Sichern und Wiederherstellen des Systemstatus in Windows Server 2003 R2 und Windows Server 2003 SP1

  • Artikel

Hinweis

Dieses Thema gilt nur für Windows Server 2003 R2 und Windows Server 2003 mit Service Pack 1 (SP1). Informationen zu anderen Betriebssystemversionen finden Sie unter Sichern und Wiederherstellen des Systemstatus.

 

Hinweis

Microsoft bietet keinen technischen Support für Entwickler oder IT-Experten für die Implementierung von Online-Wiederherstellungen des Systemstatus unter Windows (alle Versionen).

Beim Ausführen einer VSS-Sicherung oder -Wiederherstellung wird der Windows-Systemstatus als eine Sammlung von mehreren wichtigen Betriebssystemelementen und ihrer Dateien definiert. Diese Elemente sollten von Sicherungs- und Wiederherstellungsvorgängen immer als Einheit behandelt werden.

In Windows Server 2003 R2 und Windows Server 2003 mit SP1 gibt es keine Windows-API, die für die Behandlung dieser Objekte konzipiert ist. Daher wird empfohlen, dass Anforderer über ein eigenes Systemstatusobjekt verfügen, damit sie diese Komponenten einheitlich verarbeiten können.

Da VSS unter Windows-Versionen ausgeführt wird, in denen System File Protection (WFP)-Systemstatusdateien vor Beschädigung schützt, sind spezielle Schritte erforderlich, um den Systemstatus zu sichern und wiederherzustellen.

Der Systemstatus besteht aus folgenden Komponenten:

  • Alle durch WFP geschützten Dateien, Startdateien einschließlich ntldr-, ntdetect- und Leistungsindikatorkonfigurationen
  • Active Directory (ADSI) (auf Systemen, die Domänencontroller sind)
  • Systemdatenträger-Ordner (SYSVOL), der vom Dateireplikationsservice (FILE Replication Service, FRS) repliziert wird (auf Systemen, die Domänencontroller sind)
  • Zertifikat-Server (auf Systemen, die eine Zertifizierungsstelle bereitstellen)
  • Cluster-Datenbank (auf Systemen, die ein Knoten eines Windows-Clusters sind)
  • Registrierungsservice
  • COM+-Klassenregistrierungsdatenbank

Der Systemstatus kann in beliebiger Reihenfolge gesichert werden.

Die Wiederherstellung des Systemstatus sollte jedoch zuerst Startdateien ersetzen und den Systemabschnitt (Struktur) der Registrierung als letzten Schritt im Prozess übernehmen und kann in der folgenden Reihenfolge erfolgen:

  1. Stellen Sie die Startdateien wieder her.
  2. COM+-Klassenregistrierungsdatenbank
  3. Stellen Sie SYSVOL-, Zertifikatserver- und Clusterdatenbanken (falls erforderlich) wieder her.
  4. Stellen Sie Active Directory wieder her (falls erforderlich).
  5. Stellen Sie die Registrierung wieder her.

Einige Systemdienste, z. B. die Zertifizierungsstelle, verfügen über herkömmliche VSS-Autoren und folgen den VSS-Sicherungs- und Wiederherstellungsalgorithmen. Andere, z. B. die Registrierung, erfordern benutzerdefinierte Sicherungs- oder Wiederherstellungsvorgänge; weitere Informationen finden Sie unter Benutzerdefinierte Sicherungen und Wiederherstellungen.

VSS-Sicherung und Wiederherstellung von Start- und Systemdateien

Die Start- und Systemdateien sollten nur als einzelne Entität gesichert und wiederhergestellt werden.

Ein Anforderer kann schattenkopierte Versionen dieser Dateien sicher verwenden und sollte dafür sorgen, dass der Systemdatenträger und das Startgerät schattenkopiert werden.

