Überprüfung von Windows Backup

Wir betreiben mehrere Active Directory-Server, die in Hardware vorhanden sind. Um eine (offiziell unterstützte) Sicherung der Active Directory zu haben, ist auf den Systemen eine System State-Sicherung eingerichtet. Um dieses Backup zu überwachen, gibt es verschiedene Ansätze:

  • Versand von Emails für erfolgreiche und fehlgeschlagene Sicherungen
  • Überwachung mit einem Monitoring-Tool (in meinem Fall Check_MK)

Die Überwachung per Email

Bei dieser Variante können Emails versendet werden, hier kann entweder bei jeder Sicherung eine Email versendet werden oder es wird nur bei einem nicht-erfolgreichen Vorgang eine Email versendet. Beide Varianten haben Vor- und Nachteile.
Wird bei jeder Sicherung eine Email versandt, stumpft man ab und beachtet die Emails teilweise nicht mehr. Alternativ werden die Emails per Regel automatisiert wegsortiert (je nach Status bzw. Meldung), trotzdem kommt jeden Tag eine Email.

Werden nur Emails bei einem nicht-erfolgreichen Backup-Vorgang gesendet, kommen nicht täglich Emails an, was ja grundsätzlich erstmal gut ist. Problematisch wird es allerdings dann, wenn gar keine Sicherung mehr stattfindet. In diesem Fall werden ggf. auch keine Emails versandt und man denkt alles ist gut.

Einstellen einer Email-Benachrichtigung unter Windows Server 2016

Das Monitoring erfolgt auf Basis des Eventlogs. Seit Windows Vista gibt es eine eigene Gruppe, in die alle Events geloggt werden:

Anwendungs- und Dienstprotokolle -> Microsoft -> Windows -> Backup

Hier gibt es unterschiedliche Event-IDs, die wir uns gemeinsam mit dem Taskplaner zunutze machen.

Die Event-IDs 4, 14 und 24 sind Informationen und weisen auf den Start, die Beendigung und die erfolgreiche Beendigung von einem Backup-Vorgang hin. Soll z.B. ein erfolgreicher Backup-Vorgang per Email angemerkt werden, muss hierzu ein neuer Task im Taskplaner (Aufgabenplanung) eingerichtet werden.

Das Problem an dieser Variante ist, dass der Mailserver nur rudimentär genutzt werden kann (kein SSL, keine Authentifizierung, …). Dies kann umgangen werden, indem statt der Aktion „E-Mail senden“ (die ja auch schon als veraltet angezeigt wird) ein PowerShell-Skript aufgerufen wird. Innerhalb von diesem Skript kann dann ein Versand der Emails konfiguriert werden. Hier bietet sich der Vorteil, dass deutlich mehr Möglichkeiten existieren, z.B. eine Verschlüsselung der Email-Kommunikation, die Authentifizierung am Mailserver und weiteren interessanten Dingen.

PowerShell selbst kann Emails versenden, eine Beschreibung dieser Möglichkeit befindet sich auf der Hilfe-Seite von Send-MailMessage.
Weitere Beschreibungen mit Beispielen und Skripten findet man zuhauf bei der Nutzung einer Suchmaschine seines geringsten Vertrauens 😉 .

Ich überlasse dieses Thema an dieser Stelle mal sich selbst, da ich die Überwachung nicht per Email eingerichtet habe, sondern mittels eines Monitoring-Tools.

Die Überwachung per Check_MK

Bei einer Überwachung mit Check_MK (oder natürlich auch anderen Tools) hat man den Vorteil, dass nicht täglich Emails reinlaufen, sondern die Sicherung in der Oberfläche zentral sichtbar ist.

Die Anpassung auf dem Server

Genutzt wird in meinem Fall ein lokaler Windows Agent, der sowieso schon auf dem Server installiert ist, um diverse Dinge wie Festplattenauslastung, Memory-Nutzung usw. zu überwachen. Dieser Agent hat die Möglichkeit, dass mit Hilfe einer lokalen .ini-Datei spezifische Dinge konfiguriert werden können, die nicht global eingestellt werden. Eine Beschreibung dieser Datei befindet sich auch unter Monitoring Windows with Check_MK im Bereich 7.2. Advanced agent configuration.

Auf dem Windows-Server muss im Agenten-Verzeichnis (meist C:\Program Files (x86)\check_mk) eine Datei check_mk.ini angelegt werden. Eine Vorlage, die kopiert und umbenannt werden kann, ist bereits vorhanden.

Innerhalb dieser Datei muss nun der folgende Bereich enthalten sein:

...
[logwatch]
    vista_api = yes
    logname Microsoft-Windows-Backup/Betriebsbereit = warn
...

