M 6.76 Erstellen eines Notfallplans für den Ausfall von Windows 2000/XP/2003-Systemen
Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Leiter IT, Administrator
Der Ausfall von einem oder mehreren Windows-Systemen kann bei entsprechender Serverrolle gravierende Auswirkungen auf die IT-Umgebung haben, da Benutzer nicht auf das Serversystem zugreifen können. Es ist festzulegen, welche Maßnahmen zu treffen sind, um eine Notfallsituation zu vermeiden, die Folgen des Ausfalls zu minimieren und den schnellen, erfolgreichen Wiederanlauf zu gewährleisten. Die bei einem Ausfall (des Servers) benötigten Dokumentationen und Handlungsanweisungen können schützenswerte Informationen enthalten. Sie sind sicher aufzubewahren, um dem Missbrauch der Informationen vorzubeugen. Schützenswerte Informationen können hier z. B.
- Konfigurationsdaten,
- Lizenzschlüssel, gegebenenfalls Volumenlizenz-Datenträger,
- (administrative) Benutzerkonten und Kennwörter
sein. Gleichzeitig muss organisatorisch gewährleistet werden, dass diese Informationen bei einem Ausfall den Personen zur Verfügung stehen, welche für die Wiederherstellung verantwortlich sind. Der Notfallplan für Windows- Systeme muss in das Notfallkonzept integriert werden (siehe B 1.3 Notfallvorsorge-Konzept) und mit der Maßnahme M 6.96 Notfallvorsorge für einen Server kompatibel sein.
Die Notfallplanung sollte bereits in die Planung der Systeme einbezogen werden, da bestimmte Verfügbarkeitsvorgaben, die beispielsweise redundante Server erforderlich machen, frühzeitig beachtet werden müssen (siehe M 6.1 Erstellung einer Übersicht über Verfügbarkeitsanforderungen). Im Notfallplan sollten eindeutige Kriterien niedergelegt sein, für welche Windows-Systeme der Notfallplan angewendet werden soll.
Datensicherung
Im Notfallplan für Windows-Systeme ist darauf hinzuweisen, dass die Umsetzung der Maßnahmen von B 1.4 Datensicherungskonzept für die Bewältigung eines Notfalls realisiert sein muss. Bei Windows-Server-2003- Systemen ist auf die Umsetzung der Maßnahme M 6.99 Regelmäßige Sicherung wichtiger Systemkomponenten für Windows Server 2003 zu achten.
Die Dokumentation zur Datensicherung ist für den Notfallplan von besonderer Bedeutung. Die Aktualität sollte regelmäßig im Rahmen von Wartungsarbeiten überprüft werden. Insbesondere muss der Dokumentation zu entnehmen sein, welchen Umfang die Datensicherung hat, wann die letzte erfolgreiche Datensicherung erstellt wurde und welche Soft- und Hardware für die Datensicherung verwendet wurde. Das gewählte Datensicherungsverfahren und die dafür verwendete Hard- und Software muss den Anforderungen an eine Wiederherstellung innerhalb der geforderten Wiederherstellungszeit entsprechen.
Technische Dokumentation
Bei einem Ausfall muss eine angemessene technische Dokumentation der Systeme vorliegen. Sie sollte mindestens folgende Punkte beinhalten:
- BIOS- und Firmware-Versionen
- Hardwareausstattung
- installierte Windows-Komponenten
- installierte Zusatz-Software
- Netzkonfiguration (siehe Eigenschaften der LAN-Verbindungen, zu finden unter den Netzverbindungen in der Systemsteuerung)
- Dienste (siehe Dienstekonsole)
- Partitionierung der Festplatten oder des angeschlossenen Festplatten-Systems
- Benutzerkonten und Gruppen mit Berechtigungen
- Freigaben und Freigabeberechtigungen, NTFS Berechtigungen
- Einstellungen in den Sicherheitsrichtlinien (mittels Vorlagen)
Grundsätzlich sollten im Rahmen der Notfallplanung alle Dokumentationsunterlagen berücksichtigt und gegebenenfalls vervollständigt werden, damit nicht im Notfall wichtige Funktionen vergessen werden. Die Dokumentation ist zum Beispiel bei Wartungsarbeiten und bei Veränderungen an Hard- und Software sowie der Systemkonfiguration anzupassen.
Die Aktualisierung der technischen Dokumentation und damit auch des Notfallplans ist Teil des Änderungsmanagements. Es sollte erkennbar sein, durch welche Person Änderungen durchgeführt wurden und wer die Dokumentation aktualisiert hat. Für den Notfallplan müssen alle Dokumentationen, auch Herstellerdokumentationen in gedruckter Form vorliegen, da der elektronische Zugriff im Notfall nicht gewährleistet werden kann.
Ausweichbetrieb
Können nur kurze Ausfallzeiten toleriert werden, so ist ein Ausweichbetrieb zu ermöglichen (siehe M 6.6 Untersuchung interner und externer Ausweichmöglichkeiten). Beim Ausfall eines einzelnen Systems sollte die Kapazitätsplanung für die Gesamtheit der Systeme so gestaltet sein, dass andere in Betrieb befindliche Systeme die Rollen und Funktionen des ausgefallenen Systems weitgehend übernehmen können. Hierbei ist M 4.276 Planung des Einsatzes von Windows Server 2003 zu beachten.
