Mit U-Move for Active Directory verspricht der Anbieter U-Tools Software deutlich vereinfachte Sicherungen und Wiederherstellungen von Microsofts Verzeichnisdienst. Das Werkzeug soll nicht nur im Katastrophenfall, sondern auch bei Migrationen und dem Aufbau von Testumgebungen helfen. Im Test machte U-Move Datenbewegungen zu einer reinen Freude.
Sicherung und Wiederherstellung von Windows-Servern gelten als schwieriges Unterfangen, wenn es um Gesamtstrukturen und Domänen in Microsofts Verzeichnisdienst Active Directory (AD) geht. Der Softwarehersteller U-Tools verspricht, mit seinem Werkzeug U-Move for Active Directory das Sichern und Wiederherstellen von AD-Umgebungen einfacher zu gestalten. Backups sollen deutlich weniger Platz beanspruchen als mit den Bordmitteln. Weiterhin verheißt U-Move simplere Migrationen beim Wechsel auf eine neuere Version des Windows-Server-Betriebssystems sowie einfaches Klonen oder Kopieren einer AD-Umgebung – zu Testzwecken in eine isolierte Laborumgebung oder auch zum produktiven Betrieb im Rahmen einer Cloudmigration.
Bevor wir testen, ob der Hersteller dieses Versprechen in der Praxis halten kann, noch ein Hinweis: Der primäre Einsatzzweck der Windows-Server-Sicherung und auch von U-Move ist die Wiederherstellung von DCs oder einer kompletten AD-Umgebung. Beide Werkzeuge können zwar grundsätzlich auch einzelne Elemente aus einem AD restaurieren, jedoch nur mit unverhältnismäßig hohem Aufwand. Wie Sie zusätzlich zum Vollbackup des ADs einzelne Objekte, deren Attribute sowie Gruppenrichtlinienobjekte sichern und wiederherstellen, beschreibt unser Praxisbeitrag ab Seite 76.
Lizenzen von klein bis groß
U-Move ist verfügbar als "Small Business"-Lizenz für eine Gesamtstruktur mit einer einzelnen Domäne und bis zu 50 Benutzerobjekten darin. Auch die Lizenz vom Typ "Domain" sichert eine Gesamtstruktur mit einer Domäne, aber ohne Limit bei der Anzahl der Benutzer, und schließlich umfasst die "Enterprise"-Lizenz beliebig viele Domänen ohne Begrenzung der Benutzeranzahl.
Sicherung und Wiederherstellung von Windows-Servern gelten als schwieriges Unterfangen, wenn es um Gesamtstrukturen und Domänen in Microsofts Verzeichnisdienst Active Directory (AD) geht. Der Softwarehersteller U-Tools verspricht, mit seinem Werkzeug U-Move for Active Directory das Sichern und Wiederherstellen von AD-Umgebungen einfacher zu gestalten. Backups sollen deutlich weniger Platz beanspruchen als mit den Bordmitteln. Weiterhin verheißt U-Move simplere Migrationen beim Wechsel auf eine neuere Version des Windows-Server-Betriebssystems sowie einfaches Klonen oder Kopieren einer AD-Umgebung – zu Testzwecken in eine isolierte Laborumgebung oder auch zum produktiven Betrieb im Rahmen einer Cloudmigration.
Bevor wir testen, ob der Hersteller dieses Versprechen in der Praxis halten kann, noch ein Hinweis: Der primäre Einsatzzweck der Windows-Server-Sicherung und auch von U-Move ist die Wiederherstellung von DCs oder einer kompletten AD-Umgebung. Beide Werkzeuge können zwar grundsätzlich auch einzelne Elemente aus einem AD restaurieren, jedoch nur mit unverhältnismäßig hohem Aufwand. Wie Sie zusätzlich zum Vollbackup des ADs einzelne Objekte, deren Attribute sowie Gruppenrichtlinienobjekte sichern und wiederherstellen, beschreibt unser Praxisbeitrag ab Seite 76.
Lizenzen von klein bis groß
U-Move ist verfügbar als "Small Business"-Lizenz für eine Gesamtstruktur mit einer einzelnen Domäne und bis zu 50 Benutzerobjekten darin. Auch die Lizenz vom Typ "Domain" sichert eine Gesamtstruktur mit einer Domäne, aber ohne Limit bei der Anzahl der Benutzer, und schließlich umfasst die "Enterprise"-Lizenz beliebig viele Domänen ohne Begrenzung der Benutzeranzahl.
