Backupplanung

[asg]

Moin,

stecke gerade in der Backupplanung für unserer Server und PCs.
Zum Einsatz kommt bacula, aber das spielt keine Rolle, es geht mir vielmehr um eine ordentlich Planung des backups.

Stand ist:
- Mehrere Server, mehrere PC == ca. 70 GB bei einem fullbackup
- Ein Ultrium LTO2 Laufwerk mit 200GB

Idee ist nun drei Bänder zu nutzen. Nach einem Monat werden diese wieder von vorne beschriebenm, rotieren also.

1 Band full backup, 1 Band inkrementell. 1 Band differential

Nun kommt das Problem.
Da man das Band manuell entfernen muss fällt der Sonntag (aber auch der Samstag) als Backuptag flach. Gesellt sich also alles mehr oder weniger auf Mo-Fr.

Mein Idee bisher:
Erster Samstag im Monat == Fullbackup
Mo-Do == inkrementell
Fr == differential

Ich würde die backups nachts laufen lassen, bei den Servern kein Problem, nur die Windows Clients müssten dann auch immer eingeschaltet sein und die NIC dürfte sich nicht abschalten (oder WOL nutzen, was aber beim letzten Versuch nur bei 25% der Clients - die alle identisch sind- geklappt hat).
Ok, aber das sollte zu regeln sein.

Mo-Do also nachts das backup auf ein Band.
Fr. müsste ich das nächste Band nehmen und einlegen, kann das backup aber nicht nachts fahren, da ja am Samstag, auch wenn es nur immer der erste ist, ein anderes Band, das für das fullbackup benötigt wird (manuell).
Also das diff. Backup am Freitag mittag starten, Band raus, Band für fullbackup, rein. Gut ist.
Gefällt mir aber nicht sonderlich während des aktiven Betriebs ein backup zu machen und dabei auch die nachfolgenden Dateien nicht auf Band zu haben. Ok, am Montag würden die spätestens aufs Band kommen, würde aber im Falle eines Crashs (Einspielen letztes full, letztes diff, letztes inkr. backup= dazu führen das einige Dateien unter Umständen fehlen würden.

Wie würdet Ihr dies am besten regeln?
Merci vielmals.

 

[asg]

Achja, es müssen nicht drei Bändern sein, das können auch 50 sein. Oder das die Bänder eines Monats gelagert werden und erst nach einem Jahr das rotieren anfängt.
Oder oder oder.
Wer immer eine Idee hat, her damit.

 

[SierraX]

Eigentlich ist deine Planung wie aus dem Lehrbuch.
An deiner Stelle würde ich euren Chef dazu bringen, das keine Daten auf den Clients gespeichert werden dürfen (so wars z.B. bei Nokia). Für die Windowsclients existierten Grundimages welche nur noch auf die jeweiligen Positionen (IP etc)angepasst werden mussten. Die Daten wurden alle auf dem Homelaufwerk der jeweiligen Server abgelegt. Dadurch ist man nicht mehr von eingeschalteten Clients abhängig außerdem geht die Sicherung schneller da wesentlich weniger über das Netz beschafft werden muß. Die Nokia Sicherungen waren schon fast paranoid. Es gab 5 Sicherungen der Home Laufwerke. 1/4 Stunde 1 Stunde 1 Tag 1 Woche 1 Monat. Selbst wenn man absichtlich was gelöscht hat, dauerte es einen Monat bis es endgültig aus den Archiven der SERVER verschwand. Bänder werden 4 bis 10 Jahre im feuerfesten Stahlschrank (eigentlich eher ein Bunker) aufbewahrt.
Ich würde für jede inkrementell Sicherung ein eigenes Band verwenden.

Noch was. Verschaff dir genug zeit auf einen Virus mit einem Reinstall zu reagieren. 1 Woche sollte reichen. Bänder sind sollten nach einem Jahr komplett ausgetauscht werden, auch ein Durchwechseln der Bänder sollte gewährleistet sein also das nich immer die gleichen Bänder die gleichen Aufgaben haben. Das erhöht die Abnutzung

 

[lars]

Irgendwelche Daten fehlen immer.

Also das diff. Backup am Freitag mittag starten, Band raus, Band für fullbackup, rein. Gut ist.
...
Einspielen letztes full, letztes diff, letztes inkr. backup

Wenn du einen Crash hast, währenddem das full backup geschrieben wird, so kannst du deine Daten nicht restoren. Wenn ich dich richtig verstanden habe.
Du solltest also 2 full backup Bänder haben. Eins, das neu geschrieben wird und eins, von dem restored werden kann.

Darüber hinaus würde ich Backups auf zwei Medien machen,
auf einen Server und von dem dann auf Bänder.
So hast du fast ein Online-Backup und kannst die Bänder off-site lagern.

Vielleicht arbeitest du auch mit Snapshots, mksnap_ffs(8):
http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/snapshots.html
http://www.usenix.org/publications/library/proceedings/usenix99/full_papers/mckusick/mckusick.pdf

Ansonsten liebäugle ich mit einer ähnlichen Lösung, ziemlich wahrscheinlich aber mit kommerzieller Software.

 

[s-tlk]

Eigentlich ist deine Planung wie aus dem Lehrbuch.
An deiner Stelle würde ich euren Chef dazu bringen, das keine Daten auf den Clients gespeichert werden dürfen (so wars z.B. bei Nokia). Für die Windowsclients existierten Grundimages welche nur noch auf die jeweiligen Positionen (IP etc)angepasst werden mussten. Die Daten wurden alle auf dem Homelaufwerk der jeweiligen Server abgelegt.

ja genau so haben wir das. einen pdc für die windows clients der alle profile zentral speichert und natürlich jede menge anderer netzfreigaben. die alle jeden werktag gesichert werden (raid5 und bandlaufwerk).
jeder muss natürlich seinen kram in seinem profil (zb eigene datein ...) oder auf den freigaben speichern. wer das nicht tut hat selber schuld. da hatten wir letzens einen, der mußte dann seinen 20 briefe neuschreiben . pech! obwohl ich denen das 20. mal gesagt habe. naja wer nicht hören will muss fühlen.

auf jedenfall funzt dieses system

 

[asg]

Ja, hm, wäre kein Problem alles auf den Server auszulagern, zumindest die "Eigenen Dateien", dank Samba. Ich höre nur meinen Chef sagen:"Nene, wenn jetzt ein Client defekt ist kommt einer nicht an seine Dokumente, wenn der Server defekt ist kommt keiner an seine Dokumente." Recht hat er, muss ich die Dokumente eben noch auf einen weiteren Server spiegeln (he, HW-Kosten, wer soll das zahlen...). Ein steter Kampf gegen Windmühlen.
Dürfte dann darauf hinauslaufen das wir es später so machen, wenn neue HW kommt, bis dahin eben anders. Das "eben anders" wird dann für die nächsten Jahre so sein.
Mal sehen was sich machen lässt.

Aber was anderes. Und zwar zu dem Windows-Image. Wie ist das zu machen?
Ich stell mir das im besten Falle so vor: Auf einen Rechner, baugleich den anderen Clients, wird XP installiert, Office drauf und was sonst noch jeder braucht. Davon wird dann ein Image auf DVD (auf CD wird das nicht passen) gezogen. Das Image, wie gesagt, im besten Fall, ist dann bootfähig. Also PC Platte defekt, neue Platte rein, von der DVD booten, installieren, User einrichten, Share einrichten, fertig. Ja?
Also, wie soll das gehen?

EDIT: Hmm, mit BartPE müsste man das doch hinbekommen...

 

[genera]

warum so kompliziert? warum nicht was einfaches, robustes,
wie zB fünf Bänder,
jedes beschriftet mit einem Wochentag,
jedes ein Vollbackup.
Stell Dir nur mal vor, Du bist im Urlaub, bekommst einen Anruf auf Dein handie, und mußt dann Deinem Kollegen den Unterschied zwischen inkrementell und differential erklären. Das muß nicht sein.

ok, das alles hängt natürlich davon ab, für wen es gedacht ist und wie groß die Firma ist und was Du erreichen willst: durchnumerierte Bänder, deren Inhalt man nur mit einer geheimen Tabelle bestimmen kann, stellen natürlich eine tolle job security dar, für den, der die Tabelle hat :-)
Für eine robuste Lösung würde ich dagegen streng an der 5 Bänder Lösung bleiben.
(Und ich votiere für eine robuste Lösung)
Bei großen Firmen, mit mehreren Vollzeit Admins, mag es besseres geben, aber das scheint hier ja nicht der Fall zu sein, der Datenmenge nach zu urteilen.

Die 5 Band Geschichte wirst Du natürlich erweitern, beispielweise
- mit Freitagsbändern, also 5 Bändern, die 1. bis 5 Freitag im Monat beschriftet sind
- mit einem Testsystem, wo Du die Sicherungsbänder sporadisch mal einliest, um zu sehen, ob die Bänder noch gehen und ob das Konzept wirklich alle Daten erfaßt hat. Alles andere ist für manche kein backup im Sinne eines backup :-)
- mit einer Überlegung, was ihr bei Flut, Raubüberfall, Brand, einstürzenden Neubauten macht, also konkret, wo ihr die Freitagsbänder deponiert. Das hört sich alles sehr lustig und nach "wissen wir doch, steht doch im Lehrbuch" an, bis man es selber zum ersten Mal erlebt. Immerhin sind die Entscheider da einsichtiger geworden, seit der Liveübertragung vom (jetzt ex-) WTC. Und, Deponie heißt hier Bankschließfach. Nicht Privatwohnung eines Mitarbeiters, der nicht mal einen Safe hat. Nicht Wach-und-Schließgesellschaft, die die tapes von hunderten von Kunden in einem kleinen Fiesta durch die Gegend fahren.
- mit 12 Bändern, jedes beschriftet mit einem (anderen) Monatsnamen. Das hilft gegen Viren, wenn der von ihnen verursachte Schaden erst zufällig und nach Wochen entdeckt wird.
- mit einer Überlegung, wie lange ein recovery dauern darf. anders ausgedrückt, wie lange brauchst Du, wenn Du einen FBSD server im Akkord aufsetzt (1 Stunde?) und 70 GB von einem tape einspielst (4 Stunden?) Können dann eventuell alle Mitarbeiter außer dem admin für den Tag Feierabend machen? Das ist ev. akzeptabel, man muß es aber vorher kommunizieren, oder halt in hot-standby hardware investieren.
- mit einer Überlegung, wieviel Daten verlorengehen dürfen. Bei dem 5 Bänder Konzept kommst Du offensichtlich nur auf den Stand des Vortages zurück. Wenn Du mehr willst, wirst Du Dir wohl eher UFS snapshots anschauen müssen.
- mit einer Überlegung, aus welchen Anwendungen Du die Daten rausziehst. plain files kannst Du mit einem einfachen copy sichern, Datenbanken und mailserver in motion nicht. (also, entweder vorher per skript runterfahren oder online-backup zukaufen oder ignorieren. Machen manche..)
- mit einer regelmäßigen Kontrolle, ob das tape gerade Geburtstag feiert. Nach 2 Jahren sind tapes (sowohl die Bänder als auch die Köpfe) nämlich verschlissen. Danach kannst Du zwar weiter Deinen cronjob Daten draufschaufeln lassen und Deinem mißtrauisch fragenden Vorgesetzten enthusiastisch von dem Erfolgten backup erzählen, das tape ist trotzdem am Ende.

so, genug dazu. der thread wird bestimmt noch länger werden.

 

[asg]

warum so kompliziert? warum nicht was einfaches, robustes,
wie zB fünf Bänder,
jedes beschriftet mit einem Wochentag,
jedes ein Vollbackup.
Stell Dir nur mal vor, Du bist im Urlaub, bekommst einen Anruf auf Dein handie, und mußt dann Deinem Kollegen den Unterschied zwischen inkrementell und differential erklären. Das muß nicht sein.

Ja, ging mir auch schon durch den Kopf, habe ich aber wegen der Trivialität wieder verworfen ;-).
Glücklicherweise kennt mein Chef den Unterschied. Das Problem was dann auf mich zukommt ist, meinem Chef den Umgang mit Bacula zu erklären ;-)

ok, das alles hängt natürlich davon ab, für wen es gedacht ist und wie groß die Firma ist und was Du erreichen willst: durchnumerierte Bänder, deren Inhalt man nur mit einer geheimen Tabelle bestimmen kann, stellen natürlich eine tolle job security dar, für den, der die Tabelle hat :-)

Am liebsten wäre es mir wenn das Laufwerk die barcodes lesen könnte, würde es einfacher machen, und Beschriftung bräuchte es nicht mehr.

