Sichern von Azure-VMs und lokalen virtuellen oder physischen Maschinen mit Cloud-Mitteln in die Azure Cloud (Teil 5)

Sichern von lokalen Windows-Rechnern mit dem Azure Backup Agent

Du verfügst hoffentlich über ein Backup-Konzept für deine lokalen physischen oder virtuellen Server? Betreibst du außerdem nach und nach mehr Server auch in der Azure-Cloud, bietet es sich eventuell ein, deine Sicherungsstrategie zu überdenken, denn mit „Azure Backup & Site Recovery“ bietet Microsoft einen Service an, der gleichermaßen als Cloud-basierter Backup-Service sowie als kostengünstiges, skalierbares, hochverfügbares und sicheres Speicher-Backend „in der Cloud dient. In dieses Artikel befassen wir uns mit dem Sichern von Dateien & Ordnern von lokal betriebenen physischen oder virtuellen Windows-Servern/Workstations.

Nachdem wir uns nun in mehreren Artikeln mit dem Sichern von Azure-Workloads, namentlich Azure-VMs, Azure-VMs mit SQL-Server, Azure-VMs mit SAP HANA und Azure Dateifreigaben nach Azure mit Hilfe des Dienstes „Azure Backup und Site Recovery“, repräsentiert durch den Azure-Entitätstyp „ReCovery Services Tresor“ (RSV) befasst haben – in diesem Fall sind Sicherungsquelle, Sicherungsziel und Ausführungsort des verwalteten Sicherungsdienstes die Azure Cloud – geht es in diesem Beitrag um das Sichern von lokal (oder in anderen Clouds, wie z. B. AWS) ausgeführten virtuellen oder physischen Windows-Computern. Der hier vorgestellte Microsoft Azure Backup Agent unterstützt definitiv keine Linux-Maschinen.

MARS-Agent

Ein Weg dies zu tun, ist das Verwenden des „Microsoft Azure Recovery Service Agent“ (MARS), für virtuelle oder physische Windows-Server-Computer. Herunterladen und installieren wirst du ihn in der Regel direkt auf der zu sichernden Maschine selbst, es sei denn, du verwendest lokal einen zentralen Sicherungsserver in Form des Azure Backup Servers (MABS) oder des System Center Date Protection Managers (DPM). Diese beiden Lösungen sind Gegenstand des nächsten Beitrages dieser Serie.

Die Bezeichnung Agent steht im ersten Fall (also ohne MABS oder DPM) nicht nur für die Kommunikationskomponente, welche die Verbindung zu Azure verwaltet (der eigentliche Agent), sondern dann auch für die komplette Sicherungssoftware selbst. Du findest den MARS-Agent direkt auf der der zugehörigen https://learn.microsoft.com/en-us/azure/backup/install-mars-agent Microsoft-Lean-Seite. Eine direkten Download-Link gibt es auch auf der Seite der https://aka.ms/azurebackup_agent Support-Matrix. Der kannst du auch entnehmen, dass die Software ausschließlich für Windows-VMS verfügbar ist. Du kannst den Agenten aber auch von zwei Stellen direkt aus dem Recovery Services Tresor heraus herunterladen, wenn du diesen im Azure-Portal auf der betreffenden Maschine öffnest. Du findest ihn z. B. unter „Einstellungen / Eigenschaften“ im Abschnitt „Sicherung“ bei „Recovery Services Agent“.

Du kannst aber auch direkt auf „Erste Schritte / Sicherung“ klicken, bei „Wo wird Ihre Workload ausgeführt“ den Eintrag „Lokal“ wählen und bei „Was möchten Sie sichern“ den Eintrag „Dateien und Ordner“.

Hier findest du im ersten Schritt „Recovery Services Agent“ gleich die Option zum Download des Agenten.

