Active-Directory-Recovery: Operation am offenen Firmenherzen

Active-Directory ist für den Geschäftsbetrieb von entscheidender Bedeutung. Für Unternehmen, die Microsoft 365, Teams oder andere Microsoft-Dienste in einem Mix aus On-Premises und in der Azure-Cloud nutzen, ergibt sich die Notwendigkeit, das Backup für Active-Directory mit größter Sorgfalt sicherzustellen und die Systemdaten-Wiederherstellung zu gewährleisten. Doch wie geht das?

Ohne Active-Directory läuft nichts. Jedoch erfahren viele Anwender, die in die Not kommen, ein Recovery ihrer Microsoft-Dienste Onsite und in der Cloud durchführen zu müssen, dass es ein komplexer Vorgang ist, der je nach Umgebungsgröße Wochen in Anspruch nehmen kann, wenn er manuell durchgeführt werden muss. Was dabei oft verschwiegen wird, ist, dass viele Backup- und Recovery-Lösungen beim Recovery der Domänendienste an ihre Grenzen stoßen. Auch viele Online-Dienste scheitern daran.

Komplexität des AD-Recovery

Das Wiederherstellen einer gesamten Active-Directory-Gesamtstruktur umfasst entweder die Wiederherstellung aus einer Sicherung oder die Neuinstallation der Active Directory Domain Services (AD DS) auf jedem Domänencontroller (DC) in der Gesamtstruktur.

Neben seinem Recovery Manager for Active Directory (RMAD) möchte der Software- und SaaS-Anbieter Quest mit seiner Quest On Demand Suite die Probleme von AD-Verlusten verhindern bzw. die Wiederherstellung so weit automatisieren, dass das Recovery sicher und bedeutend schneller gelingt. In einer Wiederherstellungssituation ist die Zeit das Wesentliche, um vor Reputationsschäden, Datenverlust, Kundenunzufriedenheit und Ausfallzeiten der Produktion und Produktivität zu schützen

Recovery Manager für AD Standard Edition

Aufbau und Merkmale des Quest Recovery Manager for AD Suite (Quelle: Quest)

Recovery Manager for AD ist das »Arbeitspferd« der Recovery Suite. Mit RMAD können Backups automatisiert und ein Backup schnell mit aktuellen Werten in AD verglichen werden, um Unterschiede festzustellen, und die gewünschten Daten sofort wiederherzustellen. Mit den granularen Online-Wiederherstellungsfunktionen lassen sich ganze Abschnitte des Verzeichnisses wiederherstellen, ohne AD offline zu nehmen, was die Kosten senkt und die Produktivität erhöht.

Der RMAD-Dienst erstellt regelmäßige Backups der AD und legt sie im Azure-Dateispeicher oder an beliebigen Speicherorten ab. Dabei können Domain-Services (DS) zu Computersammlungen hinzugefügt und von verschiedenen Standorten zusammengefast werden, um bei der Sicherung über Weitverkehrsnetze Bandbreite zu sparen. Die Wiederherstellung der DS kann dabei granular auf Attribut- oder Gruppen-Ebene inklusive von Kennwörtern durchgeführt werden. Letzteres ist bei der herkömmlichen Wiederherstellung aus dem AD-Papierkorb nicht möglich und spart Zeit.

Vergleichsberichte des Backups zu Live-AD-Umgebung erleichtern die Identifizierung von Änderungen in AD-Objekten. Im Falle fehlerhafter Änderungen kann so das Ausmaß der Schädigungen schnell ausgemacht und behoben werden. RMAD sichert darüber hinaus GPOs (Group Policy Objects), also Gruppenrichtlinien, und vergleicht sie ggf. mit der aktiven AD, um auch hier schnellstmöglich Fehlerquellen zu identifizieren.

Forest und Recovery Manager-Edition für Gesamtstrukturen

Recovery Manager for AD Forest Edition (RMADFE) baut auf den Funktionen von Standard-Edition auf, bietet aber darüber hinaus eine vollständige automatisierte Wiederherstellung der Gesamtstruktur gemäß den Best Practices von Microsoft für die Wiederherstellung von Gesamtstrukturen. Im Falle einer AD-Beschädigung können Anwender mit RMADFE ihre Active Directory in wenigen Stunden statt in Tagen oder Wochen wiederherstellen.

Mit RMADFE werden mehrere Wiederherstellungsprojekte parallel durchgeführt, wobei einzelne dieser Wiederherstellungsschritte priorisiert und ein stufenweises Recovery implementiert werden. So wird sichergestellt, dass geschäftskritische Workloads für den Betrieb des Unternehmens zuerst wieder aktiv sind, andere später oder evtl. gar nicht mehr.

