Windows Azure Backup einrichten
Vor kurzem wurde die Verfügbarkeit der Vorschau-Version (Preview) von Windows Azure Backup bekanntgegeben. Azure Backup dient zur automatisierten Sicherungen von Daten in Windows Azure, sozusagen das Backup in der Cloud. Von dort können gesicherte Daten leicht wiederhergestellt werden – ganz ohne eigene Infrastruktur!
Benutzer von Microsoft DPM kennen diese Funktionalität bereits: Die automatische Sicherung läuft über einen Agent (einen Dienst auf dem lokalen Computer). Mit einem kleinen Verwaltungsprogramm kann jeder berechtige Benutzer seine Daten wiederherstellen. Azure Backup ist nicht nur für Verzeichnisse und Dateien, sondern auch für Virtuelle Maschinen geeignet – eine gute Bandbreite vorausgesetzt.
Die Beschreibung dafür lautet so: “Verwalten Sie Cloudsicherungen über die bekannten Sicherungstools in Windows Server 2012, Windows Server 2012 Essentials oder System Center 2012 Data Protection Manager. Diese Tools bieten ähnliche Funktionen beim Konfigurieren, Überwachen und Wiederherstellen von Sicherungen auf lokalen Datenträgern und im Windows Azure-Speicher. Nach dem Sichern der Daten in der Cloud können autorisierte Benutzer Sicherungen auf einem beliebigen Server problemlos wiederherstellen.”, siehe Windows Azure Wiederherstellungsdienste.
Hier die Schritt-für-Schritt Anleitung zur Konfiguration von Windows Azure Backup.
Azure Backup aktivieren
Natürlich wird zunächst ein Windows Azure Konto benötigt – dieses kann unter https://www.windowsazure.com/de-de/ angelegt werden. Für eine detaillierte Anleitung hierzu siehe Windows Azure und IaaS - Schritt 1 Anmeldung.
Das Backup-Feature muss im Azure-Konto unter https://account.windowsazure.com/PreviewFeatures aktiviert werden:
Die Aktivierung erfolgt pro Azure Subscription:
Die Aktivierung erfolgt sofort, beim Vorschaufeature wird der Hinweis “You are active” angezeigt.
Einen neuen Tresor anlegen
Der neue Backup-Dienst erscheint danach links in der Verwaltungswebsite von https://manage.windowsazure.com/.
Im ersten Schritt wird ein “Tresor” in einer Region mit einem eigenen Namen angelegt.
Als Region kann zwischen Westeuropa, Ostasien und Westliche USA gewählt werden – bei uns macht wohl Westeuropa Sinn.
Hinweis: Die Funktion ist kostenpflichtig (siehe ) und somit nur für Azure-Abos verfügbar, die kein Limit besitzen – also Bezahl-Accounts. Sonst folgt eine Fehlermeldung:
Die Kosten für den Dienst laut Windows Azure Preisdetails in https://www.windowsazure.com/de-de/pricing/details/#backup sind (ab den ersten 5GB – diese sind gratis) 0,1862 € pro Gigabyte und Monat in der Vorschauphase und danach 0,3546 € pro GB und Monat im normalen Betrieb.
Die Abrechnung für Windows Azure Backup erfolgt anhand der durchschnittlichen täglichen Menge an komprimierten Daten, die über den Abrechnungszeitraum von einem Monat gespeichert werden. Die Daten werden komprimiert. Bei inkrementellen Sicherungen werden nur Änderungen in die Cloud übertragen.
Sobald der Tresor erstellt wurde, informiert die Hinweisseite über die Vorgangsweise zur Verwendung.
Zertifikat verwenden
Es ist ein eigenes öffentliches Zertifikat (x.509 v3 mit 2048 bit Länge) als .CER Datei erforderlich, für Spezifikationen siehe Upload certificates to the vault. Empfehlenswert ist die Verwendung eines offiziellen, öffentlichen Zertifikates.
Die zu schützenden Server benötigen natürlich genau dasselbe Zertifikat wie das Azure Backup. Also am Windows Server (der Rechner, der ge-backupt werden soll) die gewünschte .CER-Datei doppelklicken und im “lokalen Computer” in “Eigene Zertifikate” installieren.
Jetzt benötigen wir noch das Zertifikat als Exportdatei ohne Schlüssel. Dazu wird mmc.exe gestartet und mit Strg+M das Snap-In für “Zertifikate” des lokalen Computers hinzugefügt.
Nun wird das Zertifikat im Kontextmenü mit Alle Aufgaben/Exportieren in eine Datei geschrieben:
Der Assistent fragt nun nach der Art des Exports. Wählen Sie Nein, privaten Schlüssel nicht exportieren.
… und als DER-codiertes X.509 Zertifikat (.CER) in eine Datei exportieren.
Die erzeugte .CER Datei kann nun verwendet und upgeloadet werden.
Testen - Ein eigenes Zertifikat erstellen
Für Testzwecke hilft das Tool makecert.exe – dieses kann u.a. von Certificate Creation tool (MakeCert.exe) bezogen werden. Die Syntax lautet grundsätzlich makecert [options] outputCertificateFile
. Details hierzu sind in MSDN-Makecert.exe (Certificate Creation Tool) zu finden.
Wichtig: MakeCert.exe muss aus einer Kommandozeile (cmd) als Administrator ausgeführt werden!
Tipp: Wenn (auch mit mehreren verschiedenen Zertifikaten) immer dieselbe Fehlermeldung folgt, dass das Zertifikat nicht hochgeladen werden konnte…
…dann sind die Parameter nicht korrekt. Erst ein Hinweis des Support-Teams zu einem Eintrag in social.msdn bringt die Lösung mit der korrekten Syntax für das eigene Testzertifikat. Der Befehl für ein gültiges Zertifikat (in meinem Beispiel mit dem Namen “tpcert2”) muss demnach so lauten:
makecert.exe -r -pe -n CN=tpcert2 -ss my -sr localmachine -eku 1.3.6.1.5.5.7.3.2 -len 2048 -e 01/01/2016 c:\temp\tpcert2.cer
Siehe auch Could not upload self signed management certificate to Recovery Services -> Backup Valut(Preview).
Wenn makecert klappt folgt eine Meldung “Succeeded”:
Das erzeugte Zertifikat sieht dann etwa so aus:
Dieses wird dann wieder auf dem Ziel-Computer installiert (siehe oben).
Zertifikat in den Tresor uploaden
Das exportierte .CER-Zertifikat wird vom Server im Azure-Portal in den Tresor upgeloadet.
Das wars. Das Zertifikat steht jetzt auf der Cloud-Seite für Authentifizierung des Azure-Backups bereit.
Den Agent herunterladen
In Schritt 2 folgt der Download des Agents. Es gibt zwei Versionen: Einen Agent für Windows Server 2012 und System Center 2012 SP1 - Data Protection Manager und einen Agent für Windows Server 2012 Essentials.
nach dem Download wird das Setup auf dem Ziel-Computer ausgeführt.
Übrigens: Wer den Agent auf einem Windows-Client installieren will erhält eine Hinweismeldung:
Auf einem Windows Server 2008 R2 mit SP1 installiert der Agent ggf. einige erforderliche Komponenten nach…
Dieser Installations- und Aktualisierungsvorgang kann einige Zeit dauern. Wenn alles installiert ist folgt die Fertigstellungsmeldung.
Nach einem Neustart ist Windows Azure Backup auf dem Client verfügbar.
Den Server registrieren
Wenn das Zertifikat vorhanden und der Client installiert sind folgt die Registrierung des Servers für das Azure Backup im Aktionen Bereich rechts:
Nun die Schritte durchgehen, ggf. Proxy eintragen und das importierte Zertifikat auswählen. Es werden nur am Computer installierte - also verfügbare - Zertifikate zur Auswahl angezeigt.
Wenn das Zertifikat ausgewählt wurde, muss nur noch der entsprechende Tresor ausgewählt werden:
… und eine eigene Passphrase (ein Kennwort mit mindestens 16 Zeichen) vergeben werden. Dieses sollte auch auf einem externen (!) Laufwerk gespeichert und sicher aufbewahrt werden.
Der Assistent ist nach kurzer Zeit fertig und liefert eine Zusammenfassung.
Kurze Kontrolle im Azure Portal:
Damit ist die Konfiguration von Windows Azure Backup fertig.
In Teil zwei wird die Datensicherung eingerichtet und getestet!
Comments
Anonymous
October 27, 2013
Hallo, vielen dank für die Anleitung. Bei mir scheitert es mit dem Erstellen des notwendigen Zertifikates. Wo bekomme ich am liebsten kostenlos ein entsprechendes Zertifikat oder wie kann ich ein solches selber erstellen? Danke für die Hilfe! FernandoAnonymous
October 28, 2013
The comment has been removedAnonymous
November 07, 2013
Erstellt doch eine Testumgebung mit den Active Directory-Zertifikatdienste und verwendet dieses Zertifikat.