Im Zuge der Installation des Agenten auf der zu sichernden Maschine wird diese auch gleich beim zugehörigen Azure-Dienst registrierst. Dadurch fallen in Deutschland 5,80 Euro (für Instanzen bis max. 50 GB) im Monat an Kosten an, zzgl. zur im Sicherungstresor belegten Kapazität. Datenübertragungskosten fallen wie bei allen Azure-Backup-Szenarien nicht an. Den kompletten Ablauf des Sicherungsprozesses illustriert Microsoft in der Installations-Dokumentation für den MARS-Agent auf Ms Learn (siehe unten). Du kannst das auch an der „Dramaturgie“ im Dialog zur Vorbereitung der Infrastruktur im Bild oben gut erkennen. Microsoft weist an dieser Stelle auch darauf hin, dass es „überflüssig“ ist, den MARS-Agenten für Azure-VMs einzusetzen, weil du in Azure ohnehin die komplette VM sichern kannst.

Du kannst in der Abbildung von Microsoft auch gut erkennen, dass du den MARS-Agenten nur für Windows-Server und Windows Workstations verwenden kannst. Da es sich „nur“ um eine Sicherung auf OS-Ebene für Dateien und Ordner handelt, ist auf diesem Wege selbstverständlich auch kein Bare-Metal-Recovery möglich, d. h. du muss immer erst die Ziel-VM neu aufsetzen, bevor du gesicherte Dateien und Ordner wiederherstellen kannst.

Wie du der Abbildung entnehmen kannst, musst du erst deinen Recovery Services Tresor erstellen und kannst dann auf dem Ziel-Server oder Client den MARS-Agenten installieren. Dabei wird dieser Server beim Dienst Azure Backup und Site Recovery registriert. Wie das genau geht und wie du dann eine Sicherung konfigurierst schauen wir uns in den folgenden Schritten an:

Tresorschlüssel und Firewall

Bevor wir starten, solltest du dir über die Wichtigkeit des Tresor-Schlüsseln im Klaren sein, den du unter keinen Umständen verlieren darfst. Microsoft behält nämlich diesen Schlüssel nicht, d. h. bei Verlust des Schlüssels, sind deine Daten verloren. Konkret verschlüsselt der Dienst deine Daten mit einer Passphrase, die im Verlauf der Installation und Registrierung des MARS-Agents von dir anzugeben ist oder generiert werden kann. Diese Passphrase ist zum Abrufen und Wiederherstellen der Sicherungsdaten erforderlich, d. h. du musst sie unbedingt an einem sicheren externen Speicherort ablegen. Microsoft empfiehlt dazu einen Azure Key Vault. Außerdem musst du vor der Installation noch Folgendes wissen:

Der MARS-Agent benötigt Zugriff auf Microsoft Entra ID, Azure Storage und Azure Backup-Dienstendpunkte. Du muss daher den Zugriff auf die IP-Adressen für Azure Backup (AzureBackup), Azure Storage (Storage) und Microsoft Entra ID (AzureActiveDirectory) in deiner Firewall erlauben. Außerdem benötigen Netzwerkkonnektivitätsprüfungen des Betriebssystems abhängig von deiner Windows-Version Zugriff auf www.msftconnecttest.com oder www.msftncsi.com. Hat der zu sichernden Windows-Server oder Client lediglich eingeschränkten Internetzugang sorge dafür, dass die Firewall-, Proxy- und Netzwerkeinstellungen den Zugriff auf die folgenden FQDNs erlaubt:

• .microsoft.com
• *.windowsazure.com
• *.microsoftonline.com
• *.windows.net
• *.blob.core.windows.net
• *.queue.core.windows.net
• *.blob.storage.azure.net

Installation des MARS-Agents

Schauen wir uns jetzt die Installation des MARS-Agents an. Sofern du nicht über Azure-Backup-Server (MABS) oder System Center Data Protection Manager (DPM) sicherst, installierst du den Agenten auf der Maschine, die du sichern möchtest. Lade den Agenten über einen der drei oben vorgeschlagenen Wege auf deine Maschine herunter. Am sinnvollsten ist es, wenn du ihn aus dem Dialog „Infrastruktur vorbereiten (siehe oben)“ herunterlädst, sobald du eine lokale Maschine zur Sicherung ausgewählt hast.

Setze dann den Harken in Punkt 2 des Assistenten zum Herunterladen der Tresoranmeldeinformationen und klicke auf „Herunterladen“. Du kannst die Tresoranmeldeinformationen z. B. im Downloads-Ordner der VM ablegen. Hierbei handelt es nicht um den oben erwähnten Tresorschüssel. Die Tresoranmeldeinformationen werden lediglich zum Registrieren der Maschine beim Sicherungstresor benötigt und laufen nach 10 Tagen automatisch ab. Jetzt kannst du den heruntergeladenen Installer per Doppelklick starten und die einzelnen Schritte im Prinzip mit den Default-Werte (z. B. Installationspfad, Cache Location, Proxy, Updates) durch einen Klick auf „Next“ durchwinken, sofern du keine besonderen Anforderungen hast.

Die Software benötigt Microsoft .Net Framework > 4.5 und Windows Powershell. Sind beide Komponenten nicht vorhanden, werden sie nachinstalliert. Nach Abschluss der Installation, kannst du durch Klick auf den Button „Proceed to Registration“ mit dem Registrieren des Servers beim Recovery Services Tresor fortfahren.

Hierzu benötigst du nun die oben erwähnten „Vault Credentials“, welche du ja z. B. im Downloads-Ordner abgelegt hast, d. h. mit einem Klick auf „Browse“ danach suchen kannst. Bedenke, dass die Tresoranmeldeinformationen nach 10 Tagen ihre Gültigkeit verlieren, bzw. dann neu generiert werden müssten.

Erst im nächsten Schritt „Encryption Setting“ kommt der Punkt, an dem du deinen Tresorschlüssel festlegt. Du kannst dir selbst eine ausreichend komplexe Passphrase (mindestens 16 Zeichen), bzw. ein Kennwort ausdenken oder du klickst auf „Generate Passphrase“.

Per Default möchte der Register-Server-Wizward diese Passphrase in einem vorhandenen Azure-Key-Vault ablegen, weshalb du an dieser Stelle eine passende Key-Vault-URI angeben müsstest. Hast du zu diesem Zeitpunkt keinen Key Vault, kannst du den entsprechenden Harken „Save Passphrase securely to Azure Key Vault (Recommended)“ auch rausnehmen und hast dann die Möglichkeit, den Tresorschlüssel lokal auf der Maschine abzulegen. Wir tun das in dieser Demo ausnahmsweise, auch wenn das sicher nicht zu empfehlen ist, indem wir auf „Browse“ klicken und einen lokalen Speicherpfad wählen.

In jeden Fall solltest du dafür sorgen, dass das Kennwort dort nicht liegen bleibt, indem du etwa nachträglich noch einen Key Vault anlegst, bzw. einen anderen sicheren Speicherpfad nutzt, wie ein Netzwerklaufwerk, USB-Stick oder eine andere Art von Cloud-Speicher wie z. B. One Drive. Handelt es sich um eine lokale Maschine – was beim MARS-Agent aus den genannten Gründen der Fall sein dürfte – ist ein lokaler Speicherpfad legitim, sofern er sicher ist.

Klickst du nun auf „Finish“, wird das Registrieren des Servers erfolgreich abgeschlossen.

Klickst du danach auf Close“ wird die eigentliche Sicherungssoftware gestartet, d. h. Agent und Sicherungslösung sind quasi dasselbe. Aufmerksamen Beobachtern wird am Look&Feel der Oberfläche von „Microsoft Azure Backup“ sicher auffallen, dass es sich hierbei im Grunde um das altbekannte Microsoft-Windows-Server-Backup im aufgepeppten Azure-Gewand handelt.

Zum Konfigurieren einer Sicherung klickst du nun rechts oben bei „Actions“ auf „Schedule Backup“. Wie du sehen kannst, hättest du hier theoretisch auch die Möglichkeit, einen anderen (neuen Server) bei Sicherungsdienst zu registrieren, um z. B. eine vorhandene Sicherung auf diesem wiederherzustellen, sofern du über gültige Tresoranmeldeinformationen zum Registrieren eines Servers, sowie den zugehörigen Tresorschlüssel (Passphrase) verfügst.

Klicke nun im „Getting started“-Assistenten auf „Next“, um auf der Seite „Select Items to Backup“ mit einem Klick auf „Add Items“ die zu sichernden Dateien und Ordner auswählen zu können. Du hättest hier durch einen Klick auf den gleichnamigen Harken optional auch die Möglichkeit, den „System State“ zu sichern. Wir sichern in diesem einfachen Beispiel exemplarisch lediglich den oben heruntergeladenen und im Downloads-Ordner abgelegten MARS-Installer. Um komplexere Pfadmuster zur Auswahl der zu sicheren Daten umsetzen zu können dienen die „Exclusion Settings“.

Im nächsten Schritt „Specify Backup Schedule“ hast du die Möglichkeit, einen Sicherungszeitplan nach deinen Vorstellungen zu konfigurieren. Wir verzichten darauf, weil wir wie bei den anderen Beiträgen dieser Serie einfach den vorgeschlagenen Zeitplan übernehmen und anschließend (ad hoc) direkt sichern.

Das gilt auch für die vorgeschlagene Retention Policy. Bei Bedarf passe die wöchentliche, monatliche und jährliche Richtlinie an deine Bedürfnisse an.

Im Schritt „Choose Initial Back Type (Files and Folders)“ kannst du Folgendes entscheiden: Azure Backup transferiert ein vollständiges initiales Backup deiner Daten nach Azure. Nachfolgende Backups sind dann inkrementell, behandeln also nur die geänderten Daten.

Per Voreinstellung geschieht dies über das Netzwerk, also im Normalfall über das Internet, sofern du nicht über eine private Leitung verfügst (VPN oder Express-Route). Microsoft bezeichnet diese Variante als „Online“-Backup. Mit der „Offine“-Option hast du z. B. bei nicht ausreichender Internet-Bandbreite aber auch die Möglichkeit, dein Backup zu „stagen“, etwa mit Hilfe einer https://learn.microsoft.com/en-us/azure/databox/data-box-disk-overview  Azure Data Box Disk oder unter Zuhilfenahme eigene Disks in Form der https://learn.microsoft.com/en-us/azure/import-export/storage-import-export-service  Azure Import/Export Services.

Im letzten Schritt „Confirmation“ muss du nach dem Kontrollieren deiner Eingaben nur noch auf „Finish“ klicken.

Der erfolgreich eingeplante Backup-Auftrag sieht wie folgt aus:

Du kannst den Backup-Job-Assistenten jetzt schließen und im Action-Menü rechts oben auf „Back Up Now“ klicken. Dann startet der „Back Up Now“-Wizard. Hier entscheidest du zuerst, ob du „Files und Folders“ oder den „System State“ sichern möchtest. Letzter ist bei uns ausgegraut, weilt wir die Funktion im Sicherungsauftrag nicht konfiguriert haben.

Im nächsten Schritt „Select Items to Backup musst du nur noch das zu sichernde Volume bestätigen (hier C:\).

Danach musst du die gewünschten maximale Aufbewahrungszeit konfigurieren:

Mit „Next geht es weiter zur Zusammenfassung (Confirmation) und du kannst dein Backup mit einem Klick auf „Back Up“ durchführen.

Du kannst den Fortschritt nun wahlweise im Dialog „Backup progress“ verfolgen oder im Hauptfernster von „Microsoft Azure Backup“.

Nach Abschluss der Sicherung klickst du auf „Close“. Du kannst den Erfolg der Sicherung jetzt im Azure Portal in deinem Recovery Services Tresor unter „Geschütze Elemente / Sicherungselemente“ prüfen wahlweise aus der gesicherten Maschine/VM heraus oder von deinem Arbeitsplatzrechner. Hier solltest du unter „Azure Backup Agent“ eines 1 erkennen.

