Jump to content

Welches Sicherungskonzept ist das Beste


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

ich betreue ein kleines Unternehmen, das ein Netzwerk aus Windows 2012R2 und 10 Clients (Win 7) einsetzt. Auf dem Server läuft ein SQL-Datenbankserver. Alle Rechner sind in genau einer Domäne, der Server ist der DC mitsamt GC.

Das Unternehmen nutzt die Anlage quasi ausschließlich für ein Warenwirtschaftssystem mit integrierter Kassensoftware, d.h. auf einigen Clients läuft das WaWi als intelligente Kasse.

Das System ist über einen zweistufigen Router mit dem Internet verbunden. Außerdem wird dadurch dem Teamviewer Zugriff ermöglicht, wenn das WaWi gewartet werden muss.

Der Ausfall des WaWi wäre für das Unternehmen sehr schmerzlich, da dann der Geschäftsbetrieb zu >90 % unterbrochen ist, viele Dienstleistungen lassen sich nur mit/über dieses WaWi erledigen.

Von den Clients ziehe ich regelmäßig Acronis Backups, vom Server aktuell nicht, da der mit Wartungsvertrag von einer Drittfirma unterhalten wird. Die Backups werden nicht im Unternehmen aufbewahrt.

Der Ausfall eines Clients wäre relativ leicht zu verschmerzen, es wird dann ein neuer gekauft und ich spiele ein Backup zurück. Nach zwei Tagen läuft es dann wieder. Das ist auch schon mehrfach vorgekommen.

Nun zum Problem.
Vom Server werden zwar täglich Datensicherungen gefahren, die aber – soweit ich das erkennen kann – inkrementell sind. Ein echter Ausfall des Servers hätte den Stillstand der ganzen Anlage zur Folge und wäre nach meiner Mutmaßung nicht unter drei Tagen wieder am Laufen, von den Kosten einer solchen Aktion mit Spesen und h-Sätzen gar nicht zu reden.

Daher meine Frage an die geneigten Experten: Welche (erweiterte) Backup-Strategie würdet ihr empfehlen:

a)      Den (baugleichen) Server ein zweites Mal kaufen und für den Fall der Fälle in die Ecke stellen.
Zusätzlich auch Acronis-Backups des Servers erstellen.

b)      Wie a) aber nur die Teile kaufen (M-Board, Netzteil, Platten) und im Bedarfsfalle zusammenschrauben.

c)       Einen der Clients als Spiegel-Server aufbauen (also das Win 7 durch ein 2012R2 ersetzen) und diesen als ‚Notnagel‘ betreiben. (Das WaWi läuft auch auf einem 2012R2).
Ich habe sowas aber noch nie gemacht.

d)      Im Server die Platte doppeln und als Spiegelplatte (Raid1) fahren. Zusätzlich ein baugleiches Netzteil kaufen und hinlegen. Kalkül: Wenn was kaputt geht dann das Netzteil oder die Platte.

e)      Technisch gar nicht tun, sondern eine Versicherung abschließen (Angebot liegt vor: ca 850 eur/anno). Bei Versicherungen habe ich aber immer das Gefühl, dass wenn es drauf ankommt, *gerade dieser* Schaden nicht gedeckt ist.

f)       Sonstige Ideen.

Die Mitarbeiter des Unternehmens sind IT-fremd, die können zwar einen Rechner bedienen, mit Installation von Rechnern oder gar Netzwerken haben die aber nichts am Hut.

Ich selbst bin nicht immer am Ort des Unternehmens sondern viel unterwegs, ich müsste im Schadensfalle erst mal Zeit haben und dann über 200 km hinfahren.

Aus dem Bauch würde ich b) machen, d.h. die Teile kaufen, kurz zusammenstecken, ein Mal das BIOS booten, damit man sieht, dass es auch tut und dann gut dokumentiert in die Ecke legen.

Ach so: die typischen Risiken, die mir einfallen sind:

1) Gerät fällt aus (zu heiß, Platte kaputt, Haarriss im Motherboard, Netzteil raucht ab)

2) Einer der Kollegen fängt sich eine Schadsoftware ein und die macht das System tot. Die Nutzer arbeiten zwar mit eingeschränkten Rechten, aber ausschließen kann ich den Fall nicht.

3) In das Unternehmen wird eingebrochen und da der Dieb nichts Wertvolles findet, macht er zum Trotz kaputt, was da rumsteht, oder er klaut dann eben den/die Rechner.

