13198
16.07.2007, aktualisiert am 02.01.2009
9356
6
0
Notfallplan Win 2003 Server Images, Systemstate, Vorgehen usw.
Hallo, ich bin gerade dabei unseren Notfallplan zu erstellen und auch zu testen. Vielleicht möchte ja der ein oder andere sich hier zu Wort melden der auch noch keinen wirklichen Sicherungsplan hat und einen erstellen möchte oder jemand kann von einer Wiederherstellung berichten bzw. wo auch Probleme lagen an die man so nicht direkt denkt... wer jetzt gleich wieder auf den Beitrag "warum keine Images verwenden" linken möchte bitte verkneifen ... hab ich schon gelesen und ja, es gibt Webcasts zum Thema...
Ich habe hier folgendes Netzwerk,
- Terminal Server Windows 2003 R1 Standard
- ERP Server Win 2003 R2 Standard, DNS Server (Active Directory integriert) und Wins Server
- Mailserver Win 2003 R2 Standard
im ERP Server befindet sich ein Bandlaufwerk gesichert wird jeden Sonntag mit Symantec Backup Exec 10, auf dem Mailserver ist der Remote Client von Backup Exec installiert und wird Sonntags ebenfalls aufs Band geschrieben (Rücksicherungszeitraum 1 Jahr mit 10 Bändern...). Unter der Woche sichere ich auf Netzwerkspeicher mittels Windows Backup (Rücksicherungszeitspanne 1 Woche - räumlich getrennt gelagert). Systemstatus wird ebenfalls immer gesichert. Ab und zu mache ich noch ein Image aller Server mit Acrontis True Image Server Enterprise. (alle Server zum gleichen Zeitpunkt...
1. Test der Wiederherstellung mit den Images:
Image von ERP und Mailserver wieder eingespielt und Daten über windows backup hergestellt. Datenherstellung hat funktioniert. Image Dateien waren älter als 60 Tage. Active Directory: alle Daten sind vorhanden, alle Programme sind da, Clients können sich an der Domäne anmelden. Auf den ersten Blick sieht alles normal aus. DNS Auflösung am ERP Server funktioniert.
ABER: DNS an den Client funktioniert nicht und am Mailserver ebenfalls nicht. Ich vermute es liegt an der Tombstone Lifetime und die Server können daraufhin nicht mehr richtig kommunizieren...
Jedoch denke ich, dass ich dieses Problem auch hätte, wenn der Systemstate die Tombstone Lifetime überschreitet. (habe ich nicht getestet, da nach dem Einspielen die erneute Aktivierung verlangt wird…)
Also macht es meiner Meinung nach wenig Sinn eine Wiederherstellung mit dem Systemstate oder mit Images zu machen wenn man mehr als einen Server hat auf denen das Active Directory läuft. Hat sonst noch jemand einen Vorschlag an was man unbedingt denken sollte? Ich werde noch einen Server installieren der an einem anderen Standort steht und der auch die AD Informationen bekommen soll. Wichtige Hardwarekomponenenten wie Switche usw. sollten gegebenenfalls doppelt gehalten werden.
Ich habe hier folgendes Netzwerk,
- Terminal Server Windows 2003 R1 Standard
- ERP Server Win 2003 R2 Standard, DNS Server (Active Directory integriert) und Wins Server
- Mailserver Win 2003 R2 Standard
im ERP Server befindet sich ein Bandlaufwerk gesichert wird jeden Sonntag mit Symantec Backup Exec 10, auf dem Mailserver ist der Remote Client von Backup Exec installiert und wird Sonntags ebenfalls aufs Band geschrieben (Rücksicherungszeitraum 1 Jahr mit 10 Bändern...). Unter der Woche sichere ich auf Netzwerkspeicher mittels Windows Backup (Rücksicherungszeitspanne 1 Woche - räumlich getrennt gelagert). Systemstatus wird ebenfalls immer gesichert. Ab und zu mache ich noch ein Image aller Server mit Acrontis True Image Server Enterprise. (alle Server zum gleichen Zeitpunkt...
1. Test der Wiederherstellung mit den Images:
Image von ERP und Mailserver wieder eingespielt und Daten über windows backup hergestellt. Datenherstellung hat funktioniert. Image Dateien waren älter als 60 Tage. Active Directory: alle Daten sind vorhanden, alle Programme sind da, Clients können sich an der Domäne anmelden. Auf den ersten Blick sieht alles normal aus. DNS Auflösung am ERP Server funktioniert.
ABER: DNS an den Client funktioniert nicht und am Mailserver ebenfalls nicht. Ich vermute es liegt an der Tombstone Lifetime und die Server können daraufhin nicht mehr richtig kommunizieren...
Jedoch denke ich, dass ich dieses Problem auch hätte, wenn der Systemstate die Tombstone Lifetime überschreitet. (habe ich nicht getestet, da nach dem Einspielen die erneute Aktivierung verlangt wird…)
Also macht es meiner Meinung nach wenig Sinn eine Wiederherstellung mit dem Systemstate oder mit Images zu machen wenn man mehr als einen Server hat auf denen das Active Directory läuft. Hat sonst noch jemand einen Vorschlag an was man unbedingt denken sollte? Ich werde noch einen Server installieren der an einem anderen Standort steht und der auch die AD Informationen bekommen soll. Wichtige Hardwarekomponenenten wie Switche usw. sollten gegebenenfalls doppelt gehalten werden.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 63897
Url: https://administrator.de/contentid/63897
Ausgedruckt am: 26.11.2024 um 14:11 Uhr
6 Kommentare
Neuester Kommentar
Hallo Ald
ABER: DNS an den Client funktioniert nicht
und am Mailserver ebenfalls nicht. Ich
vermute es liegt an der Tombstone Lifetime
und die Server können daraufhin nicht
mehr richtig kommunizieren...
Schon mal daran gedacht?
Fixing Replication Lingering Object Problems:
http://technet2.microsoft.com/windowsserver/en/library/4a1f420d-25d6-41 ...
Warum hast Du tombstone lifetime auf 60 Tage eingestellt , ab W2k3 R1 sind doch 180 Tage moeglich?
saludos
gnarff
ABER: DNS an den Client funktioniert nicht
und am Mailserver ebenfalls nicht. Ich
vermute es liegt an der Tombstone Lifetime
und die Server können daraufhin nicht
mehr richtig kommunizieren...
Schon mal daran gedacht?
Fixing Replication Lingering Object Problems:
http://technet2.microsoft.com/windowsserver/en/library/4a1f420d-25d6-41 ...
Warum hast Du tombstone lifetime auf 60 Tage eingestellt , ab W2k3 R1 sind doch 180 Tage moeglich?
saludos
gnarff
hi gnarff,
also die 60 sind bei mir Standard weil ich von der R2 CD installiert habe und vor dem Erstellen der Domäne gleich noch CD2 installiert habe.
Der Artikel bringt mich nicht wirklich weiter. Ich denke nicht, dass sich dadurch das Problem beheben lassen würde.
gruss
also die 60 sind bei mir Standard weil ich von der R2 CD installiert habe und vor dem Erstellen der Domäne gleich noch CD2 installiert habe.
Der Artikel bringt mich nicht wirklich weiter. Ich denke nicht, dass sich dadurch das Problem beheben lassen würde.
gruss
wie testest du? Über Virtual Maschine?
Glückwunsch, schön das eure Geschäftsführung die Notwendigkeit einer solchen Notfallübung einsieht. Ich hoffe ihr lernt möglichst dabei viel. Darf ich einfach mal annehmen, dass ihr gesetzliche Vorgaben damit erfüllen müsst bzw. ein Prüfer / Auditor sich das Ergebnis ansehen möchte. (So war es bei uns.)
mein persönlicher Erfahrungsbericht: Bei unserer ersten Prüfung wurden wir total überrascht als der Prüfer ein Szenario verlangte bei dem unser Serverraum physikalisch verloren war. Z.B. durch Hochwasser (unsere Firma liegt auf einem Hügel....) oder ein Flugzeugabsturz.
Ein Recovery muss grundsätzlich auf einer anderen Hardware passieren oder es existiert ein Vertrag über eine Lieferung von n-Stück Serverhardware, identischer Typ und Modell innerhalb von 4h. Letzteres ist sehr teuer da diese Hardware effektiv beim Lieferanten verpackt liegt.
Die zweite Hürde war, dass wir nur noch Backupmedien verwenden durften die wir extern ausgelagert hatten. Im ersten Anlauf hatten wir Images auf CD/DVD bei uns im Safe liegen uns wollten dann zusätzliche Tapes wieder einspielen. Ein anderer SCSI Controller ohne passenden Treiber verursachte einige Probleme. Prüfer: "Nichts aus dem Internet laden! Die Leitung könnte defekt sein."
Wir mußten sogar den Katalog auf dem Backupserver neu erstellen. Allein das hat viel zulange gedauert.
meine Tipps:
Ein Backup vom Katalog auf ein extra Tape.
Was wird der Prüfer fragen? Siehe www.bsi.de -> Grundschutzkataloge
Der Restoreserver für den K-fall muss ausgelagert werden. Der Restoreserver arbeitet am besten ohne Domain und ist bereits aktiviert und (BackupExec) Lizensiert. CD's mit Lizenznummern für alle Agenten beilegen. Windows Lizenznummern und Medien für alle Server die gesichert werden.
Der Notfallplan muss eine verbindliche Reihenfolge beinhalten welche Abteilung (Server) zuerst wiederhergestellt werden. Das geht nur mit kleinen Backupjobs. Ein großer Job, der 3 Tage braucht um fertig zu werden ist nicht gut.