Wiederherstellung

Du kannst jetzt z. B. auf die „1“ klicken, um die Details zur Sicherung einzusehen.

Hier sollte der „Status der letzten abgeschlossenen Sicherung“ „Erfolgreich“ sein. Du kannst in der Abbildung außerdem erkennen, dass der geschützte Server hier „srv1.“ Ist und das Sicherungselement „C:\“.  Klickst du jetzt auf „View details“ siehst du die vorhandenen Wiederherstellungspunkte.

Allerdings kannst du die Rücksicherung nicht von hier aus auslösen, im Gegensatz zu einem vollständigen Azure-VM-Backup. Es handelts sich ja nur um eine Sicherung von „Dateien und Ordnern“. Die Rücksicherung musst du auf der Maschine starten, auf der du die Sicherung zurückspielen möchtest. Damit ist wie schon erwähnt auch keine Bare-Metal-Wiederherstellung möglich. Im Normalfall sollte ja der Windows-Rechner selbst, auf dem du z. B. gelöschte Daten wiederherstellen möchtest noch existieren. Du kannst aber auch eine komplett neue Maschine aufsetzen und auf dieser die vorhandene Sicherung zurückspielen. Dann musst du aber auch den neuen Server zuerst bei Azure Backup registrieren, wie oben gezeigt.

Gehen wir aber in diesem Beispiel davon aus, dass der Server noch existiert und nicht erst wiederhergestellt werden muss. Starte dort dann einfach „Microsoft Azure Backup“ und klicke rechts oben bei „Actions auf „Recover Data“. Im ersten Schritt des Assistenten kannst du wählen, dass du die Wiederherstellung beispielweise auf diesem Server „This server (srv1.)“ durchführen möchtest.

Beim nächsten Schritt „Select Recovery Location“ kannst du in unserem Szenario nur „Primary Region“ wählen, d. h. die Wiederherstellung deiner Daten auf deinem lokalen Server erfolgt mit Sicherungsdaten aus der primären Region deines Sicherungstresors. Sofern du diesen lediglich mit LRS konfiguriert hast, geht auch nichts anderes. Bei GRS könntest du hingegen auch die Daten aus der Koppelregion wiederherstellen.

Im nächsten Schritt „Select Recovery Mode“ wählst du den Modus der Wiederherstellung. Mit der Voreinstellung „Individual files and folders“ wird ein Volume mit deinen Sicherungsdaten lokal gemountet und du kannst dann trotzdem noch einzelnen Dateien oder Ordner aus dem Gesamtbestand der gesicherten Daten individuell zur Wiederherstellung auswählen. Mit der zweiten Option „Volume“ wird in jedem Fall die gesamte Sicherung wiederhergestellt. Optionasl kannst du auch nur den Systemstatus wiederherstellen.

Danach im Schritt „Select Volume and Daten“ musst du noch Wiederherstellungs-Volume auswählen. In unserem Szenario gibt es nur „Laufwerk c:\“. Außerdem wählst du hier das gewünschte Sicherungsdatum aus und klickst auf „Mount“.

Dadurch wird das Sicherungs-Volume als Laufwerk eingebunden. Sofern du lokal keine weiteren Laufwerke hast, als Laufwerk C, findest du das Sicherungslaufwerk anschließend als Laufwerk E.\ eingebunden wieder.

Mit einem Klick auf Browse kannst du die gewählten Daten wahlweise im Windows-Explorer zur Wiederherstellung auswählen oder du verwendest Robocopy.

Bist du mit der Rücksicherung fertig, kannst du den Mountpunkt wieder lösen. Im Gegensatz einer vollständigen Azure-VM-Sicherung enthält das Wiederherstellungs-Volume hier tatsächlich nur die Daten der Sicherung.