Windows 2003
Schattenkopien: Komfort vs. Sicherheit
Daten wiederherstellen
Windows 2003
Jeder kennt das: Schnell ist es passiert, dass man versehentlich eine wichtige Datei löscht oder ungewollt verändert und speichert. Bisher mussten Anwender den Administrator bemühen, wenn bei einer herkömmlichen Datensicherung auf Band das verlorene Original wiederhergestellt werden sollte. Der musste die richtigen Medien ausfindig machen, dort die Datei lokalisieren und sie wieder zurückspielen.
Schneller geht es nun mit einem neuen Feature in Windows 2003 Server: Schattenkopien. Sie sind für Anwender konzipiert, die über Freigaben auf Ressourcen eines 2003-Servers zugreifen. Das System fertigt in regelmäßigen Abständen Snapshots von einem NTFS-Laufwerk. In der Schattenkopie sind Ordner und Dateiversionen zu einem bestimmten Zeitpunkt gespeichert. Sie dienen als Ergänzung zur klassischen Datensicherung und erlauben es Benutzern, Dateien ohne fremde Hilfe mit wenigen Mausklicks wieder in den Ursprungszustand zurückzusetzen.
Zurücksetzen von Daten
Windows 2003
Schattenkopien vereinfachen das Leben für Anwender und Administratoren, der Komfort hat aber seinen Preis. So ist es zwar sehr praktisch, dass der Anwender Dateien, Ordner und Freigaben selbst wiederherstellen kann. Doch das Restore in die Hände von Benutzern ohne Admin-Erfahrung zu legen kann kritisch sein. Sind NTFS-Rechte nachlässig gesetzt, kann ein unbedachter Klick ein ganzes Netzlaufwerk zurücksetzen. Ungefährlicher ist es, Snapshots in einen anderen Ordner zu kopieren und die betroffenen Dateien dann manuell zu ersetzen.
Schattenkopien einrichten
Das Setup für Schattenkopien ist simpel. Als Erstes aktiviert man Schattenkopien am Server in den Eigenschaften des lokalen Laufwerks. Schattenkopien können nur auf Laufwerkslevel eingeschaltet werden, eine Einschränkung auf Ordnerebene wird nicht unterstützt. Hier lässt sich auch der Zeitplan individuell anpassen. In der Default-Einstellung wird zweimal am Tag gesichert.
Es lassen sich aber auch kürzere Intervalle einrichten. Dabei ist zu bedenken, dass maximal 64 Versionen gespeichert werden können, bevor das System anfängt, alte Sicherungen zu überschreiben. Bei einer stündlichen Sicherung beträgt der Backup-Horizont weniger als drei Tage. Als Letztes kann am Server ein Limit für den Speicherplatz der Schattenkopien gesetzt sein. Es sollte nicht zu knapp bemessen sein, da lediglich so viele Versionen vorgehalten werden können, wie Speicherplatz vorhanden ist.
Restore durch den Anwender
Windows 2003
Im Gegensatz zu üblichen Backup-Lösungen wird der Anwender bei Schattenkopien selbst aktiv, wenn er eine ältere Dateiversion wiederherstellen möchte. Er benötigt auf seinem System hierfür den Client für Shadow Copies for Shared Folders (SCSF). Der Client ist kompatibel zu Windows 98, 2000, XP und 2003.
Nur in 2003 Server ist der Client integriert und muss nicht nachinstalliert werden. Er bindet sich in der Sprachversion des jeweiligen Betriebssystems nahtlos in die Explorer-Oberfläche ein. Da es sich um ein MSI-Installationspaket handelt, ließe sich der Client beispielsweise über eine Gruppenrichtlinie problemlos im Netzwerk verteilen. Es ist aber nicht empfehlenswert, jedem Anwender pauschal Zugriff auf den Client zu geben. Besser ist es, den Client nur dann zu installieren, wenn ein Anwender ihn tatsächlich benötigt. Das schränkt möglichen Missbrauch schon im Vorfeld ein.
Restore durch den Administrator
Windows 2003
Es gibt kein zentrales Interface für die Administration von Schattenkopien direkt am Server. Der Administrator kann zwar über die Eigenschaften des Laufwerks das gesamte Volume zurücksetzen, aber das dürfte in der Praxis nur selten erwünscht sein. Über Umwege kann er sich aber auch am Server Zugang auf Schattenkopien von Ordnern und Dateien verschaffen. Da beim Zugriff auf lokale Laufwerke im Explorer die Registerkarte Vorherige Versionen fehlt, muss er eine Netzwerkfreigabe verwenden. Über administrative Freigaben wie D$ kommt der Administrator an alle Snapshots für das Laufwerk.