Alle Lizenzen berechtigen dauerhaft zur Nutzung des Produkts und beinhalten zusätzlich grundlegenden technischen Support sowie Updates auf neue Versionen für ein Jahr. Die Variante "Enterprise" umfasst im ersten Jahr erweiterten technischen Support auch außerhalb der Geschäftszeiten des Herstellers und an Wochenenden. Auf Anfrage offeriert der Anbieter für alle Lizenztypen Support-Verlängerungen für einen Zeitraum von ein bis fünf Jahren, sofern der Auftrag zur Verlängerung bis maximal 60 Tage vor Ablauf des ersten Jahres eingeht.
Wenngleich Microsoft den Support für die Urahnen des Windows Servers längst abgekündigt hat, unterstützt U-Move rückwirkend alle Ausgaben bis einschließlich Windows Server 2003, inklusive der kleinen Geschwister "Small Business Server" und "Essentials".
Einfache Installation lokal oder remote
Wir verwendeten die Software in Domänen mit DCs unter Windows Server 2016 sowie 2019. Die Setup-Routine präsentierte uns die Lizenzbestimmungen und fragte anschließend nach dem Zielpfad sowie dem Lizenzschlüssel. Vom Hersteller hatten wir eine 30-tägige Testlizenz erhalten. Damit war die Installation auch schon erledigt. Das Werkzeug belegt weniger als 30 MByte Festplattenplatz.
Beim ersten Start begrüßte uns U-Move mit einer kurzen Einführung in die verschiedenen Einsatzmöglichkeiten, jeweils versehen mit direkten Links zu den passenden Kapiteln der sehr umfangreichen und verständlich formulierten Online-Hilfe. Letztere konnten wir auch ganz oben links im Fenster erreichen. Der Link "Connect" daneben startet U-Move auf Wunsch auf einem entfernten Computer, ohne dass die Software dort bereits installiert sein muss. Ist U-Move auf dem Ziel noch nicht vorhanden, installiert es dazu den U-Move-Remote-Agenten. Sowohl für Installation als auch für die Fernbedienung muss die Windows Defender Firewall auf dem Zielsystem die Regeln der Gruppen "Datei- und Druckerfreigabe", "Remotedesktop" sowie "Remote-Ereignisprotokollverwaltung" zulassen. Auf Wunsch nutzt U-Move ein anderes Benutzerkonto zur Anmeldung auf dem entfernten System und schickt den Lizenzcode der lokalen Installation mit.
U-Move for Active Directory
Produkt
Software für Backup, Migration und Wiederherstellung von Microsoft Active Directory.
Zunächst wollten wir U-Move aber auf dem lokalen Server verwenden. Die Funktionen verteilen sich übersichtlich auf die sechs Registerkarten "Back up", "Restore", "Schedule", "Clone", "Upgrade" sowie "Undo". Jede einzelne dieser Aktionen informiert mit einem einleitenden Text über ihren Sinn und Zweck, wiederum begleitet von Links in die passenden Kapitel der umfassenden Hilfe. Die erläutert nicht nur die Bedienung des Tools, sondern auch die technischen Zusammenhänge und Abläufe im AD, sodass insbesondere weniger erfahrene AD-Admins hier optimale Unterstützung finden.
Wir begannen mit der ersten Registerkarte, um eine initiale Sicherung unseres ADs manuell anzulegen. Der Assistent führte einfach nachvollziehbar durch die notwendigen Schritte. Zunächst verlangte U-Move nach einem lokalen Pfad für den sogenannten "Staging Folder". In diesem Verzeichnis sammelt die Software alle Daten, die ins Backup gehören. Sollten sich in diesem Pfad bereits Daten einer früheren Sicherung befinden, warnt U-Move und bittet um Erlaubnis, diese löschen zu dürfen.
Daraufhin konnten wir wählen, ob U-Move die Daten anschließend in ein Backup-Archiv vom Dateityp "BKF" verpacken oder im Staging Folder belassen soll. Das BKF-Archiv ist die empfohlene Variante, die in den nächsten Dialogschritten nach Zielpfad und Namen für die Datei sowie optional nach einem Passwort zu deren Schutz fragt.
