22
De goede Een backup-strategie biedt zekerheid Bij veel - vooral kleinere - ondernemingen is het maken van backups een noodzakelijk kwaad. Aan het verwisselen van tapes wordt nog wel aandacht besteed, maar als er daadwerkelijke problemen ontstaan en een backup hersteld moet worden, komen tekortkomingen boven water. Het maken van de dagelijkse backup is net zoiets als het betalen van je verzekeringspremies: leuk is het niet, maar als er zich een calamiteit voordoet ben je wel blij dat je het goed hebt geregeld.
MARCEL BEELEN et maken van backups volgens een doordachte strategie is erg belangrijk. Naast de medewerkers, zijn gegevens immers het belangrijkste asset van een bedrijf. Een gedegen backup-strategie is daarom zelfs belangrijker dan de keuzes voor technologie (tapes, tapedrives en backup-software). Een belangrijke reden om
H
november 2003
ÂŤ Windows & .NET Magazine Benelux
backups te maken, is het zo snel mogelijk kunnen herstellen van systemen en gegevens na een calamiteit. Er zijn nogal wat calamiteiten waarvan je hoopt dat ze nooit zullen voorkomen: brand, vandalisme, diefstal, waterschade, bommen en zelfs neerstortende vliegtuigen. Op calamiteiten als blikseminslag, een spanningsdip of -piek, een virusbesmet-
CRASHES, PREVENTIE & HERSTEL
weg! ting, een hacker, een menselijke fout, een softwarefout of defecte hardware heb je een grotere kans. Om een server in zijn geheel te herstellen, maak je backups van het besturingssysteem, de daarop geïnstalleerde toepassingen met hun configuratie en van alle gegevens. Een andere reden om een backup te maken is om voor gebruikers individuele bestanden te kunnen herstellen die per abuis zijn verwijderd of corrupt zijn geraakt door een applicatiestoring of een virus. Backups vormen de verzekering tegen gegevensverlies voor al deze grote calamiteiten en kleine incidenten.
Backup voor Dummies De beste en eenvoudigste manier om een backup te maken, is om iedere nacht alle gegevens op tape te zetten, elke dag op een nieuwe tape. De hersteltijd is dan het kortste en je kunt terug in de tijd naar alle voorgaande dagen. Toch wordt dit scenario weinig
toegepast. Je hebt zeer veel tapes nodig en de kans is groot dat de backup op een bepaald moment zelfs met compressie simpelweg niet meer op één tape past. Je moet dan tijdens de backup een tape wisselen of structureel overstappen naar een tapewisselaar. Bovendien maak je iedere nacht een backup van veel gegevens die niet veranderd zijn sinds de vorige dag. Deze simpele strategie is vooral zinvol in het MKB waar maar één server gebruikt wordt om bijvoorbeeld de kassa's in de winkel aan te sturen. De backup is hier vaak ingericht door de leverancier van het computersysteem. De eigenaar van de zaak wordt verzocht dagelijks een tape in het systeem te stoppen. In plaats van iedere dag een nieuwe tape te gebruiken, wordt voor iedere dag de tape van vorige week overschreven. Het maken van de dagelijkse backup wordt 'erbij' gedaan door het winkelpersoneel of de eigenaar omdat het nu eenmaal moet. Structurele aandacht voor het controleren van de backups ontbreekt vaak. Als de hoeveelheid servers met tape-drives toeneemt, wordt het verwisselen van tapes meer werk en is het slimmer een iets grotere tape-wisselaar aan één systeem te hangen en daarop alle andere machines over het netwerk te backuppen. Het is dan niet langer haalbaar om iedere nacht alles op tape te zetten. Het backup-tijdvenster wordt te klein om alle gegevens over het netwerk naar de backup-server te transporteren. Soms is het netwerk de bottleneck maar soms ook de snelheid van de tape-unit of de server. Het is niet wenselijk dat de backup nog loopt als de medewerkers 's morgens aan de slag gaan. De medewerker kan prestatieproblemen ondervinden doordat de betreffende fileserver of het netwerk traag is. Tevens onstaat het probleem van 'open bestanden'; bestanden die tijdens het maken van een backup actief zijn, bijvoorbeeld omdat een medewerker deze op zijn werkplek heeft geopend in een toepassing, worden niet altijd meegenomen in de backup. Dit hoeft geen bezwaar te zijn als dit eenmalig het geval is. Als blijkt dat het vaak voorkomt kun je een speciale 'open-file' backup-optie aanschaffen bij je backup-toepassing. Gegevens die gedurende de backup geopend blijven omdat de dienst 24-uur operationeel moet zijn, vergen een speciale aanpak. Om een online-backup mogelijk te maken voor bijvoorbeeld Oracle, SQLServer, Lotus Notes, webservers of Exchange, bieden fabrikanten van backupsoftware een (extra te betalen) backup-agent om te installeren op de betreffende server. Als alternatief kun je er soms voor kiezen
Windows & .NET Magazine Benelux
» november 2003
23
de gegevens met een script te exporteren/dumpen. De geëxporteerde data kan vervolgens meedraaien in de normale backup. Als het niet noodzakelijk is om de dienst 24-uur operationeel te hebben, kun je op een vast tijdstip de toepassing afsluiten (offline brengen), een backup maken en de boel weer in de lucht brengen. Iedere dag alles op tape zetten blijkt geen haalbare kaart. Met een goed doordacht backup-schema kan het backup-proces verbeterd worden.
