ISP Backup und Archiv

Der Tivoli Storage Manager (TSM) ist eine Software zur Datensicherung, die von IBM entwickelt und vertrieben wird. Das Produkt hieß ADSTAR Distributed Storage Manager (ADSM), bevor es 1999 in Tivoli Storage Manager umbenannt wurde. 2015 wurde Tivoli Storage Manager wiederum umbenannt in IBM Spectrum Protect. Am 2. März 2023 hat IBM das Produkt „IBM Spectrum Protect“ nach „IBM Storage Protect“ umbenannt.

[Quelle: Wikipedia]

IBM Spectrum Protect: Leistungsbeschreibung

Das Gauß-IT-Zentrum bietet ein Backup und eine Archivierung von Daten an.

Leistungsumfang: Aufbewahrungszeit und Versionen

Das Backup umfasst die Version einer jeden Datei, die zuletzt gesichert wurde. Außerdem existiert eine eine ältere Version, aber nur dann, wenn:

Die Archivierung erlaubt mehrere Versionsstände, wobei das Archivierungsdatum als Index dient.

Die Archivierung kann unterschiedliche Aufbewahrungszeiten beinhalten, jedoch nicht gänzlich unbefristet.

Nutzungsberechtigung

Das Backup und die Datenarchivierung steht allen Kunden des Gauß-IT-Zentrums offen, dies sind sämtliche Institute der TU Braunschweig und anerkannte studentische Gruppen.

Kosten

Die Benutzung ist derzeit kostenfrei. Bei geplant langjähriger Nutzung der Archivierung auf "eigenen" (exklusiven) Bändern, behält sich das GITZ die Kostenübernahme für die Magnetbänder durch die Einrichtungen vor.

Erlangung des Zugangs

Für die Sicherung der Daten müssen die Rechner (Knoten) im Backupserver registriert werden. Bitte E-Mail von DV-Koordinator/in an backup@tu-braunschweig.de. Das initiale Passwort wird vom GITZ mitgeteilt und ist umgehend zu ändern.

Für die Archivierung von Daten muss ein separater Archivknoten registriert werden.

Sicherungsvolumen

Aktuell plant das GITZ für jeden gesicherten Rechner mit einer Datenmenge von 100 GigaByte pro Sicherungslauf. Größere Datenmengen zu sichern ist möglich, jedoch wird um Rücksprache gebeten, da dann die Datenbank des Systems stärker beansprucht wird.

Zudem solle hier dann die Sicherungsstrategie besprochen werden.

Unterstützte Betriebssysteme

IBM Spectrum Protect unterstützt folgende Betriebssysteme:

Eine aktuell gehaltene Liste finden Sie hier, unter „IBM Spectrum Protect backup-archive client“. Es ist möglich das ältere Backupclients weitere Betriebssysteme unterstützen.

Alle Informationen rund um IBM Spectrum Protect finden sich bei IBM.

Download Clientsoftware

Die IBM Spectrum Protect Client Software können Sie hier bei IBM kostenfrei herunterladen.

Installieren Sie, soweit möglich, bitte immer den ISP Client in der aktuellsten Version!

Einschränkungen

Um einen möglichst reibungslosen Betrieb sicherzustellen, werden die Kunden gebeten, folgende Einschränkungen zu beachten und umzusetzen:

Das Gauß-IT-Zentrum behält sich Änderungen dieser Leistungsbeschreibung vor, insbesondere die Kostenfreiheit kann nicht garantiert werden.

Installation ISP-Client unter Linux

Die Installation des ISP-Clients auf Linux gestaltet sich wenig spektakulär.

Öffentlicher Download der Clientsoftware: https://public.dhe.ibm.com/storage/tivoli-storage-management/maintenance/client/

RedHat Enterprise Linux - SuSE Linux

Installationspaket von einem geeigneten Server (hier beispielhaft für Version 8.1.11.0 direkt von IBM) laden und entpacken: 

 

wget https://public.dhe.ibm.com/storage/tivoli-storage-management/maintenance/client/v8r1/Linux/LinuxX86/BA/v8111/8.1.11.0-TIV-TSMBAC-LinuxX86.tar  
tar -xf 8.1.11.0-TIV-TSMBAC-LinuxX86.tar

TSM-Pakete installieren:

rpm -U gskcrypt64-*.linux.x86_64.rpm gskssl64-*.linux.x86_64.rpm
rpm -U TIVsm-API64.x86_64.rpm
rpm -U TIVsm-BA.x86_64.rpm

ggf. Abhängigkeiten auflösen:

yum -y install libstdc++

Debian GNU/Linux, Ubuntu und Derivate

Diese Installation unterscheidet sich von der oberen grundsätzlich nur von den Installationsdateien und dem Paket Manager. Installationspaket von einem geeigneten Server (hier beispielhaft für Version 8.1.11.0) laden und entpacken:

wget https://public.dhe.ibm.com/storage/tivoli-storage-management/maintenance/client/v8r1/Linux/LinuxX86_DEB/BA/v8111/8.1.11.0-TIV-TSMBAC-LinuxX86_DEB.tar  
tar -xf 8.1.11.0-TIV-TSMBAC-LinuxX86_DEB.tar

ISP-Pakete installieren:

dpkg -i gskcrypt64_*.linux.x86_64.deb gskssl64_*.linux.x86_64.deb
dpkg -i tivsm-api64.amd64.deb
dpkg -i tivsm-ba.amd64.deb
Beim Testen dieser Installation trat unter Debian ein Fehler auf:
root@debian:~# /bin/dsmc
/bin/dsmc: error while loading shared libraries: libgsk8ssl_64.so: cannot open shared object file: No such file or directory

Dieser Fehler liegt daran, dass Programmbibliotheken mit ihren Verweisungen an einem ungewöhnlichen Ordner abgelegt werden. Der Fehler kann behoben werden, indem der Ordner dem System manuell bekannt gemacht wird:

printf "%s\n" "# Extra Pfad fuer IBM Spectrum Protect (Backup)" "/lib64" >/etc/ld.so.conf.d/ISP.conf
ldconfig

Passwort ändern

Das vom Gauß-IT-Zentrum vergebene Passwort sollte zügig geändert werden:

cd /opt/tivoli/tsm/client/ba/bin/
dsmc set password
Umlaute sind nicht erlaubt.

