monstermania

Moin, wir haben hier ein USV Shutdown für unsere VMWare HA Umgebung realisiert. Hier der Link zu unserer Lösung: http://vmware-forum.de/viewtopic.php?t=30529&start=0&postdays=0&postorder=asc&highlight=apc Haben unsere Serversysteme in Gruppen eingeteilt und steuern darüber den Shutdown. So ganz ohne Timeout-Funktionen wirst Du nicht auskommen, da es immer mal vorkommen kann, dass eine Maschine nicht herunterfährt. Da hilft dann nur ein "hartes" Ausschalten nach XXX Sekunden! Gruß Dirk

Zur ursprünglichen Frage, ob Veeam virtuell oder auf einem pysikalischen Server laufen soll bzw. was best practice (BP) ist, kann man nur sagen: Es kommt immer darauf an, bzw. ist von verschiedenen Faktoren abhängig :D Veeam B&R ist grundsätzlich in verschiedene Dienste aufgeteilt (z.B. Backup-Proxy, Tape, usw). Diese Dienste können alle auf einem Server laufen, als auch auf mehrere Server verteilt werden. Wenn Ihr ein Offsite-Backup auf Band machen wollt, benötigt Ihr zwingend einen pysikalischen Server an dem das Bandlaufwerk bzw. die Library angebunden ist (meist per SAS oder FC). Was nun BP ist hängt ganz davon ab, wie Eure HW-Infrastruktur ausgelegt ist (Netzwerkanbindung VM-Hosts und Backup-Repository, Anzahl der Hosts, Performance Backupserver, usw.). Was oft gemacht wird, ist dass die Veeam-Backup-Proxys auf einer VM eines Hosts (mit)läuft. Bei mehreren Hosts heibt es dann entsprechend mehrere Veeam Backup-Proxys. Fazit: Ist nicht so einfach zu beantworten, sondern ist Infrastrukturabhängig ;) Bei uns laufen alle Veeam B&R-Dienste komplett auf einem einzelnen Backupserver. Dieser Server stellt auch das Repository und es ist die Tape-Library angeschlossen. Der Server ist direkt an das SAN angeschlossen und besitzt genug Ressourcen um parallel das Backup 3'er VM verarbeiten zu können. Zum Thema Unabhängigkeit des Backupsystems vom Livesystem, was in den Vorherigen Beiträgen angesprochen wurde möchte ich folgendes Anmerken: Nicht das Backup muss unabhängig vom Live-System sein, sondern das Desaster-Recovery! Zum Punkt des Vorhandensein eines physischen DC habe ich eine etwas andere bzw. eigene Meinung. Klar ist, dass im Falles eines Chrashes des kompletten SAN sichergestellt sein sollte, dass weiterhin ein DC verfügbar ist. Ob dieser DC nun als Blech läuft, oder aber als VM sehe ich dann mehr als Frage des generellen Designs. Nicht jeder möchte sich extra einen weiteren Server hinstellen, der dann ja ggf. noch extra lizenziert werden muss bzw. einen seperaten Wartungsvertrag benötigt. Ggf. seperate Backuplösung für den DC erforderlich, oder aber es ist einfach nicht genug Platz vorhanden... Wir haben bei uns 3 VMware-Hosts. Einer der Hosts hat ein lokales Raid-1 verbaut. Auf diesem lokalem RAID des Hosts läuft eine vom SAN unabhängige VM als DC. Ein weiterer DC läuft dann als VM auf dem SAN. Somit haben wir 2 voneinander unabhängige DC am laufen und sind auch bei einem Totalausfall des SAN noch in der Lage Domänendienste (AD, DNS, DHCP) bereit zu stellen. Ebenfalls eine gangbare Möglichkeit ist z.B. die Nutzung eines NAS, welches evtl. sowieso als Backupmedium im Unternehmen vorhanden/genutzt wird. So bieten z.B. die QNAP-NAS mit Intel-CPU's die Möglichkeit VM's zu hosten. Bei genügend RAM im NAS (min. 4GB) ist es kein Problem hier auch noch einen DC als VM laufen zu lassen. Spart dann zumindest die extra Hardware ein. Bei uns im Unternehmen läuft abgesehen vom Backupserver und unserem Monitoring-Server (Zabbix) kein Server-OS mehr nativ auf Blech sondern ausschließlich virtuell.

