Im letzten Monat habe ich mit vielen Leuten über die Sicherung und Wiederherstellung von Active Directory diskutiert. Nun, die offensichtlichen Themen, über die wir sprechen, sind Disaster Recovery und Forest Recovery. Natürlich haben wir darüber gesprochen, aber in vielen der Diskussionen im letzten Monat ging es mehr um das, was ich als "Change Resiliency" bezeichnen würde: die Fähigkeit, von Active Directory-Administratoren vorgenommene Änderungen schnell rückgängig zu machen.
Meiner Meinung nach ist dies ein Thema, das oft vernachlässigt wird.
Um zu sehen, warum dies eine interessante Seite der Geschichte ist, müssen wir uns nur ansehen, was Microsoft in Windows Server integriert hat und was typische Lösungen zur Sicherung und Wiederherstellung von Active Directory bieten. Dann ist es ganz einfach zu erkennen, wie man Änderungen in Active Directory intelligent rückgängig machen kann.
Hinweis:
Diese Lösungen haben Darren und ich in unserem kostenlosen Webcast vom 27. Juni zum Thema "Auswahl der richtigen Lösung für die Sicherung und Wiederherstellung von Active Directory" ausführlich besprochen. Wenn Sie uns also lieber zuhören möchten, als die nächsten drei Absätze zu lesen, können Sie gerne einschalten!
Was Microsoft bietet
Microsoft bietet drei hilfreiche Technologien für Active Directory-Administratoren in Windows Server:
1. Windows Server-Sicherung
2. Der Active Directory-Papierkorb
3. Die Option 'Vor versehentlichem Löschen schützen'.
Objekte in Active Directory werden durch eindeutige Sicherheitskennungen (sIDs) bezeichnet. Wenn Sie ein Objekt löschen, es aber mit demselben Namen, Benutzernamen usw. neu erstellen, handelt es sich nicht um dasselbe Objekt. Das liegt daran, dass die sID nicht dieselbe ist. Da das ursprüngliche Objekt aus der Datenbank entfernt wurde, hat es seine sID mitgenommen. Ein neues Objekt würde immer eine andere sID haben, obwohl es in allen anderen verwaltbaren Attributen mit dem Original übereinstimmt. Die sID ist jedoch das Attribut, das in vielen der Mechanismen zur Gewährung (oder Verweigerung) von Zugriff verwendet wird, wie z.B. Gruppenmitgliedschaften, Zugriffskontrolllisten (ACLs).
Windows Server-Sicherung
Die Wiederbelebung von Active Directory-Objekten und die Wiederherstellung aus einem Backup ermöglichten die Wiederherstellung von Objekten in der oben beschriebenen Situation, in der Zeit vor Windows Server 2008. Sysinternals bietet ein Tool an, mit dem Sie das erste Ziel erreichen können, und Microsoft liefert glücklicherweise ein Tool zur Sicherung und Wiederherstellung mit Windows Server aus: Windows Server-Sicherung.
Windows Server Backup kann zur Erstellung von Sicherungskopien der Active Directory-Datenbank verwendet werden, die auch unter dem Dateinamen ntds.dit oder einfach als "die dit" bezeichnet wird. Mit demselben Tool können Sie Bare Metal Restore-Bootmedien erstellen, um einen Domain Controller auf unterstützte Weise wiederherzustellen.
Ich halte es für wichtig zu erwähnen, dass Windows Server Backup in diesem Stadium Volume Shadow Copies verwendet. Dadurch kann Windows Server Backup ein konsistentes Backup erstellen, ohne dass die Endbenutzer Ausfallzeiten bemerken. Wenn Sie einen Domain Controller mit einer Windows Server-Sicherung wiederherstellen, werden außerdem mehrere Änderungen und Überprüfungen vorgenommen, um eine ordnungsgemäße Wiederherstellung zwischen allen anderen Domain Controllern in der Umgebung sicherzustellen. Das ist ein wesentlicher Unterschied zu den Snapshots, die viele vergessliche Administratoren mit Tools wie Acronis TrueImage erstellt haben, einem der beliebtesten Tools der Branche, um Active Directory zu zerstören...
