blog.atwork.at

news and know-how about microsoft, technology, cloud and more.

Windows Azure Backup-Teil 1: Cloud-Backup einrichten

Vor kurzem wurde die Verfügbarkeit der Vorschau-Version (Preview) von Windows Azure Backup bekanntgegeben. Azure Backup dient zur automatisierten Sicherungen von Daten in Windows Azure, sozusagen das Backup in der Cloud. Von dort können gesicherte Daten leicht wiederhergestellt werden - ganz ohne eigene Infrastruktur!

Benutzer von Microsoft DPM kennen diese Funktionalität bereits: Die automatische Sicherung läuft über einen Agent (einen Dienst auf dem lokalen Computer). Mit einem kleinen Verwaltungsprogramm kann jeder berechtige Benutzer seine Daten wiederherstellen. Azure Backup ist nicht nur für Verzeichnisse und Dateien, sondern auch für Virtuelle Maschinen geeignet - eine gute Bandbreite vorausgesetzt.

Die Beschreibung dafür lautet so: "Verwalten Sie Cloudsicherungen über die bekannten Sicherungstools in Windows Server 2012, Windows Server 2012 Essentials oder System Center 2012 Data Protection Manager. Diese Tools bieten ähnliche Funktionen beim Konfigurieren, Überwachen und Wiederherstellen von Sicherungen auf lokalen Datenträgern und im Windows Azure-Speicher. Nach dem Sichern der Daten in der Cloud können autorisierte Benutzer Sicherungen auf einem beliebigen Server problemlos wiederherstellen.", siehe Windows Azure Wiederherstellungsdienste.

Hier die Schritt-für-Schritt Anleitung zur Konfiguration von Windows Azure Backup.

Azure Backup aktivieren

Natürlich wird zunächst ein Windows Azure Konto benötigt - dieses kann unter http://www.windowsazure.com/de-de/ angelegt werden. Für eine detaillierte Anleitung hierzu siehe Windows Azure und IaaS - Schritt 1 Anmeldung.

windows-azure-test

Das Backup-Feature muss im Azure-Konto unter https://account.windowsazure.com/PreviewFeatures aktiviert werden:

azure-backup-preview

Die Aktivierung erfolgt pro Azure Subscription:

azure-backup-preview-activate

Die Aktivierung erfolgt sofort, beim Vorschaufeature wird der Hinweis "You are active" angezeigt.

Einen neuen Tresor anlegen

Der neue Backup-Dienst erscheint danach links in der Verwaltungswebsite von https://manage.windowsazure.com/.

azure-backup-service

Im ersten Schritt wird ein "Tresor" in einer Region mit einem eigenen Namen angelegt.
Als Region kann zwischen Westeuropa, Ostasien und Westliche USA gewählt werden - bei uns macht wohl Westeuropa Sinn.

azure-backup-tresor1

Hinweis: Die Funktion ist kostenpflichtig (siehe ) und somit nur für Azure-Abos verfügbar, die kein Limit besitzen - also Bezahl-Accounts. Sonst folgt eine Fehlermeldung:

azure-backup-tresor-error

Die Kosten für den Dienst laut Windows Azure Preisdetails in http://www.windowsazure.com/de-de/pricing/details/#backup sind (ab den ersten  5GB - diese sind gratis) 0,1862 € pro Gigabyte und Monat in der Vorschauphase und danach 0,3546 € pro GB und Monat im normalen Betrieb.

azure-backup-preise

Die Abrechnung für Windows Azure Backup erfolgt anhand der durchschnittlichen täglichen Menge an komprimierten Daten, die über den Abrechnungszeitraum von einem Monat gespeichert werden. Die Daten werden komprimiert. Bei inkrementellen Sicherungen werden nur Änderungen in die Cloud übertragen.

Sobald der Tresor erstellt wurde, informiert die Hinweisseite über die Vorgangsweise zur Verwendung.

azure-backup-tresor-done

Zertifikat verwenden

Es ist ein eigenes öffentliches Zertifikat (x.509 v3 mit 2048 bit Länge) als .CER Datei erforderlich, für Spezifikationen siehe Upload certificates to the vault. Empfehlenswert ist die Verwendung eines offiziellen, öffentlichen Zertifikates.

Die zu schützenden Server benötigen natürlich genau dasselbe Zertifikat wie das Azure Backup. Also am Windows Server (der Rechner, der ge-backupt werden soll) die gewünschte .CER-Datei doppelklicken und im "lokalen Computer" in "Eigene Zertifikate" installieren.