Wenn wir denn schon bei Empfehlungen angekommen sind: ;) Veeam Backup & Replication (Essentials) Im Bereich Backup & Recovery von virtuellen Umgebungen eine der z.Zt. wohl besten Lösungen. Kann man auch problemlos für 30 Tage testen. Und das Exchange Recovery funktioniert wunderbar (ab Ex. 2010) :D Kostet für einen Host (2 Sockel) rund 800€ (Essentials Standard). Die Anzahl der zu sichernden VM spielt bei Veeam keine Rolle, da Veeam nach Anzahl der Hosts/Sockel lizenziert wird.

Moin, warum sicherst Du aus den VM heraus? M.E. solltest Du die Sicherung vom Hyper-V Host aus einrichten. Der Sichert dann auch die VM mit. Grundsätzlich solltest Du Dir allerdings Gedanken darüber machen, ob die Windows- Backupsoftware Euren Anforderungen genügt. Mir fehlen hier komplett solche Dinge wie Off-Site Backup oder auch Wiederherstellung einzelner Elemente von Exchange (einzelne Emails, Postfächer, usw.). Gruß Dirk

Hmm, Ihr scheint ja ein Zeitfenster ohne Ende zu haben. Das zieht sich ja ewig. :rolleyes: Grundsätzlich funktioniert P2V. Ich habe in der Vergangenheit mehrfach SBS-Server (2003 und 2008) per P2V virtualisiert um die Systeme von alter Hardware auf eine aktuelle Basis zu ziehen (VMWare). Gerade bei klassischen 1 Server-Szenarien in KMU ein durchaus ein probates Mittel. Auch einige alte Windows NT/2000 'Schätzchen' in größeren Unternehmen konnten per P2V problemlos auf eine aktuelle Hardwarebasis gezogen werden. Nur es kann Dir niemand garantieren, dass P2V sauber funktioniert! Ich würde nach Möglichkeit immer neu installieren und ggf. Dienste migrieren. Das sorgt auch dafür, dass man Altlasten los wird! Nur, wenn absoluter Zeitdruck vorhanden ist, oder aber es absolut problematisch sein könnte das System neu aufzusetzen (z.B. keine Installationsdaten der Software mehr vorhanden) würde ich über P2V nachdenken. Und zumindest Zeitdruck scheint Ihr ja bisher nicht unbedingt zu haben! :D

CryptXXX-Verschlüsselung ist geknackt: http://www.heise.de/security/meldung/Erpressungs-Trojaner-CryptXXX-kostenlos-entschluesseln-3189766.html

Moin, grundsätzlich ist das Backup/Restore vom Multi DC-Umgebungen immer so eine Sache. So etwas kann klappen, muss es aber nicht (Stichwort USN-Rollback). Von daher kann es sein, dass Ihr den bisherigen DR Tests immer nur Glück gehabt hast, dass es funktioniert. Ich für meinen Teil würde im DR-Fall nur einem DC wieder herstellen und diesem die FSMO-Rollen zuweisen bzw. den DC mit den FSMO-Rollen wieder herstellen. Manuell die anderen DC aus dem AD löschen und neue DC's aufsetzten. Beim ersten Start des DC nach einem kompletten Neustart kann es recht lange dauern, bis die AD-Dienste wieder laufen. Bei uns dauerte es beim letzten USV Shutdown 20 Minuten bis die AD-Dienste wieder ansprechbar waren. Gruß Dirk

Der zusätzliche Trigger war in ein paar Minuten eingerichtet. Natürlich gilt es dabei die Schwelle für die Meldung entsprechend zu setzten. Ich habe das bei und auf 2 GB Delta in 5 Minuten gesetzt (in der Zeit vom 6-21.30 Uhr). Bei dem realen Trojanerbefall lag das Delta bei rund 3,5 GB/5Minuten. Zusätzlich könnte man auch noch den Netzwerktraffic in den Trigger aufnehmen. Da der Trojaner ja lokal auf dem betroffenen Client ausgeführt wird, läuft der Traffic ja auch über das Netz.

