Business Diskstation komplett aus ABB Backup wiederherstellen

[sugarDaddy]

Hallo, ich habe zwei DS1621+. Die eine DS ist produktiv im Einsatz mit ActiveDirectoryServer, SharedFolders, Docker und einer WindowsVM. Die zweite DS soll off-site stehen und einerseits als Backup dienen, andererseits als mittelfristiger Ersatz für die produktive DS dienen.

Meine Frage also: kann ich von der DS#2 via ABB ein komplett-Backup der DS#1 machen? Und kann ich ferner auf der DS#2 dieses Backup bei Bedarf sozusagen "einspielen", so dass die DS#2 zur produktiven Kopie der DS#1 wird?

Falls das nicht geht, wie könnte ich das Szenario anderweitig erreichen? HyperBackup von DS#1 auf DS#2, und daraus "Wiederherstellen"?

Vielen Dank für Antworten und Anregungen

 

[Thonav]

Wenn die beiden System komplett gleich sind (auch Festplattengröße), schau Dir das Paket Synology High Availability einmal an.

 

[sugarDaddy]

@Thonav Sie sind identisch - RAM & SSDs, nur hat die eine ein weiteres Volume aus 2 HDDs, die aber auch nicht mit in die Kopie sollen. Man muss wissen, dass die DS#2 woanders steht und sich per VPN ins Netz der DS#1 einwählt. Eine Leitung mit 30 down/30 up bei 30ms Ping (16er DSL mit Hybrid LTE).

High Availability wäre wegen der "Spiegelung" interessant, nicht unbedingt des Failovers wegen. Allerdings weiss ich nicht, ob a) angesichts der Anbindung die Performance der DS#1 leidet und b) die Leitung nicht ständig über Gebühr ausgelastet wäre. Immerhin muss der Rest der Aktivitäten des Unternehmens auch noch über diese Leitung laufen. Und fällt mal das LTE aus (10down/2up bleiben), reicht die verbleibende Bandbreite wohl nur für die Telefonie.

Mir wäre es lieber man könnte die Synchronisation z.B. außerhalb der Geschäftszeiten legen bzw. irgendwie Intervalle festlegen.

 

[Thonav]

Ich habe da auch für Dich an die Synchronisierung gedacht, nicht an Failover. Eine andere Alternative fällt mir Noob leider nicht ein.

Die Schlauen bitte übernehmen!

 

[Heimi75]

Active for Business Agent sichert die komplette NAS, siehe hier. So weit ich weiss, kann man nicht auswählen, was gesichert wird. Es geht auf dem Wege nur die komplette NAS. Für die anderen Lösung kommt „nur“ Hyper Backup in Frage (wenn die Konfigurationsdateien sowie die Pakete mitsollen). Sonst gibt es natürlich auch noch Drive, rsync oder eben High Availability. Bei dem vorher verlinkten Artikel ist klar ersichtlich, dass man eine NAS mit AfBA Agent nur auf eine gleiche Syno oder eine bessere wiederherstellen kann.
Betreffend Synchronisierung: bis die komplette NAS das erste Mal synchronisiert wird, dauert es eine Weile, das ist so. Über Datenflusssteuerung kann man aber die maximale Bandbreite für die Sychronisierung festlegen. Somit ist sichergestellt, dass die Leitung noch genügend Kapazität hat.

 

[sugarDaddy]

@Heimi75: danke, das schaue ich mir an! In meinem Fall hieße es aber, ich müsste DS#2 auch mit einem zweiten HDD-pool bestücken? Und hast Du bestätigt, dass ich auf der DS#2 quasi einen Dialog habe, "Aus diesem lokalen Backup vom System 'DS#1' dieses lokale System wiederherstellen"?

 

[Heimi75]

Ja, stimmt genau. Beide DS müssen genau gleich, bzw. die DS auf welcher das Backup aufgespielt wird, muss „besser“ (z.B. mehr RAM, Speicher oder Ähnliches) sein. Also musst Du Deine zweite Syno mindestens genau gleich bestücken. Unter Systemsteuerung => Aktualisieren & Wiederherstellen => Systemwiederherstellung kannst Du die Syno komplett wiederherstellen, welche über ABfB Agent gesichert worden ist.

 

[sugarDaddy]

@Heimi75 hmm... ich habe mir den von Dir verlinkten Artikel durchgelesen. Ich habe ihn so verstanden, dass Du DS#1 via ABB auf DS#2 backupst. Dann aber auf der DS#1 (nach einem system/factory reset) eine Wiederherstellung machst, indem Du auf das Backup auf DS#2 zugreifst.

Ich wollte auf der DS#2, unter Zuhilfenahme des dortigen Backups von DS#1, das DS#1 wiederherstellen. Wenn die DS#1 unrettbar kaputt ist.

 

[Heimi75]

EDIT: Du hast schon geantwortet, während ich schon am Schreiben war, darum noch der ursprüngliche Text; habe ihn nicht mehr angepasst.

P.S. eine Einschränkung könnte es geben, das kann ich zur Zeit aber nicht testen: das Backup muss afaik auf einer anderen DS liegen. Was Du machen könntest: Syno 1 auf Syno 2 sichern, das Backup wieder zB mit Hyperbackup sichern, zurück auf Syno 1 spielen, dort AfBB installieren, Sicherung einbinden und dann zurückspielen. Würde ich aber nicht machen, zu aufwendig. Macht bei Deiner Konfiguration meiner Meinung nach keinen Sinn, denn Du hast zwei 1621+. Also lass die „bessere“ als Hauptnas laufen und sichere auf die „schlechtere“. Wenn Du die Standorte tauschen willst, würde ich die Server physisch austauschen, das geht schneller. Mit HA hast Du bei einem Ransomangriff uU beide Synos gleich infiziert, inkl. Backups. Ich würde darum folgendes tun: mit AB4B die ganze Syno 1 sichern auf Syno 2. Einfachere Wiederherstellung, falls mal nur Software, Festplatten oder RAM beschädigt sind auf Syno1. Für den Fall, dass Syno2 komplett für Syno1 einspringen muss: Hyper Backup von Syno 1 auf Syno 2, ebenfalls von der ganzen Syno 1. Mit allen Applikationen, etc. Am besten auf USB-Festplatte an Syno2. So kannst Du die gesamte Syno 1 auf Syno 2 aufspielen, etwas nachjustieren, fertig. Ich würde beides machen, wenn Du den Speicherplatz hast. Zwei Fliegen mit einer Klappe.

 

[Heimi75]

Hab den Post noch nachbearbeitet, sorry.

 

[sugarDaddy]

@Heimi75 Danke für Deine Gedanken. Wobei das schon arg tricky wird grad. Ich versuche es zu sortieren - Du würdest tun:

1.) per ABB Syno1 auf Syno2 sichern. Das aber "nur", um Syno1 von Syno2 wieder herstellen zu können (wenn also Syno1 nicht kaputt kaputt ist).

2.) per HyperBackup die gesamte Syno1 auf eine externe Festplatte an der Syno2 sichern. Wenn Syno1 kaputt geht, kann man auf Syno2 von der externen Festplatte das Syno1 System lokal wiederherstellen (plus Nacharbeit). Klingt gut, weiss nur nicht, ob er ActiveDirectory, Docker, WindowsVM 1:1 wieder herstellt. Probiere das mal aus.

Was Du vor "Ich würde darum folgendes tun" geschrieben hast, habe ich nicht verstanden. Das lese ich mir jetzt wiederholt & konzentriert durch

Vielen Dank soweit!

EDIT: ok. Habs verstanden. An sich ne gute Lösung. Was mir nicht gefällt ist, dass ich von Syno1 auf Syno2 backupe (ABB und HB). Und damit Syno1 die credentials von Syno2 geben muss. Geiler wäre die Syno2 holt sich was von Syno1. Dann müsste niemand die credentials der Syno2 haben (wegen Sicherheit).

 

[Heimi75]

Deine Bedenken verstehe ich absolut. Habe hier was dazu geschrieben, wie meine Sicherheitsarchitektur aussieht. Aber Du kannst sowohl Hyper Backup als auch AB4B-Sicherungen verschlüsseln. Mache ich standardmässig. Das gute an der Syno-Architektur ist: Du kannst z.B. einem User nur Zugriff auf AB4B geben, nicht aber auf den Ordner, in dem die Sicherung liegt. Der wird dann für das Durchführen der Sicherung verwendet. Das mache ich standardmässig so. Auf keinen Fall den Admin der anderen Syno dafür benutzen! Sondern nur äusserst begrenzten Zugang. Und natürlich auch nicht die gleichen Passwörter!
Du riskierst damit zwar trotzdem (aber das Risiko bringst Du kaum weg), dass Deine letzten Sicherungen auch verschlüsselt sind im Ernstfall. Aber dank inkrementeller Sicherungen sind es die älteren nicht. Also wenn Du tägliche Sicherungen machst, dann kannst Du relativ gut Deine Syno wiederherstellen, auch wenn die letzten Sicherungen verschlüsselt sein sollten.
Active Directory Server kannst Du, soweit ich weiss, mit Hyper Backup sichern.
Auf Grund von Erfahrungen (aus Schaden wird man eben klug) sichere ich meinen Docker-Ordner, der unter anderem auch den Passwortserver enthält, verschlüsselt in die Cloud oder auf andere Synos alle paar Stunden. Ebenso meinen Mail-Ordner. Wichtige Ordner sichere ich auch mehrmals am Tag an verschiedene Orte. Meine Konfiguration ändert sich ja nicht dauernd, somit genügt da eine Sicherung täglich. Du kannst sämtliche Docker-Container exportieren und wieder herstellen, ebenso die VM‘s. Das musst du aber aber ab und zu manuell machen, wenn Du den AB4B Agent nicht benützt.
Wenn ich Deine Konfiguration so anschaue würde ich Dir eigentlich empfehlen, dass Du noch eine Syno der Plus-Reihe anschaffst mit genügend Speicherplatz um von dort aus die Sicherung der Syno1 zu machen! Eine 220+ oder 218+ reicht da. Dann hast Du die völlige Freiheit, ob Du auf Syno1 oder Syno2 wiederherstellst. Die Komprimierung von AB4B ist wirklich Spitze! Ich brauche nur knapp die Hälfte des Speicherplatzes meiner Syno 1621. Allerdings reklamiert AB4B noch, wenn Du weniger Speicherplatz in der sichernden Syno hast, als in der zu sichernden. Das ist etwas blöde. Aber Du hast dann Platz für maximal 1024 Versionen und kannst auch mehrmals pro Tag sichern.
Mit HA könntest Du dann Deine beiden Synos synchron halten. Dann hast Du keine Ausfallzeit. Bei HA fehlt mir persönlich aber die Erfahrung. Der WAV wäre bei mir definitiv nicht gegeben, wenn ich noch eine Syno 1621+ anschaffen würde…
Aber somit gibst Du im Ernstfall einmal einfach einen Wiederherstellungsauftrag und es läuft alles vollautomatisch durch. Das muss ja das Ziel sein. Bei Hyper Backup-Wiederherstellungen ganzer Synos musst Du noch manuell Arbeiten machen, wenn Du alles wieder genau gleich haben willst. Nicht viel, aber auch das kostet Zeit.
Wenn Du auf eine andere Syno sicherst, dann musst Du immer Credentials geben. Aber die Frage ist, wie Du diese gestaltest: lässt Du einen potentiellen Angreifer “nur“ in ein Zimmer oder gleich ins ganze Haus? Und wenn ja, was kann er in dem einen Zimmer für Schaden anrichten? Das muss minim gehalten werden, darum meine obige Empfehlung. Ich würde mir das an Deiner Stelle überlegen. Zeit, die Du aufwendest, ist auch Geld. Du kannst natürlich auch die USB-Platte mit der AB4B-Sicherung drauf nochmals irgendwo spiegeln, aber wohin dann damit? Und auch da musst Du wieder immer manuell eingreifen.

 

[sugarDaddy]

@Heimi75 vielen Dank für alle den Input!

Also ich habe gestern Nacht nochmal experimentiert. Habe zwei DS216+II hier rumstehen. Die "aktive" macht ohnehin voll-HyperBackups auf ne externe Platte. Habe dann die externe Platte an die frisch resettete zweite DS angeschlossen und von der Platte restored. Dauert 'ne Weile (Daten), aber volumes und shared-folders waren da (wichtig ist eine vorige Integritäts-Prüfung des Backups). Benutzer, Rechte und alle Apps auch. Docker allerdings ist nicht mit drin, weil third-party denke ich. Und VMM läuft auf DSM7.1 nicht mehr, konnte ich also nicht testen. Aber wie Du schreibst, da muss man vorsorgen. Indem einerseits die persistenten Daten außerhalb des Containers bzw. der VM liegen, und andererseits das Setup der Container bzw. VMs vorbereitet/gescripted ist. Und man muss ein wenig nacharbeiten. Und klar, auf Syno2 muss ein Nutzer existieren, dessen Zugriff sich auf das Schreiben des Backups beschränkt, sei es ABB oder HyperBackup.

Wenn ich also von Syno1 auf Syno2 sichere, bzw. auf die externe Platte an letzterer, so habe ich ein Backup von dem ich auf Syno2 restoren kann. So zumindest für die HyperBackup Variante. Um das mit ABB zu erreichen, bräuchte ich eine weitere DS mit ausreichend Platz, und mache die ABB-Backups von Syno1 dort hin. Ich könnte die Syno1 von dort bare-metal wieder herstellen, oder auch die Syno2.

War mir nicht bewusst, dass wenn Syno1 auf Syno2 (Platte) per HyperBackup versioniert sichert, Syno1 nicht mehr die älteren Stände auf Syno2 bearbeiten/löschen kann. Ich würde sonst auf Syno2 regelmäßig das Backup von der externen Platte auf die interne sichern (ggf. nicht versioniert). So könnte ich, sollte selbst das Backup auf der externen Platte an der Syno2 gelöscht worden/verschlüsselt sein, eine "neue externe Platte" erstellen, von der ich restore.

Ich werde nochmal testen, ob ich nicht Syno2 von einem HyperBackup restoren kann, welches auf der eigenen internen Platte liegt. Sollte ja eigentlich auch gehen. Ich könnte dieses HyperBackup dann ausserdem auf einem shared-folder liegen lassen, wo ich regelmäßig Snapshots mache, und so im Zweifel der Syno1 den Zugriff auf alte Versionen des Backups entziehe.

Bei High Availability bin ich mir nicht so sicher (hab' aber auch keinen Plan, weil nie genutzt). Ich erwarte eigentlich Probleme, angesichts dessen dass beide Systeme sich in Echtzeit synchron halten sollen, aber per VPN über eine schlechte Internetverbindung ins selbe Netz gesetzt werden. Der einzige Vorteil wäre ja, dass Syno2 sofort für die Syno1 einspringen kann (auch übers Netz) oder sie binnen einer halben Stunde physischer Ersatz direkt im Netz von Syno1 sein könnte.
Wenn ich aber binnen 1-3 Stunden Syno2 aus einem Backup der Syno1 wiederherstellen kann, reicht mir das eigentlich. Während eine HA-Syno2 aber sicher funktionieren würde, muss sich erst beweisen ob das Restoring auch sicher durchläuft (bei mir failte es gestern beim ersten Versuch). Man müsste also regelmäßig einfach zur Sicherheit versuchen Syno2 aus dem Backup heraus aufzubauen.

Cloud (z.B. C2) verschlüsselt wäre auch noch eine Option. Aber wenn ich obiges Szenario "sauber" hinbekomme, ist es mir lieber die Cloud außen vor zu lassen. Muss ich nochmal sacken lassen.

Merci!

Edit: die Syno2 muss ja quasi nur den Benutzer für das HyperBackup vorhalten. Ich könnte die Syno2 ja auch von sich selbst ein voll-HyperBackup auf die externe Platte machen lassen. So kann ich dann und wann aus dem Syno1-Backup auf die Syno2 restoren. Und wenn es gut lief, dann resette ich die Syno2 komplett und restore aus dem Backup der Syno2 von zuvor. Dann habe ich wieder den Backup-Benutzer und den eigenen HyperBackup-Task.

 

[Heimi75]

Docker allerdings ist nicht mit drin, weil third-party denke ich. Und VMM läuft auf DSM7.1 nicht mehr, konnte ich also nicht testen. Aber wie Du schreibst, da muss man vorsorgen.

Absolut richtig. Aber wenn man das einmal richtig macht, dann ist das kein Problem. Ich habe beim Experimentieren kurz bevor AB4B Agent herauskam, versehentlich Volume 1 und Volume2 meiner 1621 “zerstört“… Aber ich hatte extra gerade vorher ein Backup gemacht. Konnte absolut alles wieder mit Hyperbackup wiederherstellen. War einfach ein bisschen Arbeit, wegen Docker, aber hat alles einwandfrei geklappt und ohne Datenverlust.

Ich werde nochmal testen, ob ich nicht Syno2 von einem HyperBackup restoren kann, welches auf der eigenen internen Platte liegt. Sollte ja eigentlich auch gehen.

Mache ich auf der 1621, auf einer eigens definierten Platte. Das geht! Restore funktioniert so schnellstmöglichst, da intern.

Die 216+II kann auch AB4B, wenn Du BTRFS-Festplatten machst. Dann hättest Du beste Voraussetzungen, um es doppelt laufen zu lassen mit AB4B Agent. Doppelt genäht hält besser! Du könntest so sogar beide Syno 1621 auf diese Art auch noch sichern. Zusätzlich noch Hyper-Backups von den beiden 1621. Dann könntest Du je eine 216er als Sicherungs-DS gebrauchen. Ideale Voraussetzungen. Einfach die Festplattengrösse, die muss stimmen für AB4B wie schon beschrieben. Hyper Backup spielt das keine Rolle. Wenn der Festplattenplatz nicht reicht, dann bricht es ab.
Schlussendlich kennt jeder seine Konfiguration am besten und muss selber entscheiden, wie er es im Falle des Falles machen will/soll.
Mit HA kenn ich mich auch nicht aus, aber wenn die Internetleitung nicht gut ist, würde ich, wie Du geschrieben hast, es bleiben lassen. Obwohl die Verlockung bei Deiner Ausstattung (2 1621+) für mich sehr gross wäre, es trotzdem zu probieren .