18
Veeam Fehler SOAP fault beim Backup von Win11 Server 22
Hallo zusammen,
ich habe vor einem halben Jahr neben vielerlei anderen Aufgaben auch eine Veeam Backup & Replication Umgebung zur Administration geerbt. In den Jahren zuvor bereits mitbetreut, nun muss ich mich aber zu 100% darum kümmern. So weit, so gut. Hatte ja auch schon mal Probleme, bei denen mir hier top geholfen wurde.
Gesichert werden VMs auf ESX/vSPhere 8 U3 mit einem SAN Storage mittels Veeam Backup & Replication 12.2
Mit Windows Server 2019, Windows 10, SuSe15 und Ubuntu20/22 VMs läuft das so weit.
Nun steht die Anforderung im Raum Windows 11 / Server 2022 zu sichern und damit falle ich seit Wochen auf die Nase.
Nach langem! hin und her mit dem Support von Veeam, der mich keinen mm weiter gebracht hat, frage ich nun hier.
Wahrscheinlich fehlt eine Voraussetzung, damit es mit Veeam klappt, ich habe nur nicht herausfinden können welche?
Nun sichere ich idR. LUN Basiert, aber auch wenn ich auf VM basiert sichern möchte, ehalte ich beim Versuch die Windows 11 VM zu sichern den Fehler:
Gleiches dann auch mit Windows Server 2022 und weiteren Windows 11 VMs.
Der Support teilte mir irgendwann mit, ich müsse mit einem Veeam-Proxy sichern, der ebenfalls TPM Verschlüsselung aktiviert hat nutzen. Also habe ich einen solchen aufgesetzt.
Gastbetriebssystem - Windows Server 2022 (64-bit)
Auf Virtualisierung basierende Sicherheit - Aktivieren
Verschlüsselung - Verschlüsselt mit einem nativen Schlüsselanbieter: Native_Key-Provider
Und als Proxy im Veeam eingerichtet.
Den Job mit den Windows 11 VMs habe ich an diesen Proxy gebunden und ... der Fehler ist exakt der Gleiche.
Ich habe es dann Versuchsweise mal mit meiner Synology Rackstation und dem Synology Active Backup for Business versucht. Das hat weder Probleme die VMs zu sichern, noch einzelne Dateien oder die gesamte VM wiederherzustellen. Damit klappt es sofort. Daher vermute ich, dass ich zumindest seitens VMware den Fehler ausschließen kann.
Nach weiterem hin und her mit dem Support habe ich zwischenzeitlich aufgegeben, weil andere Sachen wichtiger waren, nun stehe ich aber wieder an dem Punkt, das ans laufen bekommen zu müssen.
Kennt jemand die Ursache für diesen Fehler und weiß Rat?
ich habe vor einem halben Jahr neben vielerlei anderen Aufgaben auch eine Veeam Backup & Replication Umgebung zur Administration geerbt. In den Jahren zuvor bereits mitbetreut, nun muss ich mich aber zu 100% darum kümmern. So weit, so gut. Hatte ja auch schon mal Probleme, bei denen mir hier top geholfen wurde.
Gesichert werden VMs auf ESX/vSPhere 8 U3 mit einem SAN Storage mittels Veeam Backup & Replication 12.2
Mit Windows Server 2019, Windows 10, SuSe15 und Ubuntu20/22 VMs läuft das so weit.
Nun steht die Anforderung im Raum Windows 11 / Server 2022 zu sichern und damit falle ich seit Wochen auf die Nase.
Nach langem! hin und her mit dem Support von Veeam, der mich keinen mm weiter gebracht hat, frage ich nun hier.
Wahrscheinlich fehlt eine Voraussetzung, damit es mit Veeam klappt, ich habe nur nicht herausfinden können welche?
- Fangen wir damit an, dass ich für TPM einen Native Key Provider eingerichtet habe.
