Mobile-Menu

Gute Vorbereitung und Automatisierungsmechanismen So gelingt die Active-Directory-Forest-Recovery

Ein Gastbeitrag von Christian Kubik* 5 min Lesedauer

Anbieter zum Thema

Sicherheit durch Authentifizierung – das bietet Active Directory (AD) seit rund 25 Jahren für geschäftskritische Anwendungen und ist somit als Fundament für Unternehmensnetzwerke nicht mehr wegzudenken. Diese bedeutende Rolle macht den Verzeichnisdienst aber auch hochrelevant für IT-Sabotage und Ransomware-Angriffe.

Im Gastbeitrag erläutert Christian Kubik von Commvault, wie Unternehmen sicherstellen, dass im Ernstfall eine erfolgreiche Wiederherstellung des Active Directory Forest gelingt.(Bild:  Gemini / KI-generiert)
Im Gastbeitrag erläutert Christian Kubik von Commvault, wie Unternehmen sicherstellen, dass im Ernstfall eine erfolgreiche Wiederherstellung des Active Directory Forest gelingt.
(Bild: Gemini / KI-generiert)

Den Active Directory Forest wiederherzustellen, ist alles andere als einfach. Gelingen kann dies am besten, wenn die Verantwortlichen für Datensicherung und Datensicherheit vorab die Wiederherstellung planen, testen und eine Automatisierung der komplexen, aber auch der zahlreichen repetitiven Prozesse möglich ist. Zusätzlich ist es entscheidend, eine detaillierte Dokumentation und einen regelmäßig getesteten Notfallplan zum Wiederherstellen der gesamten Active-Directory-Umgebung griffbereit zu haben.

Im Ernstfall eines Cyberangriffs oder eines Ausfalls ist eine unverzügliche, lauffähige und einwandfreie Instandsetzung der Verzeichnisstruktur inklusive aller vorhandenen Verknüpfungen und Abhängigkeiten essenziell. Jedoch ist eine solche Recovery ein umfangreiches, komplexes und daher äußerst fehlerträchtiges Verfahren. Deshalb ist eine Cyber-Resilienz-Plattform sinnvoll, die einzelne Maßnahmen nach Möglichkeit und Wunsch automatisiert ausführt und nicht nur das Verfahren beschleunigt, sondern auch die Wahrscheinlichkeit für Fehler verringert.

Denn die Aufgabe ist durchaus komplex. Das Active Directory wächst mit der IT-Historie. Die Gesamtstruktur des Active Directory Forest untergliedert sich oftmals in mehrere miteinander verbundene Domänen. Diese werden jeweils von verschiedenen Domänen-Controllern unterstützt. Innerhalb der einzelnen Domäne gibt es eine ausdifferenzierte Hierarchie von Benutzern, Computern, Organisationseinheiten, Gruppen, Gruppenrichtlinien und den jeweiligen Rechten. Somit ist es durchaus aufwändig, einen Active Directory Forest wiederherzustellen. Dabei können menschliche Fehler sehr schnell passieren.

Recovery-Plan für die Active-Directory-Gesamtstruktur

Eine dieser Aufgabe entsprechende Wiederherstellung des Active Directory baut auf folgenden drei Schritten auf:

1. Vorausplanung

Um einen Disaster-Recovery- (DR) oder Cyber-Recovery-Plan (CR) zu definieren und zu dokumentieren, sollten sich die Verantwortlichen zunächst folgende Fragen stellen:

  • Was gehört zur AD-Architektur einer Organisation? In welche Domänen untergliedert sich die Gesamtstruktur, und in welchem Vertrauensverhältnis stehen sie zueinander?
  • Welche Elemente der IT-Infrastruktur müssen so schnell wie möglich wieder funktionieren, damit die IT-Abfolgen für die Kernprozesse gelingen? Ein Minimum-Viable-Ansatz zur Bewertung der IT-Assets hilft Unternehmen, das digitale Notfallpaket an Daten, Systemen und Infrastruktur abzustecken und zu bestimmen, welche Systeme, Daten und Applikationen vorrangig wieder einsatzbereit sein müssen.
  • Welche Wechselbeziehungen der AD-Infrastruktur sind am wichtigsten? Welche Geschäftsanwendungen sind von der Active Directory abhängig?

