Schnappschüsse für die Ewigkeit
Artikel erschienen in Swiss IT Magazine 2008/10
Mit dem System Center Data Protection Manager (DPM) 2007 hat Microsoft vor kurzem eine eigene Backup-Lösung für Windows-Server und die hauseigenen Serveranwendungen auf den Markt gebracht. Die Zielsetzung ist dabei eine kontinuierliche Datensicherung als Basis für eine optimale Systemverfügbarkeit. Im Gegensatz zu klassischen Backup-Lösungen, die auf eine zeitlich gesteuerte Sicherung von Informationen setzen, arbeitet der DPM mit einem kontinuierlichen Backup auf Basis des VSS (Volume Shadow Copy Service). Dieser Dienst kann ständig Snapshots von laufenden Systemen erstellen, auf deren Basis auch eine Wiederherstellung erfolgen kann. Das Produkt ist damit eine Ergänzung zu «klassischen» Verfahren für die Datensicherung.
Bei den Snapshots werden Veränderungen in regelmässigen, sehr kurzen Zeitabständen gesichert. Die Wiederherstellung kann auf Basis dieser Veränderungen durch Ermittlung der Differenzen zu einem gesicherten Status erfolgen. Die Verwendung von Schattenkopien ist damit sehr effizient, weil die Menge der zu sichernden Informationen vergleichsweise gering ist – und damit auch die Last, die durch die Sicherung im System erzeugt wird. Das Standardintervall für die Sicherung sind 15 Minuten, so dass sich bei sofortiger Erkennung von Fehlern die Datenverluste auf einen Zeitraum von maximal 15 Minuten beschränken lassen.
Die Installation des System Center Data Protection Manager ist, wie inzwischen beim System Center üblich, relativ einfach. Ein Assistent leitet durch den Installationsprozess. Optional können entweder die Serverkomponente oder nur die Verwaltungskomponenten eingerichtet werden.
Das System prüft auf das Vorhandensein von Basiskomponenten, Hardware und Einstellungen auf der Systemebene. In den meisten Fällen muss noch ein Hotfix installiert werden. Ausserdem ist eine aktuelle Version der Windows PowerShell auf dem System zwingend erforderlich. Dass die Komponenten nicht gleich mit der Software geliefert werden und dabei auch noch eine auf Servern durch die erweiterten Sicherheitseinstellungen für Windows etwas komplizierte Überprüfung der Gültigkeit der Windows-Version erforderlich ist, ist allerdings lästig und unnötig. Zudem erfordert die Installation des Hotfix auch noch einen Neustart – und beim Gültigkeitsprüfungstool gibt es ebenso wie bei der PowerShell Probleme mit der korrekten Zuordnung zu Sprach- und Betriebssystemversionen, die weitere manuelle Eingriffe erforderlich machen. Nachdem alle eigentlich erforderlichen Komponenten von Microsoft sind, hätte sich das wesentlich besser lösen lassen.
Weiterhin ist auch ein installierter Microsoft SQL Server erforderlich, wobei hier die notwendigen Module mitgeliefert werden. Ein installierter SQL Server wird zudem korrekt erkannt. Das Installationsprogramm kann auch automatisch eine spezielle Datenbank-Instanz für den DPM einrichten und spielt bei Bedarf das erforderliche Service Pack 2 für den Microsoft SQL Server 2005 ein. Die weiteren Anforderungen während der Installation sind unkritisch.
Für die Konfiguration des DPM gibt es zwei Optionen. Die eine und wesentlich bequemere Variante davon ist die grafische DPM-Verwaltungskonsole, über die sich die Überwachung konfigurieren und Datenträger schützen lassen. Ausserdem können von hier aus Wiederherstellungen durchgeführt und Berichte angefordert werden. Auch die allgemeinen Konfigurationseinstellungen sind über die grafische Konsole erreichbar.
Der erste Schritt ist die Einrichtung von Agents auf Systemen, die vom DPM verwaltet werden sollen. Dazu werden alle in der Domäne verfügbaren Serversysteme in einer Liste präsentiert, über die sich dann die Installation des Agent – gegebenenfalls nach Eingabe der Anmeldeinformationen – ausgelöst werden kann. Dabei lässt sich steuern, in welcher Form der Neustart nach Installation des Agent durchgeführt werden soll.
Der DPM ist darauf ausgelegt, eine kontinuierliche Sicherung des Windows-Server-Betriebssystems und von Windows-Anwendungen durchzuführen. Client-Betriebssysteme werden zwar ebenfalls unterstützt, dürften aber eher nur in Ausnahmefällen via DPM gesichert werden. Durch das gewählte Konzept der Schattenkopien kann eine Wiederherstellung von Daten innerhalb weniger Minuten erfolgen – zumindest solange die Änderungen auf den Festplatten liegen.
