Windows Server 2008 Active Directory Forest Recovery In het kort: Plan bedenken en klaarleggen Personeel in procedures trainen Beschikbaarheid materiaal toetsen Investeren in testomgeving
Oefening baart kunst D ee l 1 R ichard Schik s, Marcel Bak x
De afhankelijkheid van Active Directory is bij Microsoft-infrastructuur is groot. Maar wat als het Active Directory corrupt is? En wat als er geen controle meer is over de Active Directory Domain Controllers?
Er is weinig voor nodig om te bedenken dat dan alle authenticatie en alle instellingen voor de hele infrastructuur op het spel staan. Inclusief het gevaar dat u als beheerder buitengesloten raakt. In deze situaties is een enkele backup van Active Directory niet meer voldoende. Het is verstandig dan een plan klaar te hebben: een Active Directory Forest Recovery plan. Daarbij maakt het niet uit of de onderneming drie Domain Controllers telt of 500. Als u op de microsoft website zoekt op “Active Directory Forest Recovery” komt u al snel uit op de white paper “Best Practices: Active Directory Forest Recovery”. Dit document is uit 2002. Iets verder zoeken levert u het Microsoft document “Windows Server 2008: Planning for Active Directory Forest Recovery” op. Dit document is onlangs uitgebreid met de Active Directory Forest Recovery, gebaseerd op Windows Server 2008. Microsoft gaat uit van een eenvoudige infrastructuur waarin een Active Directory Forest Recovery wordt gedaan. Deze eenvoudige infrastructuur sluit in de meeste gevallen niet aan op de praktijk.
68
februari 2010
Het eerste deel van dit artikel beschrijft wat de relatie is tussen uw infrastructuur en het uiteindelijke Active Directory Forest Recovery plan. Daarnaast worden er adviezen gegeven om de Active Directory Forest Recovery vlot en eenvoudig uit te voeren. Daarna wordt samengevat hoe een Active Directory Forest Recovery in stappen eruit ziet. Het laatste deel beschrijft de daadwerkelijke Active Directory Forest Recovery zoals die er in algemene zin bij bedrijven uit zou kunnen zien. De twee laatste delen zijn gebaseerd op het Microsoft document en gaat uit van een Windows Server 2008 omgeving. Wij hebben daar een aantal zaken uit de praktijk aan toegevoegd. Waarom een Active Directory Forest Recovery plan? Bedrijven hebben vaak geen Active Directory Forest Recovery plan achter de hand. Er wordt heel vaak gedacht: “Het overkomt ons toch niet dat we zoiets nodig hebben”. Een Active Directory Forest Recovery plan uitdenken, testen en klaarleggen kost tijd en geld. Het alleen klaarleggen is niet goed genoeg. Het is verstandig het TechNet Magazine
plan in een testomgeving uit te voeren en het regelmatig aan te passen aan de veranderingen in uw infrastructuur. Er is een omgeving nodig waarbinnen testen kunnen worden uitgevoerd. Hiervoor moet hardware, software en dus geld worden gereserveerd. Investeringen in een Active Directory Forest Recovery plan kunnen worden gezien zien als een soort verzekeringspremie. Het blijft altijd een kostenpost. Maar bij een calamiteit, is iedereen blij dat er een kanten-klaar, recent getest plan op de plank ligt en de betrokken personen het kunnen uitvoeren. Daarbij komt dat bij elke Risk Assessment Program for Active Directory (ADRAP), uitgevoerd door Microsoft in opdracht van de klant, wordt gevraagd naar de aanwezigheid van een Active Directory Forest Recovery plan. De ADRAP is onderdeel van het Microsoft Premier Support contract (zie het deel “Informatie” voor meer informatie hierover).
Het is daarom verstandig om in een eerder stadium een soort van calamiteitenteam te formeren en alle belangrijke afspraken en vervolgstappen binnen een overleg te nemen. Hierdoor is de organisatie op de hoogte en zijn alle acties helder en duidelijk.