Das Thema Datensicherheit (DSGVO), also Diebstahl der Daten selbst ist ein anderes Thema, das ich hier nicht behandeln möchte.

Ich freue mich auf Eure Meinungen.

Gruß


Georg

 

 

Link zu diesem Kommentar

Man könnte überlegen, den Server auf Hyper-V virtuell zu betreiben. Dann könnte man einen zweiten Server kaufen und die VM replizieren (Hyper-V Replica). So hätte man ein Replikat mit im Notfall nur wenigen Minuten Datenverlust.

 

Mit Azure Site Recovery könnte man den Server (auch ohne ihn zu virtualisieren) nach Azure replizieren. Da fällt die zweite Hardware weg, die Daten wären extern gespeichert, aber dafür ist die Einrichtung komplizierter (VPN einrichten etc.).

 

Oder auf einem Client Windows 10 installieren, den Hyper-V aktivieren und vom Server jede Nacht ein "Backup" mit disk2vhd machen, welches man dann im Hyper-V starten könnte. Da sind wir dann aber in der Bastelecke...

Link zu diesem Kommentar
vor 1 Stunde schrieb MOV_EAX,0:
 

Hallo,

 

ich betreue ein kleines Unternehmen, das ein Netzwerk aus Windows 2012R2 und 10 Clients (Win 7) einsetzt. Auf dem Server läuft ein SQL-Datenbankserver. Alle Rechner sind in genau einer Domäne, der Server ist der DC mitsamt GC.

 

Der Ausfall des WaWi wäre für das Unternehmen sehr schmerzlich, da dann der Geschäftsbetrieb zu >90 % unterbrochen ist, viele Dienstleistungen lassen sich nur mit/über dieses WaWi erledigen.

 

Von den Clients ziehe ich regelmäßig Acronis Backups, vom Server aktuell nicht, da der mit Wartungsvertrag von einer Drittfirma unterhalten wird. Die Backups werden nicht im Unternehmen aufbewahrt.

Welche Ausfallzeit definiert denn der Unternehmenschef bzw. Inhaber? 

Was beinhaltet denn der Wartungsvertrag des Servers für Leistungen? Und welches Reaktionszeit ist da definiert? 

Ich werfe nur die Stichworte RTO/ RPO in den Raum. https://de.wikipedia.org/wiki/Disaster_Recovery

 

Das Konstrukt so funktioniert wohl nur so lange, bis mal was schief läuft.

 

Was soll überhaupt der Punkt d) "Ich baue eine weitere Platte ein für ein Raid-1" heißen? Hat der Server kein Solches, um wenigstens die Verfügbarkeit bei HDD/SSD Ausfall zu gewährleisten? 

Wie gesagt, zu Klären wäre zuerst, was der Wartungsvertrag alles beinhaltet. Rein Software, Hardware? Welches Reaktionsfenster?

bearbeitet von Chomper
Link zu diesem Kommentar
Zitat

Was soll überhaupt der Punkt d) "Ich baue eine weitere Platte ein für ein Raid-1" heißen? Hat der Server kein Solches, um wenigstens die Verfügbarkeit bei HDD/SSD Ausfall zu gewährleisten? 

Wie gesagt, zu Klären wäre zuerst, was der Wartungsvertrag alles beinhaltet. Rein Software, Hardware? Welches Reaktionsfenster?

d) war so eine Idee, nach dem Motto, "kleinstmögliche" Lösung. Aus der Tatsache, dass ich das Thema hier zur Diskussion stelle kann man ablesen, dass ich damit nicht glücklich bin/war.

Und nein, aktuell hat der Server kein RAID, auch kein RAID-1.

 

Der Wartungsvertrag ist sehr schwammig, da steht mehr oder weniger nur was von SW-Wartung (wurde vor meiner Zeit abgeschlossen). Die tatsächlichen Reaktionszeiten - damit meine ich bis ein kompetenter Mitarbeiter sachdienliche Hinweise gibt oder Fragen stellt - ist de facto im Bereich von Tagen, davor gibt es meist oberflächliches bla-bla, ohne Ergebnisse (meine Erfahrung, wenn ich mit der Hotline spreche).

