Die Datensicherung ist einer der wichtigsten Prozesse in jedem Computernetzwerk. Auch im Troubleshooting-Fall sollte der Admin stets dafür sorgen, dass er über eine aktuelle, wiederherstellbare Sicherung des Systems, an das er Hand anlegt, verfügt.

 In diesem Artikel geht es um die klassische Datensicherung, also das Kopieren von Daten auf ein separates Medium. RAID-Systeme (z. B. Festplattenspiegelung) können zwar die Verfügbarkeit von Systemen erhöhen, sie als Datensicherungsmethode aufzuführen, ist jedoch schlicht falsch – denn was nützen einem gespiegelte, aber korrupte Daten?

1. Sicherung von Nutzdaten

Bei reinen Fileservern ist es meist ausreichend, nur die Nutzdaten zu sichern. Dabei werden die Daten von einem Backup-Tool auf ein anderes, möglichst räumlich entferntes System kopiert. Meist ist auf dem zu sichernden Server ein so genannter Backup-Agent aktiv. Voraussetzung für den Erfolg dieser Backup-Methode ist, dass die nicht gesicherten Daten (also das Betriebssystem) schnell wieder hergestellt werden können. Sobald jedoch eine umfangreiche Betriebssystemkonfiguration vorliegt, muss auf eine vollständige Sicherung zurückgegriffen werden.

Vorteil: Das Kopieren der Nutzdaten ist eine einfache und wirkungsvolle Backup-Methode. Sie funktioniert problemlos auch ohne teure Backup-Software und Agent.

2. Vollständige Sicherung

Mühevoll eingerichtete Computersysteme sollten stets vollständig gesichert werden. Auch das ist prinzipiell per Agent möglich. Nachteil dabei: Falls eine Wiederherstellung notwendig wird, müssen zunächst ein blankes Betriebssystem installiert und der Backup-Agent aktiviert werden. Eine langwierige und Fehler anfällige Backup-Methode.

3. Sicherung von einer höheren Ebene aus

Da letztendlich die Festplatte Träger aller Informationen (Betriebssystemkonfiguration und Nutzdaten) ist, liegt der Gedanke nahe, zu Backup-Zwecken ein vollständiges Backup der Server- oder PC-Festplatte zu erstellen. Dies ist mit Imaging-Tools möglich. Innerhalb kürzester Zeit kann ein komplettes Festplattenabbild erzeugt werden. Auch die Wiederherstellung so gesicherter Systeme gestaltet sich als problemlos. Bei Rücksicherungen auf abweichende Hardware sind jedoch Inkompatibilitäten möglich.

Besonders einfach können die Festplatten virtueller Maschinen gesichert werden. Nach der Erstellung eines Snapshots werden die vmdk-Dateien kopiert.  Dementsprechend einfach ist auch die Wiederherstellung: VM-konfigurationsdatei und Festplattendatei werden zurückkopiert, die Maschine registriert und gestartet. Für das ESX- oder ESXi-Backup existieren kostenlose und kostenpflichtige Tools.

Prinzipiell ist die Sicherung von einer höheren Ebene aus immer anzustreben, da somit die Art und Einrichtung des Betriebssystems keine Rolle spielt. Diese Backup-Methode deckt alle Arten von Systemen gleichermaßen ab und ist einfach zu handhaben.

Aber auch die klassische Sicherung durch direktes Kopieren hat ihre Berechtigung. Sie kann performanter sein, wenn der Anteil der Nutzdaten am gesamten Festplattenvolumen sehr klein ist. Vorteile bieten sich auch bei der Wiederherstellung einzelner Dateien.

… sie kann auch tückisch sein. Und nicht selten ist Redundanz gar die Ursache von Systemausfällen. Oft ist die Redundanz auch nur scheinbar vorhanden, bei genauerer Analyse gibt es aber doch einen Single Point of Failure. In jedem Fall sollten als redundant ausgewiesene Systeme darauf getestet werden, ob sie wirklich das halten, was sie versprechen.

So ziemlich jedes technische System kann redundant ausgelegt werden. Festplatten werden zu RAID-Verbünden zusammengefasst, so dass beim Ausfall einer Platte die Daten nicht verloren sind und die Computer weiter laufen. In Servern schlummern mindestens zwei Netzteile, um den unterbrechungsfreien Betrieb zu gewährleisten. Diese hängen nach Möglichkeit an unterschiedlichen Stromnetzen, um selbst für einen möglichen Stromausfall gewappnet zu sein. Den schlimmsten aller Fälle – es gibt wirklich keinen Strom mehr – puffern USVs. An ihr hängende Server werden beim Stromausfall kontrolliert heruntergefahren.