Moin, kenne CA Arcserve nicht, aber in jeder mir bekannten Backupanwendung gibt es hinterlegte User-Credentials, die für den Ressourcenzugriff benötigt werden. Wenn Du da einfach bei der Installation/Ersteirichtung des Backupprogramms den Administrator hinterlegt hast funktioniert das nach einer Kennwortänderung natürlich nicht mehr. Um so ein Problem zu umgehen, sollte man grundsätzlich einen eigenes Userkonto ausschließlich für Backupaufgaben anlegen. Gruß Dirk

Wir haben das über unseren Netzwerkmonitor (Zabbix) realisiert. Da auf unserem Dateiserver Deduplication aktiviert ist, sinkt bei der Verschlüsselung von vorhandenen Dokumenten der freie Speicherplatz auf dem Dateiserver ab. Dafür haben wir einen entsprechenden Trigger eingerichtet. Sinkt der freie Speicherplatz auf dem Dateiserver innerhalb eines Messfensters von 10 Minuten stark ab (Deltamessung), werden wir umgehend darüber informiert. Auch ganz interessant um festzustellen, wer den Dateiserver als Lagerort für seine Videos missbraucht. :cool:

Wir haben dem Email-Schutz des Unternehmens in den letzten Wochen/Monaten überproportional viel Aufmerksamkeit geschenkt und darüber wohl andere Dinge vernachlässigt bzw. uns zu sicher gefühlt! :( Eine Infektion per Email können wir in diesem Fall zwar 100%ig ausschließen ... Phyrusssieg ;)

@all Danke für die teils nützlichen Hinweise. Ja, nachher ist man immer klüger! :cool: Natürlich haben wir auch schon Maßnahmen ergriffen den Infektionsweg dicht zu machen. Über den Einsatz von SRP denken wir zumindest jetzt mal nach. @peter999 Da wäre ich mir an Deiner Stelle nicht so sicher! Zumindest bei uns wurde auf dem betroffenen PC keine einzige Datei verschlüsselt! CryptXXX scheint ganz bewusst zunächst Daten auf Netzwerklaufwerken zu verschlüsseln! @blub Die Vorgehensweise/Analyse von CryptXXX überhaupt gelesen/verstanden? CryptXXX kommt nicht per Email auf den Rechner, sondern durch kompromitierte Webserver. Eigentlich ist das Teil echt genial gemacht. :( Auch dadurch, dass der Trojaner nicht sofort nach der Infektion mit der Arbeit beginnt ist es nicht einfach im Nachhinein festzustellen, wann und wie genau die Datei auf den Rechner gekommen ist.

Moin, mal so als Hinweis und Warnung. Wir sind heute morgen Opfer des Verschlüsselungstrojaners CryptXXX geworden. Technische Analyse zu CryptXXX: https://www.proofpoint.com/us/threat-insight/post/cryptxxx-new-ransomware-actors-behind-reveton-dropping-angler Einer unserer PC's hatte sich das Teil eingefangen. Zum Glück für uns konnten wir die Aktivität des Trojaners schnell feststellen und den betroffen PC vom Netz nehmen. Der Trojaner hatte in ca. 30 Minuten ca. 10 GB Office-Dokumente und PDF's auf unserem Fileserver verschlüsselt. Dank aktuellen Backup konnten wir die betroffenen Daten problemlos wieder herstellen. Nach eingehender Analyse des Infektionsweges kam der Trojaner wohl per Videostream. Leider begünstigt durch ein nicht aktuelles Flash-Plugin auf dem Client! Und bevor Fragen dazu auftauchen: Unsere UTM mit Proxy und der Clientseitige AV-Schutz haben keinen Alarm geschlagen oder uns vor einer Infektion geschützt! Gruß Dirk

Als Testsystem reicht oft sogar eine ältere Workstation. Gibt es recht günstig bei diversen Gebrauchthändlern zu kaufen. Da noch eine SSD rein und Hyper-V / ESXi drauf und schon hat man eine Testumgebung. Ein solches System braucht es ja nicht nur für Testmigrationen, sondern auch um das eigene Backup regelmäßig zu testen (Restore).

