Oefening baart kunst



Vergelijkbare documenten
Oefening baart kunst - deel 2

Deel 4 Active Directory inleiding

IT2BUILD Online Backup. Betrouwbaar, veilig en betaalbaar

WHITE PAPER. by Default Reasoning

Van Small Business Server naar Cloud Small Business Services. Uw vertrouwde Small Business Server in de cloud

Wijzigingen volledig onder controle en geborgd

10/5 Integratie met Windows

Garandeer de continuïteit van uw dienstverlening

5/9.2 PlateSpin Protect

Inleiding. Aan de inhoud van dit document kunnen geen rechten worden verleend.

HP Hyper-ConvergedSystem StoreVirtual & EVO: RAIL

HOWTO: Microsoft Domain Controller en Linux DNS-server. geschreven door Johan Huysmans

Functionele beschrijving: scannen naar Exact Globe.

WHITEPAPER NIEUWE HARDWARE? LET OP UW ORACLE LICENTIES EN VOORKOM FINANCIËLE GEVOLGEN. Hardwarevirtualisatie en licenties

Technische implementatie De infrastructuur rondom Transit kent de volgende rollen:

HET HOE EN WAT VAN ONLINE DIENSTEN DOOR: STEVEN ADEMA EN ANNEJENT HOEKSTRA

Implementatie plan. Versie 1. Bas van Zonneveld

Naar de cloud: drie praktische scenario s. Zet een applicatiegerichte cloudinfrastructuur op. whitepaper

Onverwachte voordelen van Server Virtualisatie

OpenText RightFax. Intuitive Business Intelligence. Whitepaper. BI/Dashboard oplossing voor OpenText RightFax

IAAS BACKUPS MAKEN MET IASO

Eddy Piedfort BACKUPS

DatuX support diensten 2012

Hoe zet u virtualisatie slim in bij forensische onderzoeksomgevingen?

16. Back-up en Restore

Functionele beschrijving: scannen naar van Brug software.

DatuX support diensten 2017

1 Dienstbeschrijving Datacenter in a BOX

Ontsluiten iprova via Internet Voorbeeld methoden

Oorzaken en gevolgen van ongeplande downtime

Functionele beschrijving: scannen naar UNIT4 DocumentManager

Intern (On-Premise) Co-Location Infrastructure-as-a-Service (IaaS) Platform-as-a-Service (PaaS)

DHCP Scope overzetten van Windows Server 2003 R2 naar Windows Server 2012

Backup en Recovery. Een Introductie HCC Senioren Academie H.C.A.H. Moerkerken

DE PRIVATE CLOUD. Johan Bos & Erik de Meijer

Les 3, di : De Installatie van Windows Server Windows Server De installatie van Windows Server 2012

Les 2, ma : Inleiding Server 2012 ii.2 VMware installeren en gereedmaken

Backup bestaat niet meer

KPN Server Back-up Online

2 Inleiding Server 2012 ii.2 VMware installeren en gereedmaken

Cloud Geintegreerde Backup & Storage met Microsoft Azure en Storsimple. Maarten Goet Bert Wolters

Virtualisatie met SAN 12/10/2010

OpenX Hosting. Opties en Alternatieven

Les 2, do : Inleiding Server 2012 ii.2 VMware installeren en gereedmaken

Lesplan: Schooljaar versie: 1.0. HICMBO4P MS Server 2012 Planning

DYNAMIC INFRASTRUCTURE Helping build a smarter planet

Private Cloud: Virtuele servers op basis van Windows Azure Pack

Inhoud 0 Inleiding 1 Algemene netwerkbegrippen De installatie van Windows Server 2003

1 Dienstbeschrijving all-in beheer

Datasitter DPM³ (voor small business netwerk)

5/9 PlateSpin. 5/9.1 PlateSpin Portability Suite

CONTINUÏTEIT NA CALAMITEIT. Steven Adema Manuel Speksnijder

Uitwijk en disaster recovery met of zonder cloud? Roger Deckers 14 maart 2012

BACK-UP & DISASTER RECOVERY Een geoptimaliseerd end-to-end verhaal in onze Enterprise cloud

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van

Functionele beschrijving: scannen naar UNIT4 Cura Documentmanagement.