Die Option "Vor versehentlicher Löschung schützen".
Mit Windows Server 2008 hat Microsoft eine Option in den Active Directory-Verwaltungstools eingeführt, die als "Vor versehentlichem Löschen schützen" bezeichnet wird. Während diese Funktion in den grafischen Benutzeroberflächen Active Directory Users and Computers(dsa.msc) und Active Directory Administrative Center(dsac.exe) wie eine einfache Option aussieht, wird unter der Haube eine Reihe von Zugriffskontrolleinträgen (ACEs) mit der Bezeichnung "Verweigern" auf das Objekt selbst und sein übergeordnetes Objekt für den Sicherheitsprinzipal "Jeder" angewendet.
Wenn Sie ein beliebiges Werkzeug zum Löschen des Objekts verwenden, schlägt die Aktion fehl und weist auf ein Berechtigungsproblem hin. Zunächst muss die Option entfernt werden, bevor das Objekt tatsächlich entfernt werden kann. Dadurch werden viele der "Oops"-Momente für Active Directory-Systemmanager, die grafische Tools verwenden, vermieden. Seine wahre Stärke zeigt sich, wenn einige Objekte von verzeichnisweiten "Oops"-Momenten ausgeschlossen werden, wenn Administratoren PowerShell oder andere Skript- und Bulk-Tools verwenden.
Der Active Directory-Papierkorb
Seit dem Windows Server 2008 R2 Forest Functional Level (FFL) bietet Microsoft mit dem Active Directory-Papierkorb eine Lösung für gelöschte Objekte, die über die Wiederbelebung und Wiederherstellung aus einem Backup hinausgeht.
Die Technologie hinter dem Active Directory-Papierkorb ist ein neues Attribut: isRecycled. Wenn früher ein Objekt, z.B. ein Computer oder ein Benutzer, gelöscht wurde, wird das Attribut isDeleted auf true gesetzt. Wenn der Active Directory-Papierkorb aktiviert ist, wird das Attribut isRecycled nach Ablauf der Lebensdauer des Papierkorbs ebenfalls auf true gesetzt. Nachdem die Lebensdauer des Papierkorbs abgelaufen ist, wird das Objekt dann wirklich aus der Datenbank entfernt. Wenn nur das Attribut isDeleted gesetzt ist, kann das Objekt über den Active Directory-Papierkorb wiederhergestellt werden. Alle Verwaltungstools von Microsoft filtern Objekte, bei denen das Attribut isDeleted auf true gesetzt ist, aus der Ansicht heraus. Wenn Sie jedoch das Active Directory Administrative Center(dsac.exe) auf Windows Server 2012 oder höher oder das Active Directory PowerShell-Modul verwenden, können Sie diese Objekte zusammen mit ihren sIDs und somit dem ursprünglichen Zugriff problemlos wiederherstellen.
Was typische Lösungen zur Sicherung und Wiederherstellung von Active Directory bieten
Es ergibt sich ein düsteres Bild, wenn wir uns die von Microsoft angebotenen Tools und Technologien ansehen: Sie funktionieren alle auf der Objektebene, aber nicht auf der Attributebene. Ich weiß nicht, wie es Ihnen geht, aber ich benutze die Löschtaste auf meiner Tastatur nicht so oft, wie ich typische Attribute wie Gruppenmitgliedschaften, E-Mail-Adressen und Anzeigenamen verwalte.
Wenn ich nun eine dieser Änderungen rückgängig machen möchte, muss ich in der Regel eine Sicherungskopie wiederherstellen und eine Datei im LDIF-Format (Lightweight Directory Interchange Format) mit den Unterschieden erstellen, die ich rückgängig machen möchte.
Das braucht Zeit, viel Zeit.
