Verwalten Sie Windows-Rechner in Ihrer UCS-Domäne? Setzen Sie auch Samba ein, um einen Active-Directory-kompatiblen Domänencontroller mit einem Anmeldedienst für die Windows-Clients bereitzustellen? Dann haben Sie sich vielleicht schon gefragt, welche Backup-und-Restore-Strategie für Ihre Umgebung passend ist. Welche Daten gilt es zu sichern? Wie gehen Sie vor, um im Ernstfall einen einzelnen Domänencontroller (DC) wiederherzustellen? Und was ist zu tun, wenn die ganze Domäne von einem Ausfall betroffen ist?
In diesem Artikel möchte ich Ihnen verschiedene Ansätze zum Backup und Restore von Samba unter UCS vorstellen. Zugegeben, an einigen Stellen wird es etwas technisch – ich möchte Sie daher ausdrücklich ermuntern, eventuelle Fragen mit uns und anderen UCS-Anwenderinnen und -Anwendern im Forum zu diskutieren.
Inhaltsverzeichnis
Was kann schiefgehen?
Viele Dinge können den Admin um seinen Schlaf bringen – gerade in einer großen Umgebung mit vielen Rechnern an verteilten Standorten gibt es auch viele Möglichkeiten für Störfälle. Es muss aber nicht unbedingt ein Angriff von außen sein, der die Domäne mit Ransomware oder einem anderen Trojaner lahmlegt. Auch ein Hardware-Ausfall, eine falsche Konfiguration oder ein anderer Bug kann dafür sorgen, dass einzelne Systeme bzw. die ganze Domäne ausfallen.
Das Ganze ist unter anderem so komplex, weil die gesamte Active-Directory-Domänen-Datenbank auf mehrere Domänencontroller verteilt ist. Streng genommen handelt es sich dabei natürlich um mehrere Datenbanken: eine übergeordnete, die die Benutzeraccounts verwaltet, und auf jedem DC gibt es außerdem eine lokale Kopie davon. Im Hintergrund synchronisiert Samba die Daten regelmäßig, sodass jeder Domänencontroller stets auf dem aktuellen Stand ist (Stichwort Replikation).
Im „einfachsten“ Fall funktioniert ein einzelner Domänencontroller nicht richtig, während der Rest der Domäne aber tadellos läuft. Das kann passieren, wenn beispielsweise die lokale DC-Datenbank beschädigt ist. Jeder DC speichert darüber hinaus in seiner Datenbank lokale Informationen, die nicht repliziert werden – auch das kann zu Problemen führen. Funktioniert der Rest der Domäne, können Sie einzelne DCs wiederherstellen und dann erneut in die Domäne einbinden (rejoin). Danach ersetzt der DC seine beschädigte lokale Datenbank-Kopie durch eine neue Kopie, die (hoffentlich) fehlerfrei ist.
Was sollten Sie sichern?
Grundsätzlich gibt es verschiedene Ansätze. Neben dem klassischen dateibasierten Backup setzen einige Admins zusätzlich auf Snapshots bei der Daten- und Systemsicherung. Snapshots benötigen in der Regel weniger Zeit, erzeugen weniger Last auf den Systemen und verringern den Datenverkehr. Während Snapshot-basierte Backups durchaus ihre Berechtigungen in einer Backup-Strategie haben, können sie dateibasierte Backups aber nicht ersetzen.
Letztere sollten als Zusatzversicherung immer Teil des eigenen Backup-Plans sein, denn beim Rücksichern von Snapshots gibt es einiges zu beachten. So müssen beispielsweise alle Domänencontroller zur selben Zeit zurückgesetzt werden – gelingt das nicht, müssen diese erneut der Domäne beitreten (rejoin). Außerdem ist ein Wiederherstellen von einzelnen Dateien aus einem Snapshot umständlich, weswegen es sinnvoll ist, bestimmte Dateien einzeln zu sichern.
Welche Daten und Einstellungen benötigen Sie im Ernstfall, um ein System oder eine ganze Domäne wiederherzustellen?
- LDAP-Datenbanken
- TDB-Datenbanken
- Konfigurationsdatei smb.conf
- Gruppenrichtlinien
Im Folgenden möchte ich Ihnen zeigen, welche Tools und Mechanismen Univention Corporate Server (UCS) bereits mitbringt, um wichtige Dateien Ihrer Domäne zu sichern.
Tägliche LDAP- und Samba-Sicherungen
Univention Corporate Server bringt bereits ein paar sinnvolle Voreinstellungen mit, was das Backup systemrelevanter Daten betrifft. Ein Cronjob sichert jeden Tag den Inhalt des LDAP-Verzeichnisses auf dem Primary Directory Node und auf allen Backup Directory Nodes Ihrer Domäne. In der Voreinstellung läuft der Cronjob jede Nacht um Mitternacht und ruft das Skript /usr/sbin/univention-ldap-backup auf:
~# cat /etc/cron.d/univention-ldap-server
[…]
0 0 * * * root /usr/sbin/univention-ldap-backup
Als Ergebnis landen jede Nacht zwei Sicherungsdateien im Verzeichnis /var/univention-backup: eine mit gzip komprimierte LDIF-Datei (LDAP Data Interchange Format) und ein mit gzip komprimiertes Logfile. Beide Dateien sind nur für den Benutzer root lesbar.