 

Der Schaden bei einem tatsächlichen Ausfall der Anlage ist nicht so einfach zu bestimmen, aber es fehlen dann pro Tag ca 5-10.000 EUR Umsatz, hinzu kommt der Image-Schaden. Aus dem Bauch würde ich für drei Tage Ausfall mit allem Drum und Dran so ca 50.000 EUR sehen.

 

Das Unternehmen ist schon mehr als 50 Jahre alt und wird als Familienbetrieb in zweiter Generation geführt. Nach Schilderung der aktuellen Geschäftsführung ist bis heute ein solcher Schaden noch nicht aufgetreten.

Zitat

Sind denn USV, Klimatechnik etc für den Server vorhanden? 

Als erstes würde ich klären wieviel Ausfall und Datenverlust denn jetzt vertretbar sind. Dann schaut man wi eman das erreichen kann. 

Die USV ist, was den Server angeht im Zustand "befriedigend", sie hält nach eigener Messung ca 15 min und schlägt Alarm, fährt aber den Server (stand heute) nicht automatisch herunter. Ob die Mitarbeiter meiner Notanweisung "wenn's hier piept, dann das-und-das tun" folgen, würde man ggf. sehen.

Das Gebäude ist klimatisiert, nach meinen Messungen erreicht der Server zu keinem Zeitpunkt eine Betriebstemperatur oberhalb der vom Hersteller angegebenen Grenzen.

Zitat

Ich werfe nur die Stichworte RTO/ RPO in den Raum. https://de.wikipedia.org/wiki/Disaster_Recovery

Diese Werte sind nicht festgeschrieben. Aus meiner Kenntnis des Unternehmens würde ich sagen:

RTO <= 36h, in der Zeit kann man mit Überstunden und Bordmitteln sich irgendwie behelfen.

RPO <= 48h, vielleicht auch 72h, da man noch Papierquittungen arbeitet und diese dann alle händisch nachtragen kann und muss.

 

Gruß

Georg

Link zu diesem Kommentar
Zitat

Wie schnell kann die Datensicherung wieder hergestellt werden.

Best case: HW tut noch und die richtigen Leute sind vor Ort: 2-3 h.

Worst case: HW muss erst beschafft werden, fachkundiges Personal muss erst anreisen: 3 d.

GAU: HW gibt es in dieser Form nicht mehr, SW muss erst auf neue HW umgestellt werden, die Experten sind im Urlaub ...: Wochen.

Link zu diesem Kommentar

Ich habe mit dem GF heute folgendes vereinbart.

a) Es werden zu definierten Zeiten mehrfach in der Woche Sicherungen als VHD Datei auf einem der Clients erzeugt.

b) Es wird regelmäßig der Server als "Acronis" Backup auf ein externes Medium gezogen. Das erste wurde heute erzeugt.

c) Dem Vorschlag von mwiederkehr folgend bereiten wir auf einem der Clients eine virtuelle Maschine vor, die es erlaubt einen Notbetrieb zu fahren. Das verschafft die Zeit, den Server beim Lieferanten, der auch die SW geliefert hat, reparieren zu lassen. Der Client wird dafür HW-mässig aufgerüstet, auch wenn der die Leistungsdaten des Servers nicht erreichen wird.

d) und wir werden das an einem WE mal ausprobieren und die Mitarbeiter schulen, was im Bedarfsfalle zu tun ist.

e) Das Risiko, dass ein Dieb die ganze Anlage klaut, ist einkalkuliert und wird versichert.

 

Danke für die Anregungen.

Georg

Link zu diesem Kommentar

Hört sich jetzt für mich wie ein klassischer Fall von "Wir brauchen Hochverfügbarkeit!" an, wo man am Ende dann aber trotzdem das Geld nicht in die Hand nehmen wird weil es zu teuer ist.

 

Ansonsten hilft das schönste Backup nix, wenn man nicht weiß wie man es wiederherstellt bzw. es nicht aktuell ist? Also: Auch schon Dokumentation schreiben für die Wiederherstellung und als Teil der Notfalldokumentation verewigen.

 

Am 29.7.2018 um 21:06 schrieb MOV_EAX,0:

 

e) Das Risiko, dass ein Dieb die ganze Anlage klaut, ist einkalkuliert und wird versichert.

 

 

Die Versicherung zahlt den Schaden, also ggf. den neuen Server - und das war es dann. Die Daten bleiben dann ggf. trotzdem verloren. Nur so als Hinweis, weil mit der Idee sind wohl schon ein paar Leute auf die Nase geflogen.