Hört sich in Prinzip alles logisch an. ;) Und trotzdem gibt es irgendwo einen Kinken, der zur mangelhaften Performance bei F2T-Jobs führt! Und mit der Aussage von Lenovo wäre ich in sofern vorsichtig, als dass es hier ja nicht um die grundsätzliche Funktion geht, sondern um die bestmögliche Performance! Unser VMware/Veeam-Partner hat ganz klar eine Trennung der SAS HBA's für die Tape Library und das SAN empfohlen. Ich kenne mich jetzt mit Veeam unter Hyper-V überhaupt nicht aus, da wir hier unter VMware fahren. Ein grundsätzliches Problem mit der Veeam Konfiguration kannst Du ausschließen!? Perfomance B2D bei Veeam B2D-Jobs (Active-Full!)? Wie groß die Dateien für F2T sein müssen um maximale F2T-Performance zu erreichen kann ich Dir leider nicht sagen. Beim F2T unseres Veeam Repository sind Dateien von 1 - 300 GB vorhanden. Dabei sindDabei schaffen wir mit LTO5 ~ 120 MB/s.

@Sanches Da wir fast unsere gesamte Infrastruktur virtuell betreiben (VMware) setzten wir Veeam 9 ein. Sicherung von Exchange (2016) ist damit problemlos möglich. Wenn direktes One-Click Restore von einzelnen Elementen (Mails, Kontakte, usw.) möglich sein soll braucht es aber die Veeam Enterprise Edition! Mit Veeam Standard kann man einzelne Exchange Elemente nur über den Umweg per PST-Datei wieder herstellen. Auch ist Veeam eher suboptimal geeignet, wenn man noch eine Anzahl von physikalischen Server zu sichern hat. Ja es gibt da auch von Veeam eine (kostenlose) Lösung, die aber eher halbherzig an Veeam Backup & Replication angebunden wurde. Ich kenne Firmen, die seit Jahren problemlos mit der Windows Server Sicherung arbeiten und damit auch erfolgreich Systeme wieder hergestellt haben. Wenn es von den Anforderungen her reicht OK PS: Man sollte grundsätzlich regelmäßig ein Restore üben! Einfach damit man im Ernstfall nicht lange probieren muss und damit man auch weiß, dass das Backup auch funktioniert!

@wutzner Da scheinst Du ein generelles Problem mit Deinem Backupserver bzw. der Konfiguration von Veeam zu haben. 70 MB/s ist viel zu wenig. Wir erreichen hier mit einem LTO5 ~ 120 MB/s bei F2T (bei großen Dateien!). Das SAN und die Tape Library sind jeweils per eigenem SAS HBA an den Backupserver angebunden. Uns wurde seinerzeit ganz klar empfohlen SAN und Tape mit dedizierten HBA's an den Backupserver anzubinden! Ansonsten könnte auch ein grundsätzliches Problem in der Konfiguration von Veeam vorliegen. Wie ist Veeam installiert (extra Backupserver, oder als VM)? Wie ist das Veeam Backup Repository angebunden bzw. aufgebaut? Wo läuft der/die Veeam Proxy(s)?

Jo, Veeam ist auch nicht das Nonplusultra. Genauso wie alle anderen Lösungen hat jedes Produkt individuelle Vor- und Nachteile. Ich würde mir ein Veeam mit dem Tape-Support von BE wünschen! :D Bei uns stand auch zeitweise zur Debatte neben Veeam noch BE für Bandsicherungen zu nutzen. Haben uns aber letztlich für Veeam Only entschieden. Unsere Tape-Library läuft abgesehen von gelegentlichen Problemen mit dem Reinigungs-Tape ganz manierlich.