Im vorletzten Schritt erreichten wir per Rechtsklick in das Fenster der Anwendung die erweiterten Einstellungen unter dem Punkt "Advanced…" (Bild 1). Hier konnten wir optional noch Exchange-, SharePoint- oder WSUS-Datenbanken in das Backup einschließen. Das dürfte aber vornehmlich für sehr kleine Umgebungen und Installationen des Small Business Servers relevant sein, da ansonsten die Empfehlung seitens Microsofts lautet, diese Dienste getrennt von den AD-Rollen auf separaten Servern zu installieren. Wir beließen es entsprechend bei den Standardeinstellungen. Der Assistent präsentierte uns dann eine Zusammenfassung unserer gewählten Optionen, woraufhin wir per "Finish" den Sicherungsvorgang starten konnten. Der Backup-Vorgang benötigte nur wenige Minuten und legte eine Sicherungsdatei von weniger als 180 MByte Größe im Zielverzeichnis ab.
Restore ohne Komplikationen
Wir löschten anschließend diverse Organisationseinheiten, Benutzer- und Computerobjekte sowie Gruppenrichtlinienobjekte aus unserer Umgebung und bega- ben uns dann an die Wiederherstellung. Die entsprechende Registerkarte "Restore" dient maßgeblich dem Zweck, einen früheren Stand des ADs auf einem grundsätzlich noch funktionsfähigen DC zurückzuholen. Soll das AD auf einer neu installierten Ersatzmaschine wiederhergestellt werden, erledigt das der Assistent auf der Registerkarte "Clone".
Im ersten Schritt durften wir zwischen einem "Simple restore" oder dem "Comprehensive restore" wählen. Letzterer restauriert auf Wunsch auch zusätzliche Informationen, wie die Datenbanken von Applikationsservern. In unserem Fall war aber der "Simple restore" ausreichend, da es nur um das AD mitsamt SYSVOL-Freigabe ging.
Bei den möglichen Quellen für eine Wiederherstellung erwies sich U-Move als äußerst flexibel (Bild 2). Alternativ zu unserer BKF-Datei oder einem bereits entpackten Staging Folder ließen sich eine Volumenschattenkopie der lokalen Festplatte, ein Sicherungsdatensatz der Windows-Server-Sicherung an einem lokalen oder entfernten Speicherort oder die Festplatte eines nicht mehr startfähigen Systems wählen. Im letzten Fall kommen eine physische oder virtuelle Festplatte, eine mittels Drittanbietertools gewonnene Image-Datei oder anderweitig extrahierte Daten infrage. U-Move rettet die zur Wiederherstellung nötigen Daten aus nahezu jeder Situation, solange die Daten des ursprünglichen DCs unterhalb der Pfade "C:\Windows", "C:\Users" sowie "C:\ProgramData" noch lesbar sind. Für Installationen in abweichenden Pfaden beschreibt die Online-Hilfe detailliert, welche Daten das Restore benötigt.
Wir entschieden uns für die Wiederherstellung per BKF-Datei und gaben im nächsten Schritt den Pfad zu unserem Archiv an, gefolgt von einem leeren Staging Folder. Dorthin entpackte der Assistent alle im Backup enthaltenen Daten, sodass wir uns im Dateisystem einen Überblick über den Inhalt der Sicherung verschaffen konnten. Die Konfiguration von IP-Adressen und Zielverzeichnissen übersprang der Assistent im Rahmen der einfachen Wiederherstellung.
Im folgenden Dialogschritt mussten wir einen autoritativen oder nicht autoritativen Restore wählen. Im Fall der dritten Option "Normal Restore" würde U-Move bei inkonsistenter DFS-Replikation den Inhalt der SYSVOL-Freigaben mehrerer DCs zusammenführen – ein Vorhaben, vor dem der Hersteller in der GUI und in der Online-Hilfe unter der Überschrift "Normal Restore is Abnormal" explizit warnt. Da wir einen früheren Stand unserer AD-Datenbank zurückbringen wollten, entschieden wir uns für die erste Option, den autoritativen Restore. Sobald wir wiederum per "Finish" die Operation gestartet hatten, stellte U-Move in weniger als einer Minute das Backup wieder her und löste einen Neustart aus. Anschließend konnten wir uns davon überzeugen, dass U-Move komplikationslos den früheren Zustand unseres ADs wiederhergestellt hatte.