Lagere energierekening dankzij powermanagement

Prijzen RIVOS. RIVOS Prijzen Pagina 1

ChainWise server randvoorwaarden

Fors besparen op uw hostingkosten

Virtualizatie bij SIN

Lync Call Appliance Zijn er dan nog variabele kosten? Beheer interface

Hardwarevereisten RAID. Geheugen

we keep your systems running

Three Ships CDS opschalingsdocument Overzicht server configuratie voor Three Ships CDS

Handleiding Back-up Online

SPACE ProAccess 3.0. Voor nadere toelichting kan contact opgenomen worden met SALTO.

Business Continuïteit, zoveel meer dan backup

Over ICT Concept. alles voor elkaar. Direct Contact

MKG Whitepapers augustus 2015

Registratie Data Verslaglegging

Factsheet Outsourcing

Dienstbeschrijving. Efficon Shared Services

Voor op afstand os installatie moeten de volgende onderdelen geïnstalleerd zijn op de Windows 2000 server.

4/5 Installatieservers

Functionele beschrijving: Scannen naar Pro Management

Functionele beschrijving: scannen naar Trivium FORTUNA.

Stappen ze bij u ook gewoon door de achterdeur binnen? Bart de Wijs. IT Security in de Industrie. FHI 11 Mei 2006

Werkervaring. Automatiseringservaring : Sinds 1995

BACK-UP & DISASTER RECOVERY Een geoptimaliseerd end-to-end verhaal in onze Enterprise cloud

De integratie van het OCMW in de gemeente technisch bekeken Shopt-IT 2015 Slide 1

Interview - Imro van der Reyden

Windows 7 juist nu! Frank Spuls v-fspuls@microsoft.com 11 november 2009

REFERENCE CASE PZ GLM: VIRTUALISATIE ADMINISTRATIEF NETWERK

2 Inleiding Server 2012 Donderdag 4 Februari 2016 ii.2 VMware installeren en gereedmaken

Project Portfolio Management Altijd en overal inzicht PMO

Dit heeft immers alleen om

PictoWorks Netwerk infrastructuur

Functionele beschrijving: Scannen naar AFAS Profit.

Configureren van een VPN L2TP/IPSEC verbinding

zorgeloos werken in de cloud

Werken zonder zorgen met uw ICT bij u op locatie

PGGM. Inkomensverzorger voor de sector zorg en welzijn. Hans de Harde Sr. ICT Architect Fysieke Infrastructuur

Bring it To The Cloud

Symantec Backup Exec System Recovery to VMware ESX Machine

POP locatie. Straatkast. i-box. i-box NOC. i-box. Datacenter

AdBackup Oktober 2016 AdBackup 6.20 is beschikbaar op het platform Oodrive Vision en als een op zichzelf staand product AdBackup Pro

Scope van deze namiddag.

Spreker Olaf van Oord. Gebruikersvereniging Transport ICT

Installed base Netwerk ROC Midden Nederland (April 2016)

Transcriptie:

Windows Server 2008 Active Directory Forest Recovery In het kort: Plan bedenken en klaarleggen Personeel in procedures trainen Beschikbaarheid materiaal toetsen Investeren in testomgeving Oefening baart kunst D e e l 1 R i c h a r d Sc h i k s, Ma r c e l Ba k x De afhankelijkheid van Active Directory is bij Microsoft-infrastructuur is groot. Maar wat als het Active Directory corrupt is? En wat als er geen controle meer is over de Active Directory Domain Controllers? Er is weinig voor nodig om te bedenken dat dan alle authenticatie en alle instellingen voor de hele infrastructuur op het spel staan. Inclusief het gevaar dat u als beheerder buitengesloten raakt. In deze situaties is een enkele backup van Active Directory niet meer voldoende. Het is verstandig dan een plan klaar te hebben: een Active Directory Forest Recovery plan. Daarbij maakt het niet uit of de onder neming drie Domain Controllers telt of 500. Als u op de microsoft website zoekt op Active Directory Forest Recovery komt u al snel uit op de white paper Best Practices: Active Directory Forest Recovery. Dit document is uit 2002. Iets verder zoeken levert u het Microsoft document Windows Server 2008: Planning for Active Directory Forest Recovery op. Dit document is onlangs uitgebreid met de Active Directory Forest Recovery, gebaseerd op Windows Server 2008. Microsoft gaat uit van een eenvoudige infrastructuur waarin een Active Directory Forest Recovery wordt gedaan. Deze eenvoudige infrastructuur sluit in de meeste gevallen niet aan op de praktijk. Het eerste deel van dit artikel beschrijft wat de relatie is tussen uw infrastructuur en het uiteindelijke Active Directory Forest Recovery plan. Daarnaast worden er adviezen gegeven om de Active Directory Forest Recovery vlot en eenvoudig uit te voeren. Daarna wordt samengevat hoe een Active Directory Forest Recovery in stappen eruit ziet. Het laatste deel beschrijft de daadwerkelijke Active Directory Forest Recovery zoals die er in algemene zin bij bedrijven uit zou kunnen zien. De twee laatste delen zijn gebaseerd op het Microsoft document en gaat uit van een Windows Server 2008 omgeving. Wij hebben daar een aantal zaken uit de praktijk aan toegevoegd. Waarom een Active Directory Forest Recovery plan? Bedrijven hebben vaak geen Active Directory Forest Recovery plan achter de hand. Er wordt heel vaak gedacht: Het overkomt ons toch niet dat we zoiets nodig hebben. Een Active Directory Forest Recovery plan uitdenken, testen en klaarleggen kost tijd en geld. Het alleen klaarleggen is niet goed genoeg. Het is verstandig het 68 februari 2010 TechNet Magazine