Die Option vista_api = yes ermöglicht eine Abfrage der Untergruppen, die seit Windows Vista bzw. Windows Server 2008 vorhanden sind. Da die Backup-Logs in diesen Untergruppen abgelegt werden, muss diese Option aktiv sein.
Danach kann mit logname das Logfile angegeben werden, das überprüft werden soll. Hier muss logname Microsoft-Windows-Backup/Betriebsbereit = warn angegeben werden (auf einem deutschen System). Man bekommt den Namen heraus, indem man sich im Eventlog die Eigenschaften anschaut und hier den vollen Namen herauskopiert.

Nun muss der Agent-Dienst neugestartet werden, dies geht am einfachsten per Windows PowerShell:

Restart-Service Check_MK_Agent -Force

Die Anpassung in der Check_mk Konsole

Sind die lokalen Anpassungen am Server gemacht, kann der Dienst nun in der Check_mk Konsole hinzugefügt werden. Hierzu wechseln wir über Hosts auf den entsprechenen Server (vorausgesetzt, er ist schon in der Konsole enthalten. Falls nicht, muss er natürlich erst hinzugefügt werden) und wechseln in die Services. Hier kann über Full Scan eine Suche nach den neuen Einstellungen gemacht werden, danach sollte der neue Eintrag entweder unter disabled services zu finden sein, oder alternativ in den noch nicht hinzugefügten Diensten weiter oben.

Über das grüne Icon kann der Dienst nun in den aktiven Check aufgenommen werden. Nun überprüft check_mk diesen Teil des Eventlogs auf Warnungen oder Fehler und schlägt Alarm, falls es zu diesen kommen sollte.


Sie benötigten persönliche Unterstützung oder haben nicht die richtige Lösung für Ihr Problem gefunden?

Dieser Blog wird von mir, Jan Kappen, in seiner Freizeit betrieben, hier beschreibe ich Lösungen für Probleme aller Art oder technische Anleitungen mit Lösungsansätzen.

Die berufliche Unabhängigkeit

Ich bin seit Januar 2020 vollständig selbstständig und habe meine eigene Firma gegründet, die Building Networks mit Sitz in Winterberg im schönen Sauerland. Hier stehe ich als Dienstleister gerne für Anfragen, Support oder Projekte zur Verfügung.

Die Firma Building Networks bietet Ihnen:

  • Hilfe und Support per Telefon, Fernwartung oder persönlich vor Ort
  • Projekt-Unterstützung
  • Ausgezeichnete Kompetenz zu den Themen
    • Microsoft Hyper-V
    • Microsoft Failover Clustering & HA
    • Storage Spaces Direct (S2D) & Azure Stack HCI
    • Veeam Backup & Recovery
    • Microsoft Exchange
    • Microsoft Exchange Hybrid Infrastruktur
    • Microsoft Active Directory
    • Microsoft Office 365
    • Ubiquiti
    • 3CX VoIP PBX
    • Fortinet Network Security
    • Baramundi Software
    • ...

Ich freue mich über Ihren Kontakt, weitere Informationen finden Sie auf der Webseite meiner Firma unter Building-Networks.de

Jan

Jan Kappen arbeitet seit 2005 in der IT. Er hat seine Ausbildung 2008 abgeschlossen und war bis 2018 als IT-Consultant im Bereich Hyper-V, Failover Clustering und Software Defined Storage unterwegs. Seit 2015 wurde er jährlich von Microsoft als Most Valuable Professional (MVP) im Bereich "Cloud & Datacenter Management" ausgezeichnet für seine Kenntnisse und die Weitergabe seines Wissens. Jan ist häufig auf Konferenzen als Sprecher zu finden, weiterhin bloggt er viel. Von September 2018 bis Dezember 2019 war Jan als Senior Network- und Systemadministrator bei einem großen mittelständischen Unternehmen im schönen Sauerland angestellt. Im Januar 2020 hat er den Sprung in die Selbstständigkeit gewagt und ist seitdem Geschäftsführer der Firma Building Networks in Winterberg. In seiner Freizeit kümmert er sich um das Freifunk-Netzwerk in Winterberg und Umgebung.

2 Kommentare:

  1. David Li Bergolis

    Mahlzeit,

    Gelten die genanten Ereignis IDs exakt NUR für die Windows Server Sicherung?
    Ich frage, weil Windows 10 das gleiche Programm besitzt,
    das nennt sich dann „Sichern und Wiederherstellen (Windows 7)“.
    Sind die IDs mit den jeweiligen Ereignissen dort identisch?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert