Sichern mit Images ist bei vielen sehr gern gesehen, da man sich damit „scheinbar“ gegen einen Crash schützen kann (oder vor einer Änderung).
Was bei einem Client evtl. noch zutrifft, trifft bei einem DC, Exchange oder SQL … etc. schon gar nicht zu.
Daher mein Appell an alle:
Bitte lasst die Finger von Images auf DCs und Systemen die mit transaktionalen Datenbanken arbeiten.
Warum kann man DCs nicht imagen?
Weil es sich bei der Active Directory-Datenbank um ein verteiltes Datenbanksystem handelt!
Nur bei einer Onlinesicherung, kann die Konsistenz der Datenbanken geprüft werden. Mit Images
sichert man womöglich wochenlang eine defekte Datenbank mit und steht im Disasterfall dann ohne Backup da.
Würde man diese aber online sichern, so würde das System die Inkonsistenz im Form einer Warnung/Fehlermeldung melden.
Was wäre zum Beispiel, wenn auf der Festplatte ein Bad Sector/Block existieren würde?
Eine Exchange oder SQL Datenbank kann ziemlich groß werden, daher ist es möglich, dass der Bad Block damit die Datenbank inkonsistent werden lässt.
Was bei einem Offline-Image nicht auffällt, würde stattdessen bei einer Online-Sicherung sehr wohl auffallen.
Windows bemerkt aufgrund der Differenz zwischen den während der Sicherung kalkulierten Prüfsummen und den beim ursprünglichen Schreiben kalkulierten Prüfsummen, daß hier ein Datenverlust seit der letzten erfolgreichen Onlinesicherung eingetreten ist.
Wird das Image online erstellt, dramatisiert sich das ganze noch mehr.
Was ist zum Beispiel, wenn eine Datei sich über Eintausend Sektoren verteilt und das Imaging-Programm sichert von Sektor 1 bis 1000.
Es ist gerade bei Sektor 250, da wird die Datei erneut im laufenden Betrieb beschrieben.
Das Imaging-Programm bekommt davon nichts mit. Somit wird dann Sektor 1-250 von der alten Version und 251 bis 1000 von der neuen Version ins Image geschrieben.
Dann kommt noch der Aspekt der Computerkontokennwörter hinzu.
Denn unter Windows NT wird standardmäßig das Computerkontokennwort alle 7 Tage und unter Windows 2000/XP/Vista alle 30 Tage geändert.
Wird nun ein älteres Image zurückgesichert, können sich die Clients nicht mehr an der Domäne anmelden. Denn bei der Erstellung
des Server-Images werden natürlich auch die Computerkontokennwörter mit gesichert.
Hier ist ein schöner Artikel, den sich jeder mal zu Herzen nehmen sollte (Stichwort: USN-Rollback):
Warum Images nicht als Datensicherung taugen
Dieser sollte auch nicht fehlen:
http://www.msexchangefaq.de/verschiedenes/imagebackup.htm
Ein USN-Rollback unter Windows 2000
Ein USN-Rollback unter Windows 2003
Weitere Informationen:
Zwei wichtige IDs eines DCs: DC GUID und InvocationId
der Bericht ist in Yusufs.Directory.Blog erschienen