plan in een testomgeving uit te voeren en het regelmatig aan te passen aan de veranderingen in uw infrastructuur. Er is een omgeving nodig waarbinnen testen kunnen worden uitgevoerd. Hiervoor moet hardware, software en dus geld worden gereserveerd. Investeringen in een Active Directory Forest Recovery plan kunnen worden gezien zien als een soort verzekeringspremie. Het blijft altijd een kostenpost. Maar bij een calamiteit, is iedereen blij dat er een kanten-klaar, recent getest plan op de plank ligt en de betrokken personen het kunnen uitvoeren. Daarbij komt dat bij elke Risk Assessment Program for Active Directory (ADRAP), uitgevoerd door Microsoft in opdracht van de klant, wordt gevraagd naar de aanwezigheid van een Active Directory Forest Recovery plan. De ADRAP is onderdeel van het Microsoft Premier Support contract (zie het deel Informatie voor meer informatie hierover). Wanneer doet u een Active Directory Forest Recovery? In het geval van een mogelijke Active Directory Forest Recovery moet dit in overleg met Microsoft Customer Support Services (CSS) worden gedaan. De volgende punten kunnen leiden tot deze beslissing: Geen van de Domain Controllers kan met zijn replicatiepartner repliceren. Er kunnen geen wijzigingen meer worden gemaakt op een of meer Domain Controllers. Het lukt niet meer om nieuwe Domain Controllers toe te voegen. Er is corruptie in Active Directory ontstaan die een goede werking verhindert. De Domain Controllers zijn niet langer toegankelijk voor de beheerders. Een uitbreiding op het Active Directory schema is verkeerd of onvolledig uitgevoerd. Laten we voorop stellen dat het uitvoeren van een Active Directory Forest Recovery een laatste redmiddel is en dat een beslissing hierover alleen na overleg met CSS kan worden genomen. Vaak kan CSS nog met alternatieve oplosrichtingen komen om een Active Directory Forest Recovery te voorkomen. Organisatorische aspecten Bij een Active Directory Forest Recovery komen ook organisatorische aspecten aan bod. Wanneer het de bedrijfsvoering hindert, zal een leidinggevende zich met de zaak gaan bemoeien. Want alles moet zo snel mogelijk weer functioneren en het liefst met zo weinig mogelijk inspanning. Het is daarom verstandig om in een eerder stadium een soort van calamiteitenteam te formeren en alle belangrijke afspraken en vervolgstappen binnen een overleg te nemen. Hierdoor is de organisatie op de hoogte en zijn alle acties helder en duidelijk. Binnen een team is het goed een bepaalde rolverdeling hanteren. Eén persoon is bijvoorbeeld voor de communicatie, de ander voor de techniek en weer een ander zorgt dat faciliteiten zoals toegang tot andere locaties worden geregeld. Op afgesproken tijden is er een overleg om de voortgang te rapporteren en de vervolgstappen af te spreken. Ook wanneer er afwegingen moeten worden gemaakt, zoals welke domeinen/locaties binnen het forest als eerst moeten functioneren, is een overleg verstandig. Aandachtspunten voor de procedure In het geval van een Active Directory Forest Recovery plan moet deze procedure: zo eenvoudig mogelijk zijn zo weinig mogelijk afhankelijkheden van andere partijen hebben zo snel mogelijk uitvoerbaar zijn Eigenlijk zijn bovenstaande punten vrij logisch, maar kunnen haaks staan op beslissingen rond de opbouw van infrastructuur en de verantwoordelijkheden daarin, eerder genomen binnen het eigen bedrijf. Hieronder zijn een aantal voorbeelden genoemd die mogelijk invloed hebben op het ontwerp van Active Directory en de procedure zelf: Remote Management Board Stel een omgeving voor die alleen maar wordt beheerd met een Remote Management Board, bijvoorbeeld van Integrated Lights Out (ilo). Elke ilo kaart heeft een eigen account. Met dit account verkrijgt u toegang tot de kaart zelf en daarmee ook fysieke toegang tot de machine. De accounts moeten worden beheerd. Maar waar worden de wachtwoorden bewaard? Ergens op een server? Is deze server toevallig een member server van het Active Directory domein die u aan het terugzetten bent? Dat kan dus tot problemen leiden. Toegang tot de ilo kaart kan ook gebeuren met behulp van Active Directory accounts. Maar wanneer u bezig bent met een Active Directory Forest Recovery, kan deze toegangsmethode een probleem zijn, het Active Directory domein is immers niet meer aanwezig. TechNet Magazine februari 2010 69