Für Windows-Server sollte die Beschaffung von Ersatzgeräten überlegt werden, deren Ausstattung den Betrieb eines Windows-Servers inklusive einiger Anwendungen zulässt, falls mehrere Server ausfallen. Um die Umschaltzeit zu minimieren, sollten diese Geräte vorinstalliert und regelmäßig hochgefahren und gewartet werden.
Die Entwicklung von Ausweichszenarien kann hohen Aufwand erzeugen. Es empfiehlt sich, Ausweichszenarien schon in der Planungsphase für den Einsatz des Servers zu berücksichtigen. Es sollten konkrete Handlungsanweisungen für die Aufnahme des Ausweichbetriebs vorliegen.
Wiederanlaufplan
In Abhängigkeit von der Serverrolle und der IT-Umgebung ergeben sich nach einem Ausfall für das Wiederanlaufen bestimmte Anforderungen an Windows-Systeme. Hierbei sind neben dem betrachteten Server auch Anlaufzeiten der angebundenen IT-Umgebung zu beachten (z. B. Router, andere Server, Standortkonnektoren). Ein Anlaufplan ist mit zunehmender Größe des IT-Verbunds zunehmend komplex und muss individuell in Abhängigkeit von der Domänenstruktur und den verwendeten Serverrollen erstellt werden. Ein Mitgliedsserver sollte erst neu gestartet werden, nachdem mindestens ein Domänencontroller mit globalem Katalog, ein Zertifikatsserver zum Abrufen von Zertifikatssperrlisten (falls vorhanden) und alle Infrastrukturserver gestartet sind.
Test des Notfallplans
Im Rahmen des Wartungsplans sollte der Notfallplan regelmäßig (z. B. einmal pro Quartal) in einer Testumgebung getestet werden, aber auch gelegentlich in der Produktivumgebung, hierbei ist natürlich besondere Sorgfalt erforderlich. Je häufiger Konfigurationsänderungen zu erwarten sind, desto häufiger sollten Tests durchgeführt werden, um die Aktualität des Notfallplans sicherzustellen. Die Ergebnisse müssen dokumentiert werden und führen gegebenenfalls zu Änderungen am bestehenden Notfallplan. Grundsätzlich sind Wiederherstellungsszenarien zu proben und die Ergebnisse zu dokumentieren (siehe M 6.41 Übungen zur Datenrekonstruktion).
Wiederherstellung
Im Notfallplan sind die notwendigen Vorraussetzungen zur Wiederherstellung durch Neuinstallation festzuhalten. Das Bereitstellungskonzept oder vorhandene Installationskonzepte (im Falle eines Windows-Server-2003-Systems M 4.281 Sichere Installation und Bereitstellung von Windows Server 2003) sind zu berücksichtigen. Kritisch sind zum Beispiel einzusetzende Hardware und notwendige Treiber. Es kann bei bestimmten RAID-Controllern erforderlich werden, während der Installation Treiber zu installieren. In der Regel werden hierfür vom Hersteller Treiber auf einem Datenträger mitgeliefert oder im Internet auf den Herstellerseiten bereitgestellt. Eine aktuell verwendete Version dieses Treibers muss auf einem Datenträger vorliegen.
Für die Wiederherstellung muss die Originalsoftware mit den Originaldatenträgern inklusive Produktschlüssel sowie Lizenzinformationen vorhanden sein. Falls kein Volumenlizenzprogramm verwendet wird, ist hinsichtlich der möglicherweise erforderlichen Aktivierung von Windows-Systemen darauf hinzuweisen, dass mehrfache Aktivierungen per Internet mit Hilfe desselben Produktschlüssels auf verschiedenen Festplatten fehlschlagen können. Infolgedessen kann der direkte telefonische Kontakt mit Microsoft erforderlich werden. Microsoft ist dann auf den Systemausfall hinzuweisen.
Durch das Anlegen von Replikaten wichtiger Informationen und Dateien auf mehreren Servern kann beim Ausfall einzelner Server auf diese Replikate zugegriffen werden. Damit ist es möglich, Benutzern kurzfristig eine Kopie von Daten anzubieten. Im Rahmen der Notfallplanung sollte geprüft werden, ob und für welche Daten dies notwendig ist. Windows-Server bieten dazu den File Replication Service (FRS) an, der auch in Verbindung mit dem DFS (Distributed File Service) genutzt werden kann. In den Versionen vor Windows Server 2003 R2 sind diese Dienste jedoch nur eingeschränkt für ein Notfallkonzept geeignet und meist mit hohem Aufwand für Test und Wartung verbunden.
Die Notfallplanung ist im Hinblick auf bestimmte Rollen von Windows-Systemen, zum Beispiel DNS-Server und Zertifikatsserver, zu differenzieren, um die vollständige Wiederherstellung gewährleisten zu können. Dazu gehört die Sicherung von rollenspezifischen Systemkomponenten (z. B. Datenbanken des DNS-Dienstes oder der Zertifizierungsstelle) sowie eine umfassende Dokumentation der mit den betreffenden Rollen verbundenen Einstellungen.
Ergänzende Kontrollfragen:
- Existiert ein Notfallplan für Windows-Systeme?
- Ist der Notfallplan konform zur Maßnahme M 6.96 Notfallvorsorge für einen Server?
- Ist eine umfassende Systemdokumentation vorhanden?
- Werden Wiederanlauf- und Wiederherstellungsvorgänge regelmäßig getestet?