Der WTS ist und bleibt reiner WTS, der auch mal so neu gestartet werden kann. Windows und alle Programme. That's it. 

Wenn nicht auf dem HyperV gesichert werden soll, weil dort z.B. ein Bandlaufwerk eingebaut ist und man LTOs nicht in VMs offiziell durchgeschliffen bekommt, eine eigene VM aufsetzen und nur Veeam installieren. 

Bitte an das gesamte Konzept denken inkl. Windows-Rechte und NTFS-Rechte, Verschlüsselung des Backups durch Veeam und ggf. versteckte Freigaben, damit Crypto-Viren nicht auf alles Zugriff haben. Via SMB verteilen sich auch innerhalb einer Domäne solche Viren sich gerne, wenn man entsprechend viele Rechte hat. 

Wenn Veeam auf eine lokale Festplatte sichert, wird der Trojaner auch Laufwerk 😧 oder ähnlich verschlüsseln können. Daher wohl eher auf ein NAS, mindestens zusätzlich und entsprechend einrichten. Das NAS muss ständig aktualisiert werden, weil sich auch dort Viren installieren können. 

Bei uns ist Veeam auf dem Host installiert. 

@oschmitt. Das wollte ich doch lesen. 😉

@metalposaunist @. So, wie ich Dich verstanden habe, kann man Veeam auch auf dem Host installieren, wenn kein Backup-LW drin ist, oder?

Vielen Dank auch für den Hinweis bzgl. des Gesamtkonzepts. Daran arbeite ich noch.

Wo steht denn das Veeam nicht auf dem Host laufen soll?

---

@oliverstippe  schrieb:

Hallo zusammen,

 

ich beschäftige mich zurzeit mit der Virtualisierung, da bald neue Server anstehen.

 

Als Backup soll es Veeam werden. Auf dem Hyper-V Host soll es ja nicht installiert werden.

 

Ist es ratsam, eine eigene VM nur für Veeam zu erstellen, oder ist die Installation z.B. auf der VM des WTS auch ok?

---

Irgendwie wiederspricht sich die Aussage das Veeam nicht auf dem Host installiert werden soll und dann auf der VM des WTS. Wo ist denn der WTS installiert?

Zunächst ist festzustellen, das die Installation von Veeam auf dem WTS, wie @metalposaunist schon schrieb, keine gute Idee ist. Gründe gibt es viele, bis zum Feierabend schaffe ich nicht mehr alle.

Der Veeam Server (ich nenne den einfach mal so) kann auch auf einem virtualisierten Windows installiert werden, läuft und bringt keine Probleme. Was gerne Probleme macht ist die Einbindung von Bandlaufwerken, VMWare hat den Support komplett eingestellt. Wenn gewünscht bleibt nur eine Installation auf einem Rechner mit Bandlaufwerk und Windows BS.

Für die Sicherheit wichtig ist die Nichterreichbarkeit des Sicherungsziels aus dem "normalen" Windows heraus. Ein Angreifer erkennt das Sicherungsziel und kann dies auch verschlüsseln, das verschlüsselte Archiv wird einfach noch einmal verschlüsselt. Hier kommt jetzt das von @metalposaunist vorgeschlagene NAS ins Spiel, die Credentials für die dortige Freigabe werden von Veeam verwaltet und sind weiter nicht in der Domäne bekannt, für den Angreifer ist das schon einmal eine Spaßbremse. Die meisten Kanzleien haben keine Möglichkeit das NAS in einem anderen Brandabschnitt zu platzieren, es muss also noch ein 2. Ort geschaffen werden. Hier gibt es auch wieder viele Lösungen die aber auch Geld kosten.

PS: Veeam braucht keine eigene Maschine, kann auch irgendwo mitlaufen, nur der TS oder DC sind wegen der Puffer und Logs nicht gerade die beste Wahl.

Das Veeam nicht auf dem Host installiert werden soll, sondern auf einer VM, ist ja die Empfehlung von Veeam selbst.

Der WTS als Alternative war ja meine (scheinbar nicht so gute) Idee. 🙂

@oschmitt In den Empfehlungen von Veeam selbst.