Eine spezielle Stärke ist sicherlich die effiziente Snapshot-Technologie, die den erforderlichen Platz für die Sicherungen minimiert. Damit wird verhindert, dass immer wieder die gleichen Informationen in den Backups auftauchen. Neben einem geringeren Speicherbedarf führt das auch zu einer besseren Performance bei der Sicherung und Wiederherstellung. Zudem lässt sich auf diese Weise auch ein effizientes Backup von Informationen von entfernten Standorten über das Netzwerk durchführen. Allerdings sollte man die tatsächlich erforderliche Bandbreite für die kontinuierliche Sicherung vorab genau evaluieren, da diese bei häufigen, umfangreicheren Änderungen dennoch beachtlich sein kann.
Erwähnenswert ist auch die gelungene Berichtsfunktionalität. Über vordefinierte Berichte lassen sich beispielsweise Informationen zum Sicherungsstatus, zur Band- und Datenträgerverwendung oder zum aktuellen Schutz von Daten und Anwendungen anzeigen.
Über die Unterstützung der Windows-Server-Betriebssysteme (2003 und 2008) hinaus gibt es direkte Schnittstellen zu einigen Serveranwendungen von Microsoft. Konkret werden der Exchange Server ab der Version 2003, SQL Server ab der Version 2000, der Office SharePoint Server 2007 und die Windows SharePoint Services 3.0 (WSS) und Virtual Server 2005 R2 unterstützt.
Alle diese Anwendungen verfügen über sogenannte Anwendungsprotokolle für den VSS, über die sich die Änderungen bereitstellen lassen, die in den Schattenkopien abgelegt werden. Bei der Wiederherstellung lassen sich die Änderungen von den Applikationen nachvollziehen und umsetzen. Das bedeutet im Umkehrschluss aber auch, dass die Erkennung von Änderungen in anderen Anwendungen zwar auf der Ebene der Festplatten, aber nicht spezifisch auf der Ebene der Anwendungslogik erkannt werden können. Eine optimale Unterstützung bietet der DPM daher nur für Anwendungen, die voll mit ihm respektive dem VSS integriert sind.
Die sicherlich wichtigste Frage beim DPM ist, welche Rolle das Werkzeug im Vergleich zu anderen Lösungen für die Datensicherung spielt. Dadurch, dass der DPM ausschliesslich auf die kontinuierliche Datensicherung über Snapshots ausgelegt ist, die in den meisten Fällen entweder Disk-to-Disk oder Disk-to-Disk-to-Tape erfolgt, ist das Werkzeug eher eine Ergänzung als ein Ersatz für die gängigen Backup-Lösungen. Es wird zwar auch eine Auslagerung direkt auf Band unterstützt. Diese ist aber im Kontext eines kontinuierlichen Backup weniger zu empfehlen, weil die Bandlaufwerke relativ zu langsam sind.
Die empfehlenswerte Kombination besteht aus der Verwendung des DPM in Verbindung mit einer Lösung für die regelmässige Datensicherung auf täglicher und wöchentlicher Basis durch ein «normales» Backup-Programm. Denn für die Auslagerung der Informationen auf Band sind die führenden Backup-Lösungen besser geeignet, trotz der recht umfassenden Funktionalität für das Management von Bandlaufwerken im DPM. Da man aber für andere Applikationen und Betriebssysteme meist ohnehin ein zusätzliches Backup-Programm benötigt, macht eine redundante Verwaltung von Tape Libraries wenig Sinn.
Hinzu kommt, dass sich die Stärken des DPM ausschliesslich im Zusammenspiel mit ausgewählten Windows-Server-Anwendungen zeigen, auch wenn andere Anbieter von Windows-Applikationen grundsätzlich auch eine Integration durchführen könnten. Ein Backup von anderen Server-Betriebssystemen ist im Konzept des DPM aber nicht möglich.
Daher wird man den DPM wohl auch in den wenigsten Fällen als alleinige Lösung einsetzen, sondern eher als eine Erweiterung der bisherigen Backup-Ansätze für eine kontinuierliche Sicherung von Informationen ausgewählter Microsoft-Applikationen, um die Verfügbarkeit dieser Anwendungen zu erhöhen. Alles in allem ist der DPM, trotz einiger Nickeligkeiten insbesondere bei der Installation, eine ausgereifte Lösung. Das überrascht nicht, da sie auf bereits seit längerem verfügbaren Systemdiensten von Windows aufsetzt. Gleichzeitig ist sie auch die Basis, um mehr Nutzen aus diesen Services zu ziehen, als es beispielsweise mit dem VSS alleine möglich wäre.
In Netzwerken, in denen überwiegend mit Windows-Systemen gearbeitet wird, oder in Umgebungen, in denen explizit vom DPM unterstützten Serveranwendungen eine grosse Bedeutung haben, lohnt sich ein intensiverer Blick auf dieses Produkt in jedem Fall – als Ergänzung, nicht als Ersatz für bisherige Sicherungsverfahren.