Zu den System- und Startdateien gehören:

  • Die zentralen Startdateien:
    NtLdr.exe
    Boot.ini
    NtDetect.com
    NtBootDD.sys (sofern vorhanden)
  • Die WFP-Servicekatalogdatei muss vor dem Sichern der WFP-Dateien gesichert werden, und sie befindet sich unter:
    %SystemRoot%\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}
  • Alle von System File Protection geschützten und von SfcGetNextProtectedFile enumerierten Dateien (siehe VSS-Wiederherstellungsvorgänge bei WFP-geschützten Dateien)
  • Die Leistungsindikatoren-Konfigurationsdateien:
    %SystemRoot%\System32\Perf?00?.dat
    %SystemRoot%\System32\Perf?00?.bak
  • Wenn vorhanden, sollte die IIS-Metabasisdatei (Internet Information Server) in Sicherungs- und Wiederherstellungsvorgänge einbezogen werden, da sie den Zustand enthält, der von Microsoft Exchange und anderen Netzwerkanwendungen verwendet wird. Diese Datei finden Sie unter:
    %SystemRoot%\System32\InetSrv\Metabase.bin
  • Wenn die IIS-Metabasisdatei gesichert wird, sollten Schlüssel, mit denen Anwendungen bestimmte verschlüsselte Einträge lesen können, als Teil des Systemzustands wiederhergestellt werden. Diese Dateien finden Sie unter:
    %SystemRoot%\System32\Microsoft\Protect\*
    %AllUsersProfile%\Microsoft\Crypto\RSA\MachineKeys\*
  • Beim Sichern von Start- und Systemdateien kann es erforderlich sein, das DOS-Startgerät mithilfe der folgenden Schritte zu ermitteln:
    1. Suchen Sie die Systempartition unter HKEY_LOCAL_MACHINE\System\Setup\SystemPartition.
    2. Übergeben Sie die System Root-Umgebungsvariable (%SystemRoot%) an den Mount Manager, um den NT-Gerätenamen abzurufen.

VSS-Wiederherstellungsvorgänge für WFP-geschützte Dateien

Der WFP-Service wurde entwickelt, um den versehentlichen oder teilweisen Austausch von Systemdateien zu verhindern. Daher müssen besondere Schritte unternommen werden, um WFP-Daten wiederherzustellen.

Dies bedeutet, dass der WFP-Autor beim Definieren des Writer-Metadatendokuments die VSS_RME_RESTORE_AT_REBOOT-Wiederherstellungsmethode angeben muss. Wenn ein Anforderer feststellt, dass der WFP-Autor diese Wiederherstellungsmethode nicht angegeben hat, ist dies ein Writer-Fehler.

Ein Anforderer sollte eine Wiederherstellungsmethode VSS_RME_RESTORE_AT_REBOOT mit der Win32-Funktion MoveFileEx mit dem Parameter MOVEFILE_DELAY_UNTIL_REBOOT implementieren, um Systemdateien zu ersetzen. Die wiederhergestellten Dateien werden erst nach dem Systemneustart in die eigentlichen Systemdateiverzeichnisse kopiert. Das Überschreiben geschützter Systemdateien erfolgt nur, wenn der Wert des folgenden REG_WORD-Registrierungseintrags auf 1 festgelegt ist:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\AllowProtectedRenames = 1

Dieser Wert muss vor jedem Start festgelegt werden, wenn geschützte Dateien über MoveFileEx ersetzt werden sollen; nach dem Neustart wird er gelöscht.

Das Systemverzeichnis dllcache sollte ebenfalls mit Startdatenträgersicherung und -wiederherstellung gesichert oder wiederhergestellt werden; Sie finden es im Registrierungseintrag REG_EXPAND_SZ:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinLogon\SfcDllCache

                  Datentyp

                  REG\_EXPAND\_SZ

Der Inhalt des Systemverzeichnisses dllcache wird mithilfe von System File Checker (SFC) über die Eingabeaufforderung neu erstellt:

  • Die Option /SCANONCE überprüft alle geschützten Dateien beim nächsten Systemstart.
  • Mit der Option /SCANNOW werden alle geschützten Dateien sofort überprüft.

Alle geschützten Dateien werden überprüft, und alle ungültigen Versionen werden sowohl am Verzeichnis- als auch am DLL-Cache-Speicherort ersetzt.

Es gibt vier Dateien, die Teil des WFP sind und nicht mit den WFP-Dateien wiederhergestellt werden können:

Ctl3dv2.dll DtcSetup.exe NtDll.dll Smss.exe

Diese Dateien helfen beim Wiederherstellen der WFP-Dateien, und es gibt keinerlei zirkuläre Abhängigkeit. Derzeit gibt es keine Möglichkeit, diese Dateien wiederherzustellen, außer durch die Neuinstallation von Windows.