Ja, auch auf dem HV soll Veeam nicht unbedingt laufen, weil der HV eigentlich nur HV ist. Deshalb arbeite ich ungern mit HyperV, weil das nur Nachteile mit sich bringt: 

• Braucht monatlich Windows Updates
• Muss in die Domäne aufgenommen werden, wen man von altem HyperV auf neuen migrieren und die VMs nur verschieben will
• Ist als nano-Server oder ähnlich ohne AD nicht gut mit einem entfernten Rechner verwaltbar

Eigentlich braucht man für einen HyperV schon einen DC und dann kann man easy alle HyperV Hosts dort aufnehmen und auch als nano-Server (oder ohne GUI) super verwalten. Dank GUI braucht der ja seine monatlichen Updates und ich meine auch MS empfiehlt HyperV nur ohne GUI. 

Und auf einem HyperV einen DC zu virtualisieren und der HyperV ist Mitglied seiner VM - extrem uncool mit LNA und AD und mir sind schon einige HyperVs einfach nicht mehr wiedergekommen bzw. der Teamviewer. 

Was cool ist: Es gibt NAS inkl. Linux OS, in die kann man ein RDX einlegen. Dann kann man Veeam sagen, sichere mir auf die NAS Freigabe und nachts soll dann von dort auf das RDX kopiert werden. So kann man sich das LTO sparen. 

---

@metalposaunist  schrieb:

 

 

Und auf einem HyperV einen DC zu virtualisieren und der HyperV ist Mitglied seiner VM - extrem uncool mit LNA und AD und mir sind schon einige HyperVs einfach nicht mehr wiedergekommen bzw. der Teamviewer. 

 

 

---

Darüber bin ich auch schon beim Recherchieren gestolpert. Aber das soll hier nicht Thema sein. 

Wg. dem NAS mache ich mich mal schlau.

---

@metalposaunist  schrieb:

 

 

Was cool ist: Es gibt NAS inkl. Linux OS, in die kann man ein RDX einlegen. Dann kann man Veeam sagen, sichere mir auf die NAS Freigabe und nachts soll dann von dort auf das RDX kopiert werden. So kann man sich das LTO sparen. 

---

Noch cooler: Die Backupsoftware läuft komplett auf dem NAS und sichert dort.

Klar! Nur mit einer lahmen 1Gbits Verbindung zwischen SAN/Storage und NAS/Backupsoftware gewinnt man auch keinen Blumentopf mehr 😉.

Und bei VMware kann man Veeam nur in eine eigene VM packen. Auf den HV von VMware lässt sich nichts installieren. Bei HyperV geht's. Deshalb ist da ein LTO wieder interessant, wenn man mehrere TB Daten sichern muss. 

Warum sollte Proxmox nicht funktionieren? Da ist das Backup schon dabei.

Sprach jemand von 1 GBit/s? Ein neuer Server hat gefälligst eine 10er Karte drin.😎 Wenn die 300 Euronen nicht drin sind...(selbstverständlich RJ45 über Kupfer).

Vielen Dank Jungs! Jetzt muss ich mich auch noch mit Proxmox beschäftigen. 😀

Ich meinte eher den neuen Backup Server.

Vielen Dank an Euch für die Anregungen, welche dazu geführt haben, mich näher mit Proxmox zu beschäftigen. 🙂

Ich bin mir jedoch sicher, dass es einige Server geben wird, wo Veeam auf dem Hyper-V-Host problemlos läuft und auch der DC virtualisiert ist.

---

@oliverstippe  schrieb:

Ich bin mir jedoch sicher, dass es einige Server geben wird, wo Veeam auf dem Hyper-V-Host problemlos läuft und auch der DC virtualisiert ist.

---

Klar. Möglich ist technisch meistens alles. Ob und wie sinnvoll das ist, steht immer auf einem anderen Papier 😉.

Kurze Frage: Bei uns ist der HV nicht in die Domäne aufgenommen, ist das irgendwie ein Problem? 

---

@oschmitt  schrieb:

Kurze Frage: Bei uns ist der HV nicht in die Domäne aufgenommen, ist das irgendwie ein Problem? 