Wanneer doet u een Active Directory Forest Recovery? In het geval van een mogelijke Active Directory Forest Recovery moet dit in overleg met Microsoft Customer Support Services (CSS) worden gedaan. De volgende punten kunnen leiden tot deze beslissing: • Geen van de Domain Controllers kan met zijn replicatiepartner repliceren. • Er kunnen geen wijzigingen meer worden gemaakt op een of meer Domain Controllers. • Het lukt niet meer om nieuwe Domain Controllers toe te voegen. • Er is corruptie in Active Directory ontstaan die een goede werking verhindert. • De Domain Controllers zijn niet langer toegankelijk voor de beheerders. • Een uitbreiding op het Active Directory schema is verkeerd of onvolledig uitgevoerd.
Aandachtspunten voor de procedure In het geval van een Active Directory Forest Recovery plan moet deze procedure: • zo eenvoudig mogelijk zijn • zo weinig mogelijk afhankelijkheden van andere partijen hebben • zo snel mogelijk uitvoerbaar zijn
Laten we voorop stellen dat het uitvoeren van een Active Directory Forest Recovery een laatste redmiddel is en dat een beslissing hierover alleen na overleg met CSS kan worden genomen. Vaak kan CSS nog met alternatieve oplosrichtingen komen om een Active Directory Forest Recovery te voorkomen. Organisatorische aspecten Bij een Active Directory Forest Recovery komen ook organisatorische aspecten aan bod. Wanneer het de bedrijfsvoering hindert, zal een leidinggevende zich met de zaak gaan bemoeien. Want alles moet zo snel mogelijk weer functioneren en het liefst met zo weinig mogelijk inspanning. TechNet Magazine
Binnen een team is het goed een bepaalde rolverdeling hanteren. Eén persoon is bijvoorbeeld voor de communicatie, de ander voor de techniek en weer een ander zorgt dat faciliteiten zoals toegang tot andere locaties worden geregeld. Op afgesproken tijden is er een overleg om de voortgang te rapporteren en de vervolgstappen af te spreken. Ook wanneer er afwegingen moeten worden gemaakt, zoals welke domeinen/locaties binnen het forest als eerst moeten functioneren, is een overleg verstandig.
Eigenlijk zijn bovenstaande punten vrij logisch, maar kunnen haaks staan op beslissingen rond de opbouw van infrastructuur en de verantwoordelijkheden daarin, eerder genomen binnen het eigen bedrijf. Hieronder zijn een aantal voorbeelden genoemd die mogelijk invloed hebben op het ontwerp van Active Directory en de procedure zelf: Remote Management Board Stel een omgeving voor die alleen maar wordt beheerd met een Remote Management Board, bijvoorbeeld van Integrated Lights Out (iLO). Elke iLO kaart heeft een eigen account. Met dit account verkrijgt u toegang tot de kaart zelf en daarmee ook “fysieke” toegang tot de machine. De accounts moeten worden beheerd. Maar waar worden de wachtwoorden bewaard? Ergens op een server? Is deze server toevallig een member server van het Active Directory domein die u aan het terugzetten bent? Dat kan dus tot problemen leiden. Toegang tot de iLO kaart kan ook gebeuren met behulp van Active Directory accounts. Maar wanneer u bezig bent met een Active Directory Forest Recovery, kan deze toegangsmethode een probleem zijn, het Active Directory domein is immers niet meer aanwezig.