Konfiguration

Unter Unix/Linux erfolgt die Konfiguration in zwei Dateien:

Beide Dateien werden typischerweise unter folgendem Pfad abgelegt:

/opt/tivoli/tsm/client/ba/bin/

Eine Liste mit Erläuterungen der Optionen finden Sie hier.

In Linux sollten die folgenden Optionen in dsm.sys hinzugefügt werden, da die Dateien und Verzeichnisse nicht mit gesichert werden müssen um das System wiederherzustellen:

*EXCLUDE SPECIFIC (SUB-)DIRECTORIES
exclude.fs           /var

exclude.dir          /proc
exclude.dir          /dev
exclude.dir          /root

*USE OF WILDCARDS
exclude              "/tmp/.../*"
exclude              "/usr/src/.../*"
exclude              "*error_log*"
exclude              /www/.../*[-_.]log*

exclude /.../log/.../*
exclude /.../logs/.../*

*INCLUDE DIRECTORIES
*(EXCLUDE FROM EXCLUSION)
include /var/spool/cron/.../*

* IF DOMAINS IN OPTFILE ARE NOT MOUNTPOINTS DEFINE THEM HERE AS,
* ALSO NEEDED AT INCLUDES IN FULLY EXCLUDED FS
virtualmountpoint    /var/spool/cron

Installation ISP-Client unter Windows 10

Die Installation des ISP-Clients unter Microsoft Windows gestaltet sich vergleichsweise einfach und unterscheidet sich für Windows 10, Windows Server 2016,2019,2022 NICHT.

Laden Sie die Client-Software herunter.

Öffentlicher Download der Clientsoftware: https://public.dhe.ibm.com/storage/tivoli-storage-management/maintenance/client/

Führen Sie die Datei mittels Doppelklick aus.

Es wird sich ein schwarzes Konsolenfenster öffnen. Hierbei erstellt es einen Ordner mit den Installations-Dateien im selben Ordner wie die ausgeführte Datei. Das schwarze Konsolen Fenster schließt sich automatisch wenn es fertig ist.

Gehen Sie jetzt in den neuerstellten Ordner „TSMClient“.

Der Ordner wird ein älteres Änderungsdatum haben. Wenn Sie nach dem Datum sortieren, wird er nicht oben aufgelistet.

Starten Sie anschließend die Datei spinstall.


Wählen Sie Deutsch aus.

2021-01-15_09_06_00-ibm_spectrum_protect_client_-_installshield_wizard.png


Klicken Sie auf [Installieren] um die weiteren benötigten Elemente zu Installieren.

2021-01-15_09_06_09-ibm_spectrum_protect_client_-_installshield_wizard.png


Jetzt fängt die eigentliche Installation an. Nachdem Sie auf [Weiter] geklickt haben, haben Sie die Möglichkeit den Installationsort anzupassen.

Alle weiteren Anleitungen benutzen den Standardinstallationsort.

2021-01-15_09_08_24-ibm_spectrum_protect_client_-_installshield_wizard.png

Danach sind keine weiteren Einstellungen zu tätigen. Durchlaufen Sie die Installation bis zum [Fertigstellen].


Erststart und Konfiguration des ISP-Clienten

Mit dem ersten Aufruf der Sichern-Archivieren - GUI startet der Configuration Wizard.

2021-01-15_09_28_02-suche_2_.png


Da in der Regel kein Option File vorliegt, muss dieses neu erstellt werden. Achtung: für Windows existiert nur das Optiondatei dsm.opt, nicht aber die Datei dsm.sys.

opt-datei_01.png


Der (ISP-Knoten-)Name des Rechners muss angegeben werden, dieser entspricht in der Regel dem Fully Qualified Domain Name (FQDN), also dem Rechnernamen plus dem vollständigen Domainnamen, wie der Rechner im DNS registriert ist (unter Windows kann dieser Name mittels des Kommandos nslookup <eigene IP-Adresse> erfragt werden).

opt-datei_02.png


Die Verbindung zum Server geschieht über TCP/IP.

opt-datei_03.png


Der ISP-Server hat die Adresse rzisp1.rz.tu-bs.de, der Port ist 2121.

opt-datei_04.png


Die vorgeschlagene Liste der ein- und auszuschließenden Dateien und Verzeichnisse kann in der Regel erstmal übernommen werden.

opt-datei_05.png


Danach werden auszuschließende Dateien anhand ihres Typs (genauer der Dateiendung) konfiguriert, hier müssen Sie selbst entscheiden.

opt-datei_06.png


Als Backup-Typ ist Teilsicherung zu wählen, so werden nur Dateien gesichert, die sich seit der letzten Sicherung geändert haben (zur Erläuterung der Backup-Strategien siehe Wikipedia), andernfalls erfolgt jedes Mal die Übertragung sämtlicher Dateien. (Windows ändert sowieso die Datums-Zeit-Stempel sehr vieler Dateien, so dass sehr viele Daten gesichert werden) Außerdem müssen Sie die Partitionen festlegen, die gesichert werden sollen. SYSTEM STATE ist nur für die Herstellung des gesamten Systems, z.B. nach einem Hardware-Defekt, wichtig.

opt-datei_07.png

Wählen Sie danach [Anwenden] und im nächsten Fenster [Fertig Stellen] aus.


