8.2. Bereitstellungshandbuch



Ähnliche Dokumente
8.2. Forest Edition. Neuerungen

Übung - Datensicherung und Wiederherstellung in Windows 7

8.2. Bereitstellungshandbuch

System-Update Addendum

SafeRun-Modus: Die Sichere Umgebung für die Ausführung von Programmen

Backup Premium Kurzleitfaden

Single User 8.6. Installationshandbuch

Übung - Datensicherung und Wiederherstellung in Windows Vista

Upgrade auf die Standalone Editionen von Acronis Backup & Recovery 10. Technische Informationen (White Paper)

OP-LOG

Er musste so eingerichtet werden, dass das D-Laufwerk auf das E-Laufwerk gespiegelt

2008 Nokia. Alle Rechte vorbehalten. Nokia, Nokia Connecting People und Nseries sind Marken oder eingetragene Marken der Nokia Corporation.

Anleitung Captain Logfex 2013

Alinof Key s Benutzerhandbuch

Update und Konfiguraton mit dem ANTLOG Konfigurations-Assistenten

Ihr Benutzerhandbuch SOPHOS ENDPOINT SECURITY

Wichtige Hinweise zu den neuen Orientierungshilfen der Architekten-/Objektplanerverträge

Erste Schritte mit Desktop Subscription

Kurzanleitung zur Softwareverteilung von BitDefender Produkten...2

Anleitung. Update/Aktualisierung EBV Einzelplatz. und Mängelkatalog

2. Word-Dokumente verwalten

Version 1.0 [Wiederherstellung der Active Directory] Stand: Professionelle Datensicherung mit SafeUndSave.com. Beschreibung.

Universeller Druckertreiber Handbuch

McAfee Security-as-a-Service -

V-locity VM-Installationshandbuch

Installieren von Microsoft Office Version 2.1

Anti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern

O UTLOOK EDITION. Was ist die Outlook Edition? Installieren der Outlook Edition. Siehe auch:

Sophos Anti-Virus. ITSC Handbuch. Version Datum Status... ( ) In Arbeit ( ) Bereit zum Review (x) Freigegeben ( ) Abgenommen

Eigenen WSUS Server mit dem UNI WSUS Server Synchronisieren

Windows Server 2008 (R2): Anwendungsplattform

Anleitung zum Prüfen von WebDAV

Installationshandbuch

MailUtilities: Remote Deployment - Einführung

Client-Systemanforderungen für Brainloop Secure Dataroom ab Version 8.30

Installation und Sicherung von AdmiCash mit airbackup

GFI-Produkthandbuch. Einschränkungen und Lizenzierungshandbuch für GFI MailArchiver- Archivierung

Whitepaper. Produkt: combit address manager / Relationship Manager. Client-Verbindungsprobleme beheben. combit GmbH Untere Laube Konstanz

Anleitung. Update/Aktualisierung EBV Einzelplatz Homepage. und Mängelkatalog

Installationshilfe VisKalk V5

Lizenzen auschecken. Was ist zu tun?

Folgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert:

Client-Systemanforderungen für Brainloop Secure Dataroom ab Version 8.30

Microsoft Dynamics NAV 2013 R/2 Installationsanleitung. Inhalt: Begleitmaterial des ERP Übungsbuchs:

Windows 2008R2 Server im Datennetz der LUH

lññáåé=iáåé===pìééçêíáåñçêã~íáçå=

Information zum SQL Server: Installieren und deinstallieren. (Stand: September 2012)

Erstellen eines Formulars

Xerox Device Agent, XDA-Lite. Kurzanleitung zur Installation

Warenwirtschaft Handbuch - Administration

Anleitung zum Prüfen von WebDAV

Ordner Berechtigung vergeben Zugriffsrechte unter Windows einrichten

1 Voraussetzungen für Einsatz des FRITZ! LAN Assistenten

INDEX. Öffentliche Ordner erstellen Seite 2. Offline verfügbar einrichten Seite 3. Berechtigungen setzen Seite 7. Öffentliche Ordner Offline

ENTDECKEN SIE DIE VORTEILE VON SUBSCRIPTION SUBSCRIPTION-VERTRÄGE VERWALTEN

Memeo Instant Backup Kurzleitfaden. Schritt 1: Richten Sie Ihr kostenloses Memeo-Konto ein

Übung - Datensicherung und Wiederherstellung in Windows XP

Hinweise zum Update des KPP Auswahltools (Netzwerkinstallation) auf Version 7.2

DriveLock 6. DriveLock und das Windows Sicherheitsproblem mit LNK Dateien. CenterTools Software GmbH

FastViewer Remote Edition 2.X

WORKSHOP VEEAM ENDPOINT BACKUP FREE

Einrichten eines Postfachs mit Outlook Express / Outlook bis Version 2000

Step by Step Webserver unter Windows Server von Christian Bartl

AdmiCash-Wiederherstellung auf einem neuen PC oder Betriebssystem

VIDA ADMIN KURZANLEITUNG

Installationsanleitung dateiagent Pro

Zugang Dateidienst mit Windows 7 (Vista) Wiederherstellen der Daten

IBM SPSS Data Access Pack Installationsanweisung für Windows

Schritt 1: Verwenden von Excel zum Erstellen von Verbindungen mit SQL Server-Daten

IBM SPSS Statistics für Windows-Installationsanweisungen (Netzwerklizenz)

Das Einzelplatz-Versionsupdate unter Version Bp810

2.1 Lightning herunterladen Lightning können Sie herunterladen über:

Update auf Windows 8.1 Schrittweise Anleitung

2. Die eigenen Benutzerdaten aus orgamax müssen bekannt sein

Automatisches Beantworten von - Nachrichten mit einem Exchange Server-Konto

Quicken Anleitung zum Rechnerwechsel

SIPPS Firewall Einstellungen

Über die Internetseite Hier werden unter Download/aktuelle Versionen die verschiedenen Module als zip-dateien bereitgestellt.

Bluetooth-Kopplung. Benutzerhandbuch

Datensicherung. Beschreibung der Datensicherung

MSXFORUM - Exchange Server 2003 > Backup (Sicherung von Exchange 2003)

Problembehebung LiveUpdate

Installationshinweise BEFU 2014

Wichtig: Um das Software Update für Ihr Messgerät herunterzuladen und zu installieren, müssen Sie sich in einem der folgenden Länder befinden:

Datensicherung EBV für Mehrplatz Installationen

Universität Potsdam ZEIK - Zentrale Einrichtung für Informationsverarbeitung und Kommunikation

Einführung... 3 MS Exchange Server MS Exchange Server 2007 Jounraling für Mailboxdatabase... 6 MS Exchange Server 2007 Journaling für

Psyprax auf einen neuen Rechner übertragen (Rechnerwechsel)

Acronis Backup & Recovery 10 Server for Windows Acronis Backup & Recovery 10 Workstation

Installationsanleitung für Lancom Advanced VPN Client zum Zugang auf das Format ASP System

Lernprogramm "Veröffentlichen von WMS- Services"

Formular»Fragenkatalog BIM-Server«

Übung - Konfigurieren einer Windows 7-Firewall

Wiederherstellen der Beispieldatenbanken zum Buch Microsoft Project 2010

Einrichten eines POP-Mailkontos unter Thunderbird Mail DE:

Anweisungen zur Installation und Entfernung von Windows PostScript- und PCL-Druckertreibern Version 8

Microsoft Windows XP SP2 und windream

Moodle-Kurzübersicht Kurse Sichern und Zurücksetzen

Transkript:

8.2 Bereitstellungshandbuch

2012 Quest Software, Inc. ALLE RECHTE VORBEHALTEN. Dieses Handbuch enthält urheberrechtlich geschützte Informationen. Die im vorliegenden Handbuch beschriebene Software unterliegt den Bedingungen der jeweiligen Softwarelizenz oder Geheimhaltungsvereinbarung. Die Software darf nur gemäß den Bedingungen der Vereinbarung benutzt oder kopiert werden. Diese Anleitung darf ohne schriftliche Erlaubnis von Quest Software Inc. weder ganz noch teilweise in beliebiger Form oder durch beliebige elektronische oder mechanische Hilfsmittel einschließlich des Fotokopierens und Speicherns für andere Zwecke als den persönlichen Gebrauch des Käufers vervielfältigt oder weitergegeben werden. Die Informationen in diesem Dokument werden in Verbindung mit Quest-Produkten zur Verfügung gestellt. Durch dieses Dokument wird weder explizit noch implizit, durch Duldungsvollmacht oder auf andere Weise eine Lizenz auf intellektuelle Eigentumsrechte erteilt, auch nicht in Verbindung mit dem Erwerb von Quest-Produkten. MIT AUSNAHME DER BESTIMMUNGEN IN DEN ALLGEMEINEN GESCHÄFTSBEDINGUNGEN VON QUEST, DIE IN DER LIZENZVEREINBARUNG FÜR DIESES PRODUKT AUFGEFÜHRT SIND, ÜBERNIMMT QUEST KEINERLEI HAFTUNG UND SCHLIESST JEDE EXPLIZITE, IMPLIZITE ODER GESETZLICHE GEWÄHRLEISTUNG FÜR SEINE PRODUKTE AUS, INSBESONDERE DIE IMPLIZITE GEWÄHRLEISTUNG DER MARKTFÄHIGKEIT, DER EIGNUNG ZU EINEM BESTIMMTEN ZWECK UND DIE GEWÄHRLEISTUNG DER NICHTVERLETZUNG VON RECHTEN. UNTER KEINEN UMSTÄNDEN HAFTET QUEST FÜR UNMITTELBARE, MITTELBARE ODER FOLGESCHÄDEN, SCHADENERSATZ, BESONDERE ODER KONKRETE SCHÄDEN (INSBESONDERE SCHÄDEN, DIE AUS ENTGANGENEN GEWINNEN, GESCHÄFTSUNTERBRECHUNGEN ODER DATENVERLUSTEN ENTSTEHEN), DIE SICH DURCH DIE NUTZUNG ODER UNMÖGLICHKEIT DER NUTZUNG DIESES DOKUMENTS ERGEBEN, AUCH WENN QUEST ÜBER DIE MÖGLICHKEIT SOLCHER SCHÄDEN INFORMIERT WURDE. Quest übernimmt keine Garantie für die Richtigkeit oder Vollständigkeit der Inhalte dieses Dokuments und behält sich vor, jederzeit und ohne vorherige Ankündigung Änderungen an den Spezifikationen und Produktbeschreibungen vorzunehmen. Quest geht keinerlei Verpflichtung ein, die in diesem Dokument enthaltenen Informationen zu aktualisieren. Bei Fragen zur möglichen Verwendung dieser Materialien wenden Sie sich an: Quest Software World Headquarters LEGAL Dept 5 Polaris Way Aliso Viejo, CA 92656 E-Mail: legal@quest.com Informationen über unsere lokalen und internationalen Büros finden Sie auf unserer Website (www.quest.com). Patente Dieses Produkt ist durch das US-Patent 8,234,253 geschützt. Weitere Patente ausstehend. Marken Quest, Quest Software, das Quest Software-Logo und Simplicity at Work sind Marken und eingetragene Marken von Quest Software, Inc. Eine vollständige Liste der Marken von Quest Software finden Sie unter http://www.quest.com/legal/trademarks.aspx. Andere Marken sind Eigentum der jeweiligen Inhaber. Beiträge von Drittanbietern Dieses Produkt enthält Komponenten von Drittanbietern (siehe Liste unten). Die entsprechenden Lizenzkopien finden Sie unter www.quest.com/legal/third-party-licenses.aspx. Der Quellcode für Komponenten, die mit einem Sternchen (*) markiert sind, steht unter http://rc.quest.com zur Verfügung. KOMPONENTE LIZENZ ODER BESTÄTIGUNG Boost 1.44.0 Boost Softwarelizenz 1.0 ZLib 1.1.4 ZLib 1.2.3 Recovery Manager for Active Directory - Bereitstellungshandbuch Aktualisiert 17.10.2012 Softwareversion 8.2

INHALT ZIELGRUPPE DIESES HANDBUCHS.................................... 5 FORMATIERUNGSKONVENTIONEN.................................... 5 ÜBER QUEST SOFTWARE, INC....................................... 6 KONTAKT ZU QUEST SOFTWARE.................................. 6 KONTAKT ZUM QUEST SUPPORT.................................. 6 EINLEITUNG.................................................. 7 EMPFOHLENE VORGEHENSWEISEN FÜR DAS BEREITSTELLEN DER RECOVERY MANAGER-KONSOLE..................................... 8 EMPFOHLENE VORGEHENSWEISEN FÜR DIE VERWENDUNG VON COMPUTERSAMMLUNGEN.......................................... 9 EMPFOHLENE VORGEHENSWEISEN FÜR DAS AUSFÜHREN VON WIEDERHERSTELLUNGEN......................................... 10 UNTERSCHIEDE ZWISCHEN AGENTENBASIERTEN UND AGENTENLOSEN METHODEN DER WIEDERHERSTELLUNG............................. 10 AGENTENLOSE METHODE................................. 10 AGENTENBASIERTE METHODE............................... 11 WIEDERHERSTELLEN VON KENNWÖRTERN UND DES SID-VERLAUFS............ 12 BEIBEHALTEN DER KENNWÖRTER UND DES SID-VERLAUFS IN OBJEKT-TOMBSTONES................................... 12 EMPFOHLENE VORGEHENSWEISEN FÜR DAS ERSTELLEN VON SICHERUNGEN....... 14 ENTWICKELN EINES SICHERUNGS- UND WIEDERHERSTELLUNGSPLANS........... 14 FESTLEGEN DER ZU SICHERNDEN DOMÄNENCONTROLLER UND DER ENTSPRECHENDEN ZEITPLÄNE................................... 14 METHODEN ZUR BEREITSTELLUNG DES SICHERUNGSAGENTEN................ 15 BEIBEHALTEN DER NEUEN SICHERUNGEN............................ 15 SPEICHERORT VON SICHERUNGEN................................ 16 SPEICHERN VON SICHERUNGEN FÜR EINE GRANULARE ONLINE- ODER EINE VOLLSTÄNDIGE OFFLINE-WIEDERHERSTELLUNG................. 16 SPEICHERN VON SICHERUNGEN FÜR DIE GESAMTSTRUKTUR- WIEDERHERSTELLUNG................................... 17 ERSTELLEN DIFFERENZIELLER SICHERUNGEN.......................... 18 TECHNISCHE DATEN............................................ 20 TYPISCHE GRÖßE DER DATENBANKEN.............................. 20 MICROSOFT ACCESS-DATENBANKDATEIEN....................... 20 BERICHTSDATENBANKDATEIEN.............................. 20 iii

Recovery Manager for Active Directory STANDARDZEITEN FÜR DIE ERSTELLUNG VON SICHERUNGEN................ 21 EMPFEHLUNGEN....................................... 21 STANDARDZEITEN FÜR DAS ENTPACKEN VON SICHERUNGEN................. 22 VON RECOVERY MANAGER VERWENDETE PORTS........................ 22 ERFORDERLICHE BERECHTIGUNGEN FÜR DIE INSTALLATION UND VERWENDUNG VON RECOVERY MANAGER........................................ 25 iv

Bereitstellungshandbuch Zielgruppe dieses Handbuchs Dieses Dokument soll als Einführung in Recovery Manager for Active Directory dienen. Das Bereitstellungshandbuch enthält Informationen, die für die Installation und Verwendung von Recovery Manager for Active Directory erforderlich sind. Es richtet sich an Netzwerkadministratoren, Berater, Analysten und andere IT-Fachleute, die das Produkt verwenden. Formatierungskonventionen In diesem Handbuch werden bestimmte Formatierungskonventionen eingehalten, die Ihnen dabei helfen sollen, es so effizient wie möglich zu verwenden. Diese Konventionen werden auf unterschiedliche Vorgänge, Symbole, Tastenkombinationen und Querverweise angewandt. ELEMENT Auswählen Fettdruck Kursivdruck Fetter Kursivdruck Blaue Schrift KONVENTION Dieses Wort bezieht sich auf Vorgänge, wie zum Beispiel das Auswählen oder Markieren diverser Benutzeroberflächenelemente wie Dateien und Ordner. In Quest Software-Produkten angezeigte Benutzeroberflächenelemente wie zum Beispiel Menüs und Befehle. Wird für Anmerkungen verwendet. Wird zur Hervorhebung verwendet. Zeigt einen Querverweis an. Kann in Adobe Reader als Hyperlink verwendet werden. Wird zum Hervorheben zusätzlicher Informationen verwendet, die für den jeweils beschriebenen Vorgang sachdienlich sind. Wird für empfohlene Vorgehensweisen verwendet. In empfohlenen Vorgehensweisen wird der Ablauf von Vorgängen zum Erzielen optimaler Ergebnisse ausführlich beschrieben. Hebt Vorgänge hervor, die mit Bedacht durchgeführt werden sollen. + Ein Pluszeichen zwischen zwei Tasten bedeutet, dass beide Tasten gleichzeitig gedrückt werden müssen. Ein senkrechter Strich zwischen zwei Elementen bedeutet, dass diese Elemente in der angegebenen Reihenfolge ausgewählt werden müssen. 5

Recovery Manager for Active Directory Über Quest Software, Inc. Quest Software ermöglicht mehr als 100.000 Kunden weltweit eine einfachere und kostengünstigere IT-Verwaltung. Unsere innovativen Lösungen helfen bei der Behebung komplexer Probleme der IT-Verwaltung und versetzen Kunden in die Lage, bei physischen, virtuellen und cloudgestützten Umgebungen Zeit und Kosten zu sparen. Weitere Informationen zu Quest finden Sie unter www.quest.com. Kontakt zu Quest Software E-Mail Postanschrift Website info@quest.com Quest Software, Inc. World Headquarters 5 Polaris Way Aliso Viejo, CA 92656 USA www.quest.com Informationen über unsere lokalen und internationalen Büros finden Sie auf unserer Website. Kontakt zum Quest Support Quest Support ist für Kunden verfügbar, die über eine Evaluierungsversion eines Quest-Produkts verfügen oder eine kommerzielle Version erworben haben und über einen gültigen Wartungsvertrag verfügen. Quest Support steht Ihnen über unsere Service-Website, SupportLink, rund um die Uhr zur Verfügung. Besuchen Sie SupportLink unter http://support.quest.com/. Auf der SupportLink-Website haben Sie folgende Möglichkeiten: Schnell Tausende von Lösungen finden (Knowledgebase-Artikel und Dokumente). Patches und Aktualisierungen herunterladen. Die Hilfe eines technisch geschulten Support-Mitarbeiters anfordern. Ihren Fall protokollieren, aktualisieren und seinen Status überprüfen. Eine ausführliche Erläuterung zu den Support-Programmen und zu den Online-Diensten sowie Kontaktinformationen und Angaben zu Richtlinien und Verfahren finden Sie im Global Support Guide. Das Dokument ist verfügbar unter: http://support.quest.com/pdfs/global Support Guide.pdf. Hinweis: Dieses Dokument ist nur auf Englisch verfügbar. 6

Bereitstellungshandbuch Einleitung Dieses Dokument enthält Informationen zur Bereitstellung von Quest Recovery Manager for Active Directory. Darüber hinaus finden Sie empfohlene Vorgehensweisen zum Sichern und Wiederherstellen von Active Directory mit Recovery Manager. Recovery Manager for Active Directory ist eine umfassende Lösung auf dem neuesten technischen Stand, die Sie beim Sichern und Wiederherstellen von Active Directory-Daten unterstützt. Recovery Manager reduziert die Zeit für die Wiederherstellung von Active Directory- und Gruppenrichtliniendaten in den meisten Fällen auf wenige Minuten. Damit werden die Verfügbarkeit von Unternehmensnetzwerken verbessert und Netzwerkausfallzeiten verringert. Ausführliche Informationen zur Installation der Anwendungskomponenten finden Sie im Handbuch Erste Schritte, das im Lieferumfang dieser Version von Recovery Manager enthalten ist. 7

Recovery Manager for Active Directory Empfohlene Vorgehensweisen für das Bereitstellen der Recovery Manager-Konsole Es wird empfohlen, die Recovery Manager-Konsole auf einem Mitgliedsserver und nicht auf einem Domänencontroller zu installieren. Bei Installation auf einem Domänencontroller belegt die Recovery Manager-Konsole dessen Ressourcen und kann die Leistung des Domänencontrollers beeinträchtigen. Um eine selektive Online-Wiederherstellung von Active Directory-Daten auszuführen, genügt es, eine Instanz der Recovery Manager-Konsole in der Active Directory-Gesamtstruktur bereitzustellen. Um eine vollständige Offline-Wiederherstellung von Active Directory auszuführen, wird empfohlen, eine Instanz der Recovery Manager-Konsole für jede Active Directory-Site bereitzustellen. 8

Bereitstellungshandbuch Empfohlene Vorgehensweisen für die Verwendung von Computersammlungen Mit Hilfe einer Computersammlung können Sie Computer (Domänencontroller oder AD LDS (ADAM)-Hosts), auf die Sie dieselben Sicherungseinstellungen anwenden möchten, in Gruppen zusammenfassen. Weitere Informationen zum Erstellen und Verwalten von Computersammlungen finden Sie im Benutzerhandbuch, das im Lieferumfang dieser Version von Recovery Manager enthalten ist. Es wird empfohlen, Computer derselben Computersammlung hinzuzufügen, wenn Sie eine der folgenden Aktionen ausführen möchten: Sichern der gleichen Systemstatuskomponenten auf allen diesen Computern. Anwenden der gleichen Sicherungsspeicherrichtlinie auf allen diesen Computern. So können Sie mit diesem Verfahren beispielsweise Domänencontrollersicherungen an einem zentralen Speicherort speichern, auf den die Recovery Manager-Konsole über eine schnelle Verbindung zugreifen kann. Bei diesem Szenario müssen Sicherungen nicht über das gesamte Netzwerk kopiert werden, bevor Sie einen Online-Wiederherstellungsvorgang durchführen, und die Wiederherstellung kann zentral verwaltet werden. Einrichten des gleichen Zeitplans für die Sicherungserstellung für alle diese Computer. In der folgenden Abbildung ist ein Beispiel für die Verwendung von Computersammlungen dargestellt: Beispiel für die Verwendung von Computersammlungen Tokio London (Recovery Manager-Konsole) New York Computersammlung 1 (alle DCs) Computersammlung 2 (alle DCs) Computersammlung 3 (alle DCs) Computersammlung 4 (2 DCs vom Standort in London) In diesem Beispiel ist die Recovery Manager-Konsole am Standort London installiert. Die Computersammlungen 1, 2 und 3 umfassen sämtliche Domänencontroller der Standorte Tokio, London und New York. Die Computersammlung 4 umfasst zwei Domänencontroller am Standort London. Die Recovery Manager-Konsole kann über eine schnelle Verbindung auf die Sicherungen dieser beiden Domänencontroller zugreifen. Die Sicherungen können für die selektive Online-Wiederherstellung von Active Directory-Objekten verwendet werden. 9

Recovery Manager for Active Directory Empfohlene Vorgehensweisen für das Ausführen von Wiederherstellungen Dieser Abschnitt enthält Empfehlungen zur Ausführung von Wiederherstellungsvorgängen mit Recovery Manager for Active Directory. Unterschiede zwischen agentenbasierten und agentenlosen Methoden der Wiederherstellung Mit Recovery Manager können Sie durch LDAP-Funktionen (agentenlose Methode) oder über den in Recovery Manager enthaltenen Wiederherstellungsagenten (agentenbasierte Methode) auf den Zieldomänencontroller zugreifen. Jede dieser Methoden hat bestimmte Vorteile, Einschränkungen und Voraussetzungen. Agentenlose Methode VORTEILE Durch die Nutzung der LDAP-Funktionen wirkt sich der Assistent weniger stark auf den Domänencontroller aus. Administratorrechte sind nicht erforderlich, um die Wiederherstellungs- und Vergleichsvorgänge ausführen zu können. EINSCHRÄNKUNGEN Zum Wiederherstellen einiger Objektattribute wie z. B. Benutzerkennwort und SID-Verlauf müssen Sie das Active Directory-Schema ändern. Weitere Informationen finden Sie unter Wiederherstellen von Kennwörtern und des SID-Verlaufs im Benutzerhandbuch. Erforderliche Berechtigungen für die agentenlose Methode Das Konto, mit dem Recovery Manager for Active Directory auf den Zieldomänencontroller zugreift, benötigt bestimmte Berechtigungen, damit Datenwiederherstellungsaufgaben ausgeführt werden können. AUFGABE Objektattribute wiederherstellen Gelöschtes Objekt wiederherstellen Domänenübergreifende Gruppenmitgliedschaften wiederherstellen ERFORDERLICHE BERECHTIGUNGEN Schreibzugriff auf die Attribute, die wiederhergestellt werden sollen Steuerungszugriffsrecht Alterungen wiederbeleben. Schreibzugriff auf jedes Attribut, das während der Wiederherstellung aktualisiert werden soll Erstellungsrechte für untergeordnete Objekte im Zielcontainer für die Klasse des Objekts, das wiederhergestellt werden soll Schreibzugriff auf universelle Gruppen und lokale Gruppen der Domäne in anderen Domänen 10

Bereitstellungshandbuch Agentenbasierte Methode VORTEILE Bei dieser Methode können Sie sämtliche Objekte (auch gelöschte Objekte) und Attribute (auch Benutzerkennwort und SID-Verlauf) vergleichen und wiederherstellen. Ein Wiederherstellungsvorgang kann auf einem Domänencontroller durchgeführt werden, auf dem eine beliebige, von Produktname unterstützte Version eines Windows-Betriebssystems ausgeführt wird. Die agentenbasierte Wiederherstellungsmethode ist normalerweise schneller als die agentenlose Methode. EINSCHRÄNKUNGEN Der Zieldomänencontroller muss identisch mit der Sicherungsquelle sein. Das Benutzerkonto, mit dem Sie auf den Zieldomänencontroller zugreifen, muss über Administratorrechte für die Domäne verfügen und ein Mitglied der Sicherungsoperatorengruppe sein, wenn auf dem Zieldomänencontroller Windows Server 2003 ausgeführt wird. Produktname installiert automatisch den Wiederherstellungsagenten (die Datei RstAgent.exe ) vor dem Start einer Wiederherstellung und entfernt ihn nach Abschluss des Vorgangs wieder automatisch. Die Größe der Datei RstAgent.exe beträgt etwa 380.000 Byte. Erforderliche Berechtigungen für die agentenbasierte Methode Das Konto, mit dem Recovery Manager for Active Directory auf den Zieldomänencontroller zugreift, muss über folgende Berechtigungen verfügen: Es muss über ausreichende Berechtigungen zum Kopieren von Dateien auf den Zieldomänencontroller verfügen. Es muss Access Service Control Manager auf dem Zieldomänencontroller sein. Es muss über Schreibzugriff auf universelle Gruppen und lokale Domänengruppen in anderen Domänen verfügen (nur zum Wiederherstellen von domänenübergreifenden Gruppenmitgliedschaften). Damit die oben genannten Voraussetzungen erfüllt sind, muss das Konto Mitglied einer der folgenden Gruppen sein: Lokale Administratorengruppe auf den einzelnen Zieldomänencontrollern Sicherungsoperatorengruppe oder Domänenadministratorengruppe auf jedem Zieldomänencontroller mit Windows Server 2003 oder einer späteren Version von Windows 11

Recovery Manager for Active Directory Wiederherstellen von Kennwörtern und des SID-Verlaufs Wenn das Löschen eines Objekts mit Hilfe der agentenlosen Wiederherstellungsmethode rückgängig gemacht wird, verwendet der Online-Wiederherstellungsassistent die LDAP-Funktionen sowie die vom Windows-Betriebssystem bereitgestellte Funktion Wiederherstellung gelöschter Objekte. Diese Funktion stellt nur die Attribute wieder her, die im Tombstone eines Objekts gespeichert wurden. Die anderen Attribute werden aus einer Sicherung wiederhergestellt. Einige Objektattribute wie das Benutzerkennwort und der SID-Verlauf können jedoch nicht mit LDAP-Funktionen geschrieben und daher auch nicht mit der agentenlosen Methode aus einer Sicherung wiederhergestellt werden. Oft ist es kein großes Problem, wenn das Kennwort-Attribut nicht aus einer Sicherung wiederhergestellt werden kann, da das Objektkennwort nach der Wiederherstellung des Objekts zurückgesetzt werden kann. Die Wiederherstellung des Attributs SID-Verlauf kann jedoch unternehmenskritisch sein. Als Beispiel sei hier eine Situation aufgeführt, in der die Domäne, aus der das Objekt migriert wurde, nicht verfügbar oder außer Betrieb ist und somit der SID-Verlauf nicht wieder hinzugefügt werden kann. Damit diese beiden Attribute mit der agentenlosen Methode wiederhergestellt werden können, kann das Active Directory-Schema so geändert werden, dass diese Attribute in Objekt-Tombstones erhalten bleiben. Entsprechend verfügt ein Objekt, dessen Löschung rückgängig gemacht wurde, über das gleiche Kennwort und den gleichen SID-Verlauf wie vor der Löschung. Da für diese Lösung Schemaänderungen erforderlich sind, sollte sie sorgfältig abgewogen werden. Microsoft empfiehlt die Änderung oder Erweiterung des Schemas nur in Ausnahmefällen. Gehen Sie daher mit höchster Vorsicht vor, denn ein Fehler kann den Verzeichnisdienst destabilisieren und eine Neuinstallation erforderlich machen. Häufig nehmen Organisationen nur ungern Änderungen am Schema vor, weil Schemaänderungen zu einem hohen Replikationsdatenverkehr führen können. Dies gilt nicht für die in diesem Artikel beschriebenen Schemaänderungen, weil sie nicht den partiellen Attributsatz (PAS) betreffen. Recovery Manager bietet außerdem eine agentenbasierte Methode für die Wiederherstellung oder das Rückgängig machen des Löschvorgangs von Objekten. Bei der agentenbasierten Methode können alle Attribute wiederhergestellt werden. Die agentenbasierte Methode erfordert keine Schemaänderungen. Beibehalten der Kennwörter und des SID-Verlaufs in Objekt-Tombstones Gehen Sie wie folgt vor, damit Kennwörter und der SID-Verlauf in Objekt-Tombstones beibehalten werden: Schritt 1: Sicherstellen, dass die Voraussetzungen erfüllt sind Schritt 2: Ändern des Werts für das Attribut searchflags Schritt 1: Sicherstellen, dass die Voraussetzungen erfüllt sind Sie sind als ein Mitglied der Unternehmensadministratorengruppe angemeldet. Schreibvorgänge am Schema sind zulässig. Weitere Informationen darüber, wie Schreibvorgänge am Schema zugelassen werden, finden Sie im Microsoft Knowledge Base-Artikel 216060 Registry Modification Required to Allow Write Operations to Schema unter http://support.microsoft.com. 12

Bereitstellungshandbuch Schritt 2: Ändern des Werts für das Attribut searchflags Damit der SID-Verlauf in den Tombstones erhalten bleibt, ändern Sie den Wert des Attributs searchflags für das SID-Verlauf-Schemaobjekt (sidhistory). Damit Kennwörter in Tombstones erhalten bleiben, müssen Sie den Wert des Attributs searchflags für die folgenden kennwortbezogenen Schemaobjekte ändern: Unicode-Pwd (unicodepwd) DBCS-Pwd (dbcspwd) Supplemental-Credentials (supplementalcredentials) Lm-Pwd-History (lmpwdhistory) Nt-Pwd-History (ntpwdhistory) In den Attributen Lm-Pwd-History und Nt-Pwd-History wird der Kennwortverlauf gespeichert. Aus Sicherheitsgründen wird empfohlen, diese Attribute zusammen mit dem Kennwort wiederherzustellen. Um festzustellen, welcher neue Wert für das Attribut searchflags festgelegt werden muss, verwenden Sie die folgende Formel: 8 + aktueller Attributwert von searchflags = neuer Attributwert von searchflags. So ändern Sie den Wert für das Attribut searchflags : 1. Melden Sie sich am Domänencontroller mit der Rolle als Schemamaster-FSMO an. 2. Starten Sie das ADSI Edit-Tool (Adsiedit.msc) und stellen Sie eine Verbindung zum Schema-Namenskontext her. 3. Erweitern Sie den Container Schema in der Konsolenstruktur, um den Container auszuwählen, der die Schemaobjekte enthält, die Sie ändern möchten. 4. Klicken Sie im Detailfenster mit der rechten Maustaste auf das zu ändernde Objekt, und klicken Sie dann auf Eigenschaften. 5. Geben Sie den neuen Attributwert für searchflags ein, den Sie zuvor in Schritt 2: Ändern des Werts für das Attribut searchflags ermittelt haben. Gehen Sie dazu wie folgt vor: a) Wählen Sie auf der Registerkarte Attribut-Editor die Option searchflags aus der Liste Attribute, und klicken Sie dann auf die Schaltfläche Bearbeiten. b) Geben Sie im Feld Attribut-Editor einen Wert ein, und klicken Sie dann auf OK. 13

Recovery Manager for Active Directory Empfohlene Vorgehensweisen für das Erstellen von Sicherungen Dieser Abschnitt enthält einige empfohlene Vorgehensweisen für die Sicherung von Active Directory-Daten mit Hilfe von Recovery Manager for Active Directory. Entwickeln eines Sicherungs- und Wiederherstellungsplans Es wird empfohlen, die folgenden Regeln zu beachten, um einen Ausfall von Active Directory zu vermeiden: Verwenden Sie nur zuverlässige und fehlerfreie Hardware (Festplatten und unterbrechungsfreie Stromversorgung). Testen Sie jede neue Konfiguration zunächst in einer Testumgebung, bevor Sie sie in der Produktionsumgebung umsetzen. Stellen Sie sicher, dass jede Domäne in der Active Directory-Gesamtstruktur über mindestens zwei Domänencontroller verfügt. Lassen Sie ausführliche tägliche Protokolle über den aktuellen Zustand von Active Directory erstellen, damit bei einem Ausfall der gesamten Struktur der ungefähre Zeitpunkt des Ausfalls ermittelt werden kann. Festlegen der zu sichernden Domänencontroller und der entsprechenden Zeitpläne Um eine Online-Wiederherstellung gelöschter oder fehlerhafter Active Directory-Objekte durchführen zu können, sollten aus Redundanzgründen mindestens zwei Domänencontroller je Domäne gesichert werden. Falls domänenübergreifende Gruppenmitgliedschaften wiederhergestellt werden sollen, ist es außerdem erforderlich, einen globalen Katalogserver zu sichern. Die Sicherung des globalen Katalogservers muss mit der Option When backing up Global Catalog servers, collect group membership information from all domains within the Active Directory forest (Beim Sichern von globalen Katalogservern Gruppenmitgliedschaftsinformationen von allen Domänen innerhalb der Active Directory-Gesamtstruktur sammeln) auf der Registerkarte System State (Systemstatus) im Dialogfeld Computer Collection Properties (Eigenschaften der Computersammlung) erstellt werden. Wenn Sie Domänencontroller nach einem Ausfall mit Recovery Manager wiederherstellen möchten (z. B. mit dem Reparaturassistenten), empfiehlt es sich, alle Domänencontroller in allen Domänen sichern. Aktivieren Sie dazu die Option Collect Forest Recovery metadata (Forest Recovery-Metadaten sammeln) auf der Registerkarte System State (Systemstatus) im Dialogfeld Computer Collection Properties (Eigenschaften der Computersammlung). Bei aktivierter Option werden Sicherungen erstellt, die von der Forest Recovery-Konsole für die Wiederherstellung einer Gesamtstruktur verwendet werden können. Weitere Informationen finden Sie im Benutzerhandbuch, das im Lieferumfang dieser Version von Recovery Manager enthalten ist. Es wird empfohlen, die Domänencontroller mindestens täglich zu sichern. Zusätzlich sollten Sie alle Domänencontroller immer dann sichern, wenn wichtige Änderungen in der IT-Umgebung vorgenommen wurden. 14

Bereitstellungshandbuch Methoden zur Bereitstellung des Sicherungsagenten Recovery Manager erstellt mit dem Sicherungsagenten Sicherungen von Remote-Domänencontrollern. Der Sicherungsagent muss auf jedem Remote-Domänencontroller bereitgestellt werden, auf dem Active Directory-Daten gesichert werden sollen. Es gibt zwei Methoden, den Sicherungsagenten bereitzustellen: Lassen Sie Recovery Manager vor Beginn einer Sicherungserstellung den Sicherungsagenten automatisch bereitstellen und bei Abschluss des Sicherungsvorgangs automatisch wieder entfernen. Installieren Sie den Sicherungsagenten vorab manuell auf allen Zieldomänencontrollern, auf denen Active Directory-Daten gesichert werden sollen. Die letztere Methode ermöglicht außerdem Folgendes: Ausführen eines Sicherungsvorgangs ohne Domänenadministratorrechte. Es reicht aus, wenn Recovery Manager mit den Anmeldeinformationen eines Sicherungsoperators ausgeführt wird. Verringern des Netzwerkdatenverkehrs bei der Sicherung einer Computersammlung. Sichern von Domänencontrollern in Domänen, die in keiner Vertrauensstellung zu der Domäne stehen, in der Recovery Manager ausgeführt wird. Dadurch wird das No Trust -Problem behoben. Um den Sicherungsagenten vorab zu installieren, können Sie den Sicherungsagent-Installationsassistenten verwenden oder eine automatische Installation durchführen. Weitere Informationen finden Sie im Handbuch Erste Schritte, das im Lieferumfang dieser Version von Recovery Manager for Active Directory enthalten ist. Beibehalten der neuen Sicherungen Wenn Sie (wie weiter oben in diesem Dokument empfohlen) täglich vollständige Sicherungen erstellen, sollten Sie eine Sicherungsaufbewahrungsrichtlinie konfigurieren, um die Sicherungen mindestens zwei Wochen lang aufzubewahren (sodass Sie pro Domänencontroller immer die 14 Sicherungskopien der zurückliegenden 14 Tage zur Verfügung haben). So stehen Ihnen immer eine ausreichende Anzahl von Sicherungen für eine Wiederherstellung nach einem Fehler von Active Directory zur Verfügung, falls dieser über längere Zeit unerkannt geblieben ist. Informationen zur Konfiguration einer Sicherungsaufbewahrungsrichtlinie finden Sie im Benutzerhandbuch, das im Lieferumfang dieser Version von Recovery Manager for Active Directory enthalten ist. Zusätzlich zu den aufbewahrten Sicherungen können Sie außerdem wöchentlich mindestens eine Sicherung der Domänencontroller archivieren. So können Sie Active Directory-Daten (beispielsweise gelöschte Objekte) aus einem Zeitraum, der vor dem aufbewahrten Sicherungsverlauf liegt, wieder abrufen. Stellen Sie sicher, dass diese archivierten Sicherungen die gesamte Tombstone-Lebensdauer abdecken (d. h. 60 Tage oder 180 Tage in der Standardeinstellung, abhängig von der Version des Windows-Betriebssystems). Aus Sicherheitsgründen empfiehlt es sich außerdem, mindestens eine Kopie jeder Sicherung außerhalb des Netzwerks in einer ordnungsgemäß kontrollierten Umgebung aufzubewahren, damit diese Kopie vor möglichen schädlichen Angriffen über das Netzwerk geschützt ist. 15

Recovery Manager for Active Directory Speicherort von Sicherungen Für jede Computersammlung können Sie angeben, wo die Sicherungsdateien der Sammlung gespeichert werden. Sie können die Sicherungen auf dem Computer, auf dem Recovery Manager ausgeführt wird, auf dem Domänencontroller, der gesichert wird, oder auf einer beliebigen verfügbaren Netzwerkfreigabe speichern. Dieser Abschnitt enthält allgemeine Empfehlungen zum Speicherort von Sicherungen, die in spezifischen Wiederherstellungsszenarien verwendet werden sollten, wie zum Beispiel bei der granularen Online-Wiederherstellung von Verzeichnisobjekten, der vollständigen Offline-Wiederherstellung von Active Directory oder der Wiederherstellung einer Active Directory-Gesamtstruktur. Weitere Informationen zur Festlegung der Speichereinstellungen für Sicherungen finden Sie im Benutzerhandbuch, das im Lieferumfang dieser Version von Recovery Manager enthalten ist. Speichern von Sicherungen für eine granulare Online- oder eine vollständige Offline-Wiederherstellung In der folgenden Abbildung wird die empfohlene Methode zum Speichern der Sicherungen dargestellt, die Sie für eine granulare Online- oder eine vollständige Offline-Wiederherstellung von Active Directory verwenden möchten: Sicherungen für eine granulare Online- oder eine vollständige Offline-Wiederherstellung DC 1 DC 2 DC 3 Sicherungsdatei 1 Sicherungsdatei 1 Sicherungsdatei 1 Zentraler Speicherort für Sicherung Schnelle Verbindung Recovery Manager-Konsole 16

Bereitstellungshandbuch Es wird empfohlen, diese Sicherungen in einem zentralen Sicherungsspeicher zu speichern, auf den die Recovery Manager-Konsole über eine schnelle und zuverlässige Verbindung zugreifen kann. Eine solche Verbindung ist erforderlich, da während eines Wiederherstellungsvorgangs möglicherweise Sicherungsdateien vom zentralen Sicherungsspeicher auf den Computer, auf dem die Recovery Manager-Konsole verwendet wird, kopiert oder entpackt werden. Speichern von Sicherungen für die Gesamtstrukturwiederherstellung In der folgenden Abbildung wird die empfohlene Methode für das Speichern von Sicherungen dargestellt, die für eine Wiederherstellung der Gesamtstruktur verwendet werden sollen: Sicherungen für die Gesamtstrukturwiederherstellung DC 1 DC 2 DC 3 Sicherungsdatei Sicherungsdatei Sicherungsdatei Recovery Manager-Konsole Wenn Sie Recovery Manager verwenden möchten, um die vollständige Gesamtstruktur von Active Directory oder bestimmter Domänen in der Gesamtstruktur wiederherzustellen, empfiehlt es sich, jede Sicherungsdatei auf dem Domänencontroller zu speichern, der gesichert werden soll. Dadurch wird die Netzwerkbelastung während des Wiederherstellungsvorgangs vermindert und der Wiederherstellungsprozess beschleunigt. Außerdem vereinfacht das Speichern der Sicherungsdateien auf den Zieldomänencontrollern die Organisation der erforderlichen Berechtigungen für den Zugriff auf diese Dateien. 17

Recovery Manager for Active Directory Erstellen differenzieller Sicherungen In Recovery Manager können differenzielle Sicherungen von in Computersammlungen enthaltenen Domänencontrollern erstellt werden. Bei einer differenziellen Sicherung werden die Änderungen in der Active Directory-Datenbank gespeichert, die seit der letzten vollständigen Sicherung vorgenommen wurden. Die bei einer differenziellen Sicherung gespeicherten Daten enthalten ausschließlich die Transaktionsprotokolldateien bis zum Zeitpunkt der Sicherung. Mit Hilfe von differenziellen Sicherungen können Sie die Größe der in der Sicherungsregistrierungsdatenbank gespeicherten Sicherungsdateien verringern. Sie können das Erstellen differenzieller Sicherungen in den Eigenschaften von Computersammlungen auf der Registerkarte Differential Backup (Differenzielle Sicherung) verwalten. Um die Erstellung von differenziellen Sicherungen für Domänencontroller in einer Sammlung zu ermöglichen, gehen Sie wie nachfolgend beschrieben vor. Schritt 1: Aktivieren der Erstellung von differenziellen Sicherungen in der Recovery Manager-Konsole Die Aktivierung der Erstellung von differenziellen Sicherungen kann dazu führen, dass der Domänencontroller nicht mehr über ausreichend Speicherplatz verfügt, wenn vollständige Sicherungen des Domänencontrollers nicht häufig genug oder gar nicht erstellt werden. So aktivieren Sie die Erstellung von differenziellen Sicherungen: 1. Erweitern Sie in der Recovery Manager-Konsolenstruktur den Knoten Computer Collections (Computersammlungen), und wählen Sie die Computersammlung aus, die gesichert werden soll. 2. Klicken Sie im Menü Action (Aktion) auf Properties (Eigenschaften). Geben Sie im Dialogfeld Properties (Eigenschaften) an, welche Daten gesichert werden sollen, wo die Sicherungen gespeichert werden sollen und wie die Protokollierung erfolgen soll. 3. Klicken Sie im Dialogfeld Properties (Eigenschaften) auf die Registerkarte Differential Backup (Differenzielle Sicherung), und führen Sie folgende Schritte aus: Aktivieren Sie das Kontrollkästchen Create differential backups (Differenzielle Sicherung erstellen). Klicken Sie auf Add (Hinzufügen), um Kriterien für die Erstellung einer vollständigen Sicherung anzugeben. Schritt 2: Ändern der Systemregistrierung auf jedem DC in der Sammlung Erstellen Sie vor der Änderung der Registrierung eine Sicherungskopie. Nehmen Sie die Änderungen nur vor, wenn Sie auch wissen, wie die Registrierung wiederhergestellt werden kann, wenn ein Problem auftritt. Wenn Sie den Registrierungs-Editor nicht sachgemäß verwenden, kann dies zu ernsthaften Problemen führen, die eine Neuinstallation des Betriebssystems erforderlich machen können. Quest Software, Inc. kann nicht gewährleisten, dass Sie Probleme lösen können, die durch unsachgemäße Verwendung des Registrierungs-Editors entstehen. Die Verwendung des Registrierungs-Editors erfolgt auf eigene Gefahr. So ändern Sie die Systemregistrierung: 1. Starten Sie auf dem Zieldomänencontroller den Registrierungs-Editor (regedit.exe), suchen Sie folgenden Registrierungsschlüssel, und wählen Sie ihn aus: HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters. 2. Zeigen Sie im Menü Edit (Bearbeiten) auf New (Neu), und klicken Sie auf String Value (Zeichenkettenwert). 18

Bereitstellungshandbuch 3. Legen Sie die folgenden Werte für die Parameter Name und Daten des von Ihnen erstellten Zeichenkettenwerts fest: Name: DSA Heuristics Daten: 0000000100 4. Damit die Änderungen wirksam werden, muss der Zieldomänencontroller neu gestartet werden. Differenzielle Sicherungen werden vom Reparaturassistenten nicht unterstützt. Nur der Online-Wiederherstellungsassistent, der Gruppenrichtlinien-Wiederherstellungsassistent und der Extraktionsassistent können differenzielle Sicherungen verwenden. Die Erstellung differenzieller Sicherungen wird nur für Windows Server 2003-basierte Domänencontroller unterstützt. 19

Recovery Manager for Active Directory Technische Daten In diesem Abschnitt sind einige technische Daten des Produkts aufgeführt. Typische Größe der Datenbanken Microsoft Access-Datenbankdateien Recovery Manager verwendet die folgenden Microsoft Access-Datenbankdateien (.mdb): ERDiskAD.mdb. Recovery Manager-Konfigurationsdatenbank. Sie enthält Informationen zur Konsolenkonfiguration, z. B. die verwalteten Computersammlungen, die Sicherungserstellungssitzungen usw. Backups.mdb. Recovery Manager-Sicherungsregistrierungsdatenbank. Sie enthält Daten zu den registrierten Active Directory- und AD LDS (ADAM)-Sicherungen. Die Größe der Datenbankdateien (.mdb) beträgt in der Regel weniger als 10 MB. Die Datenbankdateien werden im Unterorder \Quest Software\RMAD\ des Ordners gespeichert, der die Anwendungsdaten für alle Benutzer enthält. Normalerweise ist dies der Pfad C:\Dokumente und Einstellungen\Alle Benutzer\Anwendungsdaten\Quest Software\RMAD\. Berichtsdatenbankdateien Der Online-Wiederherstellungsassistent erstellt Vergleichs- und Wiederherstellungsberichte. Diese Berichte beruhen auf attributspezifischen Vergleichen der Verzeichnisobjekte, die in einer Sicherung ausgewählt werden, mit ihren Entsprechungen in Active Directory oder in einer anderen Sicherung. Recovery Manager verwendet dazu Microsoft SQL Reporting Services (SRS). Microsoft SRS ist der neue Berichtsstandard für Quest und ersetzt die XML-basierten Vergleichs- und Wiederherstellungsberichte der früheren Versionen. Weitere Informationen finden Sie im Benutzerhandbuch, das im Lieferumfang dieser Version von Recovery Manager enthalten ist. Die Größe einer Berichtsdatenbankdatei wird von folgenden Parametern beeinflusst: Anzahl der Verzeichnisobjekte, die der Online-Wiederherstellungsassistent verarbeitet hat. Anzahl der verarbeiteten Attribute. Typ der verarbeiteten Attribute. Anzahl der verfügbaren Sitzungen des Online-Wiederherstellungsassistenten. Die Daten zu allen Sitzungen werden in einer einzigen Berichtsdatenbankdatei gespeichert. Wenden Sie die folgende empirische Formel an, um die ungefähre Größe der Berichtsdatenbankdatei zu ermitteln: 6 x <Anzahl der verarbeiteten Objekte>/1000 [MB] Beispiel: Wenn der Online-Wiederherstellungsassistent 3000 Objekte verarbeitet hat, beträgt die Größe der Berichtsdatenbankdatei etwa 18 MB. 20

Bereitstellungshandbuch Standardzeiten für die Erstellung von Sicherungen Die zum Erstellen einer Sicherung erforderliche Zeit hängt von der Größe der Active Directory-Datenbank (Datei NTDS.dit ) und der Komprimierungsmethode ab, die der Sicherungsagent bei der Verarbeitung der Datei NTDS.dit einsetzt. Sie können die Komprimierungsmethode auf der Registerkarte Performance (Leistung) im Dialogfeld Computer Collection Properties (Eigenschaften der Computersammlung) festlegen. Weitere Informationen finden Sie im Benutzerhandbuch, das im Lieferumfang dieser Version von Recovery Manager enthalten ist. In der folgenden Tabelle sind die typischen Zeiten zum Erstellen einer Sicherung für verschiedene Komprimierungsverfahren aufgeführt. KOMPRIMIERUNGSMETHODE GRÖßE DER SICHERUNGSDATEI ERSTELLUNGSZEIT (MIN:S) Keine 3,17 GB 09:07 Schnell 1,27 GB 07:35 Normal 1,22 GB 08:27 Maximum 1,20 GB 17:54 Die in der Tabelle enthaltenen Angaben wurden bei folgender Konfiguration ermittelt: Größe der Datei NTDS.dit : 3,14 GB Hardware des Recovery Manager-Computers: CPU 2x Intel Xeon 2,8GHz; 1GB RAM Empfehlungen Die Erstellungszeiten für die Sicherung der Active Directory-Datenbank können variieren und hängen u. a. von der Größe der Datenbank und einer Reihe anderer Faktoren wie der Hardware im Domänencontroller und der Dichte der Informationen in der Active Directory-Datenbank ab. Sie können die Beispiele oben als Richtschnur verwenden, um zu ermitteln, wie lange die Sicherung Ihrer eigenen Active Directory-Datenbank dauert. Beachten Sie jedoch, dass diese Zeiten nicht direkt mit der Größe der Datenbank in Verbindung stehen (die Sicherung einer 6 GB großen Datenbank dauert möglicherweise nicht genau doppelt so lange wie die Sicherung einer 3 GB großen Datenbank). Die beste Methode, um die erforderliche Zeit zur Sicherung in Ihrer eigenen Umgebung zu ermitteln, ist die Erstellung der Sicherung eines Domänencontrollers der Produktionsumgebung. Die Komprimierungsverhältnisse können abhängig davon, wie dicht die Active Directory-Datenbank gefüllt ist, variieren. Die Nutzung einer Methode mit einer höheren Komprimierung führt jedoch meist zu abnehmenden Ergebnissen im Hinblick auf die komprimierte Größe der Sicherung. Um sowohl eine angemessene Sicherungsdauer als auch eine angemessene komprimierte Größe der Sicherung zu gewährleisten, wird empfohlen, entweder die schnelle oder die normale Komprimierung zu verwenden. Wenn die mit Recovery Manager erstellten Sicherungen von anderen MTF-kompatiblen Sicherungsprogrammen verwendet werden sollen, muss als Datenkomprimierungsmethode Keine ausgewählt werden. 21

Recovery Manager for Active Directory Standardzeiten für das Entpacken von Sicherungen Damit eine gepackte Sicherungsdatei verwendet werden kann (z. B. im Online-Wiederherstellungsassistenten), muss sie von Recovery Manager entpackt werden. In der folgenden Tabelle sind die typischen Zeiten aufgeführt, die zum Entpacken von Sicherungen benötigt werden. KOMPRIMIERUNGSMETHODE GRÖßE DER GEPACKTEN SICHERUNGSDATEI ZEIT ZUM ENTPACKEN (MIN:S) Keine 3,17 GB 01:57 Schnell 1,27 GB 01:29 Normal 1,22 GB 01:25 Maximum 1,20 GB 01:22 Sie können die Erstellung von nicht komprimierten Sicherungen mit Hilfe der Registerkarte Unpacked Backups (Entpackte Sicherungen) im Dialogfeld Recovery Manager for Active Directory Settings (Recovery Manager for Active Directory Einstellungen) verwalten. Zusätzlich können Sie festlegen, dass der Online-Wiederherstellungsassistent oder der Gruppenrichtlinien-Wiederherstellungsassistent entpackte Sicherungen zur späteren Verwendung beibehält. Weitere Informationen finden Sie im Benutzerhandbuch, das im Lieferumfang dieser Version von Recovery Manager enthalten ist. Von Recovery Manager verwendete Ports In der folgenden Tabelle sind die von den Recovery Manager-Komponenten verwendeten Ports aufgeführt. KOMPONENTE EINGEHENDER PORT AUF DEM ZIELDOMÄNENCONTROLLER PROTOKOLL DATENVERKEHR Sicherungsagent (manuelle Installation) Angegeben während der Installation des Sicherungsagenten. TCP Verbindungen der Recovery Manager-Konsole ODER Angegeben im Dialogfeld Recovery Manager for Active Directory Settings (Recovery Manager for Active Directory Einstellungen). Standardmäßig ist dies der Port 3843. Sicherungsagent (automatische Installation) 135 TCP RPC-Locatordienst 389 TCP LDAP 445 oder 139 TCP Active Directory-Domänendienste 22

Bereitstellungshandbuch KOMPONENTE EINGEHENDER PORT AUF DEM ZIELDOMÄNENCONTROLLER PROTOKOLL DATENVERKEHR Online-Wiederherstellungsassistent (bei Verwendung der Agenten-Wiederherstellungsmethode) 135 TCP RPC-Locatordienst 389 TCP LDAP 445 (von Microsoft empfohlen) oder 139 TCP Active Directory-Domänendienste Dynamischer RPC-Port-Bereich Weitere Informationen zu diesen Ports finden Sie in den folgenden Artikeln der Microsoft Support Knowledge Base unter http://support.microsoft.com: Konfigurieren von RPC für die Verwendung bestimmter Ports und Schützen dieser Ports mit IPsec (Artikel-ID: 908472) Konfigurieren der dynamischen RPC-Portzuweisung für Firewall-Einsatz (Artikel-ID: 154596) Der dynamischen Portbereich für TCP/IP wurde in Windows Vista und WindowsServer2008 geändert (Artikel-ID: 929851) TCP Verbindungen des Wiederherstellungsagenten Online-Wiederherstellungsassistent (bei Verwendung der agentenlosen Wiederherstellungsmethode) 389 TCP LDAP 445 TCP Active Directory-Domänendienste Online-Wiederherstellungsassistent für AD LDS (ADAM) Angegeben während der AD LDS (ADAM)-Installation auf dem Zieldomänencontroller TCP AD LDS (ADAM)-Verbindungen Gruppenrichtlinien-Wie der-herstellungsassistent 135 TCP RPC-Locatordienst 389 TCP und UDP LDAP 445 (von Microsoft empfohlen) oder 139 TCP Active Directory-Domänendienste Reparaturassistent 135 TCP RPC-Locatordienst 445 (von Microsoft empfohlen) oder 139 TCP Active Directory-Domänendienste 23

Recovery Manager for Active Directory KOMPONENTE EINGEHENDER PORT AUF DEM ZIELDOMÄNENCONTROLLER PROTOKOLL DATENVERKEHR Recovery Manager-Konsole 25 TCP Simple Mail Transfer Protocol 135 TCP RPC-Locatordienst 389 TCP und UDP LDAP 445 (von Microsoft empfohlen) oder 139 Angegeben während der Installation des Sicherungsagenten. ODER Angegeben im Dialogfeld Recovery Manager for Active Directory Settings (Recovery Manager for Active Directory Einstellungen). Standardmäßig ist dies der Port 3843. Angegeben während der AD LDS (ADAM)-Installation auf dem Zieldomänencontroller TCP TCP TCP Active Directory-Domänendienste Verbindungen des Sicherungsagenten AD LDS (ADAM)-Verbindungen Um Gruppenmitgliedschaftsdaten zu sichern, muss Recovery Manager möglicherweise eine Verbindung zu allen globalen Katalogen in der Gesamtstruktur über Port 389 herstellen. Um Gruppenmitgliedschaftsdaten wiederherzustellen, muss Recovery Manager möglicherweise eine Verbindung zu allen globalen Katalogen in der Gesamtstruktur über TCP-Port 135 und über zufällig per RPC zugeordnete hohe TCP-Ports (1024-65535) aufbauen. Stellen Sie sicher, dass der abgehende Datenverkehr auf den zufällig per RPC zugeordneten hohen TCP-Ports 1024 65535 auf dem Recovery Manager-Computer zulässig ist. Es wird empfohlen, sicherzustellen, dass der eingehende Datenverkehr auf einer ausreichenden Anzahl dynamisch zugewiesener TCP-Ports (zum Beispiel auf den Ports des Bereichs 1024 65535) auf Zieldomänencontrollern zulässig ist. Dies ermöglicht gleichzeitige Verbindungen von Recovery Manager und anderen Anwendungen. 24

