Pull to refresh

Comments 59

UFO just landed and posted this here
Серверный агент в три раза дешевле Акрониса, правда и гранулярного восстановления приложений в нём нет.

Гранулярное восстановление приложений может быть выполнено с помощью семейства продуктов Veeam Explorers, доступных в Veeam Backup (в т.ч. в бесплатной версии), при условии, что бэкап был выполнен серверной редакцией Veeam Agent. Ограничения Veeam Explorers в бесплатной версии Veeam Backup можно посмотреть в этом документе: "Veeam Backup Free Edition: Различия бесплатной версии и платных редакций".

Привет.

Почему же нет, когда есть :)

Все возможные item level restore (AD, Exchange, Sharepoint, SQL, Oracle) поддерживаются для агента серверной лицензии.

Важная деталь — все дополнительные типы ресторов (export as virtual disk, restore to Azure, restore to Hyper V, application item restore) выполняются через консоль Veeam Backup & Replication. А теперь самый приятный момент: лицензия Veeam B&R для рестора агентского бакапа не нужна т.е. можно использовать Veeam B&R Free.
Спасибо, а то в самом посте про это ни слова.
Не за что. На самом деле интеграция с Veeam Explorers в VEB есть с версии 1.0, правда в «базовом» вариант без сбора метаданных, кастомизации кредов для доступа к приложениям итд. Всеми необходимыми настройками обзавелась серверная версия VAW в виде фичи Application Aware Processing.

P.S. Подробное сравнение редакций VAW выйдет в свет вместе с релизом VAW 2.0
Полезно: Если вы случайно потеряете или забудете пароль, то в этом диалоговом окне можно задать новый. Он и будет затем использоваться при восстановлении из файлов цепочки бэкапов (включая те, что были зашифрованы со старым паролем).

Значит ли это, что при задании нового пароля старые бекапы будут перешифрованы?

Новым паролем будут шифроваться новые бэкапы, т.е. созданные заданием после ввода нового пароля. Шифрование выполняется на стороне источника, так что старые бэкапы будут храниться на таргете в том виде, в каком они были туда записаны.
Ваш ответ противоречит тому, что написано в статье: «при восстановлении из файлов цепочки бэкапов (включая те, что были зашифрованы со старым паролем)». Если старые бэкапы не перешифровываются и пароль утерян, то их невозможно использовать. Получается при задании нового пароля должен создаваться полный бэкап? А все старые можно удалить, т.к. они уже бесполезны.
>>Получается при задании нового пароля должен создаваться полный бэкап?

Совершенно верно, так все и происходит — после указании нового пароля в ближайшую сессию (проход задания) создастся полный бэкап. Блоки шифруются сессионными ключами, и для каждого прохода генерируется новый сессионный ключ – т.е. блоки каждой точки зашифрованы своим ключом. Каждый сессионый ключ лежит в файле метаданных, тоже в зашифрованном виде. Зная последний (новейший) пользовательский пароль и имея полный файл метаданных, можно по цепочке расшифровать все ключи, которые в зашифрованном виде хранятся в этом файле.
Поправлюсь: при смене пароля в ближайшую сессию цепочка продолжается инкрементом, полный создается при включении опции шифрования.
Простите, но ведь это значит, что поставщик услуги (то есть veeam) может в одностороннем порядке в любой момент расшифровать любой сохранённый в облаке бэкап?
Смотрите, вот установлен у меня некий пароль, агент его всё время использует чтоб создавать инкрементальные бэкапы. По идее без указания мной пароля никакое прочтение бэкапов не должно быть возможным.
Теперь я меняю пароль.
Агент, зная уже только новый пароль, передаёт его и новые данные на сервер, где они спокойно сличаются с сохранёнными бэкапами, если судить по некоторым комментариям. А как это может быть осуществлено, если они предполагаются зашифрованными, а пароль удалён?
Данные в бекапе шифруются не пользовательским ключом, а ключами сгенерированными на его основе. Их аж три.

У нас в документации есть довольно подробное описание всех алгоритмов шифрования. Нам скрывать нечего =)
Он как standalone приложение и через B&R не управляется?
UFO just landed and posted this here
В данный момент не управляется, но через консоль BR видны сами агенты, видно, что они бэкапятся и статус выполнения, так же видны сами бэкапы.

А для управления, как я понимаю, будет использоваться Veeam Availability Console, которой еще предстоит выйти в свет.
Ну это уже неплохо, не надо на каждый сервак ходить проверять. А так ждём Availability Console
Ах, ну и да, на емэйл так же приходят отчеты о том забэкапился агент, или нет.
Ну когда большое кол-во серверов и 100500 тасков, мне уведомления на почту как то не очень удобно, предпочитаю в консоль просто посмотреть и увидеть последнее состояние задачи
Так можно же получать только статус по Failed, такое лучше не пропускать :)
Они же перезапускаются ещё N раз, так что первый раз может и сфейлится, а потом пойти уже нормально. Так что я всё-равно по утрам в консольку гляжу :)
VBR в данной версии выступает в роли бакап репозитория и центра выдачи лицензий агентам (плюс весь текущий функционал для агентов backup to tape/backup copy etc)

и на правах рекламы :)

В платных Desktop/Server версиях поддерживается импорт/экспорт настроек в xml. Плюсуем возможность silent install и получаем раздачу бакап агента через любые Central Management'a или скрипты
UFO just landed and posted this here
Конечно можем.

Для версии 1.5
https://helpcenter.veeam.com/endpoint/15/installation_unattended.html

Для версии 2.0 нужно добавить еще один параметр accepteula:
<path_to_exe> /silent /accepteula
У меня у одного цепляется глаз в заголовке за фразу «for Microsoft Windows 2.0»? А для Windows 3.11 for workgroups версии нету?
</humor>
Я правильно понимаю, что:

Ни бэкапа в облако onedrive/google/облако@mail/yandex.disk
Ни раздельного бэкапа ОС и файлов

мы в Endpoint Backup Free не увидим?
Бекап отдельных файлов есть с самой первой версии.
Я хочу два задания, одно для ОС раз в неделю с ротацией в три резервных копии, и одно для файлов ежедневно с ротацией в две недели. Разные данные разные RPO/RTO/
Можно попробовать схитрить и использовать API для импорта/экспорта конфигурации. В разных xml можно держать разные настройки заданий и переменно их импортить/экспортить в продукт через API. Я сейчас такой воркэрауд активно тестирую в своей лабе – и результаты пока положительные.
Я уже старый и ленивый. Если решение при скалировании на 1000 ПК требует 1000 раз что то сделать руками, доставить костыль и держать в голове нюансы — я такое решение стараюсь не использовать.
Сделал и забыл, если нужно починить — там все должно быть явно, а не 10 задач в таскшедулере, которые там чего то подменяют и перезапускают.
А странно хотеть от базового и бесплатного решения для домашней машины, функционала для обслуживания 1000 ПК.
Или нет?
Напомните мне, кто выпускает бесплатную версию своего коммерческого продукта и при этом не собирает телеметрию? Кто этот меценат? Т.е. оно уже не бесплатно.
Кому выгодно, что бы их продукт легко разворачивался на 1000 ПК с минимальным, необходимым пользователю функционалом? И при этом мониторился, управлялся и имел кучу свистелок и перделок за платно?

Следуя моей логике вывод то простой. Эт не я слишком многого хочу, это продукт не доведен до нужного удобоваримого состояния на текущий момент.

Сегодня оно у меня дома и ПК родственников, завтра я развернул это на офис из 1к+ ПК с минимумом трудочеловекочасовзатрат, а после завтра купил пакет управления всем этим добром за овердофига вечнозеленых. Просто потому что корректно отработало спасение после очередного шифратора на ПК очередного зам по экономике у которого миллион файлов, который этот замечательный человек не удосужился залить в портал или файлошару. И необходимость аргументации покупки отпадает сама собой.

Так кому выгодно что бы у бесплатного решения для «домашней» машины был функционал на 1000 ПК?
> onedrive/google/облако@mail/yandex.disk

можно через локальную папку на диске, но с учетом ограничений на размер файла каждого из облачных вендоров.

> Ни раздельного бэкапа ОС и файлов

File level backup mode — можно и volume и file level комбинировать
Прошу прощения, видимо не слишком точно довел свою мысль.

Бэкап в папку, которую синхронизирует клиент облачного диска имеет недостаток: бэкап ест место на локальном диске, и этого места на двухнедельные копии может банально не быть.
Файлы бэкапа могут быть повреждены или удалены, например шифратором или кривыми руками, и все эти изменения тут же улетят в облако, что делает такой подход к резервному копированию бессмысленным.
Плюс нюанс связанный с тем, что я, например, хочу бэкапить в свое бонусное 10Тb облако не только с своего ПК, но и например, с ноутбука жены, ноутбуков родителей моих и её, с ПК ребенка. Но при этом я не хочу ставить клиент облачного диска на их устройствах и держать его активным под моей учетной записью.

Вопрос задавался в контексте того, что в VEP хотелась киллерфича с умением бэкапить напрямую в пользовательское облако, в папку, которая не синхронизируется на локальные диски. Так что контроль размеров файлов, дедупликация на источнике — само собой разумеющиеся для такого функционала вещи.

| File level backup mode — можно и volume и file level комбинировать
Как только я ставлю галку на «Operation system» на диске С: я уже никакие папки выбирать не могу.
На других дисках, да. Правда не всегда есть эти самые другие диски.

Но мне в каждый бэкап будут падать изменения не только в файлах, но и в ОС. А я хочу изредка ОС и ежедневно файлы, и все это с разной глубиной хранения и в разные места хранения

Я даже готов заплатить какие то деньги за это. Сделать разовый платеж в 3к рублей за 5 компьютеров, один раз настроить и не иметь головняков, когда родственники теряют данные — оно вполне того стоит.
Акронис вот вроде двигается в нужном направлении, но у них бэкап в облако залочен только на них самих любимых и только по подписке. И _целых_ 50 гигабайт из коробки.
Спасибо!

1. Реквест про клаудные стораджи очень интересный и мы его уже занесли в список потенциальных фичей. /у меня дежавю, или вы действительно этим реквестом с нами уже делились через другой пост некоторое время назад :)

2. Operation system в File level backup mode ничем не отличается от зачканного системного диска плюс System Reserved/UEFI партиций. Если вы не будете исключать из резервной копии папку Windows и прочие системные компоненты – Bare Metal Restore должен работать.
Год без месяца всего прошел с того комментария

Хотелки все те же. Поскольку выбора нет, альтернативные продукты данный функционал не предоставляют, мне остается только ждать.

В текущей концепции продукта бэкап 1000 ПК напрямую в облако реализуется оптимально только через Veeam Cloud Connect (такой таргет доступен только в платных редакциях агента) — то есть через облачного провайдера, у которого стоит репозиторий Veeam B&R c WAN акселератором. Бесплатный объем при этом может предоставлять облачный провайдер (партнер Veeam по Cloud Connect). Провайдеры в РФ можно найти через эту форму поиска — их довольно много.

Примерно месяц назад спрашивал у службы поддержки можно ли будет обновиться с Endpoint 1.5. Получил ответ, что в финальной версии можно будет обновиться непосредственно с Veeam Endpoint 1.5
Так можно будет обновиться или нужна чистая установка?

Чистая установка вам понадобится для тестирования Бета-версии.
Релизная версия Veeam Agent for Microsoft Windows 2.0 будет поддерживать апгрейд с Veeam Endpoint Backup Free 1.0 и 1.5.
(апгрейд на релизную со всевозможных бет поддержан не будет, только с релизных же версий).
В своё время отказались от резервирования Acronis-ом из -за того, что предлагая централизованное управление бекапами он и за установку на сервер просит 40к руб.(бессрочно), несмотря на то, что будет его бекапить как декстопную винду. Т.е. с ценой на сервер бекапов вопроса не возникло, но бекап сервера, скажем, видионаблюдения не отличается от бекапа машинки рядового сотрудника(даже проще), а цена в 3 раза выше. Здесь видимо та-же история? Декстопная версия просто не встанет на сервер если с ней не пошаманить.
Привет.

Наша история гораздо лучше. Установка серверной лицензии на десктоп и десктопной лицензии на сервер вариант возможный, более того он всецело приветствуются.

Лицензия открывает дополнительные фичи продукта, т.е. если вам не нужен бакап SQL на файл сервере – вы смело можете использовать Desktop лицензию без Application Aware Processing. Но если приложения SharePoint/Exchange/SQL/Oracle/AD/ на машине есть, то серверная лицензия — лучший вариант
Пытался когда-то давно пользоваться Veeam Endpoint Backup, но он не подошёл т.к. не умеет исключать каталоги по маске (только файлы).
Нашёл на вашем форуме такой вопрос 2х летней давности. Не планируется ли добавить такую возможность?
Upd. Промахнулся — это не ответ на удалённое сообщение.
Бывает :)

Папки по маске пока агента эксклюдить не учили. Реквест этот мы помним и держим в листе потенциальных улучшений на следующие версии. Спасибо!
Заметил пару странностей в бете:
1. БД теперь лежит в папке C:\Windows\System32\config\systemprofile и в C:\ProgramData\Veeam\EndpointData. Зачем вторая копия, тем более в корне системного профайла?
2. Какие-то настройки прячутся в HKLM\SOFTWARE\Veeam\Veeam Agent for Microsoft Windows\ManagedMode и остаются после деинсталяции, а для удаления ключа пришлось запускать RegDellNull. Вы хоть опишите этот хак в документации.
Первое это не странность, а защита от падения базы. Например, при апгрейдах до Windows 10 заметили, что база с настройками может быть закоррапчена (особенно часто проявлялось сразу после выхода десятки). Решили складывать дубликат на всякий пожарный. Механизм работает, если память не изменяет, с версии 1.5

По настройки реестра после деинстала – провентилирую с командой. Спасибо!
А почему копия лежит в корне профайла, есть же папка инстанса "\AppData\Local\Microsoft\Microsoft SQL Server Local DB\" с другими базами?
В C:\Windows\System32\config\systemprofile лежит активная база. Localdb работает под localsystem аккаунтом, потому и локация под systemprofile

В C:\ProgramData\Veeam\EndpointData же лежит копия.
Я пытаюсь намекнуть на виндовые гайдлайны по размещению файлов, которые говорят хранить данные локальных приложений в localappdata. Для системного профиля это некритично, но всё равно получается не очень красиво.
У вас есть интересная штука "автоматическое отсоединение съемного устройства после завершения резервного копирования", а что мешает шифровальщику перезапустить USB порты?
Я так понимаю выход есть — это копировать на отдельный файловый сервер.
Я так понимаю выход есть — это копировать на отдельный файловый сервер.


Что мешает шифровальщику найти этот файловый сервер и если он доступен на запись без пароля (найти в системе пароль на запись если он указан в агенте), то зашифровать там все рез. копии к чертям?

Я думаю выход как раз в том, чтобы агент общался с сервером хранения бэкапов по своему шифрованному протоколу и в этот сеанс не мог никто вклиниться.
Да так и есть. Наиболее надежный способ – делать резервные копии в Veeam B&R репозиторий под выделенной под каждого пользователя учеткой. На уровне Veeam репозитория мы поддерживаем гранулярные пермиссии. По образу и подобию можно самостоятельно настроить бакап на шару.
Фича в первую очередь для домашнего пользователя, потому мы и сделали ее во FREE версии, а не позднее. На обычного юзера вряд ли будут совершены серьезные атаки, более вероятно что шифровальщик будет случайно скачан из интернетов. Насколько нам известно, такие шифровальщики достаточно примитивны т.е. единственная их функция – шифровать файлы на диске, а другие более сложные манипуляции на уровне оси они делать не умеют.
Sign up to leave a comment.