- Eine Windows 11 VM habe ich erstellt und mit einem virtuellem TPM Sicherheitsgerät ausgestattet
- Unter Verschlüsselung in den erweiterten VM Optionen ist (i) Diese VM ist mit TPM verschlüsselt angegeben
- Auf Virtualisierung basierende Sicherheit ist aktiviert
Nun sichere ich idR. LUN Basiert, aber auch wenn ich auf VM basiert sichern möchte, ehalte ich beim Versuch die Windows 11 VM zu sichern den Fehler:
Processing WIN11VM Error: Cannot get service content. Soap fault. TimeoutDetail: 'connect failed in tcp_connect()', endpoint: 'https://vcenter.domain:443/sdk' SOAP connection is not available. Connection ID: [vcenter.domain]. Failed to create NFC download stream. NFC path: [nfc://conn:vcenter.domain,nfchost:host-123456,stg:datastore-123456@WIN11VM/WIN11VM.vmx]. Agent failed to process method {Transfer.FileToText}. Gleiches dann auch mit Windows Server 2022 und weiteren Windows 11 VMs.
Der Support teilte mir irgendwann mit, ich müsse mit einem Veeam-Proxy sichern, der ebenfalls TPM Verschlüsselung aktiviert hat nutzen. Also habe ich einen solchen aufgesetzt.
Gastbetriebssystem - Windows Server 2022 (64-bit)
Auf Virtualisierung basierende Sicherheit - Aktivieren
Verschlüsselung - Verschlüsselt mit einem nativen Schlüsselanbieter: Native_Key-Provider
Und als Proxy im Veeam eingerichtet.
Den Job mit den Windows 11 VMs habe ich an diesen Proxy gebunden und ... der Fehler ist exakt der Gleiche.
Ich habe es dann Versuchsweise mal mit meiner Synology Rackstation und dem Synology Active Backup for Business versucht. Das hat weder Probleme die VMs zu sichern, noch einzelne Dateien oder die gesamte VM wiederherzustellen. Damit klappt es sofort. Daher vermute ich, dass ich zumindest seitens VMware den Fehler ausschließen kann.
Nach weiterem hin und her mit dem Support habe ich zwischenzeitlich aufgegeben, weil andere Sachen wichtiger waren, nun stehe ich aber wieder an dem Punkt, das ans laufen bekommen zu müssen.
Kennt jemand die Ursache für diesen Fehler und weiß Rat?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 670103
Url: https://administrator.de/forum/veeam-fehler-soap-fault-beim-backup-von-win11-server-22-670103.html
Ausgedruckt am: 15.01.2025 um 15:01 Uhr
18 Kommentare
Neuester Kommentar
Moin @pcpanik
es ist nur so ein Verdacht/Gefühl, aber gib doch mal der WIN11VM eine fixe IP-Adresse und trage diese auch als Record Reservierung im DNS ein. Vielleicht hilft das ja weiter.
Grüße
Kreuzberger
es ist nur so ein Verdacht/Gefühl, aber gib doch mal der WIN11VM eine fixe IP-Adresse und trage diese auch als Record Reservierung im DNS ein. Vielleicht hilft das ja weiter.
Grüße
Kreuzberger
@kreuzberger, Danke für die Antwort, ich bin da für jede Idee offen, da ich echt nicht weiter weiß.
Insbesondere, da es mit Synos ABfB problemlos funktioniert.
Die VM hat allerdings eine DHCP-Reservierung und der DNS-Record stimmt. nslookup löst auch korrekt auf.
Für die Sicherung an sich muss die VM nicht mal eingeschaltet sein, das geht auch ausgeschaltet.
Insbesondere, da es mit Synos ABfB problemlos funktioniert.
Die VM hat allerdings eine DHCP-Reservierung und der DNS-Record stimmt. nslookup löst auch korrekt auf.
Für die Sicherung an sich muss die VM nicht mal eingeschaltet sein, das geht auch ausgeschaltet.
@kreuzberger, was ist damit gemeint? Transport ?
Für eine VM Sicherung musste ich bisher auf den VMs nichts installieren.
Ich habe es auch mit weiteren Windows 11 und einem Server 2022 versucht. Das Ergebnis ist immer das Gleiche mit dem SOAP fault.
Ich hätte dier Fehlermeldung auch so interprettiert, dass keine Verbindung über 443 erstellt werden kann. Aber grundsätzlich erreicht der Veeam B&R Server ja das vCenter.
Für eine VM Sicherung musste ich bisher auf den VMs nichts installieren.
Ich habe es auch mit weiteren Windows 11 und einem Server 2022 versucht. Das Ergebnis ist immer das Gleiche mit dem SOAP fault.
