Ich hatte heute morgen einen Supportfall mit einem Kunden, der ein Problem mit der Veeam Sicherung hat. Bei dem Kunden ist ein Hyper-V Failover Cluster mit vier Knoten im Einsatz, die Daten der VMs liegen in einem eigenen Scale-Out File Server (SOFS) Cluster. Der Veeam Backup Server ist eine eigenen Hardware.
Das Backup hat bis letzte Woche problemlos funktioniert, und nach der Wartung der Systeme und einem Neustart läuft es nicht mehr. Die Server sind alle Windows Server 2012 R2, das scheint wichtig zu sein bei der Ursache.
Die Fehlermeldung
Als Fehlermeldung beim Backup erscheint die folgende Meldung:
Failed to create snapshot (Fileshare Provider) (mode: Crash consistent) Details: Failed to add volume [\SOFS\SHARENAME] to the VSS snapshot set
The given shadow copy provider does not support shadow copying the specified volume.
–tr:Failed to add volumes to the snapshot set.
–tr:Failed to perform pre-backup tasks.
Ein weiteres Indiz befindet sich auf den Cluster-Knoten des SMB3 Clusters. Hier gibt es im erweiterten Log-Bereich der Ereignisanzeige unter Anwendungs- und Dienstprotokolle -> Microsoft -> Windows -> FileShareShadowCopyAgent sehr viele Einträge mit der Event-ID 1013 und dem folgenden Fehlertext:
Microsoft File Share Shadow Copy Agent Error: The client connecting to the FssAgent RPC server did not have Local Administrator or Backup Operator privilege on this machine.
Die Ursache
Ursache und Verursacher für dieses Problem scheinen die Juni-Updates KB5014702 bzw. KB5014746 zu sein. Nach der Installation der Updates hat der Veeam-Agent, der standardmäßig als „Local System“ läuft, keine Rechte mehr, auf die Daten in den SOFS SMB3-Shares zuzugreifen.
Die Lösung
Um das Backup wieder lauffähig zu bekommen, müssen die folgenden Dinge durchgeführt werden.
1. Updates auf alles Systemen installiert
Die entsprechenden Updates müssen auf allen Systemen installiert werden, die vorhanden sind. Dies sind die Hyper-V Knoten, die SOFS Cluster Knoten und der Veeam Backup Server. Haben die Server unterschiedliche Patchlevel, kann es weiterhin zu Problemen beim Backup kommen.
2. Die Anpassung der Dienst-Anmeldung
Auf den Hyper-V Hosts gibt es einen Dienst Veeam Hyper-V Integration Service. Dieser Dienst arbeitet normalerweise im Local System Kontext.
Dies muss umgestellt werden auf ein Konto, was mindestens lokaler Administrator ist. Dazu in den Eigenschaften des Dienstes die Anmeldung umstellen auf ein Domänen-Konto.
Wichtig: Setzt in den Einstellungen des Dienstes bitte nicht ein Domänen-Administrator-Konto. Die Kennwörter der Dienste-Anmeldedaten werden im Klartext in der Registry gespeichert und können dort genau so einfach ausgelesen werden, wie es sich auch anhört.
Erstellt in eurer Domäne ein neues Benutzerkonto mit einem beliebigen Namen und einen komplexen, langen Kennwort länger 20 Zeichen. Dieses Konto wird dann für die Anmeldung des Dienstes genutzt. Damit ausreichend Rechte vorhanden sind, muss dieses Konto lokal in die Gruppe der (lokalen) Administratoren hinzugefügt werden. Damit haben wir keine domänenweiten Rechte, sondern „nur“ auf den Hyper-V und SMB3 Knoten.
3. Konto auf den SMB3 SOFS Cluster Knoten hinzufügen
Damit die Sicherung erfolgreich abgeschlossen werden kann, muss das Veeam-Dienste-Konto auf dem SMB3 Cluster Knoten ebenfalls in die Gruppe der lokalen Administratoren hinzugefügt werden.
Eine Anpassung der Share-Berechtigungen oder sonstiges ist nicht notwendig. Sind diese Einstellungen getätigt, kann das Backup erneut probiert werden. In meinem Fall war es danach erfolgreich möglich, ein Backup zu erstellen. Der markierte Punkt der Snapshot-Erstellung war vorher die Stelle, an dem das Backup abgebrochen ist und die schon erwähnte Fehlermeldung gezeigt hat.
Quellen und weitere Informationen
Es gibt zu diesem Problem mittlerweile ein paar Seiten von Microsoft und Veeam, die dieses Problem ebenfalls beschreiben und die mir bei der Lösung geholfen haben.
Veeam.com: Veeam’s VSS Operations With SMB 3.0 Impacted by Windows June 14, 2022 Update