Spätestens seit den letzten Cyberangriff-Attacken ist es keine gute Idee mehr, den Backup-Server in der Domäne zu haben. Sollte die Ad-Domäne kompromittiert sein, so haben Angreifer damit auch Zugriff auf den Backup-Server und diesen werden sie auch nutzen.

Nachdem ich einen verschlüsselten UDP Datenspeicher und eine komplett gelöschte Tape Library gesehen hatte, empfehle ich dringend, den Backup-Server aus der AD-Domäne zu entfernen.

Und so geht es:

Vorbereitungen

DNS

Die Namensauflösung ist essentiell für die Funktion von Arcserve UDP und Backup. Deswegen sollte sichergestellt werden, dass trotz Entfernen aus der Domäne, die Einträge im DNS-Server beibehalten werden.

Weiterhin geht der primäre Suffix verloren, wenn ich ich den Backup-Server aus der AD entferne. Dieser sollte auf jeden Fall manuell eingetragen werden, wenn im Arcserve UDP die FQDN Syntax verwendet wird. Ansonsten kann es dazu führen, dass nicht mehr auf die RPS-Freigabe via FQDN zugegriffen werden kann.

Firewall

Beim Verlassen der Domäne wird auch das Netzwerkprofil „Domain“ obsolet. Der Server landet dann entweder im Profil „Private“ oder „Public“. So kann es passieren, dass eventuell Firewallausnahmen neu in diesen Profilen konfiguriert werden müssen:

  • Arcserve UDP (Eingehende Ports auf Konsole, RPS, Agent) Quelle: hier
    • TCP 445 (Anmeldung und Zugriff RPS)
    • TCP 4090 (Virtual Standby)
    • TCP 6052, 6054 (Arcserve Backup Datenabgleich)
    • TCP 8014, 8015 (Agent, Konsole)
  • Arcserve Backup (Eingehende Ports auf Server, Agent) Quelle: hier
    • UPD + TCP 6050 (Arcserve Agent)
    • TCP 111, 6502-6504 (RPC)
    • TCP 41523, UDP 41524 (Discovery)
    • TCP 10000 (NDMP)

Das Zuweisen von Netzwerkprofilen zu Netzwerkadaptern kann via Powershell und diesen Befehlen erfolgen:

  • get-netconnectionprofile
  • set-netconnectionprofile -interfaceindex (Nummer der NIC) -networkcategory private

Benutzer caroot

Wenn das „caroot“ Passwort nicht mehr bekannt ist, sollte man es spätestens jetzt zurücksetzen und neu zuweisen. Das ist einfacher, wenn man es mit einem Nutzer macht, der im Arcserve Backup die „Admin“-Rolle zugewiesen hat. Anleitung hier

Da beim Entfernen aus der AD-Domäne das Benutzerprofil entfernt wird, muss beim Start von Arcserve Backup das „caroot“ Passwort neu eingegeben werden.

Benutzer vorbereiten

Windows

Ich empfehle die Nutzung des lokalen Admistrators als Arcserve Systemaccount. Da Windows bei eingeschaltetem UAC zwischen „dem“ Administrator und Mitgliedern der Gruppe „Administratoren“ unterscheidet, geht man hier einigen Problemen aus dem Wege. Da Passwort dieses Administrators sollte sich von allen anderen Passwörten im Netz unterscheiden.

Gegebenenfalls können zusätzlich personalisierte Konten lokal, ebenfalls mit anderen Kennwörtern, angelegt werden. Diese sollten aber nur für die Administration, aber nicht als Systemaccount genutzt werden.

Arcserve UDP

Um später das System administrieren zu können, muss der oder die lokalen Benutzerkonten in Arcserve UDP berechtigt werden.

Aufruf der Benutzerverwaltung

Zuweisung Admin-Rolle

Arcserve Backup

Ähnlich hier.

Benutzerprofil zuweisen

Admin Rolle zuweisen

Zuweisung der Systemkonten

Arcserve UDP

Das Konto sollte an zwei Stellen angepasst werden. Einmal als Administratorkonto in der Konsole und einmal als Kennwort für den RPS-Server.

Systemkonto in Arcserve UDP

Anpassung des RPS-Kontos

Bei der zweiten Änderung werden alle Pläne mti dem aktualisierten Passwort neu verteilt. Wird der zweite Schritt vergessen, schlägt die Sicherung der Agenten fehl, weil der Zugriff auf die RPS-Share nicht möglich ist.

Arcserve Backup

Auch beim Arcserve Backup muss an zwei Stellen das Passwort angepasst werden. Einmal als Systemkonto und einmal in den Sicherungsjobs, die den entsprechenden Server sichern bzw. auf den RPS-Dienst zugreifen.

Arcserve Systemkonto

Als Domäne sollte hier der Servername angegeben werden.

Anschließend kann der Server aus der Domäne entfernt werden. Das Primäre Domänensuffix sollte allerdings manuell gesetzt werden.

Nach dem Neustart sollte alles wie vorher funktionieren.