In dieser Version können Konfigurations- und Managementdaten zwischen mehreren Wiederherstellungskonsolen geteilt werden, um die Sicherheit beim Recovery zu erhöhen, falls eine Konsole ausfällt. Ebenso kann permanent der Zustand von Domain Controllern nach DC-Erreichbarkeit, Replikation und Benutzerauthentifizierung überprüft werden.

RMADFE ermöglicht es, Einstellungen, Passwörter, Speicherorte von Sicherungskopien und Wiederherstellungsmethoden für jeden DC als Teil des Projekts zu verifizieren, wodurch sichergestellt wird, dass alle Einstellungen des Projekts gültig sind, falls eine Wiederherstellung erforderlich ist. Sobald die Einstellungen des Projekts überprüft wurden, können sie als Disaster Recovery-Plan dokumentiert werden.

Um einen solchen DR-Plan zu validieren, kann ein virtuelles Active Directory-Testlabor (ADVL) mit Produktionsdaten erstellt werden, um Katastrophenszenarien zu testen und vor der Durchführung von Änderungen in der Produktion sicher zu testen und mit einem Zeitstempel zu dokumentieren.

Malware im Fokus der Web-Edition

Der wachsenden Bedeutung von Cyber-Attacken durch Ransomware und Konsorten zollen die erweiterten Leistungsmerkmale der Disaster Recovery Edition Rechnung. Aufbauend auf den Features der oben genannten Varianten bietet diese Version darüber hinaus eine vollständige automatische Wiederherstellung des Betriebssystems im Falle eines Malware-Angriffs, der Domänencontroller in einem verschlüsselten Zustand online sichert.

Elementar dabei ist die Unterstützung von Bare-Metal-Recovery-Backups (BMR). Mit dieser Wiederherstellungsmethode kann ein automatisierter Prozess das Server-Betriebssystem auf einem ausgefallenen DC oder einer alternativen Hardware oder virtuellen Maschine wiederhergestellt werden.

DRE automatisiert das Hinzufügen der AD Domain Services (ADDS) und zusätzlicher erforderlicher Funktionen, um den neuen Rechner in einen Ersatz-DC zu verwandeln. Diese

Option erfordert im Vergleich zu BMR deutlich weniger Speicherplatz für Backups und kann in einigen Fällen eine wesentlich schnellere Wiederherstellung des Active Directory ermöglichen. Die Lösung sorgt auch dafür, dass jedes Wiederherstellungsprojekt eine bestimmte Anzahl sauberer Betriebssysteme in Azure bereitgestellt wird.

On-Demand: Wiederherstellung auf Anfrage

Der On-Demand-Service von Quest (ODR) bietet Recovery auf Anfrage (Quelle: Quest).

Der Quest On-Demand-Service (ODR) integriert sich mit den verschiedenen onsite RMAD-Editionen. Wer Microsoft 365 abonniert hat, hat automatisch Azure AD. Von der Aufrechterhaltung des Zugriffs für Benutzer und Gruppen auf Anwendungen bis hin zu den 365-Lizenzkomponenten.

Nun stellt zwar Microsoft den Azure AD-Papierkorb zur Verfügung, dieser ist jedoch nur sehr begrenzt in der Lage, geänderte und gelöschte Objekte wiederherzustellen. Wenn ein Objekt vor Ort gelöscht wird, wird diese Löschung mit Azure AD synchronisiert. Wird es aber vor Ort wiederhergestellt, wird es nicht mit Azure AD synchronisiert. Azure AD würde es als neues Objekt betrachten, ihm dann andere Cloud-only-Attribute zuweisen, als neues Azure AD-Benutzerobjekt ansehen und somit eine weitere Lizenz verbrauchen.

Die On-Demand-Wiederherstellung kann dieses Problem umgehen, indem sie das gelöschte Objekt mit denselben Cloud-only-Attributwerten neu erstellt und bei Bedarf eine On-Premises-Wiederherstellung des AD-Objekts und der Attribute einleitet.

AD-Recovery: Komplex und doch so wichtig

Vollständige und schnelle AD-Sicherung und -Wiederherstellung auf Objekt- und Attributebene, auf

Verzeichnisebene und einer ganzen Domäne können für Unternehmen eine Lebensversicherung sein. Best Practices von Microsoft müssen befolgt werden, aber allein mit Microsoft-Services ist dies nicht zu gewährleisten. Auch viele renommierte Restore-Werkzeuge gehen beim AD-Recovery in die Knie.

Quest bietet eine bewährte Technologie, um Active Directory zuverlässig, schnell und weitestgehend automatisiert wiederherzustellen. Lange Ausfallzeiten und Produktivitätsverluste aufgrund von AD-Katastrophen, Bedien- und System-Fehlern und Malware-Attacken werden erheblich reduziert.

Stefan von Dreusche, Quest