Ich hätte dier Fehlermeldung auch so interprettiert, dass keine Verbindung über 443 erstellt werden kann. Aber grundsätzlich erreicht der Veeam B&R Server ja das vCenter.
@pcpanik
Veeam installier für Backup-Jobs immer das „Transport“ Modul auf ein zu sicherndes System. Über dieses Modul/Programm holt sich Veeam dann die Daten ab.
Google: "Ein Transportmodus ist eine Methode, die vom Veeam Data Mover verwendet wird, um VM-Daten von der Quelle abzurufen und in das Ziel zu schreiben . Die Auftragseffizienz und die für die Auftragserledigung erforderliche Zeit hängen stark vom Transportmodus ab.“
Kreuzberger
Veeam installier für Backup-Jobs immer das „Transport“ Modul auf ein zu sicherndes System. Über dieses Modul/Programm holt sich Veeam dann die Daten ab.
Google: "Ein Transportmodus ist eine Methode, die vom Veeam Data Mover verwendet wird, um VM-Daten von der Quelle abzurufen und in das Ziel zu schreiben . Die Auftragseffizienz und die für die Auftragserledigung erforderliche Zeit hängen stark vom Transportmodus ab.“
Kreuzberger
Achso, jetzt weiß ich, was Du meinst. Allerdings wird der Transport Mode auf dem Veeam Backup-Proxy vorgegeben 
Da gibt es Disc Storage Access (für LUN Sicherung), Virtual Appliance und Network, wobei letzteres quasi der Fallback ist.
Die Verbindung wird ja auch zum vcenter und dem dortigen Spüeicherplatz der VM aufgebaut und nicht direkt zur VM:
Da gibt es Disc Storage Access (für LUN Sicherung), Virtual Appliance und Network, wobei letzteres quasi der Fallback ist.
Die Verbindung wird ja auch zum vcenter und dem dortigen Spüeicherplatz der VM aufgebaut und nicht direkt zur VM:
https://vcenter.domain:443/sdk' SOAP connection is not available. Connection ID: [vcenter.domain]. Failed to create NFC download stream. NFC path: [nfc://conn:vcenter.domain,nfchost:host-123456,stg:datastore-123456@WIN11VM/WIN11VM.vmx]
Hi,
ich kenne diese Meldung bei einem Kunden, ich weiß allerdings nicht, ob das auf dich zutrifft.
Dort haben wir 2 ESXi Hosts und einen VCSA, der virtualisiert auf einen der beiden Hosts lief (ja, ich weiß...). Das Veeam-Backup wurde mit dem Ziel des VCSAs eingerichtet, was ja auch korrekt ist und läuft damit problemlos auf ein SMB Share.
Ich habe irgendwann mal testweise ein Backup eingerichtet, das am VCSA vorbei direkt mit dem ESXi kommuniziert hat, und bei den Backups habe ich genau diese SOAP Fehlermeldung bekommen.
Daher, gibts du den VCSA oder den ESXi direkt als Adresse in Veeam an? Wobei ich vermuten würde, dass Veeam das auch schon abgeklärt hat...
MfG
ich kenne diese Meldung bei einem Kunden, ich weiß allerdings nicht, ob das auf dich zutrifft.
Dort haben wir 2 ESXi Hosts und einen VCSA, der virtualisiert auf einen der beiden Hosts lief (ja, ich weiß...). Das Veeam-Backup wurde mit dem Ziel des VCSAs eingerichtet, was ja auch korrekt ist und läuft damit problemlos auf ein SMB Share.
Ich habe irgendwann mal testweise ein Backup eingerichtet, das am VCSA vorbei direkt mit dem ESXi kommuniziert hat, und bei den Backups habe ich genau diese SOAP Fehlermeldung bekommen.
Daher, gibts du den VCSA oder den ESXi direkt als Adresse in Veeam an? Wobei ich vermuten würde, dass Veeam das auch schon abgeklärt hat...
MfG
Zitat von @kreuzberger:
@pcpanik
Veeam installier für Backup-Jobs immer das „Transport“ Modul auf ein zu sicherndes System. Über dieses Modul/Programm holt sich Veeam dann die Daten ab.