Fileservers In elk bedrijf staat alle technische documentatie op fileservers en andere documentatieservers, zoals SharePoint of Lotus Notes. Dit zal dus ook gelden voor het Active Directory Forest Recovery plan. Wanneer het plan wordt uitgevoerd, kan dit misschien maar beter afgedrukt worden of op een USB-stick worden gezet, en op een vaste locatie liggen, misschien wel in een kluis, samen met de benodigde software en wachtwoorden. SAN Tegenwoordig wordt in veel bedrijven gebruik gemaakt van een Storage Area Network (SAN). Het is ook logisch dat de disks van de Domain Controller als Logical Number Units (LUNs) op dit SAN staan. Mogelijk wordt het beheer van het SAN gedaan met accounts die zich in Active Directory bevinden. Dit kan leiden tot in ieder geval twee problemen wanneer het Active Directory domein niet meer aanwezig is. Het beheer van het SAN functioneert dan niet meer. Een maatregel hiervoor is om naast het beheer met Active Directory accounts, ook lokaal beheer voor het SAN in te regelen (met andere woorden toegang tot de SAN beheer servers met lokale accounts regelen). Als er tijdens het uitvoeren van de Active Directory Forest Recovery iets met de LUNs aan de hand is, moet SAN beheer beschikbaar zijn. Dit is om een nieuwe LUN toe te kennen aan een server, een LUN te ontkoppelen. Gaat dit met behulp van de beheerapplicatie die is geïnstalleerd op een server in het domein, dan is de applicatie niet toegankelijk en is een alternatieve wijze van toegang nodig voor dit soort handelingen in het stappenplan. In beide gevallen creëert dit een extra afhankelijkheid van de Storage beheerpartij. Toevoegen van Domain Controllers Bij grotere organisaties is het vrij normaal dat er een aparte afdeling is, die de inrol van servers verzorgt en deze ook beheert op OS-niveau. Tijdens een Active Directory Forest Recovery worden alleen de Domain Controllers vertrouwd die van de backup worden teruggezet. De overige Domain Controllers moeten worden verwijderd en opnieuw worden ingerold. Rond Domain controllers moeten dus veel handelingen worden gedaan. Het daarbij betrekken van een andere afdeling of organisatie om dit in gang te zetten, is een extra schakel in de totale keten van de Active Directory Forest Recovery. Het is dan beter om de nieuw in te rollen Domain Controllers voor eigen rekening te nemen en wanneer het forest weer operationeel is alsnog de officiële inrol te laten doen door de verantwoordelijke afdeling. Denk hierbij aan het bijvoorbeeld het achterwege laten van de installatie van beheer software om het proces van de Active Directory Forest Recovery te versnellen. Virtualisatie van Domain Controllers De Domain Controllers in kwestie kunnen gevirtualiseerd zijn. Virtualisatie software, zoals VMware ESX en Hyper-V, maken gebruik van management software. Met behulp van deze software kunnen de virtuele servers worden beheerd. De management software zelf wordt geïnstalleerd op member servers in een Active Directory domein. Wanneer er een Active Directory Forest Recovery wordt uitgevoerd, is het domein waarin zich de server bevindt niet beschikbaar. Mogelijk wordt de toegang tot dit management software dan beperkt. Hier dient in het recoveryplan rekening mee te worden gehouden. Hardware De tendens in nieuwe hardware is dat bladeservers en gewone servers standaard niet meer uitgerust worden met een DVD speler. Normaliter wordt de enclosure, waarin zich de blades bevinden, uitgerust met een Remote Management Board (zie eerder Remote Management Board). De Remote Management software geeft de mogelijkheid een ISO als file te mounten en deze als DVD aan te bieden aan een server. Wanneer de Remote Management Board niet gebruikt kan worden, kan het herinstalleren van de server alleen nog gebeuren met een fysieke DVD speler. Locatie Eén van de punten van een Active Directory Forest Recovery is dat deze snel uitvoerbaar moet kunnen zijn. Immers, het niet beschikbaar zijn van uw Active Directory kan enorme gevolgen hebben voor de continuïteit van het bedrijf. Met de manier waarop een backup van Active Directory wordt gemaakt en wordt teruggezet, kan veel tijd worden bespaard. Sinds Windows Server 2008 is Ntbackup vervangen door Windows Server Backup en wordt gebruik gemaakt van snapshot technologie. Het initiële snapshot dat wordt gemaakt bevat een exacte kopie van alle data. De achtereenvolgende snapshots bevatten alleen de verschillen. Dit bespaart tijd en opslagruimte. Een backup van Active Directory kan op de volgende manier worden bewaard: 70 februari 2010 TechNet Magazine