Het backupschema C Afbeelding 1 » Voorbeeld van een backup-schema
Onderwerpen voor het backup- en herstelplan Beleid:
24
f
ICT-personeel heeft voldoende kennis van infrastructuur
f
ICT-personeel heeft voldoende kennis over backupprocedures en -software
f
Verantwoordelijkheid backups
f
Verantwoordelijkheid restores
f
Medewerkers bewaren gegevens op servers
f
Medewerkers weten dat lokale schijven geen backup gemaakt wordt
f
Mobiele gebruikers hebben backup-mogelijkheden en gebruiken deze
f
Afspraken over dienstenniveau voor backups en restores
f
Afspraken over archivering van gegevens
Backupplan: f
Backupschema's
f
Tape roulatieschema's
f
Beschikbare backup tijd-venster
f
Voorzieningen voor open-files
f
Voorzieningen voor databases, mailservers, domain controllers enzovoort
f
Voorzieningen voor NAS/SAN
f
Speciale recovery technieken (snapshots, mirrors enzovoort)
f
Backups en images van besturingssystemen
f
Archief van originele installatiemedia
f
Beheer en onderhoud van tape-libraries, tape-wisselaars en tape drives
f
Dagelijks controleren van de backup logbestanden
f
Bewaartijd, bewaarcondities en vervangingsplan tapes
f
Veilig vernietigen van onbruikbare en verouderde tapes
Herstelplan:
Iedereen die een paar Microsoft-opleidingen heeft gevolgd, kent de drie basisbegrippen over backups: de volledige, incrementele en differentiële backup. Een volledige backup zet alle bestanden op tape die zich op de partitie of het bestandssysteem bevinden (onder UNIX/Linux wordt dit de 'level-0 dump' genoemd en Microsoft noemt dit een 'normal' backup). Een differentiële backup plaatst alleen die bestanden op tape die sinds de laatste volledige backup zijn veranderd (UNIX/Linux noemt dit een 'level-1 dump'). Een incrementele backup neemt alleen die bestanden mee die gewijzigd zijn sinds de laatste volledige backup (of de laatste incrementele backup als die gemaakt is na de volledige backup). Door een combinatie van volledige, incrementele en differentiële backups te maken, beperk je zowel de hoeveelheid benodigde tapes als de dagelijkse hoeveelheid te backuppen data. In Afbeelding 1 zie je een voorbeeld van een backup-schema van twee weken voor een winkel die zes dagen in de week geopend is, behalve op maandagmorgen. Gedurende de eerste zaterdagnacht wordt er een volledige en op de daaropvolgende zaterdagnacht een differentiële backup gemaakt. De differentiële backup bevat alle wijzigingen van de afgelopen week sinds de vorige volledige backup. Op doordeweekse dagen wordt er 's nachts een incrementele backup gemaakt. Deze bevat alleen de wijzigingen van de laatste werkdag. Merk op dat de incrementele backup van de tweede maandagnacht de wijzigingen bevat van maandagmiddag en van de voorgaande zaterdag. Backupschema's kun je zo simpel of complex maken als je dat zelf wilt.
f
Herstelprocedure voor besturingssystemen en toepassingen
f
Herstelprocedure voor data-schijven en data-partities
f
Herstelprocedure voor specifieke omgevingen (Active Directory, databases enz.)
f
Beschikbaarheid van beheerwachtwoorden
Het roulatieschema voor tapes
f
Fysieke toegang tot backuptapes en originele installatiemedia
f
Periodiek testen van de herstelprocedure
f
Periodiek de betrouwbaarheid van gegevens op tapes controleren
f
Periodiek de kwaliteit van de tapes controleren
Naast het backup-schema dien je een bijpassend roulatieschema voor je tapes te definiëren, tenminste als je tapes wilt hergebruiken. Van belang hierbij is hoever je terug in de tijd moeten kunnen gaan en welke informatie erop moet staan. Als je vele maan-
C Tabel 1 » Checklist voor het vaststellen van een backup-startegie
november 2003
« Windows & .NET Magazine Benelux
CRASHES, PREVENTIE & HERSTEL
den terug moet kunnen, is het zaak minimaal alle volledige backups te bewaren. In de praktijk hebben erg lange bewaartijden weinig zin, want na een calamiteit wil je nagenoeg altijd de situatie van net ervoor herstellen en niet die van maanden terug. Toch zijn er situaties denkbaar waarbij je langer terug in de tijd wilt, bijvoorbeeld als je er na een maand achter komt dat je systeemdisk al een paar weken virussen bevat. Je zou kunnen besluiten iedere vier weken de incrementele tapes en iedere twee maanden de volledige en differentiële tapes opnieuw te gebruiken. In de praktijk heb je dan ongeveer 30 tapes nodig. Ieder ander roulatieschema is mogelijk, maar zorg ervoor dat het een bewuste keuze is die past bij het backupschema. Omdat tapes niet eeuwig bruikbaar en houdbaar zijn is het verstandig ze onder goede omstandigheden van luchtvochtigheid en temperatuur te bewaren. Doe dit bij voorkeur in een ander gebouw in een beveiligde en brandveilige ruimte of kluis. Het regelmatig reinigen van de tape drives verlengt de levensduur en betrouwbaarheid van de tapes. Als het moment is aangebroken dat tapes moeten worden verwijderd, vernietig deze dan of gebruik een magnetische tape-wisser om de bedrijfsgegevens op de tapes onbruikbaar te maken.
Restoren van gegevens Het backup-schema en het tape-roulatieschema bepalen hoeveel tapes je nodig hebt voor een volledige restore en welke individuele bestanden je kunt herstellen. Laten we het voorbeeld van Afbeelding 1 nog eens bekijken. Stel de server crasht in de tweede week op woensdag. Om de data volledig te herstellen kun je de volledige en de zeven incremental backups terugzetten. Het alternatief om de volledige, de differentiële en twee incrementels te herstellen is ook mogelijk. Je zet dan wel de wijzigingen van zaterdag twee maal terug, maar dat hoeft geen probleem te vormen. Het mengen van differentiële en incrementele backups zoals in ons voorbeeld is meestal onnodig en maakt het schema complexer. Om het aantal tapes nodig voor een restore te beperken, heeft de differentiële backup de voorkeur boven de incrementele backup. Je hoeft dan maximaal twee restores uit te voeren: de volledige backup en de jongste differentiële backup. Je backup-schema heeft ook gevolgen voor het aantal versies en kopieën van een bestand dat op tape staat. Als je in ons voorbeeld de eerste maandag een bestand maakt en dit niet meer wijzigt, bevindt zich dit alleen in de incrementele backup van maandag-
C Afbeelding 2 » Het instellen van een backup-schema onder Windows nacht en de differentiële backup van zaterdagnacht tot de volgende volledige backup wordt gemaakt. Als je de tweede maandag weer aan het document werkt wordt die meegenomen in de backup van maandagnacht en in de volledige backup van de zaterdag daaropvolgend. Afhankelijk van je tape roulatieschema ben je wel of niet in staat meerdere versies van een bestand te herstellen. Een backup is geen archief. Maak je medewerkers erop attent dat backup-tapes periodiek opnieuw gebruikt worden, dat er geen gegevens permanent worden bewaard en het dus niet mogelijk is hierop terug te vallen. Aan archivering worden heel andere eisen gesteld (denk aan houdbaarheid van het medium, ordening en classificatie van gegevens en een zoekmogelijkheid). Veel bedrijven vertrouwen erop dat de backup goed is. Het is erg vervelend als je er tijdens het herstellen van een systeem achterkomt dat een tape geen of verkeerde informatie bevat of misschien zelfs leeg is. Het dagelijks controleren van de meldingen van de afgelopen backup én het periodiek testen van een totale restore horen absoluut thuis in een goede backup-strategie. Tijdens zo’n test kom je er bijvoorbeeld achter dat een restore te lang duurt omdat je een verkeerd backup-schema hebt gekozen, dat de hoeveelheid data erg is gegroeid of dat de restore simpelweg niet snel genoeg over het netwerk uitgevoerd kan worden. Ook de recovery-procedure dient zo nu en dan eens onder de loep genomen te worden. Het zou erg lastig zijn als je bijvoorbeeld niet bij je tapes kunt komen omdat de beheerder de sleutel van de kluis mee heeft genomen en met vakantie is.