Flexible Sicherung nach Zeitplan
Mithilfe der dritten Registerkarte "Schedule" konnten wir ein regelmäßiges Backup nach Zeitplan konfigurieren, wahlweise täglich zu einer bestimmten Uhrzeit, wöchentlich an einem bestimmten Tag oder nach benutzerdefiniertem Plan. Weiterhin durften wir dabei wählen, ob das Backup im Kontext des lokalen Systems oder unter einem anderweitigen Benutzerkonto laufen soll. Letzteres hat den Vorteil, dass dieser Benutzer den Ablauf des Backups interaktiv verfolgen kann, wenn er zum passenden Zeitpunkt angemeldet ist. Weiterhin kann ein Benutzer mit passenden Berechtigungen das Backup auch direkt in eine Netzwerkfreigabe schreiben, wozu das lokale System selbst nicht in der Lage ist.
Wir bestimmten den Zielpfad für das Backup und wie viele Versionsstände U-Move behalten soll. Standardmäßig bewahrt das Tool die letzten 14 Sicherungen auf. Wie bei einem manuellen Backup konnten wir die Sicherung optional mit einem Passwort schützen und ebenso optional eine Benachrichtigung nach Abschluss der Aufgabe als lokale oder entfernte Systemnachricht sowie E-Mail konfigurieren.
Auch die Sicherung nach Zeitplan bietet die Optionen im Bereich "Advanced…". Sobald wir die Konfiguration abgeschlossen hatten, legte U-Move automatisch eine geplante Aufgabe für uns an. Anschließend erschien im Schedule-Assistent von U-Move die neue Option "Cancel the backup schedule", die die Aufgabe auf Wunsch wieder entfernt. Alternativ ließ sich die geplante Aufgabe mit Windows-Bordmitteln einfach manuell löschen.
Mit Klonen DCs einfach verschieben
Alle Szenarien auf der Registerkarte "Clone" gehen davon aus, dass der ursprüngliche DC nicht mehr erreichbar ist und die Wiederherstellung auf eine andere Maschine im selben oder einem separaten Netz zielt. U-Move unterscheidet die möglichst schnelle Wiederherstellung im selben Netz im Rahmen eines Notfalls, den geplanten Umzug auf eine Ersatzmaschine, die Kopie in eine isolierte Testumgebung sowie die Migration in eine Cloud oder ein anderes Netzwerksegment. Die Szenarien unterscheiden sich primär in den Schritten zur Wiederherstellung, die U-Move empfiehlt, vor allem aber in der Frage, ob die Wiederherstellung die IP-Adresse und weitere Netzwerkeinstellungen vom ursprünglichen System übernimmt oder nicht.
Beides funktionierte im Rahmen unserer Tests ohne Probleme. So hatten wir in unserem lokalen Netz parallel zum DC eine Maschine mit anderem Namen und anderer IP-Adresse installiert, ohne diese in die Domäne aufzunehmen. Wir fuhren den DC herunter, installierten U-Move auf dem neuen System und machten uns an die Wiederherstellung aus unserer BKF-Datei, die ähnlich verlief wie der Restore-Prozess zuvor.
Der Assistent stellte nun aber zusätzliche Fragen zur Handhabung der Netzwerkeinstellungen. Wir entschieden uns für die Option "I am replacing the old domain controller on the same network. Copy the IP addresses". Daraufhin konnten wir die im Backup gespeicherten IP-Adress- und DNS-Einstellungen des ursprünglichen Systems noch einmal einsehen und bestätigen. U-Move übernahm anschließend vollautomatisch alles Weitere, installierte sämtliche zum Betrieb als DC nötigen Windows-Komponenten und stellte AD-Datenbank, SYSVOL-Freigabe sowie DNS-Server wieder her. Nach dem obligatorischen Neustart bootete der Server mit der Identität des ursprünglichen DCs und unsere AD-Umgebung war in kürzester Zeit wieder im Rennen.