Link zu diesem Kommentar
vor einer Stunde schrieb Doso:

Hört sich jetzt für mich wie ein klassischer Fall von "Wir brauchen Hochverfügbarkeit!" an, wo man am Ende dann aber trotzdem das Geld nicht in die Hand nehmen wird weil es zu teuer ist.

Ist wohl richtig beobachtet.

Wir haben versucht, das Risiko (wie oft in 10 Jahren) und den Schaden (einige 10 TEUR) abzuwägen. Es ist der o.g. Kompromiss dabei herausgekommen.

vor einer Stunde schrieb Doso:

Ansonsten hilft das schönste Backup nix, wenn man nicht weiß wie man es wiederherstellt bzw. es nicht aktuell ist? Also: Auch schon Dokumentation schreiben für die Wiederherstellung und als Teil der Notfalldokumentation verewigen

Natürlich auch richtig. Daher wurde ja beschlossen, das mit den Mitarbeitern mal "life" durchzuspielen.

vor einer Stunde schrieb Doso:

Die Versicherung zahlt den Schaden, also ggf. den neuen Server - und das war es dann. Die Daten bleiben dann ggf. trotzdem verloren. Nur so als Hinweis, weil mit der Idee sind wohl schon ein paar Leute auf die Nase geflogen.

Danke für den Hinweis.

Es ist zutreffend, dass das letzte Backup schon einige Tage alt sein kann (die daily-Backups und die Acronis-Backups werden in einem anderen Gebäude aufbewahrt) und dass im Schadensfalle hier ne Menge Papierkrieg und Nacharbeit notwendig ist.

Wenn da wirklich ein Dieb einsteigt, dann ist es sehr viel wahrscheinlicher, dass er andere Dinge mitnimmt (ist schon ein paar Mal so vorgekommen) als den/die Rechner. Es gab schon mal den Fall da hat der Dieb, weil er nichts von Interesse fand, alles kaputtgeschlagen die Rechner aber stehenlassen.

Die Versicherung ist so abgestimmt, dass sie in einem solchen Schadensfall nicht nur die Rechner ersetzt sondern auch den Geschäftsausfall. Das ist nach meiner Berechnung statistisch günstiger.

 

Ob ich richtig rechnen kann werden wir dann in x Jahren wissen, wenn der Dieb wieder da war ...

 

Es war auch eine Lösung mit einem täglichen Backup in der Cloud im Gespräch. Wir reden von vielliecht 100 GB / d, inkrementell vielleicht auch nur 5 GB / d.

Der Ansatz wird aber vorläufig nicht verfolgt, u.a. auch wegen Paranoia.

 

Link zu diesem Kommentar

Moin,

puuh, das Ganze erinnert mich an meine Zeit als Systembetreuer für KMU. Motto vieler Firmen: Du kannst Alles machen, aber es darf bitte nix kosten! ;-)

Bin froh, dass ich mit so etwas nix mehr zu tun habe!

 

Das größte Problem wird wohl sein Eure 'Recovery-Bastellösung' im Falle des Falles auch richtig umzusetzen. Und genau dann bist Du z.B. im Australienurlaub und kannst nicht mal eben rüberkommen!

Und immer schön daran denken: Im Falle des Falles steht kein AD zur Verfügung, weil der DC ist ja down. Damit auf den Clients zumeist auch kein DNS, DHCP und kein Internet verfügbar...

Also einen Recovery-Test dann machen, wenn auch alles Andere aus ist!

Dir sind die möglichen Probleme mit einem AD und Recovery bewusst!? Wenn Du erstmal einmal für einige Tage auf das Backupsystem umgestellt hast kannst Du nicht mal eben wieder das Echtsystem starten und in Betrieb nehmen. Im Prinzip musst Du dann auch auch dem Echtsystem erstmal wieder eine Datensicherung des Backupsystems einspielen bevor das wieder in Echtbetrieb gehen kann...

 

Bei einem SQL-Server kann man die Datenbank vollkommen unabhängig vom restlichen Server im laufenden Betrieb sichern (z.B. stündlich). Im Falle eines Falles könnte man dann das Image des kompletten Servers vom Vortag auf der BackupHW starten und anschließend dann die letzte SQL-Sicherung von vor 2 Stunden einspielen. Damit wäre der Datenverlust in der Datenbank minimiert, 

 

Gruß

Dirk

 

 

 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...