Jetzt benötigen wir noch das Zertifikat als Exportdatei ohne Schlüssel. Dazu wird mmc.exe gestartet und mit Strg+M das Snap-In für "Zertifikate" des lokalen Computers hinzugefügt.

mmc-add-cert-snap-in

Nun wird das Zertifikat im Kontextmenü mit Alle Aufgaben/Exportieren in eine Datei geschrieben:

cer-export-installed-certificate

Der Assistent fragt nun nach der Art des Exports. Wählen Sie Nein, privaten Schlüssel nicht exportieren.

cer-export-no-key

... und als DER-codiertes X.509 Zertifikat (.CER) in eine Datei exportieren.

cer-export-x509

Die erzeugte .CER Datei kann nun verwendet und upgeloadet werden.

Testen - Ein eigenes Zertifikat erstellen

Für Testzwecke hilft das Tool makecert.exe - dieses kann u.a. von Certificate Creation tool (MakeCert.exe) bezogen werden. Die Syntax lautet grundsätzlich makecert [options] outputCertificateFile. Details hierzu sind in MSDN-Makecert.exe (Certificate Creation Tool) zu finden.

Wichtig: MakeCert.exe muss aus einer Kommandozeile (cmd) als Administrator ausgeführt werden!

Tipp: Wenn (auch mit mehreren verschiedenen Zertifikaten) immer dieselbe Fehlermeldung folgt, dass das Zertifikat nicht hochgeladen werden konnte...

azure-backup-upload-error

...dann sind die Parameter nicht korrekt. Erst ein Hinweis des Support-Teams zu einem Eintrag in social.msdn bringt die Lösung mit der korrekten Syntax für das eigene Testzertifikat. Der Befehl für ein gültiges Zertifikat (in meinem Beispiel mit dem Namen "tpcert2") muss demnach so lauten:

makecert.exe -r -pe -n CN=tpcert2 -ss my -sr localmachine -eku 1.3.6.1.5.5.7.3.2 -len 2048 -e 01/01/2016 c:\temp\tpcert2.cer

Siehe auch Could not upload self signed management certificate to Recovery Services -> Backup Valut(Preview).

Wenn makecert klappt folgt eine Meldung "Succeeded":

azure-backup-makecert-ok

Das erzeugte Zertifikat sieht dann etwa so aus:

azure-backup-makecert-info

Dieses wird dann wieder auf dem Ziel-Computer installiert (siehe oben).

Zertifikat in den Tresor uploaden

Das exportierte .CER-Zertifikat wird vom Server im Azure-Portal in den Tresor upgeloadet.

azure-backup-upload-cer

Das wars. Das Zertifikat steht jetzt auf der Cloud-Seite für Authentifizierung des Azure-Backups bereit.

azure-backup-cer-done

Den Agent herunterladen

In Schritt 2 folgt der Download des Agents. Es gibt zwei Versionen: Einen Agent für Windows Server 2012 und System Center 2012 SP1 - Data Protection Manager und  einen  Agent für Windows Server 2012 Essentials.

azure-backup-agent-download

nach dem Download wird das Setup auf dem Ziel-Computer ausgeführt.
Übrigens: Wer den Agent auf einem Windows-Client installieren will erhält eine Hinweismeldung:

azure-backup-agent-msg

Auf einem Windows Server 2008 R2 mit SP1 installiert der Agent ggf. einige erforderliche Komponenten nach...

agent-install

Dieser Installations- und Aktualisierungsvorgang kann einige Zeit dauern. Wenn alles installiert ist folgt die Fertigstellungsmeldung.

azure-backup-agent-finished

Nach einem Neustart ist Windows Azure Backup auf dem Client verfügbar.

azure-backup-client

Den Server registrieren

Wenn das Zertifikat vorhanden und der Client installiert sind folgt die Registrierung des Servers für das Azure Backup im Aktionen Bereich rechts:

azure-backup-register

Nun die Schritte durchgehen, ggf. Proxy eintragen und das importierte Zertifikat auswählen. Es werden nur am Computer installierte - also verfügbare - Zertifikate zur Auswahl angezeigt.

azure-backup-pick-certificate

Wenn das Zertifikat ausgewählt wurde, muss nur noch der entsprechende Tresor ausgewählt werden:

azure-backup--tresorid

... und eine eigene Passphrase (ein Kennwort mit mindestens 16 Zeichen) vergeben werden. Dieses sollte auch auf einem externen (!) Laufwerk gespeichert und sicher aufbewahrt werden.

azure-backup-passphrase

Der Assistent ist nach kurzer Zeit fertig und liefert eine Zusammenfassung.

azure-backup-wizard-finished

Kurze Kontrolle im Azure Portal:

azure-backup-tresor1-server

Damit ist die Konfiguration von Windows Azure Backup fertig.

In Teil zwei wird die Datensicherung eingerichtet und getestet!

Loading