als snapshot op het netwerk als snapshot op een lokale disk als snapshot op een schrijfbare DVD of USB medium Wanneer de backup als snapshot op het netwerk wordt geplaatst, houdt dan rekening met het feit dat de locatie hiervan een server in het domein kan zijn en ontoegankelijk kan worden. Daarnaast is deze manier, zoals wordt beschreven in het Active Directory Forest Recovery plan zelf, geen goed idee. Eén van de eerste stappen in de Active Directory Forest Recovery is dat de Domain Controllers die worden teruggezet van de backup, fysiek worden losgekoppeld uit uw infrastructuur. Dit omdat de mogelijke corruptie weer terug kan worden gerepliceerd wanneer niet de juiste volgorde in de stappen wordt gevolgd. Een nadeel van een backup op lokale disks is dat als deze disks uitvallen, de backup ook weg is. Als tegenmaatregel kan het volgende dienen: Zorg dat het volume waarop de back-up op wordt gemaakt redundant is, gemaakt met bijvoorbeeld RAID-1 of RAID-5; Zet de backup ook op een andere Domain Controller. Bij voorkeur op een andere geografische locatie (nevenvestiging of ander datacenter). Let erop, dat er genoeg ruimte beschikbaar is op de lokale disks voor de back-ups. Tijdsynchronisatie Het is een Microsoft best practice om de Domain Controller in het forest root domein met de rol PDC-emulator te laten verwijzen naar een externe accurate tijdbron. De overige Domain Controllers volgen de standaard weg binnen het forest om de tijd op te halen. Als bij een Active Directory Forest Recovery deze Domain Controller juist niet wordt teruggezet van een backup kunnen er later problemen optreden door tijdsverschillen. Om dit te voorkomen, kunt u alle Domain Controllers in het forest root domein naar diezelfde externe tijdbron te laten verwijzen. Windows Server core 2008 Sinds Windows Server 2008 is er ook een afgeslankte versie van Windows Server 2008 beschikbaar: Windows Server Core 2008. Deze versie heeft slechts de meest noodzakelijke componenten. Dit betekent dat het beheer nagenoeg via de command-line of remote moet worden gedaan. Als onder tijdsdruk de Forest Recovery wordt uitgevoerd, kan dit grote impact hebben op het succesvol afronden hiervan. Het gebruik van Windows Server Core 2008 kan dus het Active Directory Forest Recovery plan onnodig lastig maken. DDNS De ideale situatie voor een Active Directory Forest Recovery is dat een Dynamic DNS (DDNS) reeds beschikbaar is. Als bij het terugzetten van de eerste Domain Controller in het forest root DDNS al is geïnstalleerd, scheelt dit tijd. In veel bedrijven is het forest root domein gepositioneerd als een empty root domein. Eventuele uitbreidingen in het forest zijn hierdoor makkelijker aan te brengen. Het is gebruikelijk om in een onderliggend domein van het empty root domein de DDNS infrastructuur onder te brengen. Ook bij het niet gebruiken van een Microsoft DDNS implementatie, zoals InfoBlox of QIP, wordt het aangeraden om tijdens de Active Directory Forest Recovery toch DDNS in het forest root te onder te brengen. Na de Active Directory Forest Recovery kan de originele configuratie worden hersteld. Flexible Single Master Operations (FSMO) rollen Een Active Directory Forest Recovery wordt eenvoudiger als de volgende FSMO rollen zich op één Domain Controller in het forest root bevinden en deze Domain Controller ook is aangewezen als back-up voor de Active Directory Forest Recovery: Schema master Domain Naming master RID master (Relative ID) PDC-emulator (Primary Domain Controller Emulator) Infrastructure master (zie http://technet.microsoft.com/nl-nl/ library/cc758669(ws.10).aspx) Voor de eerste rol zijn Enterprise Administrator rechten nodig om deze rol over te nemen. Dit account zit meestal veilig achter slot en grendel. Wanneer de backup van een Domain Controller wordt teruggezet met deze rollen is het gebruik van een Enterprise account niet noodzakelijk. De RID master rol is nodig om RID pools uit te delen aan alle Domain Controllers. Wanneer de PDC-emulator rol zich ook nog op de Domain Controller bevindt (zie eerder Tijdsynchronisatie), bevinden zich op de Infrastructure master rol na, alle FSMO rollen op één Domain Controller. Er is dan ook geen noodzaak meer TechNet Magazine februari 2010 71