---

Standalone nicht. Erst, wenn man die VMs behalten will und neue Hardware bekommt; die VMs auf den neuen HV schieben will; dann müssen sich beide HVs "vertrauen" und in die Domäne aufgenommen werden. So mein Kenntnisstand. Und da der HV wohl kein DC ist; hat man nur die VM als DC ... finde ich uncool. 

Gibt bestimmt noch mehr Gründe, den HV einer Domäne hinzuzufügen: z.B., wenn man diesen HV mittels Windows 10 PC aus der Ferne steuern will, weil man die Tools dazu auf Windows 10 PC nachinstallieren kann - auch dann kommt man ohne, dass der HV in einer Domäne ist, nicht dran. Auch uncool.  

So, ich beantworte meine Eingangsfrage anhand Eurer Tipps mal wie folgt:

Veeam nicht auf dem Hyper-V-Host installieren, sondern auf einer VM. (Empfehlung Veeam).

Auf WTS-VM ist nicht der Bringer, wie Ihr sagt.

Auf dem FS-VM würde ich Veeam wg. SQL auch nicht installieren.

Daher bei Einsatz von Hyper-V am besten Veeam eine eigene VM gönnen.

---

@oschmitt  schrieb:

Wo steht denn das Veeam nicht auf dem Host laufen soll?

---

Meines Wissens zum Beispiel in den Lizenzvereinbarungen mit Microsoft. Demzufolge ist der Hyper-V-Host von jeglicher sonstigen Anwendung aus zunehmen. Er darf nur als Hyper-V-Host eingesetzt werden. Also kein SMB, SQL, Veeam, und was auch immer...

Zum Orginalpost:

Veeam in eine extra VM zu setzen kann durchaus Sinn machen, wenn z.B. verhindert werden soll, dass Ramsonware einen (wie auch immer) Zugriff auf die Speichermedien des Backup bekommt. Mit der VM kann ein komplett eigenes Netzwerk inkl. angeschlossener NAS, etc. aufgebaut werden (sinnvoller Weise sogar in einem eigenen VLAN oder sogar eigenen Switch). 

Die VM würde dann z.B. stündlich auf das NAS schreiben und eine zweite Maschine oder NAS kopiert das dann auf USB-Festplatte oder Band. Mit VSS merkt davon keiner was und im Worst-Case geht maximal eine Stunde verloren.

Grüße

Chr.Ockenfels

---

@chrisocki  schrieb:

Meines Wissens zum Beispiel in den Lizenzvereinbarungen mit Microsoft. Demzufolge ist der Hyper-V-Host von jeglicher sonstigen Anwendung aus zunehmen. Er darf nur als Hyper-V-Host eingesetzt werden. Also kein SMB, SQL, Veeam, und was auch immer...

---

Machen kann man das schon. Dann muss man den HyperV aber auch ordentlich lizenzieren. Ist der HyperV nur HyperV und nichts anderes, kann man den auch kostenlos nutzen.  

Kostenlose Version von Hyper-V Server 2019

---

@metalposaunist  schrieb:

---

@oschmitt  schrieb:

Kurze Frage: Bei uns ist der HV nicht in die Domäne aufgenommen, ist das irgendwie ein Problem? 

---

Standalone nicht. Erst, wenn man die VMs behalten will und neue Hardware bekommt; die VMs auf den neuen HV schieben will; dann müssen sich beide HVs "vertrauen" und in die Domäne aufgenommen werden. So mein Kenntnisstand. Und da der HV wohl kein DC ist; hat man nur die VM als DC ... finde ich uncool. 

 

 

---

Doch geht schon. Es geht sogar die Replika zwischen zwei HV auch wenn die nicht in einer Domäne sondern nur in einer Workgroup sind. Hierzu sind dann z.B. eigens ausgestellte Zertifikate notwendig und los geht es. 

Fummelig, hab ich aber auch schon eingerichtet.