Bereitstellungshandbuch Erforderliche Berechtigungen für die Installation und Verwendung von Recovery Manager Die folgende Tabelle enthält die Mindestberechtigungen für ein Benutzerkonto, die zum Ausführen einiger häufig verwendeter Aufgaben mit Recovery Manager erforderlich sind. AUFGABE Recovery Manager installieren MINDESTBERECHTIGUNGEN Das Konto muss ein Mitglied der lokalen Administratorengruppe auf dem Computer sein, auf dem Sie Recovery Manager installieren möchten. Wenn Sie während der Installation eine vorhandene SQL Server-Instanz angeben, muss das Konto, mit dem Recovery Manager eine Verbindung zu dieser Instanz herstellt, über die folgenden Berechtigungen für diese Instanz verfügen: Datenbank erstellen Tabelle erstellen Verfahren erstellen Funktion erstellen Recovery Manager-Konsole öffnen und verwenden Das Konto muss ein Mitglied der lokalen Administratorengruppe auf dem Computer sein, auf dem die Recovery Manager-Konsole installiert ist. Das Konto muss außerdem über die folgenden Berechtigungen für die von Recovery Manager verwendete SQL-Server-Instanz verfügen: Einfügen Löschen Aktualisieren Auswählen Ausführen Klonassistent starten und verwenden Virtuellen Snapshot erstellen Hinweis: Diese Funktion ist nur in Recovery Manager for Active Directory Forest Edition verfügbar. Sicherungsagenten manuell vorinstallieren Das Konto muss ein Mitglied der lokalen Administratorengruppe auf dem Computer sein, auf dem der Klonassistent installiert ist. So erstellen Sie einen virtuellen Snapshot eines Computers, auf dem die Benutzerkontensteuerung nicht installiert bzw. deaktiviert ist: Das Konto, das Sie für den Zugriff auf den Zielcomputer verwenden, muss ein Mitglied der lokalen Administratorengruppe auf diesem Computer sein. So erstellen Sie einen virtuellen Snapshot eines Computers, auf dem die Benutzerkontensteuerung aktiviert ist: Das Konto, das Sie für den Zugriff auf den Zielcomputer verwenden, muss das integrierte Administratorkonto auf diesem Computer sein. Das Konto, das Sie für den Zugriff auf den Zielcomputer verwenden, muss ein Mitglied der lokalen Administratorengruppe auf diesem Computer sein. Sicherungsagenten aktualisieren 25

Recovery Manager for Active Directory AUFGABE Vorinstallierte Instanzen des Sicherungsagenten ermitteln Sicherungsagenten deinstallieren Aktualisieren Sie die in der Recovery Manager-Konsole angezeigten Informationen über den Sicherungsagenten Installieren Sie den Sicherungsagenten automatisch und sichern Sie die Active Directory-Daten MINDESTBERECHTIGUNGEN Das für den Zugriff auf die Zieldomänencontroller verwendete Konto muss folgende Voraussetzungen erfüllen: Es muss über Schreibberechtigungen für den folgenden Ordner verfügen: %AllUsersProfile%\Application Data\Quest Software\RMAD. Dieser Ordner befindet sich auf dem Recovery Manager-Computer. Es muss auf jedem Zieldomänencontroller ein Mitglied der Sicherungsoperatorengruppe sein. Zur automatischen Installation des Sicherungsagenten muss das Konto folgende Voraussetzungen erfüllen: Es muss über die Schreibberechtigung für den folgenden Ordner verfügen: %AllUsersProfile%\Application Data\Quest Software\RMAD. Dieser Ordner befindet sich auf dem Recovery Manager-Computer. Administratorberechtigungen auf dem Zieldomänencontroller. Um Daten sichern zu können, muss das Konto ein Mitglied der Sicherungsoperatorengruppe auf jedem Zieldomänencontroller sein. Active Directory mit dem vorinstallierten Sicherungsagenten sichern Vollständige Offline-Wiederherstellung von Active Directory durchführen Das für den Zugriff auf die Zieldomänencontroller verwendete Konto muss folgende Voraussetzungen erfüllen: Es muss über Schreibberechtigungen für den folgenden Ordner verfügen: %AllUsersProfile%\Application Data\Quest Software\RMAD. Dieser Ordner befindet sich auf dem Recovery Manager-Computer. Es muss ein Mitglied der Sicherungsoperatorengruppe auf jedem zu sichernden Domänencontroller sein. Das für den Zugriff auf die Zieldomänencontroller verwendete Konto muss folgende Voraussetzungen erfüllen: Es muss über Schreibberechtigungen für den folgenden Ordner verfügen: %AllUsersProfile%\Application Data\Quest Software\RMAD. Dieser Ordner befindet sich auf dem Recovery Manager-Computer. Es muss ein Mitglied der vordefinierten Administratoren- und Domänenadministratorengruppen auf jedem zu sichernden Domänencontroller sein. 26

Bereitstellungshandbuch AUFGABE Selektive Online-Wiederherstellung von Active Directory-Objekten durchführen Recovery Manager-Konfiguration anzeigen Sicherungsagenten automatisch installieren und eine AD LDS (ADAM)-Instanz sichern AD LDS (ADAM)-Instanz mit dem vorinstallierten Sicherungsagenten sichern AD LDS (ADAM)-Instanz wiederherstellen MINDESTBERECHTIGUNGEN Das für den Zugriff auf die Zieldomänencontroller verwendete Konto muss folgende Voraussetzungen erfüllen: Es muss über die Schreibberechtigung für den folgenden Ordner verfügen: %AllUsersProfile%\Application Data\Quest Software\RMAD. Dieser Ordner befindet sich auf dem Recovery Manager-Computer. Es muss über das erweiterte Zugriffsrecht Alterungen wiederbeleben in der Domäne, in der die Objekte wiederhergestellt werden sollen, verfügen. Es muss über die Schreibberechtigung für jedes Objektattribut, das bei der Wiederherstellung aktualisiert werden soll, verfügen. Es muss über die Berechtigung Alle untergeordneten Objekte erstellen im Zielcontainer verfügen. Es muss über die Berechtigung zum Auflisten von Inhalten für den Container Gelöschte Objekte in der Domäne verfügen, in der die Objekte wiederhergestellt werden sollen. Weitere Informationen darüber, wie einem anderen Konto als einem Administratorkonto die Berechtigung zum Auflisten von Inhalten zugewiesen wird, finden Sie im Microsoft Knowledge Base-Artikel 892806, How to let non-administrators view the Active Directory deleted objects container in Windows Server 2003 and in Windows 2000 Server, unter http://support.microsoft.com. Das Konto muss über die Schreibberechtigung für den folgenden Ordner verfügen: %AllUsersProfile%\Application Data\Quest Software\RMAD. Dieser Ordner befindet sich auf dem Recovery Manager-Computer. Das für den Zugriff auf den Hostcomputer der Instanz verwendete Konto muss folgende Voraussetzungen erfüllen: Es muss über Schreibberechtigungen für den folgenden Ordner verfügen: %AllUsersProfile%\Application Data\Quest Software\RMAD. Dieser Ordner befindet sich auf dem Recovery Manager-Computer. Es muss ein Mitglied der lokalen Administratorengruppe auf dem Hostcomputer der AD LDS (ADAM)-Instanz sein. Das für den Zugriff auf den Hostcomputer der Instanz verwendete Konto muss folgende Voraussetzungen erfüllen: Es muss über Schreibberechtigungen für den folgenden Ordner verfügen: %AllUsersProfile%\Application Data\Quest Software\RMAD. Dieser Ordner befindet sich auf dem Recovery Manager-Computer. Es muss ein Mitglied der lokalen Administratorengruppe auf dem Hostcomputer der AD LDS (ADAM)-Instanz sein. Das für den Zugriff auf den Hostcomputer der Instanz verwendete Konto muss folgende Voraussetzungen erfüllen: Es muss über Schreibberechtigungen für den folgenden Ordner verfügen: %AllUsersProfile%\Application Data\Quest Software\RMAD. Dieser Ordner befindet sich auf dem Recovery Manager-Computer. Es muss ein Mitglied der lokalen Administratorengruppe auf dem Hostcomputer der AD LDS (ADAM)-Instanz sein. 27