Windows & .NET Magazine Benelux
» november 2003
25
CRASHES, PREVENTIE & HERSTEL
Snapshots Sommige (duurdere) servers of besturingssystemen hebben de mogelijkheid om snapshots te maken. Dit zijn read-only momentopnamen van het bestandssysteem op een andere schijf of zelfs op een ander systeem elders aan het netwerk. Snapshot technologie maakt het mogelijk om meerdere malen per dag een 'backup' te maken, bijvoorbeeld ieder uur, zonder de prestaties van het systeem te beïnvloeden. Medewerkers kunnen op deze wijze bestanden herstellen die ze 's morgens maken en 's middags per ongeluk verwijderen. Maar een veel belangrijker voordeel is dat je bij het maken van zo’n snapshot geen last hebt van geopende bestanden of databases. De tape-backup wordt gemaakt van de read-only kopie en niet van het schrijfbare origineel. Windows Server 2003 heeft snapshot technologie standaard aan boord: de Volume Shadow Copy Technology (zie Afbeelding 2). Snapshots mogen overigens nooit een excuus zijn om geen tape-backup te maken.
Vergeet Windows, UNIX en Netware niet Een backup van een geïnstalleerde server inclusief het besturingssysteem, eventueel voorzien van toepassingen, is belangrijk. Moet je een server van de grond af aan herstellen dan is het vaak een kunst om dit vanaf de backup te doen. Je hebt immers geen systeem meer dat kan opstarten. Om deze reden bieden sommige backupoplossingen de mogelijkheid een image te maken waarmee je kunt opstarten. Handig is om bij de ingebruikname van een server een Ghost-image te maken naar een extra partitie op het systeem of naar een andere server of dvd. Afhankelijk van de rol van een server (printserver, fileserver en dergelijke) is terugzetten dan snel mogelijk zonder gebruik te maken van de tape-backups. Het is slim om originele installatie cd's van zowel het besturingssysteem als de toepassingen inclusief een stapsgewijze installatieprocedure te bewaren in een kluis. Moet je een systeem herstellen op nieuwe, sterk afwijkende hardware, dan is herinstallatie soms de enige optie en kun je niet terugvallen op backups. Merk op dat het herstellen van een Active Directory Domain Controller op Windows Server 2003 of Windows 2000 Server een bijzondere situatie is en complex kan zijn afhankelijk van de situatie. Op de website van Microsoft vindt je hierover meer informatie.
Van Megabytes naar Petabytes Heb je meerdere complexe backup-schema's en tape-roulatieschema's, vele tientallen of honderden
servers, dan wordt het controleren en administreren van de backups meer dan een dagtaak. De schaalgrootte zorgt ervoor dat de kans dat er restores moeten plaatsvinden statistisch toeneemt. Ook zorgt de te backuppen hoeveelheid gegevens, vaak vele Terabytes, voor onhandelbare backup-schema's om de grote hoeveelheden bits en bytes over het netwerk getransporteerd te krijgen in het beschikbare backup-tijdvenster. Een andere uitdaging vormen de speciale backup-agents voor database servers, mail servers en dergelijke. Soms wordt er zelfs een apart schaduwnetwerk aangelegd dat alleen gebruikt wordt voor backups. Als er in het netwerk NAS- of SAN-omgevingen gebruikt worden, zijn daarvoor speciale backup-voorzieningen gemaakt bijvoorbeeld door een tape wisselaar rechtstreeks aan de SAN te koppelen. Een technologie die je ook steeds vaker tegen komt, zijn de eerder genoemde snapshots gecombineerd met een mirror-server (kijk bijvoorbeeld eens naar de NearStore van Network Appliance). Tape libraries en geavanceerde backup-software nemen je een boel administratief en beheerwerk uit handen. Tape libraries van bijvoorbeeld Quantum, Plasmon of Storagetek plaatsen, verwijderen, testen en administreren tapes automatisch. Het topmodel library is in staat meer dan een PByte aan informatie online te houden en de robot kan in tientallen tape drives vele duizenden tapes verwerken. Om de uitgebreide backup-software die daarvoor nodig is te kunnen gebruiken is een opleiding noodzakelijk. Je leert daar allerlei strategieën om een goede backuparchitectuur te definiëren en om de backup te dimensioneren.
Check en double-check Het dagelijks controleren en eventueel inhalen van backups, het testen en terugzetten van backups, het managen van de benodigde backup-software en agents voor diverse backoffice systemen en het onderhouden van de backup-strategie, kost zeer veel tijd. Nieuwe systeem- en netwerkcomponenten, nieuwe varianten tapes, de groei van de data op de servers, een nieuwe database; het zijn allemaal mogelijke redenen om de backup-architectuur aan te passen. Het structureel beleggen en inplannen van capaciteit voor al deze beheerwerkzaamheden is onontkomelijk. Een goede backup- en herstelstrategie zijn onmisbaar, of je nu één server hebt of vele honderden. De checklist van Tabel 1 toont een overzicht van onderwerpen die je daarin kunt opnemen. J
Windows & .NET Magazine Benelux
» november 2003
27