Eine zweite Wiederherstellung unserer Domäne in einer komplett separaten Testumgebung gelang ebenfalls komplikationslos. In diesem Fall wollten wir abseits unseres lokalen Netzes das AD auf einer VM in der Microsoft-Azure-Cloud duplizieren. Auch dort hatten wir entsprechend U-Move installiert und den Clone-Assistenten gestartet. Diesmal wählten wir die Option "I am cloning the domain controller to an isolated test lab. Do not copy the IP addresses." Wir mussten in diesem Fall lediglich manuell in die Netzwerkeinstellungen der VM eingreifen und die lokale Loopback-Adresse 127.0.0.1 als primären DNS-Server und den externen DNS-Server der Azure-Cloud als sekundären konfigurieren, da U-Move die Netzwerkeinstellungen auftragsgemäß nicht veränderte. Abgesehen davon lief auch dieses Vorhaben vollautomatisch ab und nach dem Reboot der Maschine verfügten wir über einen identischen Klon unseres produktiven ADs.
Gut betreute Migration
U-Move unterstützt Migrationen auf neuere Versionen des Windows-Server-Betriebssystems. Im Rahmen unseres Tests wollten wir eine Domäne von Windows Server 2016 auf 2019 umziehen. Anders als bei den vorherigen Verfahren erwies sich der Assistent auf der Registerkarte "Upgrade" zwar nicht als vollautomatisch, jedoch als ebenso nützlich. Das Tool führte uns durch die notwendigen Schritte und nahm uns dabei sämtliche Tests ab, die ansonsten im Rahmen der Migration manuell auszuführen wären. Es überprüfte im Vorfeld, ob der neue Server und die Domäne alle Voraussetzungen erfüllen, und nahm uns anschließend Replikationstests sowie den Umzug der FSMO-Rollen ab und half bei der Außerbetriebnahme des alten DCs.
Um uns davon zu überzeugen, fügten wir unserem DC unter Windows Server 2016 eine Instanz des Windows Server 2019 zunächst als Mitgliedsserver hinzu. Daraufhin starteten wir den Upgrade-Assistenten, der uns aufforderte, ein neues Projekt für unser Vorhaben anzulegen. Auf diese Weise ist U-Move in der Lage, eine Migration zu unterbrechen und zu einem späteren Zeitpunkt fortzusetzen. Im nächsten Schritt verband sich U-Move mit dem alten DC (in diesem Fall dem lokalen Server) und mit dem designierten Zielserver. Dort installierte es den U-Move-Remote-Agenten und überprüfte sowohl die beiden Server als auch unser AD auf die Eignung für das Upgrade. Hierzu präsentierte uns das Tool einen ausführlichen Bericht.
Mit dem folgenden Dialogschritt mussten wir dann aber selbst aktiv werden: U-Move erläuterte uns die Schritte, um manuell auf dem Zielserver die AD-Dienste zu installieren und ihn dann zum DC in der Domäne hochzustufen. Nach dem obligatorischen Neustart übernahm U-Move wieder, überprüfte den neuen DC sowie die Replikation zwischen beiden und empfahl uns dann, von beiden DCs ein Backup anzulegen. Es folgten eine Überprüfung von DNS-Replikation und NTP-Einstellungen sowie der Umzug der FSMO-Rollen – eine deutliche Arbeitserleichterung verglichen mit der manuellen Ausführung all dieser Schritte. Zu guter Letzt führte uns U-Move durch die optionalen Schritte nach der Migration und half uns dabei, den alten DC unter Windows Server 2016 zu entfernen.
Fazit
U-Move for Active Directory sichert und restauriert einzelne DCs und Active-Directory-Umgebungen schneller und einfacher, als dies mit den Bordmitteln von Windows Server möglich wäre. Mit den Assistenten sowie der umfangreichen und verständlichen Online-Hilfe ist das Tool eine große Arbeitserleichterung bei Migrationsvorhaben oder dem schnellen Aufbau einer zum produktiven, AD-identischen Testumgebung.
(jp)
So urteilt IT-Administrator
Bewertung
Backupgeschwindigkeit und -größe
8
Einfacher Restore
7
Klonen
8
Migrationsunterstützung
7
Online-Hilfe
8
Dieses Produkt eignet sich
optimal
als Ergänzung oder Alternative zur Windows-Server-Sicherung.
bedingt
für Unternehmen, die zusätzliche, nicht von U-Move abgedeckte Dienste auf DCs betreiben.