Hmm, diesen Kollegen hätten aber auch mehrere Backuplösungen nichts gebracht! Ein Schuh wird nur daraus, wenn man vom Backup auch regelmäßig ein Restore macht. Evtl. auch ruhig mal ein DR-Szenario. Wer das nicht macht, dem helfen auch keine mehrfachen Backuplösungen. Die Funktionieren dann im Zweifel eben auch nicht. Viel hilft nicht immer viel! Ich konzentriere mich lieber auf eine Lösung und sorge dafür, dass der Backup/Restore-Prozess einwandfrei funktioniert! Habe immer noch nicht erkannt, warum es neben Veeam noch eine 2. Backupsoftware geben muss. Sicherung in unterschiedliche Brandabschnitte und Tape-Sicherung ist auch doch Alles mit Veeam machbar.

@crazymetztel Welchen Vorteil versprichst Du Dir mit der doppelten Sicherung!? Ich habe die Erfahrung gemacht, dass man sich auf eine Backup/Restore-Lösung beschränken sollte.

Ich erreiche hier mit Veeam F2T deutlich mehr als 20MB/s! Kommt natürlich auch auf die Anbindung/Performance der Quelle und die Größe/Anzahl der Dateien an. Bevor mit Veeam 8 F2T für uns performancetechnisch nutzbar wurde haben wir die Dateien mit 7Zip in einen 7z-Containerdatei geschrieben und nur die Containerdatei mit Veeam F2T auf Band gesichert. Hatte den Vorteil, dass die zu sichernden Daten vor dem Sichern noch komprimiert werden. Grundsätzlich hast Du allerdings recht. BE ist Veeam bei Tape-Support immer noch klar überlegen.

Moin, unter Windows 2012(R2) würde ich auf einem Fileserver über den Einsatz der Deduplication nachdenken. Hat bei uns auf dem Fileserver ca. 40% der Datenmenge 'gespart'! Das System bietet einen Test an um zu ermitteln, wie groß der gesparte Speicherplatz durch Dedup sein wird. Gruß Dirk PS: Ich würde mir als 1. Gedanken um das Backupkonzept (viel eher Restorekonzept!!!) machen bevor ich Gedanken um das Sizing des VM Hosts verschwende. ;)

Bei uns sieht das Szenario ähnlich wie bei Doso aus. Hosts sind redundant. SAN ist zentral und soweit wie möglich redundant ausgelegt (Dual-Anbindung, usw.). Ein voll redundantes SAN-Konzept wurde ebenfalls aus Kosten/Nutzengründen verworfen. Wir haben baulich bedingt die gesamte IT Infrastruktur im gleichen Brandabschnitt stehen (Serverraum). Vollredundanz macht m.E. eigentlich auch nur Sinn, wenn die gesamte Infrastruktur auch komplett auf min. 2 Brandabschnitte aufbaut.

Grundsätzlich funktionieren analoge Faxgeräte auch an einer VoIP-Anlage, sofern ein analoges Fax per VoIP-Telefonadapter angebunden wird. Von daher funktionieren auch analoge Faxmodems problemlos. Ich verstehe aber irgendwie nicht, wieso dieses Thema ständig wieder hochkommt. Wer VoIP-Telefonanlagen im Unternehmen einsetzt hat eh schon lange ein Lösung dafür und wessen Telefonschluss auf VoIP umgestellt wird braucht halt eine entsprechende Telefonanlage. Diese Anlagen haben dann auch gleich wieder entsprechende Anschlüsse (analog oder S0) um ein Faxgerät anschließen zu können.

Wurde ja nun schon unzählige Male hier behandelt :rolleyes: Hier findest Du eine Schritt für Schritt Anleitung zur Einrichtung des Split DNS: https://www.psw-group.de/newsletter/splitDNS.pdf