februari 2010
69
Fileservers In elk bedrijf staat alle technische documentatie op fileservers en andere documentatieservers, zoals SharePoint of Lotus Notes. Dit zal dus ook gelden voor het Active Directory Forest Recovery plan. Wanneer het plan wordt uitgevoerd, kan dit misschien maar beter afgedrukt worden of op een USB-stick worden gezet, en op een vaste locatie liggen, misschien wel in een kluis, samen met de benodigde software en wachtwoorden. SAN Tegenwoordig wordt in veel bedrijven gebruik gemaakt van een Storage Area Network (SAN). Het is ook logisch dat de disks van de Domain Controller als Logical Number Units (LUNs) op dit SAN staan. Mogelijk wordt het beheer van het SAN gedaan met accounts die zich in Active Directory bevinden. Dit kan leiden tot in ieder geval twee problemen wanneer het Active Directory domein niet meer aanwezig is. Het beheer van het SAN functioneert dan niet meer. Een maatregel hiervoor is om naast het beheer met Active Directory accounts, ook lokaal beheer voor het SAN in te regelen (met andere woorden toegang tot de SAN beheer servers met lokale accounts regelen). Als er tijdens het uitvoeren van de Active Directory Forest Recovery iets met de LUNs aan de hand is, moet SAN beheer beschikbaar zijn. Dit is om een nieuwe LUN toe te kennen aan een server, een LUN te ontkoppelen. Gaat dit met behulp van de beheerapplicatie die is geïnstalleerd op een server in het domein, dan is de applicatie niet toegankelijk en is een alternatieve wijze van toegang nodig voor dit soort handelingen in het stappenplan. In beide gevallen creëert dit een extra afhankelijkheid van de Storage beheerpartij. Toevoegen van Domain Controllers Bij grotere organisaties is het vrij normaal dat er een aparte afdeling is, die de inrol van servers verzorgt en deze ook beheert op OS-niveau. Tijdens een Active Directory Forest Recovery worden alleen de Domain Controllers vertrouwd die van de backup worden teruggezet. De overige Domain Controllers moeten worden verwijderd en opnieuw worden ingerold. Rond Domain controllers moeten dus veel handelingen worden gedaan. Het daarbij betrekken van een andere afdeling of organisatie om dit in gang te zetten, is een extra schakel in de totale keten van de Active Directory Forest Recovery. Het is dan beter om de nieuw in te rollen Domain Controllers voor eigen rekening te
70
februari 2010
nemen en wanneer het forest weer operationeel is alsnog de “officiële” inrol te laten doen door de verantwoordelijke afdeling. Denk hierbij aan het bijvoorbeeld het achterwege laten van de installatie van beheer software om het proces van de Active Directory Forest Recovery te versnellen. Virtualisatie van Domain Controllers De Domain Controllers in kwestie kunnen gevirtualiseerd zijn. Virtualisatie software, zoals VMware ESX en Hyper-V, maken gebruik van management software. Met behulp van deze software kunnen de virtuele servers worden beheerd. De management software zelf wordt geïnstalleerd op member servers in een Active Directory domein. Wanneer er een Active Directory Forest Recovery wordt uitgevoerd, is het domein waarin zich de server bevindt niet beschikbaar. Mogelijk wordt de toegang tot dit management software dan beperkt. Hier dient in het recoveryplan rekening mee te worden gehouden. Hardware De tendens in nieuwe hardware is dat bladeservers en gewone servers standaard niet meer uitgerust worden met een DVD speler. Normaliter wordt de enclosure, waarin zich de blades bevinden, uitgerust met een Remote Management Board (zie eerder Remote Management Board). De Remote Management software geeft de mogelijkheid een ISO als file te mounten en deze als DVD aan te bieden aan een server. Wanneer de Remote Management Board niet gebruikt kan worden, kan het herinstalleren van de server alleen nog gebeuren met een fysieke DVD speler. Locatie Eén van de punten van een Active Directory Forest Recovery is dat deze snel uitvoerbaar moet kunnen zijn. Immers, het niet beschikbaar zijn van uw Active Directory kan enorme gevolgen hebben voor de continuïteit van het bedrijf. Met de manier waarop een backup van Active Directory wordt gemaakt en wordt teruggezet, kan veel tijd worden bespaard. Sinds Windows Server 2008 is Ntbackup vervangen door Windows Server Backup en wordt gebruik gemaakt van snapshot technologie. Het initiële snapshot dat wordt gemaakt bevat een exacte kopie van alle data. De achtereenvolgende snapshots bevatten alleen de verschillen. Dit bespaart tijd en opslagruimte. Een backup van Active Directory kan op de volgende manier worden bewaard: TechNet Magazine
