Физический бэкап: на смену Veeam Endpoint Backup пришел Veeam Agent for Microsoft Windows

    Еще осенью мы рассказывали о планах по выпуску обновленного решения для бэкапа физических машин под управлением ОС Windows. Хорошо известный многим Veeam Endpoint Backup FREE превратился в Veeam Agent for Microsoft Windows 2.0, и сейчас доступна для скачивания его бета-версия. (О том, как ее получить, можно узнать в конце поста.)

    Если Veeam Endpoint Backup предназначался для бэкапа пользовательских компьютеров, то в Veam Agent for Windows появился расширенный функционал для бэкапа корпоративных компьютеров (рабочих станций и серверов). Что же нового вас ожидает? За ответом добро пожаловать под кат.



    Во-первых, ключевые фичи войдут во все три редакции, включая FREE. В их числе:

    • Поддержка Windows 2016
    • Шифрование данных на стороне источника
    • Возможность настройки расписания для создания активной полной резервной копии

    Помимо этого, появятся новые возможности для восстановления с использованием Veeam Backup 9.5 Free Edition – можно будет восстанавливаться из бэкапа, созданного Veeam Agent for Windows, на виртуальную машину под управлением Microsoft Hyper-V (в том числе и бесплатной его версии), либо в облако Microsoft Azure. Набор сценариев, которые открываются при этом перед вами, поистине широк и многообразен – это и экспорт содержимого диска машины в формат виртуального диска, и восстановление в облако, и восстановление файлов гостевой ОС. Естественно, все они поддерживаются и в коммерческих редакциях Veeam Backup & Replication 9.5.



    Бесплатная редакция


    Остановимся немного подробнее на новинках для Veeam Agent for Windows 2.0 FREE Edition.
    Для шифрования данных, которое Veeam Agent выполняет на стороне источника, нужно выбрать соответствующую опцию – это галка Enable backup file encryption на шаге дополнительных настроек хранилища бэкапов в мастере задания. Далее вводим пароль и подсказку.



    Важно! Если вы используете для хранения резервных копий репозиторий Veeam Backup & Replication, то возможности задать отдельно настройки шифрования для бэкапов, создаваемых Veeam Agent, у вас не будет, поскольку настройка репозитория резервного копирования в этом случае является прерогативой администратора Veeam Backup & Replication.

    Если вы включаете шифрование для уже имеющегося задания при редактировании его настроек, то имейте в виду, что во время следующего запуска Veeam Agent создаст активную полную резервную копию и только затем уже инкрементальные бэкапы к ней. Все они будут зашифрованы с указанным паролем.

    Полезно: Если вы случайно потеряете или забудете пароль, то в этом диалоговом окне можно задать новый. Он и будет затем использоваться при восстановлении из файлов цепочки бэкапов (включая те, что были зашифрованы со старым паролем).

    Про создание активной полной резервной копии и хранение цепочки файлов, а также про настройки сжатия и дедупликации я расскажу более подробно в одном из следующих постов.

    Коммерческие редакции Workstation и Server



    Начнем с того, что, приобретя коммерческую лицензию на редакцию Workstation или Server, вы сможете получать квалифицированную техническую помощь в режиме 24х7х365.
    В серверной редакции:

    • поддерживается автоматический запуск заданий по расписанию
    • реализован бэкап с учетом работы приложений (в том числе Microsoft Exchange, Active Directory, SQL Server, SharePoint, Oracle)
    • для серверов баз данных поддерживается и бэкап журналов БД, что позволяет обеспечить оптимальные показатели RPO при восстановлении



    Для тех, кто часто путешествует, но хочет быть уверенным в защищенности данных на своем ноутбуке, предлагается новая фича Backup Cache. В случае, когда основное место хранения бэкапов временно недосягаемо, можно с ее помощью сохранить инкрементальный бэкап, созданный согласно расписанию, в локальную папку. Затем, как только основное хранилище снова окажется в зоне доступа (например, при подключении к корпоративной сети), содержимое этого «кэша бэкапов» будет синхронизировано с основным местом хранения. В консоли уже синхронизированные бэкапы помечены значком с изображением облака с «галкой»:



    Примечание Облако со стрелками означает, что данные в процессе синхронизации; если у точки восстановления нет никакого значка, то в данном случае это означает, что бэкап хранится в кэше.

    А как быть тем, кто работает из домашнего офиса или постоянно в разъездах, без посещения офиса? Или тем, кто использует публичные облака вне периметра корпоративной сети? Для них в коммерческой редакции Veeam Agent for Microsoft Windows предусмотрена возможность бэкапа в облачный репозиторий Veeam Cloud Connect, который может функционировать, например, на площадке одного из сервис-провайдеров Veeam или в основном ЦОД вашей организации.

    Ну и «на десерт»: коммерческие редакции будут предоставлять API для работы с агентами.

    • Для версии Server полноценный API станет доступен одновременно с консолью Veeam Availability Console.
    • Для версии Workstation предлагается Veeam Agent Configurator для экспорта-импорта и настройки лицензии Veeam Agent for Windows с помощью командной строки.

    Veeam Agent Configurator, в частности, позволяет экспортировать конфигурацию агента в файл XML, включая настройки как самого агента, так и задания резервного копирования, чтобы вы затем могли использовать этот файл при автоматической установке и настройке новых агентов. Это можно сделать с применением любого механизма, работающего в вашей инфраструктуре, будь то логон-скрипты, групповые политики, System Center Configuration Manager и др.
    О консоли Veeam Availability Console, запланированной к выпуску в этом году, рекомендую посмотреть вот этот вебинар (пока что на англ.языке).

    Сравнение редакций


    Сравнительная таблица по наиболее важным и крупным фичам.
    Описание FREE Workstation Server
    Восстановление на ВМ на платформе Microsoft Hyper-V Да Да Да
    Восстановление в Microsoft Azure Да Да Да
    Шифрование на стороне источника Да Да Да
    Поддержка Backup Cache Нет Да Да
    API для автоматизированной настройки Нет Да Да
    Обработка с учетом работы приложений Нет Нет Да
    Резервное копирование журнала транзакций БД Нет Нет Да
    Индексирование и поиск файлов гостевой ОС Нет Нет Да
    Техническая поддержка в режиме 24х7х365 Нет Да Да

    Полное сравнение функциональных возможностей будет подготовлено вместе с комплектом документов к выходу релизной версии Veeam Agent for Microsoft Windows 2.0.

    Как определить, какая редакция вам нужна? Это зависит от того, что за машины вы планируете бэкапить. Наш агент, конечно, идентифицирует версию ОС и поймет, что перед ним – сервер или рабочая станция – ну а при необходимости вы сможете установить лицензию для другой редакции. Это можно сделать вручную, а также с помощью инструмента для удаленного управления Veeam Agent Configurator, либо – если вы планируете бэкапить в репозиторий Veeam Backup & Replication — воспользоваться функцией управления лицензиями в консоли Veeam Backup & Replication.



    Где скачать бета-версию?


    Как обычно, указываем свой e-mail адрес тут и получаем на почту ссылку для скачивания.

    Свои идеи, находки и предложения по функционалу для релизной версии несем на форум сюда или оставляем в комментариях к этому посту.

    Важно! Апгрейд на бета-версию с Veeam Endpoint Backup 1.5 (и более ранних версий) не поддерживается! Обязательно выполняем чистую установку! Вдобавок, имейте в виду, что апгрейд с бета-версии на релизную также не планируется поддерживать. Обратите внимание и на срок действия лицензии -для бета-версии он истечет 1 мая 2017 года.
    Только релизная версия будет поддерживать апгрейд с Veeam Endpoint Backup 1.0 и 1.5.

    Что еще почитать и посмотреть


    Статья на Хабре о решениях Veeam, запланированных к выпуску в этом году
    Ссылка для запроса бета-версии
    Вебинар о Veeam Availability Console
    Veeam Software
    Продукты для резервного копирования информации

    Комментарии 59

      +1
        0
        Серверный агент в три раза дешевле Акрониса, правда и гранулярного восстановления приложений в нём нет.
          +2

          Гранулярное восстановление приложений может быть выполнено с помощью семейства продуктов Veeam Explorers, доступных в Veeam Backup (в т.ч. в бесплатной версии), при условии, что бэкап был выполнен серверной редакцией Veeam Agent. Ограничения Veeam Explorers в бесплатной версии Veeam Backup можно посмотреть в этом документе: "Veeam Backup Free Edition: Различия бесплатной версии и платных редакций".

            +2
            Привет.

            Почему же нет, когда есть :)

            Все возможные item level restore (AD, Exchange, Sharepoint, SQL, Oracle) поддерживаются для агента серверной лицензии.

            Важная деталь — все дополнительные типы ресторов (export as virtual disk, restore to Azure, restore to Hyper V, application item restore) выполняются через консоль Veeam Backup & Replication. А теперь самый приятный момент: лицензия Veeam B&R для рестора агентского бакапа не нужна т.е. можно использовать Veeam B&R Free.
              0
              Спасибо, а то в самом посте про это ни слова.
                0
                Не за что. На самом деле интеграция с Veeam Explorers в VEB есть с версии 1.0, правда в «базовом» вариант без сбора метаданных, кастомизации кредов для доступа к приложениям итд. Всеми необходимыми настройками обзавелась серверная версия VAW в виде фичи Application Aware Processing.

                P.S. Подробное сравнение редакций VAW выйдет в свет вместе с релизом VAW 2.0
          0
          Полезно: Если вы случайно потеряете или забудете пароль, то в этом диалоговом окне можно задать новый. Он и будет затем использоваться при восстановлении из файлов цепочки бэкапов (включая те, что были зашифрованы со старым паролем).

          Значит ли это, что при задании нового пароля старые бекапы будут перешифрованы?

            0
            Новым паролем будут шифроваться новые бэкапы, т.е. созданные заданием после ввода нового пароля. Шифрование выполняется на стороне источника, так что старые бэкапы будут храниться на таргете в том виде, в каком они были туда записаны.
              0
              Ваш ответ противоречит тому, что написано в статье: «при восстановлении из файлов цепочки бэкапов (включая те, что были зашифрованы со старым паролем)». Если старые бэкапы не перешифровываются и пароль утерян, то их невозможно использовать. Получается при задании нового пароля должен создаваться полный бэкап? А все старые можно удалить, т.к. они уже бесполезны.
                0
                >>Получается при задании нового пароля должен создаваться полный бэкап?

                Совершенно верно, так все и происходит — после указании нового пароля в ближайшую сессию (проход задания) создастся полный бэкап. Блоки шифруются сессионными ключами, и для каждого прохода генерируется новый сессионный ключ – т.е. блоки каждой точки зашифрованы своим ключом. Каждый сессионый ключ лежит в файле метаданных, тоже в зашифрованном виде. Зная последний (новейший) пользовательский пароль и имея полный файл метаданных, можно по цепочке расшифровать все ключи, которые в зашифрованном виде хранятся в этом файле.
                  0
                  Поправлюсь: при смене пароля в ближайшую сессию цепочка продолжается инкрементом, полный создается при включении опции шифрования.
                    0
                    Простите, но ведь это значит, что поставщик услуги (то есть veeam) может в одностороннем порядке в любой момент расшифровать любой сохранённый в облаке бэкап?
                      0
                      Как у вас такой вывод получился?
                        0
                        Смотрите, вот установлен у меня некий пароль, агент его всё время использует чтоб создавать инкрементальные бэкапы. По идее без указания мной пароля никакое прочтение бэкапов не должно быть возможным.
                        Теперь я меняю пароль.
                        Агент, зная уже только новый пароль, передаёт его и новые данные на сервер, где они спокойно сличаются с сохранёнными бэкапами, если судить по некоторым комментариям. А как это может быть осуществлено, если они предполагаются зашифрованными, а пароль удалён?
                          0
                          Данные в бекапе шифруются не пользовательским ключом, а ключами сгенерированными на его основе. Их аж три.

                          У нас в документации есть довольно подробное описание всех алгоритмов шифрования. Нам скрывать нечего =)
              0
              Он как standalone приложение и через B&R не управляется?
                0
                Del.
                  +1
                  В данный момент не управляется, но через консоль BR видны сами агенты, видно, что они бэкапятся и статус выполнения, так же видны сами бэкапы.

                  А для управления, как я понимаю, будет использоваться Veeam Availability Console, которой еще предстоит выйти в свет.
                    0
                    Ну это уже неплохо, не надо на каждый сервак ходить проверять. А так ждём Availability Console
                      0
                      Ах, ну и да, на емэйл так же приходят отчеты о том забэкапился агент, или нет.
                        0
                        Ну когда большое кол-во серверов и 100500 тасков, мне уведомления на почту как то не очень удобно, предпочитаю в консоль просто посмотреть и увидеть последнее состояние задачи
                          +1
                          Так можно же получать только статус по Failed, такое лучше не пропускать :)
                            0
                            Они же перезапускаются ещё N раз, так что первый раз может и сфейлится, а потом пойти уже нормально. Так что я всё-равно по утрам в консольку гляжу :)
                    0
                    VBR в данной версии выступает в роли бакап репозитория и центра выдачи лицензий агентам (плюс весь текущий функционал для агентов backup to tape/backup copy etc)

                    и на правах рекламы :)

                    В платных Desktop/Server версиях поддерживается импорт/экспорт настроек в xml. Плюсуем возможность silent install и получаем раздачу бакап агента через любые Central Management'a или скрипты
                      0
                      Можете указать ключи для тихой установки? Быстро их найти у меня не получилось.
                        +2
                        Конечно можем.

                        Для версии 1.5
                        https://helpcenter.veeam.com/endpoint/15/installation_unattended.html

                        Для версии 2.0 нужно добавить еще один параметр accepteula:
                        <path_to_exe> /silent /accepteula
                    +1
                    У меня у одного цепляется глаз в заголовке за фразу «for Microsoft Windows 2.0»? А для Windows 3.11 for workgroups версии нету?
                    </humor>
                      0
                      нет, не у одного))
                        0

                        Спасибо за этот комментарий — я отправлю это наблюдение в маркетинг.

                        0
                        Я правильно понимаю, что:

                        Ни бэкапа в облако onedrive/google/облако@mail/yandex.disk
                        Ни раздельного бэкапа ОС и файлов

                        мы в Endpoint Backup Free не увидим?
                          0
                          Бекап отдельных файлов есть с самой первой версии.
                            0
                            Я хочу два задания, одно для ОС раз в неделю с ротацией в три резервных копии, и одно для файлов ежедневно с ротацией в две недели. Разные данные разные RPO/RTO/
                              0
                              Можно попробовать схитрить и использовать API для импорта/экспорта конфигурации. В разных xml можно держать разные настройки заданий и переменно их импортить/экспортить в продукт через API. Я сейчас такой воркэрауд активно тестирую в своей лабе – и результаты пока положительные.
                                0
                                Я уже старый и ленивый. Если решение при скалировании на 1000 ПК требует 1000 раз что то сделать руками, доставить костыль и держать в голове нюансы — я такое решение стараюсь не использовать.
                                Сделал и забыл, если нужно починить — там все должно быть явно, а не 10 задач в таскшедулере, которые там чего то подменяют и перезапускают.
                                  +1
                                  А странно хотеть от базового и бесплатного решения для домашней машины, функционала для обслуживания 1000 ПК.
                                  Или нет?
                                    –3
                                    Напомните мне, кто выпускает бесплатную версию своего коммерческого продукта и при этом не собирает телеметрию? Кто этот меценат? Т.е. оно уже не бесплатно.
                                    Кому выгодно, что бы их продукт легко разворачивался на 1000 ПК с минимальным, необходимым пользователю функционалом? И при этом мониторился, управлялся и имел кучу свистелок и перделок за платно?

                                    Следуя моей логике вывод то простой. Эт не я слишком многого хочу, это продукт не доведен до нужного удобоваримого состояния на текущий момент.

                                    Сегодня оно у меня дома и ПК родственников, завтра я развернул это на офис из 1к+ ПК с минимумом трудочеловекочасовзатрат, а после завтра купил пакет управления всем этим добром за овердофига вечнозеленых. Просто потому что корректно отработало спасение после очередного шифратора на ПК очередного зам по экономике у которого миллион файлов, который этот замечательный человек не удосужился залить в портал или файлошару. И необходимость аргументации покупки отпадает сама собой.

                                    Так кому выгодно что бы у бесплатного решения для «домашней» машины был функционал на 1000 ПК?
                                      0
                                      Вам? )
                            0
                            > onedrive/google/облако@mail/yandex.disk

                            можно через локальную папку на диске, но с учетом ограничений на размер файла каждого из облачных вендоров.

                            > Ни раздельного бэкапа ОС и файлов

                            File level backup mode — можно и volume и file level комбинировать
                              0
                              Прошу прощения, видимо не слишком точно довел свою мысль.

                              Бэкап в папку, которую синхронизирует клиент облачного диска имеет недостаток: бэкап ест место на локальном диске, и этого места на двухнедельные копии может банально не быть.
                              Файлы бэкапа могут быть повреждены или удалены, например шифратором или кривыми руками, и все эти изменения тут же улетят в облако, что делает такой подход к резервному копированию бессмысленным.
                              Плюс нюанс связанный с тем, что я, например, хочу бэкапить в свое бонусное 10Тb облако не только с своего ПК, но и например, с ноутбука жены, ноутбуков родителей моих и её, с ПК ребенка. Но при этом я не хочу ставить клиент облачного диска на их устройствах и держать его активным под моей учетной записью.

                              Вопрос задавался в контексте того, что в VEP хотелась киллерфича с умением бэкапить напрямую в пользовательское облако, в папку, которая не синхронизируется на локальные диски. Так что контроль размеров файлов, дедупликация на источнике — само собой разумеющиеся для такого функционала вещи.

                              | File level backup mode — можно и volume и file level комбинировать
                              Как только я ставлю галку на «Operation system» на диске С: я уже никакие папки выбирать не могу.
                              На других дисках, да. Правда не всегда есть эти самые другие диски.

                              Но мне в каждый бэкап будут падать изменения не только в файлах, но и в ОС. А я хочу изредка ОС и ежедневно файлы, и все это с разной глубиной хранения и в разные места хранения

                              Я даже готов заплатить какие то деньги за это. Сделать разовый платеж в 3к рублей за 5 компьютеров, один раз настроить и не иметь головняков, когда родственники теряют данные — оно вполне того стоит.
                              Акронис вот вроде двигается в нужном направлении, но у них бэкап в облако залочен только на них самих любимых и только по подписке. И _целых_ 50 гигабайт из коробки.
                                0
                                Спасибо!

                                1. Реквест про клаудные стораджи очень интересный и мы его уже занесли в список потенциальных фичей. /у меня дежавю, или вы действительно этим реквестом с нами уже делились через другой пост некоторое время назад :)

                                2. Operation system в File level backup mode ничем не отличается от зачканного системного диска плюс System Reserved/UEFI партиций. Если вы не будете исключать из резервной копии папку Windows и прочие системные компоненты – Bare Metal Restore должен работать.
                                  0
                                  Год без месяца всего прошел с того комментария

                                  Хотелки все те же. Поскольку выбора нет, альтернативные продукты данный функционал не предоставляют, мне остается только ждать.
                                  0

                                  В текущей концепции продукта бэкап 1000 ПК напрямую в облако реализуется оптимально только через Veeam Cloud Connect (такой таргет доступен только в платных редакциях агента) — то есть через облачного провайдера, у которого стоит репозиторий Veeam B&R c WAN акселератором. Бесплатный объем при этом может предоставлять облачный провайдер (партнер Veeam по Cloud Connect). Провайдеры в РФ можно найти через эту форму поиска — их довольно много.

                              0

                              Примерно месяц назад спрашивал у службы поддержки можно ли будет обновиться с Endpoint 1.5. Получил ответ, что в финальной версии можно будет обновиться непосредственно с Veeam Endpoint 1.5
                              Так можно будет обновиться или нужна чистая установка?

                                +1
                                Чистая установка вам понадобится для тестирования Бета-версии.
                                Релизная версия Veeam Agent for Microsoft Windows 2.0 будет поддерживать апгрейд с Veeam Endpoint Backup Free 1.0 и 1.5.
                                (апгрейд на релизную со всевозможных бет поддержан не будет, только с релизных же версий).
                                0
                                del, уже отметили
                                  0
                                  В своё время отказались от резервирования Acronis-ом из -за того, что предлагая централизованное управление бекапами он и за установку на сервер просит 40к руб.(бессрочно), несмотря на то, что будет его бекапить как декстопную винду. Т.е. с ценой на сервер бекапов вопроса не возникло, но бекап сервера, скажем, видионаблюдения не отличается от бекапа машинки рядового сотрудника(даже проще), а цена в 3 раза выше. Здесь видимо та-же история? Декстопная версия просто не встанет на сервер если с ней не пошаманить.
                                    +1
                                    Привет.

                                    Наша история гораздо лучше. Установка серверной лицензии на десктоп и десктопной лицензии на сервер вариант возможный, более того он всецело приветствуются.

                                    Лицензия открывает дополнительные фичи продукта, т.е. если вам не нужен бакап SQL на файл сервере – вы смело можете использовать Desktop лицензию без Application Aware Processing. Но если приложения SharePoint/Exchange/SQL/Oracle/AD/ на машине есть, то серверная лицензия — лучший вариант
                                    0
                                    del
                                      +1
                                      Пытался когда-то давно пользоваться Veeam Endpoint Backup, но он не подошёл т.к. не умеет исключать каталоги по маске (только файлы).
                                      Нашёл на вашем форуме такой вопрос 2х летней давности. Не планируется ли добавить такую возможность?
                                      Upd. Промахнулся — это не ответ на удалённое сообщение.
                                        0
                                        Бывает :)

                                        Папки по маске пока агента эксклюдить не учили. Реквест этот мы помним и держим в листе потенциальных улучшений на следующие версии. Спасибо!
                                      0
                                      Заметил пару странностей в бете:
                                      1. БД теперь лежит в папке C:\Windows\System32\config\systemprofile и в C:\ProgramData\Veeam\EndpointData. Зачем вторая копия, тем более в корне системного профайла?
                                      2. Какие-то настройки прячутся в HKLM\SOFTWARE\Veeam\Veeam Agent for Microsoft Windows\ManagedMode и остаются после деинсталяции, а для удаления ключа пришлось запускать RegDellNull. Вы хоть опишите этот хак в документации.
                                        0
                                        Первое это не странность, а защита от падения базы. Например, при апгрейдах до Windows 10 заметили, что база с настройками может быть закоррапчена (особенно часто проявлялось сразу после выхода десятки). Решили складывать дубликат на всякий пожарный. Механизм работает, если память не изменяет, с версии 1.5

                                        По настройки реестра после деинстала – провентилирую с командой. Спасибо!
                                          0
                                          А почему копия лежит в корне профайла, есть же папка инстанса "\AppData\Local\Microsoft\Microsoft SQL Server Local DB\" с другими базами?
                                            0
                                            В C:\Windows\System32\config\systemprofile лежит активная база. Localdb работает под localsystem аккаунтом, потому и локация под systemprofile

                                            В C:\ProgramData\Veeam\EndpointData же лежит копия.
                                              0
                                              Я пытаюсь намекнуть на виндовые гайдлайны по размещению файлов, которые говорят хранить данные локальных приложений в localappdata. Для системного профиля это некритично, но всё равно получается не очень красиво.
                                        0
                                        У вас есть интересная штука "автоматическое отсоединение съемного устройства после завершения резервного копирования", а что мешает шифровальщику перезапустить USB порты?
                                        Я так понимаю выход есть — это копировать на отдельный файловый сервер.
                                          0
                                          Я так понимаю выход есть — это копировать на отдельный файловый сервер.


                                          Что мешает шифровальщику найти этот файловый сервер и если он доступен на запись без пароля (найти в системе пароль на запись если он указан в агенте), то зашифровать там все рез. копии к чертям?

                                          Я думаю выход как раз в том, чтобы агент общался с сервером хранения бэкапов по своему шифрованному протоколу и в этот сеанс не мог никто вклиниться.
                                            0
                                            Да так и есть. Наиболее надежный способ – делать резервные копии в Veeam B&R репозиторий под выделенной под каждого пользователя учеткой. На уровне Veeam репозитория мы поддерживаем гранулярные пермиссии. По образу и подобию можно самостоятельно настроить бакап на шару.
                                            0
                                            Фича в первую очередь для домашнего пользователя, потому мы и сделали ее во FREE версии, а не позднее. На обычного юзера вряд ли будут совершены серьезные атаки, более вероятно что шифровальщик будет случайно скачан из интернетов. Насколько нам известно, такие шифровальщики достаточно примитивны т.е. единственная их функция – шифровать файлы на диске, а другие более сложные манипуляции на уровне оси они делать не умеют.

                                          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                          Самое читаемое