Google: "Ein Transportmodus ist eine Methode, die vom Veeam Data Mover verwendet wird, um VM-Daten von der Quelle abzurufen und in das Ziel zu schreiben . Die Auftragseffizienz und die für die Auftragserledigung erforderliche Zeit hängen stark vom Transportmodus ab.“
Kreuzberger
@pcpanik
Veeam installier für Backup-Jobs immer das „Transport“ Modul auf ein zu sicherndes System. Über dieses Modul/Programm holt sich Veeam dann die Daten ab.
Google: "Ein Transportmodus ist eine Methode, die vom Veeam Data Mover verwendet wird, um VM-Daten von der Quelle abzurufen und in das Ziel zu schreiben . Die Auftragseffizienz und die für die Auftragserledigung erforderliche Zeit hängen stark vom Transportmodus ab.“
Kreuzberger
Hi,
aber nicht auf Virtuellen Maschinen. Diese Aussage ist grundlegend falsch
@tech-flare
toll, und wie ist es dann richtig?
immerhin, was mein google-Zitat angeht bezieht sich das wie oben zu lesen ist auf VM-DaTEN.
Ich werde ja auch gerne schlauer.
Kreuzberger
toll, und wie ist es dann richtig?
immerhin, was mein google-Zitat angeht bezieht sich das wie oben zu lesen ist auf VM-DaTEN.
Ich werde ja auch gerne schlauer.
Kreuzberger
Zitat von @kreuzberger:
@tech-flare
toll, und wie ist es dann richtig?
immerhin, was mein google-Zitat angeht bezieht sich das wie oben zu lesen ist auf VM-DaTEN.
Ich werde ja auch gerne schlauer.
Kreuzberger
@tech-flare
toll, und wie ist es dann richtig?
immerhin, was mein google-Zitat angeht bezieht sich das wie oben zu lesen ist auf VM-DaTEN.
Ich werde ja auch gerne schlauer.
Kreuzberger
Veeam sichert bei Standard VM auf ESXI Hots ( ausnahmen bilden Failover Cluster) blockbasiert über die VMware Storage API, oder bei einem SAN über DirectAccess ( FibreChannel), sofern eine Direct Access Proxy vorhanden ist.
Veeam benötigt dazu keinen direkten Zugangs zum OS der VM selbst, geschweige denn irgendwelche Zugangsdaten der VM. Ausnahmen bilden veeam application aware processing oder andere Funktionen.
@ersteller:
Hast du in VMware einen "Backup for NFC" Kernel eingerichtet, welcher sich bestenfalls im gleichen Subnet wie die Veeam Server befinden?
"Backup for NFC" Kernel"
Bitte einen was? Ich habe diverse VMkernel Adapter, aber von einem Backup for NFC habe ich noch nie gehört. Im Grunde nur den vmk0 für das vcenter, im gleichen Segment, einen für vMotion, welche fürs SAN, sowie einen für veeam NFS, um an ein NFS Share zu gelangen.
Bitte einen was? Ich habe diverse VMkernel Adapter, aber von einem Backup for NFC habe ich noch nie gehört. Im Grunde nur den vmk0 für das vcenter, im gleichen Segment, einen für vMotion, welche fürs SAN, sowie einen für veeam NFS, um an ein NFS Share zu gelangen.
Hi,
ich kenne diese Meldung bei einem Kunden, ich weiß allerdings nicht, ob das auf dich zutrifft.
Dort haben wir 2 ESXi Hosts und einen VCSA, der virtualisiert auf einen der beiden Hosts lief (ja, ich weiß...). Das Veeam-Backup wurde mit dem Ziel des VCSAs eingerichtet, was ja auch korrekt ist und läuft damit problemlos auf ein SMB Share.
Ich habe irgendwann mal testweise ein Backup eingerichtet, das am VCSA vorbei direkt mit dem ESXi kommuniziert hat, und bei den Backups habe ich genau diese SOAP Fehlermeldung bekommen.
Daher, gibts du den VCSA oder den ESXi direkt als Adresse in Veeam an? Wobei ich vermuten würde, dass Veeam das auch schon abgeklärt hat...
ich kenne diese Meldung bei einem Kunden, ich weiß allerdings nicht, ob das auf dich zutrifft.