Danach erfolgt die Verbindungsaufnahme des Clients mit dem Server, die Knotenadministrator-ID entspricht dem (ISP-)Knotennamen (als FQDN), das Kennwort haben Sie vom GITZ mitgeteilt bekommen.

opt-datei_08.png

Der Verbindungsaufbau schlägt fehl, wenn Sie einen bereits verwendeten Knotennamen an einem neuen Rechner verwenden. Beim ersten Verbindungsaufbau werden SSL-Zertifikatsdateien erstellt, welche für jede folgende Anmeldung benötigt werden. Wenn Sie den Knoten erneut benutzen müssen, um zum Beispiel ein gesamtes System wiederherzustellen, müssen Sie die Backup-Administration am GITZ kontaktieren, sodass sie für Sie den Knoten 'freischalten' können. Somit kommt keiner an Ihre Daten, wenn sie Ihre Knotenadministrator-ID und Passwort erraten.

Sie können auch selbst die SSL-Zertifikatsdateien auf ein anderes System kopieren, wenn Sie die Systemwiederherstellung nur testen möchten. Die dazu benötigte Dateien sind bei der Verwendung des Standardinstallationspfad unter dem folgendem Pfad zu finden:

C:\Program Files\Tivoli\TSM\baclient\dsmcert.idx dsmcert.kdb dsmcert.pdb dsmcert.sth

Natürlich schlägt der Verbindungsaufbau auch fehl, wenn Sie falsche Anmeldeinformationen benutzen.


Danach steht die GUI zur Verfügung, diese ist, wie man sieht, selbsterklärend.

opt-datei_09.png


Um ein Backup während des laufenden Betriebs machen zu können, muss der Unterstützung offener Dateien konfiguriert werden, am besten per Wizard in der GUI.

opt-datei_10.png


Wählen Sie den Menüpunkt Unterstützung offener Dateien aus.

opt-datei_11.png


Wählen Sie nun den Menüpunkt VSS aus.

opt-datei_12.png

Wählen Sie danach [Anwenden] und im nächsten Fenster [Fertig stellen] aus.


Wiederholen Sie den Vorgang dann noch einmal für die Online-Image-Unterstützung.

opt-datei_13.png

Danach müssen Sie Ihren Rechner neu starten.


Weitere Einstellungen können anschließend über den Menüpunkt Editieren → Clientvorgaben eingestellt werden…

opt-datei_14.png


…z.B. weitere Einschluss/Ausschluss-Regeln…

opt-datei_15.png

…oder die Verschlüsselung einzelner Dateien bei der Übertragung einzelner Dateien. Über die Browse-Schaltfläche können Sie einzelne Dateien auswählen, im Textfenster können Sie dann durch Wildcards die Auswahl erweitern oder den Namen / die Adresse des Backup-Servers.


Nicht zu vergessen, die Kompression bei der Übertragung zum Server.

opt-datei_16.png


Zum Schluss sollte das Passwort geändert werden, welches Sie von dem GITZ bekommen haben. Gehen Sie hierzu auf Dienstprogramme → Kennwort ändern…

opt-datei_17.png


Das Fenster hierzu erklärt sich selbst. Das von Ihnen neu erstellte Passwort sollten Sie sich aufschreiben oder in einem Passwort-Manager wie KeePassXC speichern.

opt-datei_18.png


Die Einrichtung ist nun abgeschlossen.

ISP Datei-Recovery unter Linux (CLI)

Einzelne Dateien und Ordner können aus einem früheren Sicherungspunkt wiederhergestellt werden. Hier wird von Aktiven und Inaktiven Dateiversionen gesprochen.

Für die Wiederherstellung können Sie die folgenden Befehle benutzen:

cd /opt/tivoli/tsm/client/ba/bin/
dsmc restore <Datei- oder Ordnerpfad> -inactive -pick <Wiederherstellungs-Pfad>
Ordnerpfade müssen mit '/' enden!

Um Unterordner mit wiederherzustellen muss '-subdir=yes' als Option z.B. nach -pick gesetzt werden.

Nach der Ausführung können Sie alle gesicherten Versionen einsehen und per Eingabe der davorstehende Zahl Versionen auswählen. Mit 'O' können die mit 'x' markierten Versionen zurückgeschrieben werden.

Sie können auch mit dem folgenden Befehl Inhalte einzelner gesicherten Ordner nur anzeigen lassen.
dsmc query backup <Datei- oder Ordnerpfad> -inactive

ISP Datei-Recovery unter Windows 10

Einzelne Dateien und Ordner können aus einem früheren Sicherungspunkt wiederhergestellt werden. Hier wird von Aktiven und Inaktiven Dateiversionen gesprochen.

Zuerst Öffnen Sie [Sichern-Archivieren-GUI].

2021-01-15_09_28_02-suche_2_.png

 

Hiernach klicken Sie auf [Zurückschreiben].

win-file-recov_1_.png

 

Jetzt sehen Sie ein Fenster wo Sie die gesicherten Dateien und Ordner durchsuchen können. Jedoch müssen Sie zuerst ein Haken bei [Ansicht] > [Aktive/inaktive Dateien anzeigen] setzen.

win-file-recov_2_.png

 

Diese Aktion müssen Sie auch bestätigen mit Klick auf [Ja].

win-file-recov_3_.png

 

Nun können Sie nach der wiederherzustellende Version suchen. Die Ordner, welche bei Ihnen unter C: sind, finden Sie unter [Knotennamen] > Dateiebene > [Rechnername]. Klicken Sie auf das [+] um Ordner aufzuklappen.

win-file-recov_4_.png

 

Von dort können Sie sich zu der wiederherzustellenden Datei/Ordner runterklicken. Dateien mit dem x im Bild sind inaktive Sicherungen, ohne x dementsprechend aktive Sicherungen.

Wählen Sie nun die Datei- und Ordner-Versionen aus, welche Sie wiederherstellen möchten. Klicken Sie auf das leere Kästchen um die Einträge zu Markieren.

win-file-recov_5_.png

 

Nachdem Sie mit Ihrer Auswahl fertig sind, können Sie auf [Zurückschreiben] klicken. Hier können Sie nun auswählen zu welchem Ort die Dateien zurückgeschrieben werden sollen.