• als snapshot op het netwerk • als snapshot op een lokale disk • als snapshot op een schrijfbare DVD of USB medium Wanneer de backup als snapshot op het netwerk wordt geplaatst, houdt dan rekening met het feit dat de locatie hiervan een server in het domein kan zijn en ontoegankelijk kan worden. Daarnaast is deze manier, zoals wordt beschreven in het Active Directory Forest Recovery plan zelf, geen goed idee. Eén van de eerste stappen in de Active Directory Forest Recovery is dat de Domain Controllers die worden teruggezet van de backup, fysiek worden losgekoppeld uit uw infrastructuur. Dit omdat de mogelijke corruptie weer terug kan worden gerepliceerd wanneer niet de juiste volgorde in de stappen wordt gevolgd. Een nadeel van een backup op lokale disks is dat als deze disks uitvallen, de backup ook weg is. Als tegenmaatregel kan het volgende dienen: Zorg dat het volume waarop de back-up op wordt gemaakt redundant is, gemaakt met bijvoorbeeld RAID-1 of RAID-5; Zet de backup ook op een andere Domain Controller. Bij voorkeur op een andere geografische locatie (nevenvestiging of ander datacenter). Let erop, dat er genoeg ruimte beschikbaar is op de lokale disks voor de back-ups. Tijdsynchronisatie Het is een Microsoft “best practice” om de Domain Controller in het forest root domein met de rol PDC-emulator te laten verwijzen naar een externe accurate tijdbron. De overige Domain Controllers volgen de standaard weg binnen het forest om de tijd op te halen. Als bij een Active Directory Forest Recovery deze Domain Controller juist niet wordt teruggezet van een backup kunnen er later problemen optreden door tijdsverschillen. Om dit te voorkomen, kunt u alle Domain Controllers in het forest root domein naar diezelfde externe tijdbron te laten verwijzen. Windows Server core 2008 Sinds Windows Server 2008 is er ook een afgeslankte versie van Windows Server 2008 beschikbaar: “Windows Server Core 2008”. Deze versie heeft slechts de meest noodzakelijke componenten. Dit betekent dat het beheer nagenoeg via de command-line of remote moet worden gedaan. Als onder tijdsdruk de Forest Recovery wordt uitgevoerd, kan dit grote impact hebben op het succesvol afronden hiervan. TechNet Magazine
Het gebruik van Windows Server Core 2008 kan dus het Active Directory Forest Recovery plan onnodig lastig maken. DDNS De ideale situatie voor een Active Directory Forest Recovery is dat een Dynamic DNS (DDNS) reeds beschikbaar is. Als bij het terugzetten van de eerste Domain Controller in het forest root DDNS al is geïnstalleerd, scheelt dit tijd. In veel bedrijven is het forest root domein gepositioneerd als een “empty root” domein. Eventuele uitbreidingen in het forest zijn hierdoor makkelijker aan te brengen. Het is gebruikelijk om in een onderliggend domein van het “empty root” domein de DDNS infrastructuur onder te brengen. Ook bij het niet gebruiken van een Microsoft DDNS implementatie, zoals InfoBlox of QIP, wordt het aangeraden om tijdens de Active Directory Forest Recovery toch DDNS in het forest root te onder te brengen. Na de Active Directory Forest Recovery kan de originele configuratie worden hersteld. Flexible Single Master Operations (FSMO) rollen Een Active Directory Forest Recovery wordt eenvoudiger als de volgende FSMO rollen zich op één Domain Controller in het forest root bevinden en deze Domain Controller ook is aangewezen als back-up voor de Active Directory Forest Recovery: • Schema master • Domain Naming master • RID master (Relative ID) • PDC-emulator (Primary Domain Controller Emulator) • Infrastructure master (zie http://technet.microsoft.com/nl-nl/ library/cc758669(WS.10).aspx) Voor de eerste rol zijn Enterprise Administrator rechten nodig om deze rol over te nemen. Dit account zit meestal veilig achter slot en grendel. Wanneer de backup van een Domain Controller wordt teruggezet met deze rollen is het gebruik van een Enterprise account niet noodzakelijk. De RID master rol is nodig om RID pools uit te delen aan alle Domain Controllers. Wanneer de PDC-emulator rol zich ook nog op de Domain Controller bevindt (zie eerder Tijdsynchronisatie), bevinden zich op de Infrastructure master rol na, alle FSMO rollen op één Domain Controller. Er is dan ook geen noodzaak meer
