Windows Server-Sicherung ersetzt NT Backup Windows Server 2008 mit neuem On-Board Backup-Tool

Autor / Redakteur: Manuela Reiss / Peter Schmitz

Microsoft hat für den Windows Server 2008 eine völlig neue Backup-Lösung entwickelt, die das „alte“ NT Backup der Vorgängerversionen ersetzen soll. Wegen fehlender Funktionen steht die Lösung aber in der Kritik. Security-Insider.de hilft Ihnen dabei, sich selbst ein Bild über die neuen Funktionen, aber auch die Einschränkungen der neuen Windows Server-Sicherung zu machen.

Windows Server-Sicherung kann einen kompletten Server, ohne Drittanbieter-Tools, schnell wiederherstellen. Aber das On-Board-Tool von Windows Server 2008 hat auch Nachteile.
Windows Server-Sicherung kann einen kompletten Server, ohne Drittanbieter-Tools, schnell wiederherstellen. Aber das On-Board-Tool von Windows Server 2008 hat auch Nachteile.
( Archiv: Vogel Business Media )

Der Trend bei den Sicherungstechnologien geht immer mehr zu partionsbasierten Sicherungen und Backup-to-Disk anstelle von traditionellen Sicherungen auf Band. Mit dem Server 2008 folgt Microsoft diesem Trend und hat eine gegenüber NT Backup vollständig neue Sicherungstechnologie implementiert. Die integrierte Sicherungsfunktion Windows Server-Sicherung ermöglicht das Sichern eines vollständigen Servers mit allen Partitionen bzw. ausgewählten Partitionen einschließlich Systemstatus zur Rücksicherung von Active Directory.

Die Sicherung erfolgt im Gegensatz zu NT Backup nicht mehr dateibasiert, sondern als Image der Partition. Hierzu nutzt Windows Server 2008 den Schattenkopiedienst (Volume Shadow Copy Service – VSS) und erzeugt mithilfe einer Block-Level-Backup-Technologie mittels Snapshot-Verfahren Sicherungen in Form von VHD-Dateien.

Bildergalerie
Bildergalerie mit 6 Bildern

Mit den gesicherten Images kann der Admin wahlweise einzelne Ordner oder Dateien zurücksichern oder komplette Serversysteme einschließlich Betriebssystem, Applikationen, Treiber, Datenbanken und Patches wiederherstellen. Eine Neuinstallation oder -konfiguration des Servers ist damit nicht erforderlich. Die Wiederherstellung kann auf demselben Server erfolgen oder – bei einem Ausfall von Hardware beispielsweise – auch auf einem anderen Server mit ähnlicher Hardware, auf dem kein Betriebssystem installiert ist. Einschränkend können mit der neuen Technologie konsequenterweise nur noch komplette Volumes gesichert werden.

Nachträglich als Serverfunktion installieren

Nach der Installation von Windows Server 2008 sucht man Windows Server-Sicherung zunächst vergeblich. Das Backup-Programm wird nämlich nicht mehr standardmäßig eingerichtet, sondern muss als Serverfunktion installiert werden. Verfügbar ist Windows Server-Sicherung unter allen Versionen von Windows Server 2008 (32-Bit und 64-Bit).

Entsprechend kann die Installation im Server-Manager erfolgen. Sollen auch die Befehlszeilen-Tools installiert werden, muss zwingend zusätzlich die Option „Windows PowerShell“ aktiviert werden. Hinter dieser Option verbirgt sich eine Sammlung von Windows PowerShell-Befehlen für die Windows Server-Sicherung. Mit deren Hilfe können Skripts für die Ausführung von Sicherungen erstellt werden. Weitere Informationen finden sich in der PowerShell-Corner von IP-Insider.de oder im englischen Microsoft TechNet.

Bei Einsatz eines Server-Core ist zu beachten, dass Sicherungen und Wiederherstellungen entsprechend der GUI-freien Auslegung des Core-Servers ausschließlich über die Befehlszeile verwaltet werden können. Zudem ist die Windows PowerShell bei Server-Core-Installationen nicht verfügbar, sodass die PowerShell cmdlets für die Windows Server-Sicherung nicht einsetzbar sind.

Seite 2: Sicherungen automatisch und manuell erstellen

Sicherungen automatisch und manuell erstellen

Sicherungen können zum einen erstellt werden, indem mit dem „Assistenten für den Sicherungszeitplan“ die regelmäßige Ausführung von Sicherungen aktiviert oder mit dem „Assistenten für die Einmalsicherung“ eine einmalige Sicherung ausgeführt wird. Beide Assistenten können im MMC-Snap-In Windows Server-Sicherung aufgerufen werden.

Zum anderen können Backups mit Hilfe des Wbadmin-Befehls an der Befehlszeile erstellt und verwaltet werden.

Um beispielsweise eine Sicherung der Volumes F:\ und G:\ zu erstellen und auf dem Remote-Server Server04 im freigegebenen Ordner „Backup“ zu speichern, ist folgender Befehl einzugeben:

wbadmin start backup -backupTarget:\\server04\backup-include:f:,g:

Ausführliche Hinweise zur Nutzung und Syntax des Wbadmin-Befehls liefert Microsoft in der Befehlszeilenreferenz.

Das Serverbetriebssystem wiederherstellen

Während die Wiederherstellung einzelner Dateien oder Ordner aus einer Sicherung sehr einfach im laufenden Serverbetrieb mit dem Wiederherstellungs-Assistenten im Snap-In Windows Server-Sicherung oder auch mit dem Befehl „Wbadmin start recovery“ erfolgen kann, ist die Wiederherstellung des Serverbetriebssystems nicht mit den genannten Werkzeugen möglich.

Zur Wiederherstellung des Betriebssystems bzw. eines vollständigen Servers wird neben dem zuvor mit Windows Server-Sicherung erstellten Backup auch der Windows Setup-Datenträger benötigt, da Zugriff auf die Systemwiederherstellungsoptionen in der Windows-Wiederherstellungsumgebung erforderlich ist.

Zur Durchführung einer Wiederherstellung ist im Assistenten für die Windows-Installation, der nach dem Booten mit der Windows Setup-DVD gestartet wird, zunächst die Option „Computer reparieren“ zu wählen. Setup durchsucht daraufhin die Festplattenlaufwerke nach einer vorhandenen Windows-Installation. Wenn das Betriebssystem auf separater Hardware wiederhergestellt wird, muss die Liste leer sein. Die Option „Windows Complete PC-Wiederherstellung“ startet anschließend einen weiteren Assistenten, der durch den Wiederherstellungsprozess führt und folgende Informationen anfordert:

  • Speicherort der zu verwendenden Sicherung
  • Ort der Wiederherstellung
  • Wiederherstellung nur des Betriebssystems oder Wiederherstellung des gesamten Servers
  • Datenträger neu formatieren und/oder neu partitionieren

Bei der Systemwiederherstellung ist zu beachten, dass eine aktivierte BitLocker-Laufwerkverschlüsselung nach einer Systemwiederherstellung nicht automatisch übernommen wird, sondern danach erneut aktiviert werden muss.

Alternativ kann die Windows-Wiederherstellungsumgebung auch lokal auf dem Server installiert werden, sodass das Booten mit der Windows Setup-DVD nicht erforderlich ist und bei einem Startfehler automatisch ein Failover auf die Windows-Wiederherstellungsumgebung ausgeführt werden kann. Allerdings ist die Installation nicht mehr so einfach mit dem Befehl „winnt32.exe/cmdcons“ wie bei Windows XP und Windows Server 2003 möglich, da Windows Server 2008 nicht mehr in einer DOS-Umgebung bootet, sondern statt dessen WinPE (Windows Preinstallation Environment, Windows PE) verwendet.

Hierbei handelt es sich um eine Minimalversion von Windows Server 2008, die umfangreiche Programme zur Installation (als Ersatz für MS-DOS als Prä-Installationsumgebung) und zur Wiederherstellung zur Verfügung stellt und damit die DOS-Bootdiskette bzw. die DOS-Boot-Umgebung ablöst. Hinweise zur Installation der Wiederherstellungsumgebung (Windows Recovery Environment – WinRE) liefert Microsoft in einem tiefergehenden TechNet-Artikel.

Seite 3: Active Directory sichern und wiederherstellen

Active Directory sichern und wiederherstellen

Eine Sicherung der Active-Directory-Systemstatusdaten ist nur mit dem Befehlszeilentool wbadmin möglich, nicht jedoch über die Benutzeroberfläche des Snap-Ins Windows Server-Sicherung.

Um beispielsweise eine Sicherung des Systemstatus zu erstellen und auf dem Volume H:\ zu speichern, ist folgender Befehl einzugeben:

wbadmin start systemstatebackup -backupTarget:H:

Hierbei werden neben den Systemstatusdaten auch die folgenden Volumes gesichert:

  • Systemvolume: Auf diesem Volume befinden sich die Startdateien (die Datei bootmgr und der BCD-Speicher für die Startkonfigurationsdaten).
  • Startvolume: Hier befinden sich das Windows-Betriebssystem und die Registrierung.
  • Volume, das die SYSVOL-Struktur beinhaltet.
  • Volume, das die Active-Directory-Datenbank (ntds.dit) enthält.
  • Volume, das die Active-Directory-Datenbankprotokolldateien enthält.

Alternativ ist es möglich, anstelle einer Systemstatussicherung mit wbadmin, die genannten Volumes zu sichern (critical-volumes backup). Mit dem Befehl „wbadmin start systemstaterecovery“ kann der Systemstatus eines Computers später wiederhergestellt werden. Allerdings ist damit nur eine nicht-autoriserende Wiederherstellung der Active-Directory-Datenbank möglich.

Die Wiederherstellung einer autorisierenden Wiederherstellung von Active Directory kann jedoch wie bei den früheren Versionen nur ausgeführt werden, indem der Domänencontroller im Verzeichnisdienst-Wiederherstellungsmodus (Directory Services Restore Mode, DSRM) gestartet wird. Hierzu muss während des Startvorgangs von Windows Server 2008 die Taste F8 gedrückt werden.

Wenn der wiederherzustellende Domänencontroller nicht gestartet werden kann, muss eine vollständige Serverwiederherstellung erfolgen. Die Vorgehensweise zum Ausführen einer vollständigen Serverwiederherstellung ist dann dieselbe wie bei jedem Server unter Windows Server 2008. In diesem Fall wird eine nicht-autorisierende Wiederherstellung von Active Directory ausgeführt.

„Install from Media“-Funktion für Domänencontroller

Seit Windows Server 2003 ist es möglich, einen zusätzlichen Domänencontroller mit Hilfe einer Systemstatussicherung von einem bestehenden Domänencontroller durch die Funktion „Install from Media“ (IFM) zu installieren. Auf diese Weise können auch Server an entfernten Standorten zu einem Domänencontroller heraufgestuft werden, wenn vor Ort nur eine geringe Bandbreite zur Verfügung steht. Bei dieser Vorgehensweise werden lediglich die Änderungen, die seit der Sicherung stattgefunden haben, über die Leitung repliziert.

Die IFM-Option ist weiterhin auch unter Windows Server 2008 verfügbar. Für IFM-Installationen sollte zum Erstellen des Installationsmediums die in Windows Server 2008 enthaltene verbesserte Version von ntdsutil.exe anstelle der Windows Server-Sicherung verwendet werden, die einen neuen Unterbefehl IFM enthält, durch den Installationsmedien für die Installation zusätzlicher Domänencontroller erstellt werden.

Beim Erstellen eines Sicherungsmediums kommt die Technologie Volume Shadow Copy Service (VSS) zum Einsatz. Im laufenden Betrieb wird ein Snapshot von der Active-Directory-Datenbank erstellt und anschließend offline defragmentiert. Mit dieser Methode können auch für RODC-Installationen (Read Only Domain Controller) sichere Installationsmedien erstellt werden, in denen der Schlüssel nicht in den Active-Directory-Daten enthalten ist.

Zur Installation des neuen Domänencontrollers ist auf der Willkommensseite des Active-Directory-Installationsassistenten die Option „Installation im erweiterten Modus verwenden“ zu benutzen.

Seite 4: Fehlende Funktionen sorgen für Kritik

Fehlende Funktionen sorgen für Kritik

Ziel der neuen Backup-Technologie ist primär Backup-to-Disk oder auch Backup-to-DVD. Unterstützt werden sowohl interne Festplatten als auch Wechselmedienlaufwerke sowie optische Medien (DVDs) und freigegebene Ordner im Netzwerk. Sicherungen auf Bänder sind hingegen nicht mehr möglich. Dies stellt eine wesentliche Einschränkung dar, die vielfach kritisiert wird.

Da die Unterstützung von Bandlaufwerken aber weiterhin implementiert ist, ist es immerhin Drittanbietern möglich, Lösungen zu entwickeln und als Add-on anzubieten, die Backups auf Bänder ermöglichen.

Als weitere Einschränkung bietet Windows Server 2008 keine Onboard-Lösung mehr, mit der eine Online-Sicherung der Exchange-Datenbanken möglich ist. Windows Server-Sicherung unterstützt einerseits keine Online-Backups und enthält andererseits auch keinen Exchange VSS Requestor, der ein Backup der Exchange-Datenbanken per Schattenkopie initiieren könnte. Es kann alte Sicherungsdateien lesen und von diesen auch Daten wiederherstellen, neue Sicherungen nach dem alten Verfahren können jedoch nicht erstellt werden.

Als Alternative kann beispielsweise der (kostenpflichtige) Microsoft System Data Protection Manager (DPM), die Datensicherungslösung für Dateiserver, eingesetzt werden, mit dem VSS-Snapshot-basierende Sicherungen auch von Exchange, Sharepoint und SQL-Servern möglich sind.

Fazit

Viele Administratoren werden sich über die neuen Sicherungsmöglichkeiten von Windows Server 2008 freuen. Mit Windows Server-Sicherung ist es nun im Notfall möglich, einen Server einschließlich Betriebssystem, Applikationen, Treiber, Datenbanken und Patches oder auch einen Domänencontroller aus einem imagebasierten-Backup schnell wiederherzustellen. Diese Möglichkeit boten bislang nur Tools von Drittanbietern. Damit ist es nun allerdings auch nicht mehr möglich ausgewählte Dateien oder Ordner zu sichern.

Wer bislang allerdings seine Sicherungen auf Magnetbänder speichert, wird entweder auf andere Sicherungsmedien umrüsten müssen, denn Bänder werden bei Windows Server 2008 von der integrierten Sicherung nun nicht mehr unterstützt, oder auf die Nutzung der integrierten Backup-Lösung verzichten müssen.

Administratoren, die bislang mit NT Backup ihre Exchange-2003-Datenbanken gesichert haben, werden eine weitere Funktion schmerzlich vermissen: Windows Server-Sicherung unterstützt nicht mehr die Online-Sicherung der Exchange-Datenbanken. Hierfür ist nun der Einsatz zusätzlicher (kostenpflichtiger) Tools erforderlich.

(ID:2012479)