Das nenne ich die Herausforderung der Widerstandsfähigkeit gegenüber Veränderungen.
Typische Sicherungs- und Wiederherstellungslösungen haben den Schmerz ein wenig gemildert, indem sie entweder die (Test-)Wiederherstellung vereinfachen oder die Auswahl der Attribute, die Sie wiederherstellen möchten, in einer grafischen Oberfläche erleichtern, wobei die Datenbankkonsistenz erhalten bleibt.
Einfachere (Test-)Wiederherstellungen
Eine der Sicherungs- und Wiederherstellungslösungen, die die Durchführung von Wiederherstellungen und Testwiederherstellungen wirklich einfach machen, ist meiner Meinung nach Azure Site Recovery Services. Mit dieser Lösung müssen Sie keine identische Hardware für die Wiederherstellung angeben, und Sie brauchen nicht einmal denselben Hypervisor, um eine Wiederherstellung durchzuführen. Alles, was Sie brauchen, ist ein Azure Infrastructure-as-a-Service-Abonnement. Sie zahlen nach Aufwand für den Speicher und die VM(s), die Sie aufsetzen, aber nur für die Zeit, in der Sie sie tatsächlich benötigen, was in der Regel nur ein paar Stunden sind.
Leichtere Auswahlen
Unter den Tools, die die Auswahl von Attributen für die Rückgängigmachung erleichtern, sticht meiner Meinung nach der Agent von Veeam für Microsoft Active Directory hervor. In seiner grafischen Benutzeroberfläche (GUI) können Sie einzelne Attribute auswählen, aber erfahrene Active Directory-Administratoren können auch LDAP-basierte Filter verwenden. Anschließend erstellt der Agent die LDIF-Datei für Sie und wendet sie an. Außerdem wird eine weitere LDIF-Datei erstellt, die Sie bei Bedarf rückgängig machen können.
Wie Sie mit Active Directory Change Resiliency wirklich clever vorgehen
Im Gespräch mit Darren erfuhr ich, dass es einen intelligenteren Weg gibt, die Herausforderung der Widerstandsfähigkeit gegenüber Veränderungen anzugehen.
Ich bin der Erste, der zugibt, dass es zwar sinnvoll ist, Backups (im Zwischenspeicher) auf Domain Controllern aufzubewahren, wenn es um Disaster Recovery und Forest Recovery geht, aber wenn es um die Ausfallsicherheit geht, ist es besser, einen Echtzeitstrom von Änderungen zu haben!
Anstatt Backups zu suchen, den Domain Controller (testweise) wiederherzustellen, die wiederherzustellenden Attribute auszuwählen, mit LDIF-Dateien zu hantieren und sich über Rückgängigmachungsszenarien Gedanken zu machen, übernimmt Directory Services Protector für Active Directory von Semperis die ganze Arbeit für Sie. Da DS Protector die Änderungen in Echtzeit erfasst, einschließlich des Augenblicks vor Ihrem "Oops!"-Moment, können Sie innerhalb von Sekunden zum vorherigen konsistenten Zustand zurückkehren. Andernfalls werden Sie am Ende Stunden mit Active Directory-Mechanismen und -Technologien verbringen, von denen Sie vorher nichts wissen wollten.
Da Semperis' Directory Services Protector alle Änderungen verfolgt, können Sie eine Änderung rückgängig machen, die Auswirkungen testen - und wenn Sie damit nicht zufrieden sind, einfach den vorherigen Zustand wiederherstellen. Ja, Sie können Ihren Kuchen haben und ihn auch essen!
Weitere Lektüre
Wenn Sie mehr wissen möchten, dann lade ich Sie ein, das kostenlose 17-seitige Whitepaper zu lesen, das wir auf der Grundlage der Diskussionen und des Webcasts erstellt haben. Es trägt den Titel "Auswahl der richtigen Lösung für die Sicherung und Wiederherstellung von Active Directory".