Dort haben wir 2 ESXi Hosts und einen VCSA, der virtualisiert auf einen der beiden Hosts lief (ja, ich weiß...). Das Veeam-Backup wurde mit dem Ziel des VCSAs eingerichtet, was ja auch korrekt ist und läuft damit problemlos auf ein SMB Share.
Ich habe irgendwann mal testweise ein Backup eingerichtet, das am VCSA vorbei direkt mit dem ESXi kommuniziert hat, und bei den Backups habe ich genau diese SOAP Fehlermeldung bekommen.
Daher, gibts du den VCSA oder den ESXi direkt als Adresse in Veeam an? Wobei ich vermuten würde, dass Veeam das auch schon abgeklärt hat...
Naja, dass man das VCSA auf der Umgebung laufen lässt ist heutzutage nix ungewöhnliches, wobei ich das auch lieber separieren möchte.
Ich gehe über den VCSA. Klappt ja bei allen anderen VMs auch. Sind ja nur die TPM VMs betroffen.
Du meinst, ich solle mal all unsere Hosts noch zusätzlich als Standalone eintragen und mal versuchen?
P.S. also einbinden über IP war jetzt kein Problem (als fqdn sind die ja bereits vorhanden), dazu werden ja die Zertifikate über 443 abgefragt, was einwandfrei klappt. Sodass ich da noch immer nicht das Problem sehe. Der Backupserver ist zudem in der VCSA FW eingetragen.
Auf den Hosts ist 443 und 902 freigegeben.
P.P.S. gleicher Fehler, wenn ich es über einen einzelnen Host versuche.
SOAP NFC ist 902 TCP, richtig?
11.12.2024 11:57:44 :: Processing WIN11VM Error: Cannot get service content.
Soap fault. TimeoutDetail: 'connect failed in tcp_connect()', endpoint: 'https://HOST-IP:443/sdk'
SOAP connection is not available. Connection ID: [HOST-IP].
Failed to create NFC download stream. NFC path: [nfc://conn:HOST-IP,nfchost:ha-host;HOST@WIN11VM/WIN11VM.vmx].
Agent failed to process method {Transfer.FileToText}.
SOAP NFC ist 902 TCP, richtig?
Zitat von @pcpanik:
P.P.S. gleicher Fehler, wenn ich es über einen einzelnen Host versuche.
SOAP NFC ist 902 TCP, richtig?
P.P.S. gleicher Fehler, wenn ich es über einen einzelnen Host versuche.
11.12.2024 11:57:44 :: Processing WIN11VM Error: Cannot get service content.
Soap fault. TimeoutDetail: 'connect failed in tcp_connect()', endpoint: 'https://HOST-IP:443/sdk'
SOAP connection is not available. Connection ID: [HOST-IP].
Failed to create NFC download stream. NFC path: [nfc://conn:HOST-IP,nfchost:ha-host;HOST@WIN11VM/WIN11VM.vmx].
Agent failed to process method {Transfer.FileToText}.
SOAP NFC ist 902 TCP, richtig?
Ja genau und deswegen gibt es den vmkernel „ NFC bei vSphere-Sicherung“. Dieser sollte bestenfalls im gleichen Subnetz hängen wie die Veeam Proxy, damit keine FW dazwischen steht.
Siehe auch www.veeam.com/kb1198
Und bei VMware erklärt docs.vmware.com/de/VMware-vSphere/7.0/com.vmware.vsphere.networking.doc/GUID-D4191320-209E-4CB5-A709-C8741E713348.html#:~:text=NFC%2DDatenverkehr%20durchl%C3%A4uft%20den%20VMkernel,der%20vSphere%2DSicherung%20aktiviert%20ist.&text=VMkernel%2DPorteinstellung%20f%C3%BCr%20dedizierten%20NVMe,over%20TCP%2DAdapter%20aktiviert%20ist.
2
Okay, verstehe, den gibt es so bisher nicht. Muss ich anlegen. Das hieße aber eine weitere IP für die Systeme nur für NFC, sehe ich das richtig?
Danke in jedem Fall für die Unterstützung!!
Danke in jedem Fall für die Unterstützung!!
Ist mir tatsächlich vorher noch nie aufgefallen dieser VMkernel Port
3
Okay, den VMkernel Port habe ich auf allen Hosts nun angelegt und DNS mäßig unter gleichem Hostnamen bekannt gemacht.