2. Backup-Strategie festlegen

Im nächsten Schritt sollten IT-Administratoren herausfinden, mit welchen Arten von Sicherungskopien für Domänen-Controller sie ihren Plan zur Wiederherstellung am besten umsetzen können. Dies sollte nicht erst im Ernstfall geschehen, denn dann muss alles schnell gehen. Damit die Backup-Strategie aufgeht, sollten die Entscheider für Cyber-Resilienz alle Beteiligten mit ins Boot holen. Gemeinsam erreichen sie die beste Strategie, indem sie diese proaktiv festlegen, implementieren und anschließend regelmäßig erproben.

Um geeignete Backups für eine erfolgreiche Wiederherstellung anzulegen, sollten Unternehmen folgende Punkte beachten:

  • Die erste Aufgabe für IT-Verantwortliche ist es, sich für eine Art der Sicherungskopie zu entscheiden. Diese hängt vom Recovery-Plan ab. In vielen Fällen genügen System-State-Backups des Domänen-Controllers. Bisweilen sind aber auch vollständige Server-Sicherungen erforderlich.
  • Ein Wiederherstellungsplan sollte ein In-Place-Restore des Active Directory vorsehen, um gegebenenfalls einer Korruption des Active-Directory-Schemas entgegenzuwirken. Ebenso ist ein eventuell notwendiger Out-of-Place-Restore vorzubedenken. Letzteres ist bei einem Rebuild nach einem Ransomware-Angriff entscheidend.
  • Ihre AD-Topologie sollten Unternehmen in der AD-Umgebung festhalten. Ein solches Inventar umfasst die Server mit kritischen Rollen, wie DNS-Server, globale Kataloge, FSMO-Rollen (Flexible Single Master Operation) auf Gesamtstrukturebene (Domain Naming Master, Schema Master) und FSMO-Rollen auf Domänenebene (PDC-Emulator, RID Master, Infrastructure Master).
  • VM-Snapshots genügen nicht, um Domänen-Controller wieder instandzusetzen. Das liegt an der Multi-Master-Natur des Active Directory. Es sind dutzende komplexer Hygieneschritte nötig, die zu festgelegten Zeitpunkten stattfinden müssen, um die Wiederherstellung umzusetzen. Würden mehrere Domänen-Controller aus Snapshots reproduziert, bestünde das Risiko von Inkonsistenzen.
  • Mehrere redundante Domänen-Controller-Sicherungskopien sind eine zwingende Voraussetzung für den Erfolg einer Recovery.

3. Umfangreiche Hygieneaufgaben

Die eigentliche Wiederherstellung von AD-Daten aus Backups macht nur 20 Prozent aller Aufgaben für eine gelungene Recovery aus. Weitere Abläufe sind notwendig, um die operativen Rollen im Active Directory passgenau zu koordinieren. Recovery-Pläne sollten deshalb folgende Punkte berücksichtigen:

  • Anleitungen von Microsoft definieren alle nötigen Detailaufgaben und deren richtige Reihenfolge. Diese müssen die IT-Teams bei einer Recovery einhalten.
  • Administratoren müssen jedoch wichtige Entscheidungen treffen, die von der AD-Konfiguration abhängen. Um diese korrekt zu treffen, sollten entsprechende Notizen hinterlegt sein.
  • Es empfiehlt sich, alle drei bis sechs Monate einen Probedurchlauf einer Recovery der Gesamtstruktur in einer geschlossenen DR-Umgebung zu machen. Unternehmen können so ihren Plan überprüfen und aufgrund von Veränderungen an der AD-Architektur gegebenenfalls anpassen.