Telefon? Strom? Internet? Klimaanlage? Ausweichrechenzentrum? Drucker? Fax? Werkzeug? Auto / Transporte? Netzwerk? passive Kabel und aktive Switche, Firewall.
Wir durften nicht einmal annehmen dass wir via UMTS eine Internetverbindung aufbauen können. (Der erste Prüfer war ein Ar.......)
Unsere Buchhaltung muss für den K-fall die Zahlungssicherheit gewährleisten, aber das ist wohl schon sehr weit ab von deiner Frage.
Zu deiner Frage mit dem Wiederherstellen von einem DC aus einem aktuellem Image hatten wir kleine Probleme.
gruß Rafiki
mein persönlicher Erfahrungsbericht: Bei unserer ersten Prüfung wurden wir total überrascht als der Prüfer ein Szenario verlangte bei dem unser Serverraum physikalisch verloren war. Z.B. durch Hochwasser (unsere Firma liegt auf einem Hügel....) oder ein Flugzeugabsturz.
Ein Recovery muss grundsätzlich auf einer anderen Hardware passieren oder es existiert ein Vertrag über eine Lieferung von n-Stück Serverhardware, identischer Typ und Modell innerhalb von 4h. Letzteres ist sehr teuer da diese Hardware effektiv beim Lieferanten verpackt liegt.
Die zweite Hürde war, dass wir nur noch Backupmedien verwenden durften die wir extern ausgelagert hatten. Im ersten Anlauf hatten wir Images auf CD/DVD bei uns im Safe liegen uns wollten dann zusätzliche Tapes wieder einspielen. Ein anderer SCSI Controller ohne passenden Treiber verursachte einige Probleme. Prüfer: "Nichts aus dem Internet laden! Die Leitung könnte defekt sein."
Wir mußten sogar den Katalog auf dem Backupserver neu erstellen. Allein das hat viel zulange gedauert.
meine Tipps:
Ein Backup vom Katalog auf ein extra Tape.
Was wird der Prüfer fragen? Siehe www.bsi.de -> Grundschutzkataloge
Der Restoreserver für den K-fall muss ausgelagert werden. Der Restoreserver arbeitet am besten ohne Domain und ist bereits aktiviert und (BackupExec) Lizensiert. CD's mit Lizenznummern für alle Agenten beilegen. Windows Lizenznummern und Medien für alle Server die gesichert werden.
Der Notfallplan muss eine verbindliche Reihenfolge beinhalten welche Abteilung (Server) zuerst wiederhergestellt werden. Das geht nur mit kleinen Backupjobs. Ein großer Job, der 3 Tage braucht um fertig zu werden ist nicht gut.
Telefon? Strom? Internet? Klimaanlage? Ausweichrechenzentrum? Drucker? Fax? Werkzeug? Auto / Transporte? Netzwerk? passive Kabel und aktive Switche, Firewall.
Wir durften nicht einmal annehmen dass wir via UMTS eine Internetverbindung aufbauen können. (Der erste Prüfer war ein Ar.......)
Unsere Buchhaltung muss für den K-fall die Zahlungssicherheit gewährleisten, aber das ist wohl schon sehr weit ab von deiner Frage.
Zu deiner Frage mit dem Wiederherstellen von einem DC aus einem aktuellem Image hatten wir kleine Probleme.
gruß Rafiki
wie testest du? Über Virtual Maschine?
nein gerade habe identische Hardware hier...
Hi Rafiki,
nein das mache ich von mir aus. Ein Audit ist nicht geplant. Bei einem Crash möchte ich die Systeme so schnell wie möglich wieder am Laufen haben.
Wie kommt es, dass bei euch ein Audit stattgefunden hat? Habt ihr eine Iso Zerti welche dies verlangt? Ich bin der Meinung jedes größere Unternehmen sollte einen solchen Plan haben und ich meine laut Basel2 ist man sogar dazu verpflichtet. Danke für deine lange Antwort. Wie oft macht ihr eure Images? Benutzt ihr wirklich eine Imagesoftware oder macht ihr es über den Systemstatus?
Danke gruss
nein das mache ich von mir aus. Ein Audit ist nicht geplant. Bei einem Crash möchte ich die Systeme so schnell wie möglich wieder am Laufen haben.
Wie kommt es, dass bei euch ein Audit stattgefunden hat? Habt ihr eine Iso Zerti welche dies verlangt? Ich bin der Meinung jedes größere Unternehmen sollte einen solchen Plan haben und ich meine laut Basel2 ist man sogar dazu verpflichtet. Danke für deine lange Antwort. Wie oft macht ihr eure Images? Benutzt ihr wirklich eine Imagesoftware oder macht ihr es über den Systemstatus?
Danke gruss