Und bis heute (holzklopf) hab ich noch keinen HV erlebt, welcher nicht startet, nur weil der gehostete DC nicht verfügbar war. Da gehen die Teile wie alle anderen Windows-Büchsen immer zurück auf die gespeicherten Domänenbenutzer oder man meldet sich mit einem lokalen Admin des HV an. 

Grüße

Chr.Ockenfels

---

@metalposaunist  schrieb:

---

@chrisocki  schrieb:

Meines Wissens zum Beispiel in den Lizenzvereinbarungen mit Microsoft. Demzufolge ist der Hyper-V-Host von jeglicher sonstigen Anwendung aus zunehmen. Er darf nur als Hyper-V-Host eingesetzt werden. Also kein SMB, SQL, Veeam, und was auch immer...

---

Machen kann man das schon. Dann muss man den HyperV aber auch ordentlich lizenzieren. Ist der HyperV nur HyperV und nichts anderes, kann man den auch kostenlos nutzen.  

 

Kostenlose Version von Hyper-V Server 2019

---

Sag ich ja. Der eigentliche Hyper-Visor ist kostenlos. Aber dann darf keine sonstige Anwendung auf diese Maschine. 

Deshalb gibt es bei dem Server im HV-Betrieb zwei virtuelle Lizenzen mit, wenn ich den Server mit Kauf lizenziert habe. Bei dem Datacenter ist die Anzahl von VM's nicht limitiert. Aber auch bei dem Datacenter darf auf den Host keine Anwendung installiert oder genutzt werden.

Zudem sollte beachtet werden, dass in einem HV-Cluster sinnvoller Weise auch die SA mit gebucht wird, ansonsten darf eine VM nicht so "einfach" von einem HV auf den anderen HV hin und her geschoben werden. Da gibt es ein 90-Tage Laufzeitzeitraum... 

Grüße

Chr.Ockenfels

---

@chrisocki  schrieb:

Und bis heute (holzklopf) hab ich noch keinen HV erlebt, welcher nicht startet, nur weil der gehostete DC nicht verfügbar war. Da gehen die Teile wie alle anderen Windows-Büchsen immer zurück auf die gespeicherten Domänenbenutzer oder man meldet sich mit einem lokalen Admin des HV an. 

---

Stimmt. Blöd nur, wenn der HV als DNS den DC drin hat, der nicht startet und TeamViewer damit vor die Wand läuft, ebenso wie alle anderen VMs und der TeamViewer bei allen Maschinen dunkel bleibt; die EX VM ohne AD sich auch verschluckt und man zum Mandanten fahren muss, um eine VM zu starten oder das DNS wieder zum Laufen zu bringen. Dann muss man schon Google DNS noch eintragen und den HV als 2. DNS zu machen - schmeckt mir alles nicht. 

VMware ist der HV nur HV. Fertig. Kritische Updates sind meiner Meinung nach nicht so oft und zahlreich wie bei Windows + GUI. Aber soll jeder so machen, wie es am besten läuft und flexibel ist.  

---

---

Stimmt. Blöd nur, wenn der HV als DNS den DC drin hat, der nicht startet und TeamViewer damit vor die Wand läuft, ebenso wie alle anderen VMs und der TeamViewer bei allen Maschinen dunkel bleibt; die EX VM ohne AD sich auch verschluckt und man zum Mandanten fahren muss, um eine VM zu starten oder das DNS wieder zum Laufen zu bringen. Dann muss man schon Google DNS noch eintragen und den HV als 2. DNS zu machen - schmeckt mir alles nicht. 

 

VMware ist der HV nur HV. Fertig. Kritische Updates sind meiner Meinung nach nicht so oft und zahlreich wie bei Windows + GUI. Aber soll jeder so machen, wie es am besten läuft und flexibel ist.  

---

Hmm... die Server, die ich betreue haben alle (bis runter zum Wortmann-MiniServer) ein BMC-Managment. Einwahl auf den Router (z.B. Sophos --> geht immer) und dann auf das Servermanagment inkl. Remoteübertragung der Konsole oder (wenn der HV läuft) mit TightVNC.

Wenn das alles nicht funktioniert, ist der Tag eh im Ar....

Grüße

Chr.Ockenfels