Drei Stufen der Wiederherstellung

Wenn die Architektur des Active Directory zahlreiche Domänen umfasst und eine über verschiedene Zweigstellen, Länder, Regionen und sogar Erdteile verteilte Benutzerbasis unterstützt, lässt sich ein AD-Forest-Recovery-Ansatz in drei verschiedene Phasen gliedern:

Erste Phase: Der erste Domänen-Controller wird für jede AD-Domäne wiederhergestellt

Erste Phase.(Bild:  Commvault)
Erste Phase.
(Bild: Commvault)

Zunächst geht es darum, den ersten Controller im Forest aus dem Backup wiederherzustellen. So können die Verantwortlichen Vertrauensbeziehungen kontrollieren, die Replikation bestätigen und grundlegende Administrationsvorgänge (zum Beispiel das Erstellen neuer Objekte) austesten. Auf diese Weise stellen IT-Verantwortliche sicher, dass alle Rollen korrekt neu konfiguriert sind.

Zweite Phase: Weitere Domänen-Controller wiederherstellen

Zweite Phase.(Bild:  Commvault)
Zweite Phase.
(Bild: Commvault)

So können die Verantwortlichen zügig eine funktionstüchtige AD-Mindestinfrastruktur einrichten. Mit solch einem Minimalpaket ist es möglich, den Bedarf zur Authentifikation für unternehmenskritische Anwendungen abzudecken und Nutzer in verschiedenen geographischen Zonen zu unterstützen.

Dritte Phase: Restliche AD-Infrastruktur hochstufen

Dritte Phase.(Bild:  Commvault)
Dritte Phase.
(Bild: Commvault)

Zuletzt gilt es, die Architektur des Active Directory auf den Stand vor dem Vorfall zu bringen. Dies ist durch das Herabstufen und erneute Hochstufen von Domänen-Controllern aus der ursprünglichen Gesamtstruktur oder durch das Hochstufen neuer Server möglich. Ein neuer Domänenkontroller erstellt eine Kopie der kompletten AD-Datenbank von seinen nächstgelegenen Replikationspartnern.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Data-Storage und -Management

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Aufklappen für Details zu Ihrer Einwilligung

Schnellere Wiederherstellung des Active Directory durch Automatisierung

Eine vollständig automatisierte Wiederherstellung einer AD ist nicht möglich. Kommt es zu einem Vorfall, ist es sehr schwierig, den kompletten AD-Forest manuell rasch wieder einsatzfähig zu machen, wenn das Active Directory aus zahlreichen Domänen und Regionen besteht. Dennoch ist es empfehlenswert, möglichst viele Abläufe der Wiederherstellung zu automatisieren und auf diese Weise schneller voranzutreiben.

Christian Kubik, Director Sales Engineering DACH bei Commvault.(Bild:  Commvault)
Christian Kubik, Director Sales Engineering DACH bei Commvault.
(Bild: Commvault)

Automatisierte Forest-Recovery-Runbooks können zum Beispiel die verschiedenen Stufen des mehrteiligen Ablaufs aufeinander abstimmen, der für die Recovery des Active Directory Forests unentbehrlich ist. Sie eignen sich auch für kontinuierliche Tests, die außerhalb der Produktionsumgebungen stattfinden. Entscheidend für eine Recovery des Active Directory Forest sind geprüfte Sicherheitskopien sowie eine gute Dokumentation und Anleitungen im Backup-Plan. Mit dieser Vorbereitung im Rücken sitzen Unternehmen im Falle eines Ausfalls des Active Directory schnell wieder im Sattel.

* Der Autor: Christian Kubik, Director Sales Engineering DACH bei Commvault

Aktuelles E-Book

Ransomware-Schutz durch Object Lock und WORM

E-Book „Ransomware-Schutz“
(Bild: Storage-Insider)

Um ein Storage-System effektiv von Ransomware-Angriffen zu schützen, bieten sich neben Backup/Disaster Recovery und Verschlüsselung vor allem Object Lock und WORM an. Das gelingt nicht nur im eigenen Haus, sondern auch in der Hybrid-Cloud.

Die Themen im Überblick:

  • Ransomware-Trends
  • Air-Gapping
  • Amazon S3 Object Lock
  • WORM mit Bandspeicher
  • Schutz durch Algorithmen

(ID:50872258)