Im veeam habe ich einen Rescan des vcenter und des Proxy ausgeführt.
Leider klappt der Job über das vcenter weiterhin nicht mit identischem Fehler.
Also habe ich die Hosts einzeln mit der nfc-Kernel-IP als Standalone Hosts angelegt und mal darüber getestet.
Klappt auch nicht. Nochmal die FW kontrolliert, aber da ist 902 TCP für ANY frei.
P.S. ESX Hosts, vCenter, Backup-Server und Proxies sind alle im gleichen Subnetz.
Im veeam habe ich einen Rescan des vcenter und des Proxy ausgeführt.
Leider klappt der Job über das vcenter weiterhin nicht mit identischem Fehler.
Also habe ich die Hosts einzeln mit der nfc-Kernel-IP als Standalone Hosts angelegt und mal darüber getestet.
Klappt auch nicht. Nochmal die FW kontrolliert, aber da ist 902 TCP für ANY frei.
11.12.2024 13:10:19 :: Processing WIN11VM Error: Cannot get service content.
Soap fault. TimeoutDetail: 'connect failed in tcp_connect()', endpoint: 'https://HOST_NFC_IP:443/sdk'
SOAP connection is not available. Connection ID: [HOST NFC IP].
Failed to create NFC download stream. NFC path: [nfc://conn:HOST_NFC_IP,nfchost:ha-host,stgHOST@WIN11VM/WIN11VM.vmx].
Agent failed to process method {Transfer.FileToText}.
P.S. ESX Hosts, vCenter, Backup-Server und Proxies sind alle im gleichen Subnetz.
Ich kann Erfolg vermelden.
Wobei mir nicht klar ist warum. Aber nun funktioniert es.
Ich habe den Proxy Server aus der Backup Infrastruktur entfernt und neu hinzugefügt.
Siehe da: Es funktioniert.
Ist auf jeden Fall schon mal gut, dass es jetzt klappt.
Aber in so weit unberfriedigend, da ich nun kein richtiges Fehlerbild habe, mit dem man nun arbeiten könnte und anderen helfen.
Fassen wir dennoch mal zusammen:
Um Windows mit TPM per Veeam Backup & Replication von einer vSphere Umgebung zu sichern müssen folgende Voraussetzungen erfüllt sein:
Unter diesen Voraussetzungen sollte es klappen.
Ich markiere dies hier mit als Lösung, zusammen mit dem sehr hilfreichen Kommentar von @tech-flare, dem ich an dieser Stelle nochmals Danke.
Wobei mir nicht klar ist warum. Aber nun funktioniert es.
Ich habe den Proxy Server aus der Backup Infrastruktur entfernt und neu hinzugefügt.
Siehe da: Es funktioniert.
Ist auf jeden Fall schon mal gut, dass es jetzt klappt.
Aber in so weit unberfriedigend, da ich nun kein richtiges Fehlerbild habe, mit dem man nun arbeiten könnte und anderen helfen.
Fassen wir dennoch mal zusammen:
Um Windows mit TPM per Veeam Backup & Replication von einer vSphere Umgebung zu sichern müssen folgende Voraussetzungen erfüllt sein:
- für TPM muss ein Native Key Provider eingerichtet sein
- die zu sichernde VM muss mit einem virtuellem TPM Sicherheitsgerät ausgestattet sein
- Unter Verschlüsselung in den erweiterten VM Optionen muss (i) Diese VM ist mit TPM verschlüsselt angegeben sein
- auf Virtualisierung basierende Sicherheit muss aktiviert sein
- es muss ein VMkernel Port "vSphere Backup NFC" im gleichen Netzwerksegment eingerichtet sein
- es muss einen Veeam-Proxy-Server im gleichen Netzwerksegment geben
- der Veeam-Proxy-Server muss ebenfalls mit dem TPM Sicherheitsgerät ausgestattet sein
- Der Transportmodus des Proxies sollte auf Automatic stehen (so bei mir jedenfalls der Fall und es funktioniert)
Unter diesen Voraussetzungen sollte es klappen.
Ich markiere dies hier mit als Lösung, zusammen mit dem sehr hilfreichen Kommentar von @tech-flare, dem ich an dieser Stelle nochmals Danke.
