Disaster Recovery: So beugt man dem Totalausfall vor

Wenn man in der IT auf gut Englisch von einem „Disaster“ spricht, so ist häufig ein Ausfall des IT-Betriebes in seiner Gesamtheit oder wesentlicher Teile davon gemeint. Dabei gilt es zu bedenken, dass IT-Dienste heutzutage stark miteinander verzahnt sind. Fällt beispielsweise der interne LDAP- oder DNS-Dienst aus, so ist es Benutzern praktisch nicht mehr möglich, File- und Print-Sharing sowie E-Mail zu nutzen, da die Server nicht mehr erreichbar sind, obwohl sie einwandfrei funktionieren.

Aus der Sicht des Anwenders stellen sich Hardwarefehler oder ein softwaremäßiger Ausfall eines Dienstes zunächst identisch dar. Der einzige Unterschied ist, dass der DNS-Dienst meist schneller wiederhergestellt werden kann als eine durch Fehler im SAN hervorgerufene Inkonsistenz im Filesystem, die den Restore eines Backups erforderlich macht.

Aus diesem Grund spricht man heute meist von Business Continuity Planning. Der Ausfall eines Dienstes auf einem Server soll nach Möglichkeit keine Einschränkung des Betriebes hervorrufen. Ist dies trotzdem der Fall, müssen Planungen erfolgen, die den Betrieb in akzeptabler Zeit wieder herstellen.

Der Begriff „Disaster“ ist in der IT nicht eindeutig spezifiziert. Das wäre auch nicht sinnvoll, da jede Organisation eigene Definitionen erstellen muss, wann ein Ausfall ein „Disaster“ ist.

Wichtig ist dabei immer die Dauer eines Ausfalls zu berücksichtigen. In vielen Firmen ist ein Ausfall der gesamten Internetverbindung für 15 Minuten nicht gleich eine Katastrophe. Ein Ausfall, der den ganzen Tag dauert, kann schon gravierendere Folgen haben. Diese Sichtweise wird ein Aktienbroker, der Daytrading betreibt, nicht teilen, wenn er Wertpapiere innerhalb von 15 Minuten verkaufen muss.

Grundlage für jede Form von Disaster Recovery sind Backup und Restore. Auch wenn moderne Storage-Lösungen, etwa SAN- oder NAS-Systeme, hohe Ausfallsicherheit bieten, können sich Inkonsistenzen im Dateisystem einschleichen, die unter Umständen dazu führen, dass große Teile einer Partition unbrauchbar werden. Nicht zu unterschätzen ist dabei die Gefahr der Korruption von ganzen Partitionen durch Malware.

Nach wie vor ist das Active Directory von Microsoft ein großer Schwachpunkt. Das Active Directory ist eine verteilte Datenbank mit Schreibmöglichkeiten für den gesamten Datenbestand auf allen Servern. Diese sogenannte Multimaster-Replikation ist fehleranfällig. Ein Korruption der Datenbank tritt relativ häufig auf. Die Wahrscheinlichkeit steigt mit der Anzahl der Benutzer und der Anzahl der Domain Controller in einem Netzwerk. Das Active Directory muss daher besonders häufig gesichert werden.

Bei der Auswahl einer Backup-Lösung bleibt es nicht aus, den Wiederherstellungsfall zu testen. Zu so einem Test gehört immer die Wiederherstellung auf einer nackten Hardware ohne installiertes Betriebssystem. Viele Backup-Lösungen können einzelne Dateien oder Verzeichnisse komfortabel wiederherstellen. Ist das Betriebssystem selbst betroffen, so ist eine Wiederherstellung mittels Boot-Medium oft schwierig oder mangels Treiber unmöglich.

Bei Ausfall von Rechner und Daten, beispielsweise durch einen Brand, muss ferner beachtet werden, dass identische oder sehr ähnliche Hardware zum Restore verwendet werden muss. Selbst wenn ein Restore funktioniert, kann ein anderer Chipsatz oder ein ein anderer Prozessor dazu führen, dass das Restore nicht bootfähig ist.

Klassische Backup-Systeme sichern Daten auf Bändern, die heute allerdings meist als Festplatten realisiert sind. Die Platten stellen sich über eigene Treiber als Bandlaufwerke dar. In diesem Fall spricht man von Virtual-Tape-Libraries.