om de FSMO rollen nog te verspreiden over verschillende Domain Controllers. Adviezen Kennis en ervaring op de volgende vlakken helpt bij het succesvol uitvoeren van een Active Directory Forest Recovery: Active Directory Netwerk TCP/IP DNS Back-up technieken Het hebben en bijhouden van kennis is essentieel voor het succesvol uitvoeren van een Active Directory Forest Recovery, en de recovery moet regelmatig worden uitgevoerd. Waken over verloop in personeel rond de recovery is net zo belangrijk als het plan zelf. Het is in de IT-wereld regelmatig zo dat medewerkers op contractbasis worden binnengehaald en voor een tijdelijke periode werkzaam zijn. Er dient dus binnen het bedrijf een goede afweging te worden gemaakt welke personen verantwoordelijk zijn voor het uitvoeren van een Active Directory Forest Recovery. Ontwerp Zorg ervoor dat er altijd up-to-date ontwerp van het Active Directory Forest beschikbaar is. Dit ontwerp bevat minimaal het volgende: De namen van alle Domain Controllers IP gegevens van alle Domain Controllers Welke Domain Controller(s) de Flexible Single Master Operations (FSMO) rollen hebben Welke Domain Controller(s) als DDNS fungeren Welke Domain Controller(s) Global Catalog zijn Een voorbeeld voor een tabel hiervan is: Domein Naam IP adres FSMO DDNS Back-up Domain1.local DC1 192.168.10.101 PDC,RID,INFRA Nee Ja beschikbaar Daarnaast moet het volgende goed geregeld zijn: Toegang tot beveiligde gebouwen en ruimtes Alle noodzakelijke wachtwoorden Namen en telefoonnummers van de personen die beschikbaar horen te zijn Het Active Directory Forest Recovery plan De benodigde software Eventuele back-up tapes De eventuele benodigde hardware DSRM wachtwoorden Tijdens de Active Directory Forest Recovery wordt gebruik gemaakt van een Directory Services Restore Mode (DSRM) wachtwoord. Dit wachtwoord kan per Domain Controller verschillend zijn. Het is van belang ze allemaal goed te registeren. Daarnaast wilt u dat dit wachtwoord snel beschikbaar is. Ook hier geldt dat de opslag van dit wachtwoord op een fileserver niet de beste plek is als het Active Directory domein niet meer beschikbaar is. Domain Controllers De ideale kandidaten (Domain Controllers) voor de backup zijn de Domain Controllers met de volgende eigenschappen: De Domain Controller is een DDNS server (zie eerder DDNS) De Domain Controller is geen Global Catalog (GC). Wanneer er bij het terugzetten van Domain Controllers van verschillende domeinen backups van verschillende tijdstippen worden gebruikt, kunnen er losse eindjes ontstaan, de zogenaamde lingering objects. De GC van de oudste teruggezette Domain Controller kan lingering objects bevatten van een ander domein die niet meer voorkomen in de Active Directory van het jongere teruggezette Domain Controller. De GC moet dus opnieuw worden opgebouwd. De Domain Controller bevat de FSMO rollen (zie Flexible Single Master Operations (FSMO) rollen). Ouderdom Uiteraard is het verstandig regelmatig backups te maken. In grote bedrijven kunnen er veel Active Directory wijzigingen worden doorgevoerd. Wanneer een backup van twee dagen wordt teruggezet kunnen er dus wijzigingen verloren gaan. Het is niet ongebruikelijk om elke vier uur een snapshot te maken. Bij de keuze van de backup die wordt teruggezet, dient het volgende in overweging te worden genomen: Hoe ouder de back-up, hoe meer wijzigingen verloren gaan. De back-up moet niet de mogelijke corruptie weer introduceren. Er mag geen back-up worden teruggezet die de tombstone leeftijd overschrijdt. Als een object in Active Directory wordt verwijderd, wordt deze niet verwijderd maar als tombstone gemarkeerd. Na het verlopen 72 februari 2010 TechNet Magazine

van de gedefinieerde maximale tombstone leeftijd, wordt het verwijderde object volledig uit de Active Directory database verwijderd. Als er een backup van de Active Directory database wordt teruggezet die ouder is dan de tombstone leeftijd, en deze database bevat nog Active Directory objecten die gewist zijn op andere Domain Controllers, terwijl deze wijziging niet is verwerkt, zullen de objecten niet meer verwijderd worden. Het resultaat is dus een inconsistente Active Directory database op die Domain Controller. In Windows Server 2003 en Windows Server 2003 R2 is de standaard tombstone leeftijd 60 dagen of 180 dagen in het geval van een nieuw geïnstalleerd domein in Windows Server 2003 SP1 of Windows Server 2008. Testen In veel bedrijven is het maken van backups niet het probleem. Deze worden meestal in overvloed gemaakt. Het is het testen van de backups waar het spaak loopt. De integriteit van de backups wordt meestal als vanzelfsprekendheid aangenomen. Oefenen Net als bijvoorbeeld een ontruimingsplan van het gebouw zal ook het Active Directory Forest Recovery plan regelmatig getest moeten worden. Er kan dan meteen gecontroleerd worden of het plan nog up-to-date is. Daarnaast wordt eventuele weggezakte kennis weer actueel gemaakt. Een Active Directory Forest Recovery plan testen moet niet in de productie Active Directory worden uitgevoerd, een testomgeving leent zich hier perfect voor. Met het gebruik maken van virtualisatie technologie kan relatief goedkoop een omgeving worden opgebouwd om hierin te testen. Bij het oefenen kunnen de gemaakte backups worden gebruikt zodat ook het testen van de backups wordt uitgevoerd. Overzichtelijkheid Een Active Directory Forest Recovery plan moet een overzichtelijk stappenplan zijn. Verplaats lang uitgeschreven procedures naar een apart deel. Dit voorkomt dat stappen worden overgeslagen en men de weg kwijtraakt in de procedure. Door elke stap af te vinken wordt het laatste voorkomen. Automatiseren Het automatiseren van een Active Directory Forest Recovery is mogelijk. Er kunnen echter in het stappenplan een paar beslismomenten zitten, die de procedure minder geschikt maken voor automatische uitvoering. Daarnaast bevat het Active Directory Forest Recovery plan vaak logistieke handelingen die gewoonweg door mensenhanden moeten worden uitgevoerd. Hierom is een handmatige uitvoering te prefereren. Ervaring leert dat wanneer er meer tijd gestoken wordt in zaken als oefening en uitvoering van beschreven procedures, dit een beter resultaat oplevert dan het volledig geautomatiseerd uitwerken van een Active Directory Forest Recovery scenario. Bedenk hierbij dat veel verschillende foutsituaties in het stappenplan kunnen worden afgevangen en op de juiste manier worden verwerkt. Oefening baart kunst is hier het toepasselijke gezegde Conclusie De besproken onderwerpen komen uit de praktijk. Het zijn zaken die een grote invloed hebben op een snelle en succesvolle uitvoer van een Active Directory Forest Recovery plan. Het zal duidelijk zijn dat de basis bestaat uit een uitgebreide inventarisatie vooraf.. Elk detail, hoe klein ook, moet op papier komen. Sommige punten zullen regelmatig heroverwogen moeten worden. Het belangrijkste dat we u willen meegeven. Kunt u een recovery binnen uw bedrijf aan? Ri c h a r d Sc h i k s is in het dagelijks leven druk met discussiëren. In zijn vrije tijd kijkt hij veel films, verder houdt hij heel veel van zijn vrouw Bettina en is bereikbaar op r.schiks@rn.rabobank.nl. Mar c e l Ba k x is in het dagelijks leven ICT Specialist bij Rabobank Nederland. In zijn vrije tijd laadt hij zich op met de ATB in de bossen, en gaat hij visjes kijken onder water. Hij wordt blij als dingen pragmatisch en doelgericht geregeld kunnen worden. Marcel is bereikbaar op w.p.a.m.bakx@ rn.rabobank.nl. TechNet Magazine februari 2010 73

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback