Veeam Endpoint Backup (beta) – in der Praxis

Veeam Endpoint Backup – erste Schritte

Erst kürzlich hatte ich das Betaprogramm der kostenlosen Backuplösung für PCs von Veeam angekündigt. Jetzt ist diese für Betatester verfügbar. Ich schildere in diesem Beitrag die Installation und die ersten Tests.

Systemanforderungen

32- and 64-bit Versionen der folgenden Betriebsysteme:

  • Microsoft Windows Server 2012 R2
  • Microsoft Windows Server 2012
  • Microsoft Windows Server 2008 R2 SP1
  • Microsoft Windows 8.x
  • Microsoft Windows 7 SP1

Weiterlesen

Veeam Endpoint Backup Free (beta)

Alles virtuell?

Nicht ganz. Einige Desktop Systeme werden wohl immer “bare metal” bleiben. Das stellt den Endbenutzer oder den verantwortlichen IT Leiter vor das Problem der Sicherung dieser Systeme. Hierfür gibt es inzwischen ein breites Angebot an kommerzieller Imaging Software. Diese Produkte überzeugen nicht immer in Bezug auf Anwenderfreundlichkeit, oder Preis-Leistungs Verhältnis. So ist es umso erfreulicher, dass Veeam nun ein Produkt in die Betaphase schickt, welches sich genau diesem Problem annehmen soll:
Veeam Endpoint Backup Free
Der Name deutet einen weiteren erfreulichen Aspekt an. Das Produkt ist nicht nur kostenlos, es lässt sich auch in eine bestehende Veeam Backup Infrastruktur integrieren und deren Repositories nutzen. Der Grund, warum das Produkt quasi verschenkt wird liegt auf der Hand. Es ist eine Breitseite gegen Veeams Konkurrenten Nummer 1 (die Leute in den gelben Anzügen). Während Veeam im Bereich des Backups virtueller Systeme bereits Platzhirsch ist und auch bei der Bandsicherung immer mehr Tortenstücke gewonnen werden, soll jetzt auch die letzte Bastion der Konkurrenz bröckeln – Endpoints.

Das Beta Programm läuft und jeder kann sich dazu anmelden.

Links

Netzwerk am CITRIX NetScaler VPX instabil durch VMWARE Patch für ESX 5.1 und 5.5

NetScaler VPX ist die virtuelle VPN, Firewall und Applikationsfilterlösung von Citrix. Wir verwenden diese in etlichen Projekten insbesondere für den Zugang auf XenDesktop, die VDI Lösung von CITRIX, aus dem Internet. Sie steht als Appliance für die gängigen Hypervisoren zur Verfügung und basiert auf einem gehärteten FreeBSD.

Die virtuelle Appliance steht mit begrenztem Leistungsumfang und nach Registrierung bei Citrix frei für jeweils ein Jahr zur Verfügung und reicht bequem für mindestens fünf gleichzeitige externe Zugriffe auf die XenDesktop Umgebung.


Kürzlich gab es in einer Implementierung, die schon >1 Jahr fehlerfrei funktionierte, folgendes Verhalten: Der Zugriff auf XenDesktop von extern funktionierte zunächst, war dann aber plötzlich weg. Meistens nach stärkerer Grafik- und damit Netzlast im ICA Protokoll. Die VM war in Folge der Störung auch nicht mehr im Netzwerk pingbar.

Nach einem Reboot der NetScaler VM war zunächst wieder alles in Ordnung – erneute Last führt aber reproduzierbar wieder zum Absturz.

Nähere Analyse ergab, dass auch der Zugriff auf die Management WebGUI bereits den Abbruch der Netzverbindung auslösen konnte.

Um die VM eingehend zu untersuchen wurde sie exportiert und in einen ESX Testcluster portiert.

Erstaunlicherweise war im Testcluster alles ok. Die VM war auch bei Netzlast stets funktional und erreichbar.

Wieder zurück im Produktivcluster gleiches Verhalten wie vorher.

In der WebGUI war, wenn das Netz einmal so lange durchhielt, eine Fehlermeldung im SysLog zu sehen:

stall

Offenbar kommt für gesendete Pakete keine rechtzeitige Rückmeldung (ACK) und NetScaler startet daher das Interface neu. Infolgedessen gehen alle Verbindungen über dieses Interface verloren.

Die Suche nach dem Problem im Netz ergab zunächst keine Hinweise.

Schließlich fanden wir den zielführenden Hinweis in der KB bei VMWARE und auch CITRIX. Laut VMWARE liegt das Problem bei CITRIX.

Sobald man den Hypervisor unter ESX 5.5 auf Update 2 (build 2143827) oder ESX 5.1 auf EP 5 (build 1900470) gehoben hat.

Citrix umschreibt das Problem so:

NetScaler VPX network connectivity issue on VMware ESXi 5.1.0 2191751 and VMware ESXi 5.5 Build 2143827 is caused by tx_ring_length mismatch, which causes TX stalls.

Das Problem wurde am 05.11.2014 von CITRIX veröffentlicht. Es gibt noch keinen Patch für die NetScaler Appliance. Dieser ist aber angekündigt.

Im Testcluster war das VMWARE Update noch nicht installiert – daher lief hier noch alles stabil wie vorher.


Bis zum erscheinen eines Patches für die NetScaler VPX wird ein Workaround vorgeschlagen, der bei uns nachhaltigen Erfolg brachte:

Hierzu muss unter dem FreeBSD des NetScaler eine Datei /flash/boot/loader.conf.local erzeugt werden.

In diese muss der Parameter hw.em.txd=512 eingefügt werden.

Wie geht das am schlankesten?

  • Anmelden in der NetScaler VM Konsole als nsroot
  • Wechseln auf die Shell mit shell
  • Eingabe von echo hw.em.txd=512 > /flash/boot/loader.conf.local
  • Hierdurch wird hw.em.txd=512 in diese Datei geschrieben, die üblicherweise noch nicht vorhanden ist.
  • Prüfen ob der Eintrag vorhanden ist kann man mit less /flash/boot/loader.conf.local
  • Danach noch reboot eingeben um die Appliance neu zu starten.
  • Problem gelöst. Das NetScaler Netzwerk ist auch unter Last wieder stabil.

hw.em.txd


Links:

NetScaler VPX Loses Network Connectivity on VMware ESXi 5.1.0 2191751 and VMware ESXi 5.5 Build 2143827

After applying patches to an ESXi 5.1/5.5 host, Citrix NetScaler virtual machine with e1000 vNIC loses network connectivity (2092809)

Datacore SANsymphony-V 10 PSP1 veröffentlicht

Eigentlich war SANsymphony-V 10.0.1.0 (aka 10.0 PSP1) schon für Anfang Oktober geplant. Seit heute ist es jedoch zum Download bereit (Login erforderlich).

was ist neu?

Hier ein Auszug aus den Releasenotes:

  • Sequential Storage Option – this random write accelerator capability optimizes the data layout of write operations for a virtual disk by storing them sequentially (instead of randomly) which may improve performance for certain storage configurations. This capability may be configured per virtual disk or virtual disk group.
  • Increased Scalability – the maximum number of nodes per server group is doubled from 32 to 64 DataCore Servers.
  • Chargeback / Quality of Service — support for controlling throughput and/or I/O and capacity allocation to support shaping the use of available resources in Multi-Tenant environments.
  • Maintenance Mode – implementation of “evacuate” and “redistribute” logic to allow the ability to perform maintenance on grouped DataCore Servers or redistribution of virtual disk resources from one DataCore Server to another.
  • Multiple Server Group Management – Improve ease of use when managing multiple server groups. The software securely retains server address and login credentials from each initial session to expedite the switch between groups being controlled and monitored.
  • Multiple Loopback Channels – allows for greater scaling of I/O performance by enabling many more virtual initiator/target mappings to increase the number of possible virtual disks or paths between Host and Storage Server.
  • Performance Monitoring Capabilities – integrates and exports DataCore performance counters to Microsoft Window Performance Monitor
  • Continuous Data Protection (CDP) Rollback Markers – adds support for application-aware markers to allow reverting to a known good image.
  • Automated Installation and Upgrade Wizard – a wizard is automatically launched from the self-extracting package to perform systematic installation and upgrades. Refer to the “Automated Installation and Upgrade Notes” section below.
  • 16 GB Emulex Host Bus Adapter support – the Emulex LPe1600x family of HBAs is now ‘DataCore-Ready’ (http://www.datacore.com/Partners/Current-Partners/datacore-ready.aspx). A target/initiator driver to support these HBAs in a DataCore Server will be provided in a future release.

ESXi: kritischer Fehler in CBT kann Backups unbrauchbar machen

Changed-Block-Tracking (CBT) ist eine sehr nützliche Funktion, um beispielsweise einer Backup Software mitzuteilen, welche Blöcke sich seit einen Zeitpunkt [t] verändert haben. Somit können gezielt diese Blöcke gesichert werden, was natürlich erheblich Zeit spart.
Genau in dieser CBT Funktion gibt es einen Fehler, der lange unerkannt blieb. Er tritt nach Angaben von VMware dann auf, wenn eine vDisk über 128 GB vergrößert wurde.
VMware und Veeam empfehlen, nach einer Vergrößerung der vDisk einer VM, einen CBT reset durchzuführen. Beim nächsten Durchgang von Veeam Backup wird CBT wieder aktiviert und arbeitet korrekt.

Alternativ kann auch ein PowerCLI Skript verwendet werden, das CBT im laufenden Betrieb zurücksetzt. Das Skript resetCBT wurde vom Veeam Support erstellt. Der Aufruf erfolgt mit Parametern. Es funktioniert nur bei eingeschalteten VMs.

Verwendung auf eigen Gefahr !

-vcenter: <FQDN vCenter>

-vms: Liste der VMs durch Komma getrennt (keine Leerzeichen!)

resetCBT.ps1 -vcenter example.vcenter.local -vms "vmname1,vmname2,vmname3,vmname4"

ResetCBT01

Update:

Möglicherweise löst VMware das Problem in ESXi5.5 mit aktuelltem Patchlevel (2143827) automatisch (?). Nach der Vergrößerung einer vDisk meldete Veeam Backup (v7) folgende Warnung:

ESXiCBT01Wurde von Seite des ESXi Servers das CBT automatisch deaktiviert?

Update 17. Nov 2014

Veeam hat einen Hotfix für B&R Version 7 veröffentlicht. Er besteht aus 4 DLL Dateien, die getauscht werden müssen. Voraussetzung ist Veeam Backup and Replication 7.0.0.871 (patch 4).

  • Sicherstellen dass Version 7.0.0.871 installiert ist
  • Veeam Dienste stoppen
  • DLLs im Verzeichnis “C:\Program Files\Veeam\Backup and Replication\Backup” mit den Hotfix DLLs ersetzen.
  • Veeam Dienste wieder starten

Links

  • Veeam KB – CBT Data Corruption
  • VMware KB – QueryChangedDiskAreas API returns incorrect sectors after extending virtual machine vmdk file with Changed Block Tracking (CBT) enabled (2090639)
  • Veeam KB – How to reset CBT

 

Eternus LT20 S2 Default Password

Für den Fall, dass ich wieder einmal einen Fujitsu Eternus LT20 S2 Bandwechsler konfigurieren muss. Hier das Default Kennwort für den administrativen Zugang: adm001

Warum es kein Windows 9 geben wird…

Microsoft überraschte mit der Ankündigung, dass ihr kommendes Betriebssystem nicht Windows 9 heißen wird, sondern statt dessen Windows 10. Es wurde viel spekuliert über diesen Versionssprung. Als möglicher Grund hierfür wurde beispielsweise genannt, dass die Zahl 9 in Japan als Unglückszahl gilt.
Es sieht nun aber so aus, als habe Microsoft hierfür ganz pragmatische Beweggründe gehabt. Ein Microsoft (?) Entwickler äußerte sich zu dem Thema auf Reddit.
Generationen von Software Entwicklern verwendeten einen simplen Codeschnipsel zur Unterscheidung der unterschiedlichen Windows Versionen.

if(version.StartsWith("Windows 9")) { /* 95 and 98 */ } else {

Was lange Jahre funktionierte, würde nun mit einer Einführung von Windows 9 einiges an Konfusion und Ärger auslösen.

