiederbereitstellung. Sonst aus meiner Sicht nicht.
Höchstens, wenn Du z.B. einen einzelnen DC als NPS laufen hast. Dann benötigst Du zumindest die alte Konfig. Oder DHCP. Außerdem deutliche Geschwindigkeitsvorteile bei der Wiederbereitstellung. Sonst aus meiner Sicht nicht.
NPS haben wir. Da sichere ich aber die Config mit Powershell Export-NpsConfiguration nach dem Ändern der Config. Das könnte man aber noch als Geplante Aufgabe automatisieren.
DHCP läuft mit Failover-Servern. Auch da könnte man mit Backup-DhcpServer als geplante Aufgabe arbeiten. Wenn ich den DC rücksichern müsste, wäre das aber mein geringstes Problem.
grüße
lcer
Zitat von @NordicMike:
Ein Scenario wäre, wenn du im Active Directory irgendwelche Fehler hast, die du mit dem Editor nicht beheben kannst oder erst gar nicht findest. Oder gelöschte Einträge... Papierkorb schon aktiviert?
Ein Scenario wäre, wenn du im Active Directory irgendwelche Fehler hast, die du mit dem Editor nicht beheben kannst oder erst gar nicht findest. Oder gelöschte Einträge... Papierkorb schon aktiviert?
Papierkorb ist akiviert. Bei gröberen Fehlern würde ich dann halt ein Backup wiederherstellen müssen und an allen Standorten neue DCs Installieren.
Grüße
lcer
Also ich habe kein Problem damit, mein Veeam hat die Credentials zu den Servern. Der Vorteil ist nicht nur im AD, sondern auch Datenbank Logs werden gepurged, bevor gesichert wird. Das macht viel mehr Probleme, wenn die Logs in den Sicherungen korrupt sind, weil sie eigentlich ständig offen sind.
1
Hallo,
Grüße
lcer
Zitat von @NordicMike:
Also ich habe kein Problem damit, mein Veeam hat die Credentials zu den Servern. Der Vorteil ist nicht nur im AD, sondern auch Datenbank Logs werden gepurged, bevor gesichert wird.
Welche Logs?Also ich habe kein Problem damit, mein Veeam hat die Credentials zu den Servern. Der Vorteil ist nicht nur im AD, sondern auch Datenbank Logs werden gepurged, bevor gesichert wird.
Grüße
lcer
Bei Datenbanken kennt man die Cache Dateien "Logs". Sie sind immer offen, damit die Datenbanken schneller sind. Wenn du die offenen Dateien versuchst zu sichern, sind diese danach korrupt oder ganz weg. Bei einem SQL Server sorgt Veeam und Acronis dafür, dass sie vorher bereinigt und geschlossen werden.
Hallo,
Grüße
lcer
Zitat von @NordicMike:
Bei Datenbanken kennt man die Cache Dateien "Logs". Sie sind immer offen, damit die Datenbanken schneller sind. Wenn du die offenen Dateien versuchst zu sichern, sind diese danach korrupt oder ganz weg. Bei einem SQL Server sorgt Veeam und Acronis dafür, dass sie vorher bereinigt und geschlossen werden.
OK, also nicht DC-Logs. Für die anderen Server habe ich auch kein Problem mit dem Zugriff durch Acronis. Die DC sind bei mir (fast) clean - also nur AD, NPS, DHCP und sonst nix.Bei Datenbanken kennt man die Cache Dateien "Logs". Sie sind immer offen, damit die Datenbanken schneller sind. Wenn du die offenen Dateien versuchst zu sichern, sind diese danach korrupt oder ganz weg. Bei einem SQL Server sorgt Veeam und Acronis dafür, dass sie vorher bereinigt und geschlossen werden.
Grüße
lcer
Hallo,
ich habe das ganze jetzt wir folgt gelöst:
Die DC sichern per geplantem Task NPS und die LAPS-Daten auf ein Verzeichnis auf dem Systemlaufwerk.
Die DCs werden "als VM von außen" gesichert. Die Backupsoftware (Acronis) hat weder Domänenadmin-Rechte noch einen Agenten auf dem DC installiert. In den Backups finden sich also die oben erstellten Sicherungsdateien.
Sollte ein DC irreparabel beschädigt sein, ist vorgesehen, ihn aus der Domäne zu entfernen (je nach Problem herunterstufen oder erzwingen) und anschließend einen neuen DC zu auszusetzen, der sich dann mit den verbleibenden DCs repliziert.
Fallen alle DCs aus, würde ich einen DC aus dem Backup wiederherstellen und die anderen als neue Server installieren.
DHCP könnte ich auch noch auf diese Art sichern, das wäre aber auch manuell wieder schnell hergestellt. Außerdem gibt es da eine Failover-Konfiguration.
Grüße
lcer
ich habe das ganze jetzt wir folgt gelöst:
Die DC sichern per geplantem Task NPS und die LAPS-Daten auf ein Verzeichnis auf dem Systemlaufwerk.
powershell.exe -NoProfile -WindowStyle Hidden -command "& Export-NpsConfiguration -Path C:\Backup\NPS\nps-config.xml
powershell.exe -NoProfile -WindowStyle Hidden -command "& get-adcomputer -filter * | Get-AdmPwdPassword | Where-Object {$_.Password -ne $null} | fl | out-file -FilePath ('C:\Backup\LAPS\laps-'+(Get-ADDomain).dnsroot)" Sollte ein DC irreparabel beschädigt sein, ist vorgesehen, ihn aus der Domäne zu entfernen (je nach Problem herunterstufen oder erzwingen) und anschließend einen neuen DC zu auszusetzen, der sich dann mit den verbleibenden DCs repliziert.
Fallen alle DCs aus, würde ich einen DC aus dem Backup wiederherstellen und die anderen als neue Server installieren.
DHCP könnte ich auch noch auf diese Art sichern, das wäre aber auch manuell wieder schnell hergestellt. Außerdem gibt es da eine Failover-Konfiguration.
Grüße
lcer
1