februari 2010
71
om de FSMO rollen nog te verspreiden over verschillende Domain Controllers. Adviezen • Kennis en ervaring op de volgende vlakken helpt bij het succesvol uitvoeren van een Active Directory Forest Recovery: Active Directory • Netwerk • TCP/IP • DNS • Back-up technieken Het hebben en bijhouden van kennis is essentieel voor het succesvol uitvoeren van een Active Directory Forest Recovery, en de recovery moet regelmatig worden uitgevoerd. Waken over verloop in personeel rond de recovery is net zo belangrijk als het plan zelf. Het is in de IT-wereld regelmatig zo dat medewerkers op contractbasis worden binnengehaald en voor een tijdelijke periode werkzaam zijn. Er dient dus binnen het bedrijf een goede afweging te worden gemaakt welke personen verantwoordelijk zijn voor het uitvoeren van een Active Directory Forest Recovery. Ontwerp Zorg ervoor dat er altijd up-to-date ontwerp van het Active Directory Forest beschikbaar is. Dit ontwerp bevat minimaal het volgende: • De namen van alle Domain Controllers • IP gegevens van alle Domain Controllers • Welke Domain Controller(s) de Flexible Single Master Operations (FSMO) rollen hebben • Welke Domain Controller(s) als DDNS fungeren • Welke Domain Controller(s) Global Catalog zijn Een voorbeeld voor een tabel hiervan is: Domein
Naam
IP adres
FSMO
DDNS
Back-up
beschikbaar
Domain1.local DC1
Ja
192.168.10.101 PDC,RID,INFRA
Nee
Daarnaast moet het volgende goed geregeld zijn: • Toegang tot beveiligde gebouwen en ruimtes • Alle noodzakelijke wachtwoorden • Namen en telefoonnummers van de personen die beschikbaar horen te zijn • Het Active Directory Forest Recovery plan • De benodigde software • Eventuele back-up tapes • De eventuele benodigde hardware • DSRM wachtwoorden
72
februari 2010
Tijdens de Active Directory Forest Recovery wordt gebruik gemaakt van een Directory Services Restore Mode (DSRM) wachtwoord. Dit wachtwoord kan per Domain Controller verschillend zijn. Het is van belang ze allemaal goed te registeren. Daarnaast wilt u dat dit wachtwoord snel beschikbaar is. Ook hier geldt dat de opslag van dit wachtwoord op een fileserver niet de beste plek is als het Active Directory domein niet meer beschikbaar is. Domain Controllers De ideale kandidaten (Domain Controllers) voor de backup zijn de Domain Controllers met de volgende eigenschappen: • D e Domain Controller is een DDNS server (zie eerder DDNS) • De Domain Controller is geen Global Catalog (GC). Wanneer er bij het terugzetten van Domain Controllers van verschillende domeinen backups van verschillende tijdstippen worden gebruikt, kunnen er losse eindjes ontstaan, de zogenaamde “lingering objects”. De GC van de oudste teruggezette Domain Controller kan lingering objects bevatten van een ander domein die niet meer voorkomen in de Active Directory van het jongere teruggezette Domain Controller. De GC moet dus opnieuw worden opgebouwd. De Domain Controller bevat de FSMO rollen (zie Flexible Single Master Operations (FSMO) rollen). Ouderdom Uiteraard is het verstandig regelmatig backups te maken. In grote bedrijven kunnen er veel Active Directory wijzigingen worden doorgevoerd. Wanneer een backup van twee dagen wordt teruggezet kunnen er dus wijzigingen verloren gaan. Het is niet ongebruikelijk om elke vier uur een snapshot te maken. Bij de keuze van de backup die wordt teruggezet, dient het volgende in overweging te worden genomen: • Hoe ouder de back-up, hoe meer wijzigingen verloren gaan. • De back-up moet niet de mogelijke “corruptie” weer introduceren. • Er mag geen back-up worden teruggezet die de “tombstone” leeftijd overschrijdt. Als een object in Active Directory wordt verwijderd, wordt deze niet verwijderd maar als “tombstone”gemarkeerd. Na het verlopen TechNet Magazine