ADS: Schema Erweiterung 2012 R2

Der Support für Windows Server 2003 endet zum 14. Juli 2015 und noch immer finden sich zahlreiche 2003 Server-Systeme im produktiven Umfeld. Eine Migration auf die Plattform Server 2008 R2 wird meist zugunsten von Server 2012 R2 übersprungen.

Ich schildere hier das Upgrade durch hinzufügen eines weiteren Domänencontrollers 2012 R2 zur bestehenden Domäne auf Basis von Server 2003 R2 mit der ADS Schema Erweiterung auf Server 2012 R2.

Voraussetzungen

  • Domänen Funktionsmodus (domain functional level) muss mindestens “Server 2003″ sein. Dazu das Tool “Active Directory Domänen und Vertrauensstellungen” öffnen und das Kontextmenü auf dem Domänennamen öffnen. Gleichermassen im Tool Active Directory Benutzer und Computer” Kontextmenü auf den Forest.
  • Neuer Windows Server 2012 R2 mit fester IP als Memberserver in der bestehenden Domäne.
  • Alle bestenden Domänencontroller müssen sauber replizieren. Es existieren keine Tombstones. Das Ereignislog ist sauber.
  • Microsoft SP1 Support Tools sind auf den 2003 Servern installiert.

Weiterlesen

ESXi: TPS in Zukunft deaktiviert

VMware wird in Zukunft die Transparent Page Sharing Funktion im Standard deaktiviert lassen. Grund hierfür ist eine Untersuchung, die damit einen möglichen Seitenangriff aufgedeckt hat.

Published academic papers have demonstrated that by forcing a flush and reload of cache memory, it is possible to measure memory timings to determine an AES encryption key in use on another virtual machine running on the same physical processor of the host server if Transparent Page Sharing is enabled. This technique works only in a highly controlled environment using a non-standard configuration.

Mit anderen Worten: Der Angriff ist prinzipiell möglich, aber bisher nur unter Laborbedingungen reproduzierbar.

Ist das ein Problem?

Die Einsparpotenziale von TPS sind ohnehin umstritten. Es greift ohnehin nur wenn die Arbeitsspeicher Belegung bestimmte Grenzwerte Überschreitet. VMware vSphere verwendet large memory pages von 2MB Größe. Die Wahrscheinlichkeit zweier identischer Pages im RAM von dieser Größe ist eher gering. Dennoch ließ VMware die TPS Funktion aktiv. Das Thema wird sehr schön in einem Artikel von Frank Denneman diskutiert.

Wann wird abgeschaltet?

Die unterschiedlichen Versionen werden in folgenden Zeiträumen deaktiviert:

  • ESXi 5.5 Update release – Q1 2015
  • ESXi 5.1 Update release – Q4 2014
  • ESXi 5.0 Update release – Q1 2015
  • The next major version of ESXi

Links

 

Granuläre Passwortrichtlinien in Active-Directory

Eine Passwortrichtlinie für die Domäne einzuführen ist nicht weiter schwer und lässt sich schnell mit einer Gruppenrichtlinie bewirken. Was aber erst auf den zweiten Blick auffält ist, daß man nur eine Richtlinie für die gesamte Domäne haben kann. Eine Beschränkung auf OU oder Nutzergruppen ist damit nicht möglich. Auch mehrere verschieden gestaltete Richtlinien für unterschiedliche Nutzergruppen kann man so nicht realisieren.

Seit Server 2008 gibt es jedoch einen Weg, unterschiedliche Passwort Richtlinien für unterschiedliche Gruppen einzuführen. Die sogenannte Fine Grained Password Policy.

Ermöglicht wird dies durch die Einführung neuer ADS Objektklassen seit Server 2008.

Voraussetzungen

  • Der Functional Level der Domäne muss mindestens Server 2008 sein.
  • Richtlinien können nur auf Nutzergruppen angewendet werden, nicht auf OU.

Weiterlesen