[...]
- mit einer Überlegung, was ihr bei Flut, Raubüberfall, Brand, einstürzenden Neubauten macht, also konkret, wo ihr die Freitagsbänder deponiert. Das hört sich alles sehr lustig und nach "wissen wir doch, steht doch im Lehrbuch" an, bis man es selber zum ersten Mal erlebt. Immerhin sind die Entscheider da einsichtiger geworden, seit der Liveübertragung vom (jetzt ex-) WTC. Und, Deponie heißt hier Bankschließfach. Nicht Privatwohnung eines Mitarbeiters, der nicht mal einen Safe hat. Nicht Wach-und-Schließgesellschaft, die die tapes von hunderten von Kunden in einem kleinen Fiesta durch die Gegend fahren.

Gibt es die "Einstürzenden Neubauten" noch ;-)?
Wir lagern unsere Bänder der AS/400 schon bei unserer Mutter aus (LBBW) und nochmals an einem anderen Ort (externer Dienstleister). Gleiches wird mit den Bändern dieser Sicherung geschehen.

- mit einer Überlegung, wie lange ein recovery dauern darf. anders ausgedrückt, wie lange brauchst Du, wenn Du einen FBSD server im Akkord aufsetzt (1 Stunde?) und 70 GB von einem tape einspielst (4 Stunden?) Können dann eventuell alle Mitarbeiter außer dem admin für den Tag Feierabend machen? Das ist ev. akzeptabel, man muß es aber vorher kommunizieren, oder halt in hot-standby hardware investieren.

Da unsere Server die gesichert werden redundant ausgelegt sind (ja, ganz toll, aber nicht der Applikationsserver an dem 80 NCs hängen, da habe ich was zusammengeschummelt das eine gewisse Redundanz gegeben ist), sollte das nicht das Problem sein. Worst Case wäre wenn beide ausfallen. Dann würde ich mit einer Stunde in etwa hinkommen. Das einspielen des Backups würde relativ schnell gehen da die grösste Datenmenge der Applikationsserver ausmacht und der Notes Server.

 

[lars]

@asg:
Zu Image-Software, sieh mal http://www.feyrer.de/g4u an.

Du setzt einen Muster-Client auf, installierst und konfigurierst alles.
Von dem machst du ein Image, das du auf einer Netzfreigabe (ftp) oder CD/DVD speicherst.

Nach dem Aufsetzen eines neuen Clients mit diesem Image musst du einfach die SID von Windows ändern, siehe dazu:
http://www.sysinternals.com/Utilities/NewSid.html

 

[asg]

@lars
Ah, stimmt, g4u. Ich war jetzt so auf Windows fokusiert das ich das glatt vergessen hatte ;-). Das mit der SID kannte ich noch nicht. Danke Dir. Schau ich mir mal an.

 

[SierraX]

da hatten wir letzens einen, der mußte dann seinen 20 briefe neuschreiben . pech! obwohl ich denen das 20. mal gesagt habe. naja wer nicht hören will muss fühlen.

Wir hatten ein Dipl. Ing. der das Problem mit Testergebnissen der letzten 3 Jahre (Wert etwa 150000 Euro) hatte.
Am anfang war er noch recht hochnaesig und hat gemeint, wir seien der Helpdesk wir haben ihm also zu helfen. Als er dann nach ein paar Tagen pampig wurde weil ich es nicht zu 100% schaffte. Hab ich es ihm so erklaert. Haette er sich an die internen Vorschriften gehalten (die ihm bekannt waren) waere ein Festplattenausfall kein Problem gewesen da sich ja alles auf dem Server befindet. Wenn er eine Datenrettung im wert von 30000 bis 50000 Euro braucht muss ER zum Chef gehen und ihm erklaeren warum die Daten weg sind.
Hat schonmal jemand ausser mir einen demuetigen Dipl. Ing. gesehen?