Es gibt derzeit keine Möglichkeit, die Wiederherstellung von Schattenkopien durch Benutzer- oder Dateirechte zu beschränken. Sie gilt grundsätzlich für alle freigegebenen Ordner des aktivierten Laufwerks ohne Einschränkung. Die NTFS-Rechte der darunter liegenden Ordner bleiben davon allerdings unberührt. Ein Anwender kann mit der Wiederherstellungsfunktion also nur Dateien zurücksetzen, auf die er auch die entsprechenden NTFS-Schreibrechte hat. Durch das Restore eines Ordners wird dieser auf einen bestimmten Zeitpunkt zurückgesetzt. Das betrifft aber nicht alle Dateien im Ordner: Es werden nur Dateien zurückgesetzt, die zum Zeitpunkt des Snapshots schon vorhanden waren. Dateien, die erst nach dem Snapshot erzeugt wurden, bleiben völlig unberührt, sie werden also nicht gelöscht.
Ob ein Restore erfolgreich durchläuft, hängt von den Benutzerrechten des Anwenders auf NTFS- und Freigabeebene ab. Um einen kompletten Ordner erfolgreich zurückzusetzen, benötigt der Benutzer Schreibrechte sowohl auf den Ordner als auch auf alle darin enthaltenen Dateien. Hat er diese Rechte bei einer einzigen Datei nicht, bricht die Wiederherstellung an dieser Stelle ab.
Kein Dokumentenmanagement
Windows 2003
Bei Schattenkopien werden zeitgesteuerte Sicherungen angelegt. Dieser Ansatz unterscheidet sich grundlegend von dem eines Dokumentenmanagement-Systems (DMS). Das DMS verfügt über eine Versionierung, das heißt, es erkennt neue Versionen eines Dokuments und archiviert sie. So viel Intelligenz hat die Schattenkopie nicht, hier muss der Benutzer selbst wissen, wann er zuletzt eine Änderung eingepflegt hat. Er kann hier nicht zu einer bestimmten Version zurückgehen, sondern nur zu einem Zeitpunkt. Zudem werden Schattenkopien nicht vorgehalten, sondern nur zwischengespeichert. Ein DMS archiviert hingegen Dateien dauerhaft.
Konfigurationstipps und kleine Fallen
Wenn das bei der Erstkonfiguration gewählte Speicherplatzlimit für die Schattenkopien zu knapp bemessen war, kann es auch im laufenden Betrieb höher gesetzt werden. Im PCpro-Labor hat das aber zur Folge, dass einige Snapshots aus der Auswahlliste verschwinden. Bestimmte Versionen lassen sich dann nicht mehr wiederherstellen. Als Speicherplatz für die Schattenkopien kann ein beliebiger Ort gewählt werden. Wenn man Schattenkopien auf dem gesicherten Laufwerk speichert, leidet die Performance.
In Umgebungen mit hohem Datendurchsatz ist der Effekt deutlich spürbar und nicht akzeptabel. In dem Fall sollte man ein eigenes Laufwerk anlegen und den Speicherplatz ganz für Schattenkopien verwenden. Schattenkopien sollten generell weder zur Sicherung des C:-Laufwerks noch zur Wiederherstellung installierter Anwendungen eingesetzt werden. Hierfür eignet sich die Funktion nicht, da es zu unerwünschten Nebenwirkungen bis hin zu Systemabstürzen kommen kann.
Keine Datenbanken wiederherstellen
Windows 2003
Die Schattenkopien-Funktion arbeitet auf dem Blocklevel der Festplatte. Es werden nur Änderungen einer Datei neu gespeichert, nicht die gesamte Datei. In der Regel be-
gnügt sich die Schattenkopie einer Datei also mit deutlich weniger Speicherplatz, als die Datei benötigt. Einige Applikationen schreiben aber auch schon bei kleinen Änderungen die ganze Datei neu. In diesem Fall muss die Schattenkopie die gesamte Datei umfassen. Geöffnete Datenbanken kann die Funktion nicht konsistent sichern. Schattenkopien eignen sich daher weder für Anwendungs- noch für E-Mail-Datenbanken.
Pro und Contra
Das neue Feature von Microsoft bietet viel Komfort bei der Wiederherstellung von Dateien, die versehentlich nicht gespeichert, gelöscht oder überschrieben wurden. In persön
lichen Home-Directorys sind Schattenkopien unstrittig ein wertvolles Hilfsmittel bei der täglichen Arbeit.
Ganz anders sieht das bei gemeinsam genutzten Freigaben aus. Wenn der Benutzer über die Rechte auf Datei- und Freigabeebene verfügt, kann er mit einem unvorsichtigen Klick großen Schaden anrichten. Momentan fehlt eine vernünftige Skalierbarkeit bei der Einrichtung der Schattenkopien. Über Änderungen in der Registry kann man Benutzern zwar das Recht zur Wiederherstellung entziehen, aber das ist ein reiner Notbehelf.