Größere Firmen verfügen selbstverständlich über mehr als einen Internetanschluss, um bei Providerproblemen nicht von der Außenwelt abgeschnitten zu sein. In so genannten Clustern werden Systeme (z. B. Mail-Server oder Datenbank-Server) zu einem übergeordneten System zusammengefasst, das bei Ausfall des Hauptknotens durch ein automatisches Umschalten auf den Failoverknoten unterbrechungsfrei weiter läuft. SQL-Datenbanken lassen sich durch Spiegelung redundant auslegen – der Spiegelserver bekommt jede Änderung der Datenbank in Echtzeit mit und kann im Fehlerfalle einspringen, automatisch oder manuell. Im Citrix-Umfeld werden einfach viele gleichartige Server parallel betrieben, die sich die Last teilen.

Nicht nur bei Servern, auch im Netzwerk an sich ist die Redundanz ein großes Thema. Gebäude werden nicht nur über eine Leitung miteinander verbunden. Der Backup-Pfad ist ganz selbstverständlich. Und schließlich gibt es ganze Backup-Rechenzentren. Falls das Hauptrechenzentrum komplett ausfallen sollte, muss das Backup-Rechenzentrum die Aufgaben des Hauptrechenzentrums komplett übernehmen können.

Generell lassen sich zwei Arten von Redundanz feststellen:

1. Load Balancing: Hier teilen sich mehrere Systeme die Arbeit. Beim Ausfall eines Systems übernehmen die verbliebenen Systeme die Arbeit. Vorteil: Alle Systeme sind ständig in Benutzung, das Funktionieren der Redundanz ist somit automatisch gewährleistet. Nachteil: Bei einem Systemausfall steigt die Last für die verbliebenen Systeme, was sich auch für den User in schlechterer Performance bemerkbar macht. Beispiel: Citrix XenApp – Load Balancing, RAID1 (Spiegelung) bei Festplatten.

2. Failover: Hier gibt es ein Haupsystem, das in der Regel seine Arbeit verrichtet. Bei dessen Ausfall wird das Backup-System aktiv. Das Umschalten (Failover) wird von einem übergeordneten System durchgeführt. Vorteil: Wenn der Failover-Prozess reibungslos funktioniert, merkt der User in der Regel nichts davon, dass das Hauptsystem ausgefallen ist und verfügt weiterhin über volle Rechenleistung. Automatisierte Failover-Mechanismen können zudem schneller reagieren als jeder Admin. Nachteil: Durch die notwendigen Failover-Mechanismen steigt die Komplexität des Gesamtsystems. Da das Backup-System in der Regel nicht unter Last steht, ist auch die Wahrscheinlichkeit eines unerkannten Defekts des Backup-Systems höher.

Redundanz birgt Gefahren. Bei Failover-Systemen sind diese höher als bei Load-Balancing-Systemen. Ein Load-Balancing-System ist robust gegen Ausfälle einer Komponente (z. B. einer Festplatte im RAID). Nur durch konsequentes Monitoring der “Gesundheit” des redundanten Systems kann die Fehlertoleranz aufrecht erhalten werden (z. B. durch den Austausch einer defekten Festplatte). Failover-Systeme können es besonders in sich haben. Oftmals funktioniert der Failover-Mechanismus ganz hervorragend, es ist aber aus Sicherheitsgründen ein manuelles Failback notwendig. Wenn nun niemand überhaupt mitbekommen hat, dass ein automatisches Failover stattgefunden hat, ist das Gesamtsystem ab diesem Zeitpunkt nicht mehr redundant! Einen Fehler am Backup-System merkt der User nun sofort. Ebenfalls nicht redundant ist ein System dann, wenn aur irgend einem Grund der Failover-Mechanismus nicht funktioniert.

Die Redundanz ist ein wichtiges Verkaufsargument im IT-Bereich. Die Aussage: ”Das Backup-System übernimmt im Fehlerfalle automatisch die Funktion des Hauptsystems” ist allerdings eine sehr starke Vereinfachung. Mit der Redundanz kauft man sich die Pflicht, das Gesamtsystem im Auge zu behalten, sich bei Fehlern oder automatischen Failover-Aktionen alarmieren zu lassen und regelmäßig die Funktion der Redundanz praktisch zu testen.

Nicht zuletzt sollte auch gewissenhaft geprüft werden, ob nicht doch noch ein Single Point of Failure im Gesamtsystem vorhanden ist.  Mit der Redundanz steigt immer die Komplexität des Gesamtsystems. Diese gilt es zu beherrschen. Ein Troubleshooting einer defekten Komponente, während der IT-Betrieb weiterläuft, ist für den Admin aber auf jeden Fall die beste und stressärmste Situation. Er sollte deshalb stets dafür sorgen, dass Redundanz vorhanden ist und funktioniert.