van de gedefinieerde maximale “tombstone” leeftijd, wordt het “verwijderde” object volledig uit de Active Directory database verwijderd. Als er een backup van de Active Directory database wordt teruggezet die ouder is dan de “tombstone” leeftijd, en deze database bevat nog Active Directory objecten die gewist zijn op andere Domain Controllers, terwijl deze wijziging niet is verwerkt, zullen de objecten niet meer verwijderd worden. Het resultaat is dus een inconsistente Active Directory database op die Domain Controller. In Windows Server 2003 en Windows Server 2003 R2 is de standaard “tombstone” leeftijd 60 dagen of 180 dagen in het geval van een nieuw geïnstalleerd domein in Windows Server 2003 SP1 of Windows Server 2008. Testen In veel bedrijven is het maken van backups niet het probleem. Deze worden meestal in overvloed gemaakt. Het is het testen van de backups waar het spaak loopt. De integriteit van de backups wordt meestal als vanzelfsprekendheid aangenomen. Oefenen Net als bijvoorbeeld een ontruimingsplan van het gebouw zal ook het Active Directory Forest Recovery plan regelmatig getest moeten worden. Er kan dan meteen gecontroleerd worden of het plan nog up-to-date is. Daarnaast wordt eventuele “weggezakte” kennis weer actueel gemaakt. Een Active Directory Forest Recovery plan testen moet niet in de productie Active Directory worden uitgevoerd, een testomgeving leent zich hier perfect voor. Met het gebruik maken van virtualisatie technologie kan relatief goedkoop een omgeving worden opgebouwd om hierin te testen. Bij het oefenen kunnen de gemaakte backups worden gebruikt zodat ook het testen van de backups wordt uitgevoerd. Overzichtelijkheid Een Active Directory Forest Recovery plan moet een overzichtelijk stappenplan zijn. Verplaats lang uitgeschreven procedures naar een apart deel. Dit voorkomt dat stappen worden overgeslagen en men de weg kwijtraakt in de procedure. Door elke stap af te vinken wordt het laatste voorkomen. Automatiseren Het automatiseren van een Active Directory Forest Recovery is mogelijk. Er kunnen echter in het stappenplan een paar beslismomenten zitten, die de procedure TechNet Magazine
minder geschikt maken voor automatische uitvoering. Daarnaast bevat het Active Directory Forest Recovery plan vaak logistieke handelingen die gewoonweg door mensenhanden moeten worden uitgevoerd. Hierom is een handmatige uitvoering te prefereren. Ervaring leert dat wanneer er meer tijd gestoken wordt in zaken als oefening en uitvoering van beschreven procedures, dit een beter resultaat oplevert dan het volledig geautomatiseerd uitwerken van een Active Directory Forest Recovery scenario. Bedenk hierbij dat veel verschillende foutsituaties in het stappenplan kunnen worden afgevangen en op de juiste manier worden verwerkt. Oefening baart kunst is hier het toepasselijke gezegde Conclusie De besproken onderwerpen komen uit de praktijk. Het zijn zaken die een grote invloed hebben op een snelle en succesvolle uitvoer van een Active Directory Forest Recovery plan. Het zal duidelijk zijn dat de basis bestaat uit een uitgebreide inventarisatie vooraf.. Elk detail, hoe klein ook, moet op papier komen. Sommige punten zullen regelmatig heroverwogen moeten worden. Het belangrijkste dat we u willen meegeven. Kunt u een recovery binnen uw bedrijf aan? ■
R ichard Schiks is in het dagelijks leven druk met discussiëren. In zijn vrije tijd kijkt hij veel films, verder houdt hij heel veel van zijn vrouw Bettina en is bereikbaar op
[email protected]. Marcel Bakx is in het dagelijks leven ICT Specialist bij Rabobank Nederland. In zijn vrije tijd laadt hij zich op met de ATB in de bossen, en gaat hij visjes kijken onder water. Hij wordt blij als dingen pragmatisch en doelgericht geregeld kunnen worden. Marcel is bereikbaar op w.p.a.m.bakx@ rn.rabobank.nl .
februari 2010
73