asliiv
Goto Top

Veeam Verschlüsselung

Hi,

ich habe ein Problem und zwar:

Ich habe lokal eine Veeam Sicherung eingerichtet auf einem NAS abgelegt, welches über ISCSI eingebunden war.

Jetzt habe ich die Initialsicherung auf das Gerät gebracht und die Veeam-Verschlüsselung eingeschaltet.

Später wurde die NAS an einen entfernten Ort gebracht und über einen Tunnel wieder über ISCSI eingebunden. Jetzt ist das Laufwerk verschlüsselt und ich weiß nicht wie ich da wieder ran komme. Ich dachte eigentlich das Veeam das entsprechend wieder erkennt und drauf zugreift, aber leider ist das nicht der Fall.

Weiß jemand wie ich Veeam dazu bekomme wieder auf das Laufwerk zugreifen zu können oder habe ich jetzt ein Problem?

Liebe Grüße

Asliv

Content-ID: 3219750429

Url: https://administrator.de/contentid/3219750429

Ausgedruckt am: 30.10.2024 um 09:10 Uhr

clSchak
clSchak 30.06.2022 um 15:24:08 Uhr
Goto Top
Hi

der Key wird doch zum einen in Veeam gespeichert und sollte bei der Einbindung wieder auswählbar sein, ebenso wenn das Storage scanned, sollte die Abfrage wegen dem Passwort kommen oder hast das auch Veeam gelöscht und nicht gesichert?
StefanKittel
StefanKittel 30.06.2022 um 15:32:55 Uhr
Goto Top
Hallo,

es kann ja hier 3 Ebenen geben.

1. Die Verschlüsselung des Volums im NAS selber.
Das hat aber nichts mit dem Standort zu tun.

2. Die Verschlüsselung der Veeam-Datenbank.
Das Kennwort hast Du selber vergeben und es ist in Veeam gespeichert.

Ich vermute mal 3. eine Laufwerksverschlüsselung in Windows selber.
Wenn sich die IP ändert kann ich mir vorstellen, habe es nie ausprobiert, dass Windows das Laufwerk als ein anderes ansieht und seine Schlüssel nicht verwendet. Bei der Verschlüsselung wurden Recovery-Codes angezeigt. Mit denen sollte man das Laufwerk wieder verbinden können.

Stefan
Asliiv
Asliiv 30.06.2022 um 15:34:39 Uhr
Goto Top
Huhu,
Bin jetzt auch davon ausgegangen, dass das wieder funktioniert. Gelöscht habe ich gar nichts. Nur die NAS an einen anderen Ort gebracht und über VPN per ISCSI verbunden. Das wars schon.

Wenn ich einen "rescan" durchführe bekomme ich folgende Fehlermeldung:
30.06.2022 15:33:06 Warning Failed to synchronize NAS Details: Failed to call RPC function 'FcIsExists': Auf dem Datentr�ger befindet sich kein erkanntes Dateisystem. Stellen Sie sicher, dass alle ben�tigten Dateisystemtreiber geladen sind und dass der Datentr�ger nicht besch�digt ist.
Failed to call RPC function 'FcIsExists': Auf dem Datentr�ger befindet sich kein erkanntes Dateisystem. Stellen Sie sicher, dass alle ben�tigten Dateisystemtreiber geladen sind und dass der Datentr�ger nicht besch�digt ist.

Ich führe das aber mal auf die Verschlüsselung zurück.
clSchak
clSchak 30.06.2022 um 15:36:19 Uhr
Goto Top
Sekunde, du willst iSCSI über eine VPN Strecke mounten? Also via iSCSI das LUN an deine Maschine hängen und es dann als lokales Laufwerk verwenden?
Asliiv
Asliiv 30.06.2022 um 15:36:46 Uhr
Goto Top
Zitat von @StefanKittel:

Hallo,

es kann ja hier 3 Ebenen geben.

1. Die Verschlüsselung des Volums im NAS selber.
Das hat aber nichts mit dem Standort zu tun.

2. Die Verschlüsselung der Veeam-Datenbank.
Das Kennwort hast Du selber vergeben und es ist in Veeam gespeichert.

Ich vermute mal 3. eine Laufwerksverschlüsselung in Windows selber.
Wenn sich die IP ändert kann ich mir vorstellen, habe es nie ausprobiert, dass Windows das Laufwerk als ein anderes ansieht und seine Schlüssel nicht verwendet. Bei der Verschlüsselung wurden Recovery-Codes angezeigt. Mit denen sollte man das Laufwerk wieder verbinden können.

Stefan

Die Verschlüsselung des Volumes habe ich über Veeam angestoßen und scheinbar nutzt dieses den Windows Bitlocker.
Nach der Verlagerung an einen anderen Ort hat diese tatsächlich eine andere IP bekommen.
Asliiv
Asliiv 30.06.2022 um 15:37:18 Uhr
Goto Top
Zitat von @clSchak:

Sekunde, du willst iSCSI über eine VPN Strecke mounten? Also via iSCSI das LUN an deine Maschine hängen und es dann als lokales Laufwerk verwenden?

Genau, bisher hatte ich damit keine Probleme
clSchak
clSchak 30.06.2022 um 15:41:53 Uhr
Goto Top
aha, also iSCSI und normalen Traffic über eine Leitung, würde ich jetzt nicht machen, da wäre mir das Risiko eines Datenverlusts aufgrund von Verbindungsfehlern doch ein wenig zu groß face-smile - via CIFS / NFS hätte ich da weniger bedenken.

Aber scheinbar kann er das Storage nicht sauber mounten wie es aussieht oder es ist wie @StefanKittel vermutet, das LUN selbst durch die NAS oder einem anderen Weg verschlüsselt, Veeam verschlüsselt nur die Backupsätze aber nicht das Laufwerk.
Asliiv
Asliiv 30.06.2022 um 15:51:35 Uhr
Goto Top
Zitat von @clSchak:

aha, also iSCSI und normalen Traffic über eine Leitung, würde ich jetzt nicht machen, da wäre mir das Risiko eines Datenverlusts aufgrund von Verbindungsfehlern doch ein wenig zu groß face-smile - via CIFS / NFS hätte ich da weniger bedenken.

Aber scheinbar kann er das Storage nicht sauber mounten wie es aussieht oder es ist wie @StefanKittel vermutet, das LUN selbst durch die NAS oder einem anderen Weg verschlüsselt, Veeam verschlüsselt nur die Backupsätze aber nicht das Laufwerk.

Bin da leider was das angeht noch n blutiger Anfänger. Ich guck mir mal an was es mit CIFS / NFS auf sich hat im Gegensatz zu ISCSI =)

Also im Windows wird das auf jeden Fall BitLocker verschlüsselt angezeigt und das hab ich definitiv nicht aktiviert unter Windows :/
adminst
adminst 30.06.2022 aktualisiert um 15:56:18 Uhr
Goto Top
Hallo
Für mich sieht es aus, als ob du die ISCSI Disk gar nicht richtig mounten kannst.
Dies hat wie meine Vorredner gesagt haben nichts mit der Datensatzverschlüsselung zu tun.

Hast du die MTU Size usw. beachtet?

/Eintrag wurde parallel mit deinem geschrieben face-smile
Gruss
adminst
StefanKittel
StefanKittel 30.06.2022 um 15:56:45 Uhr
Goto Top
Moin,

Veeam macht nix mit Bitlocker oder ähnliches.
Veeam leegt einfach Dateien auf einem Laufwerk oder Freigabe ab.
Die sind verschlüsselt. Aber selbst ohne den Schlüssel kann man diese Dateien sehen.

Die Meldung besagt aber, dass dies nicht geht.
Also, dass das Laufwerk nicht gemountet werden kann.
Solange Du die Veem-Dateien unter Windows nicht sehen kannst, kannst Du Veeam weglassen.

Gefühlt würde ich sage "Dateisystem verschossen".

Richte doch mal eine kleine 2. Freigabe ein und binde diese per iSCSI an um zu schauen ob es mit dem VPN grundsätzlich funktionieren würde.

iSCSI verleitet, so fühlt sich das für mich an, Windows zu denken es wäre ein hochperformanter im LAN mit Latenz <1ms. Was bei VPN ja eher selten ist. Deshalb würde ich hier auch eher SMB/CIFS über VPN verwenden.

Stefan
Asliiv
Asliiv 30.06.2022 um 16:21:50 Uhr
Goto Top
Hmm sieht alles nicht so richtig rosig aus. Mir wird gerade ganz schön warm muss ich sagen :D
Ich versuche dem nochmal weiter auf die Schliche zu kommen. Vielen dank erstmal.
Wenn ich die Erleuchtung habe was es gewesen ist teil ich das gerne hier mit, wenn es interessiert ^^

liebe Grüße

Asliv
Visucius
Visucius 30.06.2022 aktualisiert um 17:05:15 Uhr
Goto Top
Merke:
Verschlüsselung bei Backups war immer schon, ist immer noch und bleibt für alle Zeiten Grütze. 😉
ukulele-7
ukulele-7 30.06.2022 um 17:10:49 Uhr
Goto Top
Ich würde sagen iSCSI over WAN ist vermutlich auch Grütze, habe ich nie in Erwägung gezogen.

Selbst habe ich so ein Projekt auch noch vor mir, musste das leider irgendwann mal bei Seite legen. Hier mal meine Empfehlung
- Ubuntu Linux mit VPN Client in dein Netz (IPSec schneller als OpenVPN)
- Veeam Immutable Backup drauf. Nicht nur wegen immutable sondern weil du dann ein backup repository drauf hast mit dem Veeam über seine Protokolle und Ports kommuniziert (durch das VPN)
https://nolabnoparty.com/en/veeam-v11-hardened-repository-immutability-p ...
- Veeam WAN Accelerator ist meiner Meinung nach die Lizenzkosten nicht unbedingt wert aber interessant ist es:
https://helpcenter.veeam.com/docs/backup/vsphere/backup_copy_path.html?v ...
- Veeam Synthetic Full Backup Job
https://helpcenter.veeam.com/docs/backup/vsphere/synthetic_full_hiw.html ...
- Ich würde nicht das ganze System verschlüsseln sondern wenn dann die Backups mit Veeam. Der Schlüssel wird dann von Veeam verwaltet.
Asliiv
Lösung Asliiv 22.08.2022 um 14:32:57 Uhr
Goto Top
Hi,

sorry ist schon etwas her, aber das Rätsel hat sich gelöst.

Ein externer hat die Datenbank per ISCSI auf seinem Notebook verbunden mit automatisch aktiviertem Bitlocker und dieser machte sich dann auch sogleich ans Werk und hat direkt mal alles verschlüsselt.

Danke für eure Hilfe.

liebe Grüße

Asliiv
ukulele-7
ukulele-7 22.08.2022 aktualisiert um 17:06:05 Uhr
Goto Top
Eigentlich haben iSCSI Targets diverse Sicherheitsmechanismen. In der niedrigsten Ausprägung werden zumindest die Initiatoren doch per Whitelist zugelassen, dann hätte das ja eigentlich nicht gehen dürfen.