Wenn der Wiederherstellungsort eine Datei oder Ordner mit dem gleichen Namen beinhaltet werden Sie aufgefordert zu entscheiden, welche Version übernommen werden soll. Deswegen macht es meistens Sinn, einen anderen Ort zu wählen. Am Besten Sie lassen die Auswahl bei „Pfad teilweise zurückschreiben“.

Mit [Zurückschreiben] können Sie dann die Wiederherstellung beginnen.

ISP Disaster-Recovery unter Linux

Die folgende Anleitung beschreibt die Planung und Durchführung eines ISP Disaster Backups sowie die anschließende Wiederherstellung.

Vorbereitung: Backup regelmäßig erstellen

Um die Sicherung durchzuführen, erstellen Sie ein Shellskript mit folgendem Inhalt:

SET DSM_DIR=<ISP Installationspfad>/bin
SET DSM_CONFIG=“<Pfad der Konfigurationsdatei>
cd <ISP Installationspfad>/bin
dsmc backup

Ihnen wird sicherlich aufgefallen sein, das Sie nun eine Konfigurationsdatei benötigen. Um eine ISP Konfigurationsdatei zu erzeugen, erstellen Sie (z.B. Mit Notepad) eine Datei mit folgendem Inhalt:

TCPServeraddress <ISP-Serveradresse>
tcpport <TCP Port>
Nodename <Rechnername>
errorlogname <Errorlog-Pfad>

Die Platzhalter müssen an ihre Einstellungen angepasst werden. Beim Errorlog-Pfad muss ein beschreibbares Laufwerk angegeben werden, z.B. ein USB-Stick.

Speichern Sie die Konfigurationsdatei nun unter dem Namen „dsm.opt“ auf ein beschreibbares Laufwerk, auf welches das System Zugriff hat. Beachten sie das .opt nicht der Name der Datei sondern die Dateiendung ist!

Das Sicherungsskript kann nun ausgeführt werden. Wenn Sie ihre Daten auf einem Aktuellen Stand halten wollen, empfiehlt es sich dieses Skript in regelmäßigen Abständen auszuführen (oder mit in eine Aufgabenplanung zu integrieren.)

Alle Probleme die bei der Sicherung auftreten werden in das ISP Errorlog geschrieben.

Disaster Recovery - Ablauf

Schritt 1: Gauß-IT-Zentrum  benachrichtigen

Beim ersten Verbindungsaufbau wurden SSL-Zertifikatsdateien erstellt, welche für jede folgende Anmeldung benötigt werden. Wenn Sie jetzt den Knoten erneut benutzen müssen um das gesamte System wiederherzustellen, müssen Sie zuerst die Backup-Administration am Gauß-IT-Zentrum (GITZ) (backup@tu-braunschweig.de) kontaktieren, sodass sie für Sie den Knoten 'freischalten' können. Somit kommt keiner an Ihre Daten, wenn sie Ihre Knotenadministrator-ID und Passwort erraten.

Sie können auch selbst die SSL-Zertifikatsdateien auf ein anderes System kopieren, wenn Sie die Systemwiederherstellung nur testen möchten. Die dazu benötigte Dateien sind bei der Verwendung des Standardinstallationspfad unter dem folgendem Pfad zu finden:

/opt/tivoli/tsm/client/ba/bin/dsmcert.idx dsmcert.kdb dsmcert.sth

Schritt 2: Zugriff auf Festplatte

Hierzu gibt es zwei Wege.

a) Live-Boot USB-Stick

Hierbei installieren Sie Ihre bevorzugte Linux-Distribution auf ein USB-Stick, wovon Sie dann das System starten.

In dieser Anleitung wird dieser Weg nicht genauer erklärt.

b) Festplatte an ein Laufendes System anschließen

Sie schließen dazu die Festplatte, auf der das System wiederhergestellt werden, an ein bereits funktionierendes System. Danach müssen Sie ISP installieren. Hier ist dazu eine Anleitung.

Wenn auf das besagte System bereits ISP installiert ist, sollten Sie die Konfigurationsdateien und SSL-Zertifikate zuerst sichern. Dazu gehören die folgenden Dateien: /opt/tivoli/tsm/client/ba/bin/dsmcert.idx dsmcert.kdb dsmcert.sth dsm.opt dsm.sys

Schritt 3: ISP installieren und konfigurieren

Dazu gibt es Hier eine passende Anleitung.

Schritt 4: Festplatte und Dateisystem vorbereiten:

Zuerst müssen die Partitionen auf der Festplatte eingerichtet werden. In unserem Beispiel ist die Festplatte unter */dev/sdb* hinterlegt. Dabei eignen sich Werkzeuge wie z.B. fdisk.

Die meisten Linux-Distributionen haben mindestens zwei Partitionen: Eine große Partition unter dem Typ 'Linux' und eine weitere kleinere (~4GB) SWAP Partition unter dem gleichnamigen Typen. Es ist jedoch zu empfehlen sich zuerst zu informieren, welche Partitionen die wiederherzustellende Linux-Distribution vorsieht. Bei unserem Beispiel sieht es wie folgt aus: Zuerst wird die fdisk-Konsole geöffnet:

fdisk /dev/sdb

Danach wird die erste Partition erstellt(Eingaben sind mit '>' getrennt dargestellt.).

n > p > 1 > Default(einfach Enter drücken) > -4G

Standardmäßig sollte die Partition bereits dem Typen 'Linux' haben. Nun muss das selbe für die SWAP-Partition gemacht werden:

n > p > 2 > Default(einfach Enter drücken) > Default(einfach Enter drücken)

Bei der SWAP-Partition muss nun der Type eingestellt werden:

t > 2 > 82

Jetzt muss das Dateisystem auf der Partition erstellt werden. Dabei ist es wichtig, das selbe Dateisystem wie das wiederherzustellende System zu erstellen. Dazu werden viele Dateisysteme über ihre UUID erkannt und gemounted. Wenn Sie nicht dieselbe UUID benutzen, müssen Sie nach der Wiederherstellung die fstab anpassen. Deshalb macht es meistens Sinn zuerst die /etc/fstab alleine an einen anderen Ort wiederherzustellen:

/opt/tivoli/tsm/client/ba/bin/dsmc restore /etc/fstab /root/fstab_restored

Der Befehl selbst hängt von dem Dateisystem ab, in unserem Beispiel sieht es folgenderweise aus (Ersetzen Sie '[UUID] mit Ihrer UUID, Sie können die -U [UUID] Option weglassen, wenn keine UUID in der /etc/fstab erwähnt wird):

mkfs.ext2 /dev/sdb1 -U [UUID]

Dazu muss die SWAP-Partition formatiert werden (bei -U gilt das gleiche wie bei dem Dateisystem):

mkswap /dev/sdb2 -U [UUID]
Linux-Distributionen mit BTRFS-Dateisystemen haben meist sogenannte Subvolumes. Diese müssen vor der Systemwiederherstellung erstellt werden. Hier ist eine Anleitung zu der Linux-Distribution Suse, welche standardmäßig BTRFS benutzt:

https://rootco.de/2018-01-19-opensuse-btrfs-subvolumes/ (Beachte den Festplattenpfad! Es wird an einer Stelle „subvoulme“ anstatt „subvolume“ geschrieben)

Für weitere Linux-Distributionen hilft häufig eine Google-Suche. Alternativ kann auch die Linux-Distribution auf die Platte installiert werden, und danach mit der Wiederherstellung überschrieben werden.

Schritt 5: System wiederherstellen

Zu Beginn muss die Partition mit dem neu-erstellten Dateisystem gemountet werden In unserem Beispiel benutzen wird den Mountpunkt /mnt :

mount /dev/sdb1 /mnt

Danach können Sie schon das System wiederherstellen:

/opt/tivoli/tsm/client/ba/bin/dsmc restore / /mnt/ -sub=yes
Ordnerpfade müssen hierbei mit '/' enden!
Bei Datei-Systemen mit Subvolumen müssen die einzelnen Subvolumen nacheinander wiederhergestellt werden. Mit 'dsmc query volume' können alle 'Dateibereiche' gelistet werden. Mit dem folgendem Befehl für Suse können die einzelne Subvolumes hintereinander wiederhergestellt werden. Passen Sie es nach der Ausgabe von 'dsmc query volume' an:
for i in /var /usr/local /srv /root /opt /home /boot/grub2/x86_64-efi /boot/grub2/i386-pc ; do dsmc restore $i/ /mnt$i/ -sub=yes -replace=no ; done

Als nächstes werden die Lokalen Systempfade auf dem wiederherzustellenden Platte angemountet: Mit dem folgendem Befehl werden womöglich fehlende Mountpunkte erstellt und verlinkt:

for i in proc sys dev; do mkdir /mnt/$i ; mount --rbind /$i /mnt/$i ; done

Jetzt können Sie mit 'chroot' auf die Festplatte wechseln. Es ist normal wenn z.B. die falsche Distribution in der Konsole steht.

chroot /mnt

Damit man in der Zukunft von der Platte selbst starten kann. Muss der Bootloader einmal zur selbstkonfiguration gestartet werden. Hierbei ist es auch abhängig von der Linux-Distribution und dem Bootloader. Grub:

grub-install /dev/sdb1

Grub2:

grub2-install /dev/sdb1

LILO: lilo

Bei LILO muss eventuell die Konfigurationsdatei /etc/lilo.conf vor der Ausführung angepasst werden. In diesem Fall muss die Konfigurationsdatei auch nach dem ersten erfolgreichen Start erneut geändert werden.

Eventuell müssen jetzt noch weitere Änderungen vorgenommen werden, diese sind jedoch sehr Abhängig von der Linux Distribution. Für Suse musste in unserem Beispiel noch das folgende gemacht werden:

mkdir -p /var/log/YaST2/
mkinitrd

Die Wiederherstellung sollte damit beendet sein. Jetzt können Sie mit 'exit' aus dem wiederhergestellten System gehen. Die Mounts zu der wiederhergestellten Festplatte werden automatisch entfernt wenn Sie das System herunterfahren. Bauen Sie gegebenenfalls die Platte wieder in das alte System ein und starten sie das System neu.

ISP Disaster-Recovery unter Windows 10

Die folgende Anleitung beschreibt die Planung und Durchführung eines ISP Disaster Backups sowie die anschließende Wiederherstellung. Beachten Sie, das diese Anleitung nur unter Windows 10 V 20H2 getestet wurde.

Diese Anleitung funktioniert nicht bei einem auf EFI basierenden System!

Vorbereitung: Backup regelmäßig erstellen

Um die Sicherung durchzuführen, erstellen Sie eine Batchdatei (.bat) mit folgendem Inhalt:

SET DSM_DIR=<ISP Installationspfad>\baclient\
SET DSM_CONFIG=“<Pfad der Konfigurationsdatei>
cd <ISP Installationspfad>\baclient
dsmc backup

Ihnen wird sicherlich aufgefallen sein, das Sie nun eine Konfigurationsdatei benötigen. Um eine ISP Konfigurationsdatei zu erzeugen, erstellen Sie (z.B. Mit Notepad) eine Datei mit folgendem Inhalt:

TCPServeraddress <ISP-Serveradresse>
tcpport <TCP Port>
Nodename <Rechnername>
errorlogname <Errorlog-Pfad>
Password <ISP Password>
SNAPSHOTPROVIDERFS VSS

Die Platzhalter müssen an ihre Einstellungen angepasst werden. Beim Errorlog-Pfad muss ein beschreibbares Laufwerk angegeben werden, z.B. ein USB-Stick.

Speichern Sie die Konfigurationsdatei nun unter dem Namen „dsm.opt“ auf ein beschreibbares Laufwerk, auf welches das System zugriff hat. Beachten sie das .opt nicht der Name der Datei sondern die Dateiendung ist!

Das Sicherungsskript kann nun ausgeführt werden. Wenn Sie ihre Daten auf einem Aktuellen Stand halten wollen, empfiehlt es sich dieses Skript in regelmäßigen Abständen auszuführen (oder mit in eine Aufgabenplanung zu integrieren.)

Alle Probleme die bei der Sicherung auftreten werden in das ISP Errorlog geschrieben.

Disaster Recovery - Ablauf

Schritt 1: Gauß-IT-Zentrum benachrichtigen

Beim ersten Verbindungsaufbau wurden SSL-Zertifikatsdateien erstellt, welche für jede folgende Anmeldung benötigt werden. Wenn Sie jetzt den Knoten erneut benutzen müssen um das gesamte System wiederherzustellen, müssen Sie zuerst die Backup-Administration am Gauß-IT-Zentrum (GITZ) (backup@tu-braunschweig.de) kontaktieren, sodass sie für Sie den Knoten 'freischalten' können. Somit kommt keiner an Ihre Daten, wenn sie Ihre Knotenadministrator-ID und Passwort erraten.

Sie können auch selbst die SSL-Zertifikatsdateien auf ein anderes System kopieren, wenn Sie die Systemwiederherstellung nur testen möchten. Die dazu benötigte Dateien sind bei der Verwendung des Standardinstallationspfad unter dem folgendem Pfad zu finden:

C:\Program Files\Tivoli\TSM\baclient\dsmcert.idx dsmcert.kdb dsmcert.pdb dsmcert.sth

Schritt 2: Windows PE erstellen

Die Wiederherstellung erfolgt über eine Windows PE. Eine Windows PE ist ein minimales Windows Betriebssystem.

a.) Basisimage vorbereiten

Im ersten Schritt müssen Sie eine Windows PE (Version 10.0) erstellen, hierfür brauchen Sie zuerst das Windows ADK. Bei der Installation ist es wichtig das Sie mindestens das Module Bereitstellungstools auswählen! Nachdem Windows ADK installiert ist, müssen Sie das WinPE-Add-On nachinstallieren. Nach der Installation des Programms müssen Sie das Basisimage vorbereiten, dies geschieht über „copype“. Starten Sie dazu, mit Administratorrechten, die Umgebung für Bereitstellungs- und Imageerstellungstools, welche bei der ADK mit installiert wurde und führen Sie copype aus. Der Befehl dafür sieht wie folgt aus:

copype.cmd <Hardwarearchitektur > <Zielpfad> . 

Also z.B. Für ein 32 Bit System:

copype.cmd x86 c:\winpe_x86

oder für ein 64 Bit System:

copype.cmd amd64 c:\winpe_x64 

b.) ISP-Client einbinden

Da die Windows PE standardmäßig nicht mit einem ISP-Client ausgestattet ist, müssen Sie nun ein ISP-Client einbinden. Dafür sollte Sie den neusten (mind. aber Version 6.2.2) ISP-Client herunterladen und die Installationsdatei starten. Wichtig ist hierbei nicht die Installation selber, sondern das entpacken der Dateien, beim Punkt indem Sie die Sprache auswählen soll, können Sie die Installation abbrechen (Sie benötigen den ISP-Client später allerdings für die Sicherung, weshalb eine Installation empfehlenswert ist).

Um die ISP Dateien einzubinden, müssen Sie das Basisimage mounten, der Befehl dafür lautet:

"<Windows ADK Pfad>\10\Assessment and Deployment Kit\Deployment Tools\x86\DISM\dism.exe" /Mount-Wim /WimFile:<WindowsPE-Pfad>\media\sources\boot.wim /Index:1 /MountDir:<WindowsPE-Pfad>\mount 

(Der Installationsordner heißt nicht Windows ADK, sondern Windows Kits !) In unserem Beispiel also:

"C:\Program Files (x86)\Windows Kits\10\Assessment and Deployment Kit\Deployment Tools\x86\DISM\dism.exe" /Mount-Wim /WimFile:C:\WinPE_x64\media\sources\boot.wim /Index:1 /MountDir:C:\WinPE_x64\mount 

Jetzt sollen Sie ein Ordner mit dem Namen „Tools“ im Windows PE Ordner erstellen. Der Konsolenbefehl lautet dafür:

mkdir <WindowsPE-Pfad>\mount\Tools 

sprich in unserem Beispiel:

mkdir C:\WinPE_x64\mount\Tools 

Zum vorbereitet der Dateien müssen Sie jetzt dsmc-pe in der Eingabeaufforderung ausführen.

Wechseln Sie dazu in den ISP-Pfad(Der „ISP-Pfad“ ist der Ort, indem das Installationsprogramm die Daten für den Client entpackt hat.). Der Konsolenbefehl lautet hierfür:

cd <ISP-Pfad>\TSMClient\

In unserem Beispiel also:

cd c:\ISP_images\TSMClient\

führen Sie nun

dsmc-pe.cmd set

aus. Bei einem 64-Bit Betriebssystem lautet der Befehl:

dsmc-pe-x64.cmd set

Der ISP Ordner muss von ihnen jetzt in den Tools Ordner von eben kopiert werden.

Höchstwahrscheinlich möchten Sie das deutsche Tastatur-Layout benutzen.

"<Windows ADK-Pfad>\10\Assessment and Deployment Kit\Deployment Tools\x86\DISM\dism.exe" /Image:<WindowsPe-Pfad>\mount /Set-InputLocale:de-DE

In unserem Beispiel lautete der Befehl:

"C:\Program Files (x86)\Windows Kits\10\Assessment and Deployment Kit\Deployment Tools\x86\DISM\dism.exe" /Image:C:\WinPE_x64\mount /Set-InputLocale:de-DE

Um das Bootimage zu speichern verwenden sie den Befehl:

"<Windows ADK-Pfad>\10\Assessment and Deployment Kit\Deployment Tools\x86\DISM\dism.exe" /Unmount-Wim /MountDir:<WindowsPe-Pfad>\mount /Commit 

In unserem Beispiel lautete der Befehl:

"C:\Program Files (x86)\Windows Kits\10\Assessment and Deployment Kit\Deployment Tools\x86\DISM\dism.exe" /Unmount-Wim /MountDir:c:\WinPE_x64\mount /Commit 

c.) Treiber einbinden

In einigen Fällen müssen zusätzliche Treiber eingebunden werden (z.B. Treiber für das Ethernet). Dafür muss zuerst das Bootimage gemountet werden. Der Befehl dafür sieht so aus:

"<Windows ADK Pfad>\10\Assessment and Deployment Kit\Deployment Tools\x86\DISM\dism.exe" /Mount-Wim /WimFile:<WindowsPE-Pfad>\media\sources\boot.wim /Index:1 /MountDir:<WindowsPE-Pfad>\mount 

In unserem Beispiel haben wir den Konsolenbefehl

"C:\Program Files (x86)\Windows Kits\10\Assessment and Deployment Kit\Deployment Tools\x86\DISM\dism.exe" /Mount-Wim /WimFile:C:\WinPE_x64\media\sources\boot.wim /Index:1 /MountDir:C:\WinPE_x64\mount 

verwendet.

Um die Treiber einzubinden muss der Ordner „Drivers“ im Windows PE Verzeichnis erstellt werden und die Treiberdateien in dieses Verzeichnis kopiert werden. Nun müssen die Dateien noch eingebunden werden, dies geschieht wie folgt:

"<Windows ADK Pfad>\10\Assessment and Deployment Kit\Deployment Tools\x86\DISM\dism.exe" /Image:<Windows PE Pfad>\mount /Add-Driver /Driver:<Windows PE Pfad>\Drivers /Recurse 

Bei unserem Beispiel also:

"C:\Program Files (x86)\Windows Kits\10\Assessment and Deployment Kit\Deployment Tools\x86\DISM\dism.exe" /Image:C:\WinPE_x64\mount /Add-Driver /Driver:C:\WinPE_x64\Drivers /Recurse 

Zum Schluss müssen Sie das Image noch sichern. Der Befehl dafür lautet:

“<Windows ADK-Pfad>\10\Assessment and Deployment Kit\Deployment Tools\x86\DISM\dism.exe“ /Unmount-Wim /MountDir:<WindowsPe-Pfad>\mount /Commit 

Der Befehl für unser Beispiel lautete also:

"C:\Program Files (x86)\Windows Kits\10\Assessment and Deployment Kit\Deployment Tools\x86\DISM\dism.exe" /Unmount-Wim /MountDir:c:\WinPE_x64\mount /Commit 

d.) Windows PE ISO erstellen

Um aus den Windows PE Daten eine ISO Datei zu erstellen, müssen Sie folgenden Befehl verwenden:

“<Windows ADk-Pfad>\10\Assessment and Deployment Kit\Deployment Tools\x86\Oscdimg\oscdimg.exe“ -o -m -n -b<WindowsPe-Pfad>\fwfiles\etfsboot.com <WindowsPE-Pfad>\media <WindowsPE-Pfad>\WinPE_x86.iso 

Bei unserm Beispiel lautete der Befehl:

"C:\Program Files (x86)\Windows Kits\10\Assessment and Deployment Kit\Deployment Tools\x86\Oscdimg\oscdimg.exe" -o -m -n -bC:\WinPE_x64\fwfiles\etfsboot.com C:\WinPE_x64\media C:\WinPE_x64\WinPE_x64.iso 

Die jetzt erstellte ISO-Datei können Sie nun auf einen Datenträger brennen.

Schritt 3: Wiederherstellung über die Windows PE:

Im Falle eines Systemversagens sind folgende Punkte zu befolgen:

a.) Windows PE starten

Legen Sie den Datenträger mit der gebrannten ISO in das Laufwerk und starten Sie das System. I.d.R. sollte der Rechner von dem Datenträger booten, wenn er keine bootfähiges Betriebssystem finden kann, wenn das nicht der Fall ist müssen sie im BIOS die Bootreihenfolge ändern.

b.) ISP konfigurieren

Geben Sie in der Eingabeaufforderung nun

SET DSM_CONFIG=<Pfad der dsm.opt Datei> 
SET DSM_DIR="X:\Tools\PROGRAM FILES 64\TIVOLI\TSM\BACLIENT" 

ein. Ggf. entfällt die 64 nach PROGRAM FILES.

c.) Feste IP konfigurieren

Einige Systeme haben eine feste IP um sich mit dem Netzwerk zu verbinden, da die Windows PE i.d.R. eine automatische IP zugewiesen bekommen, muss man hier manuell eine feste IP eintragen. Um eine feste IP zu konfigurieren, geben sie den folgenden Befehl in die Eingabeaufforderung ein:

netsh interface ip set address „LAN-Verbindung“ static <IP-Adresse> <Netzwerkmaske> <Standartgateway> 

z.B.

netsh interface ip set address "LAN-Verbindung" static 134.169.250.65 255.255.255.224 134.169.250.94 

Soll jetzt noch ein DNS Server eingetragen werden, muss der DNS Dienst gestartet werden, da dieser i.d.R. bei der Windows PE ausgeschaltet ist.

Der Befehl startet den Dienst:

net start Dnscache 

Um den DNS Server einzutragen schreiben sie:

netsh interface ip add dns "LAN-Verbindung" <DNS Server> 

in unserm Beispiel:

netsh interface ip add dns "LAN-Verbindung" 134.169.9.150 

d.) Wiederherstellen

geben Sie in der Eingabeaufforderung nun dsmc restore systemstate ein und warten sie bis die Wiederherstellung abgeschlossen ist. Hängen sie jetzt die Laufwerke ein, welche sie zurückschreiben möchten. Dazu brauchen sie die eindeutige ID des Laufwerks. Tippen sie in die Eingabeaufforderung nun mountvol ein um die eindeutige ID eines Laufwerks auszulesen. Wählen sie jetzt ein Laufwerk aus, welches sie wiederherstellen möchten und hängen sie es ein. Dazu schreiben sie in die Konsole :

MOUNTVOL <Laufwerkbuchstabe>:\ <eindeutige ID des Laufwerks> 

z.B.

MOUNTVOL C:\ \\?\Volume{8d587604-54e6-11df-803c-0014a4db5a82}\ 

Im nächsten Schritt stellen wir das Laufwerke wieder her. Geben sie

dsmc restore \\<Hostname>\<Laufwerkbuchstabe ISP>$\* <Laufwerkbuchstabe PE>:\ -su=yes -repl=yes 

ein.

Zur Veranschaulichung ist hier unser Beispiel:

dsmc restore \\Hostname\c$\* c:\ -su=yes -repl=yes 

Achtung:Der Hostname ist nicht der ISP Notename, sondern der Hostname unter dem das Backup angefertigt wurde ! Sollten sie den Hostname nicht mehr kennen, können Sie 'dsmc query volume' zuerst ausführen um den Hostnahmen herauszufinden.

Während der Wiederherstellung kann es passiert das eine Frage erscheint, ob Schreibgeschütze Objekte auch wiederhergestellt werden sollen, hier sollte mit „ja, alle Objekte überschreiben und wiederherstellen (2)“ geantwortet werden.

Wiederholen sie diesen Schritt mit jedem Laufwerk, welches sie wiederherstellen wollen.

In unseren Tests war es teilweise nötig den Bootmanager wiederherzustellen. Kopieren Sie dafür den Bootmanager aus dem Windows Ordner in die Bootpartition. Die Bootpartition kann daran erkannt werden, das sie 100MB groß ist. Der Befehl zum kopieren lautet:

copy [Systemlaufwerk]\Windows\Boot\PCAT\bootmgr [eindeutige ID der Bootpartition] 

In unserem Beispiel sah es folgendermaßen aus:

copy c:\Windows\Boot\PCAT\bootmgr \\?\Volume{8d587604-54e6-11df-803c-0014a4db5a82}\ 

Die Wiederherstellung sollte damit beendet sein. Starten sie jetzt das System neu.

Konfiguration der ISP-Clients

Für die Konfiguration der ISP-Clients werden bei Unix/Linux zwei Dateien (dsm.sys / dsm.opt), für Windows-Betriebssysteme nur eine Datei (dsm.opt) benötigt. Nachfolgend sind beispielhaft die notwendigen und hilfreichen Einträge in diesen Dateien erklärt.

Einstellbare Optionen / Parameter

Anmerkung: Eine Eintragung erfolgt immer in der Form <OPTION> <WERT> [ggf. weiterer WERT, …] .

Für die Konfiguration wird nicht zwischen Groß- und Kleinschreibung unterschieden. Viele Einträge können aber verkürzt angegeben werden, wenn anhand der ersten Buchstaben eine eindeutige Identifikation der Option möglich ist. Im Nachfolgenden sind diese Buchstaben GROSS geschrieben, der Rest des Optionsnamens hingegen klein.

Detaillierte Beschreibungen zu allen Optionen / Parameter finden sich im Benutzerhandbuch.

für "dsm.sys" (Unix/Linux) / "dsm.opt" (Windows)


SErvername RZISP1

Gibt den Namen des Backup-Servers an, mit dem sich der Client verbinden soll. Am Gauß-IT-Zentrum (GITZ) wird ein Backup-Server mit den (DNS-)Namen rzisp1.rz.tu-bs.de betrieben.


TCPServeraddress rzisp1.rz.tu-bs.de

TCP-Adresse des Servers. Auch wenn bei entsprechender Konfiguration Ihres DNS-Clients der Hostname ausreichen sollte, um eine korrekte Verbindung aufzubauen, geben Sie bitte den FQDN des Backup-Servers an.


TCPPort 2121

COMMMethod TCPip

Kommunikationsmethode zwischen Client und Server. Der GITZ-Server bietet nur verschlüsselte Verbindungen über TCPIP an.


SSL yes

Port der TSM-Kommunikation auf Serverseite. Bitte prüfen Sie, ob der Port in einer lokalen oder Instituts-Firewall freigegeben werden muss. SSL yes gibt an, dass die Verbindung zum Server verschlüsselt werden soll.


ERRORLOGName <Pfad und Name der Logdatei>

Hier wird der Pfad und der Name der zu erstellenden Logdatei angegeben.

Unix / Linux: typischerweise liegt die Datei unter /opt/tivoli/tsm/client/ba/bin/

Windows: typischerweise liegt die Datei unter c:\Program Files\Tivoli\baclient\


ERRORLOGRetention <Anzahl Tage> [D|S]

Aufbewahrungsfrist für Logdateien in Tagen und Behandlung der alten Einträge:


ERRORLOGMAX <Größe>

Begrenzt die Größe der Logdateien in Megabytes. Hilfreich bei begrenzt verfügbarem Plattenspeicher.


COMPRESSIon YES

Schaltet die Datenkompression auf der Clientseite ein. Die Übertragung komprimierter Daten reduziert sowohl die Übertragungszeit, sowie den Aufwand beim Datenschreiben auf dem Backupserver.


PASSWORDAccess GENERATE

Speichert das Passwort zum Backup-Knoten verschlüsselt lokal. Hiermit wird nur beim ersten Backup oder nach einer Passwortänderung nach dem Passwort gefragt. Es wird im Hinblick auf die automatische Sicherung empfohlen.


NODename <Name>

Knotenname mit dem der Rechner im Backupserver registriert ist. Meistens ist es abgeleitet von dem FQDM des Systems. Wird vom GITZ mitgeteilt.


ENCRYPTIONType [AES128|AES256]

wählt die Methode zur Verschlüsselung der Daten bei der Übertragung aus:


ENCryptkey [SAVE|GENERATE]

Fügt eine weitere Verschlüsselungs-Ebene hinzu. Die Dateien werden lokal verschlüsselt bevor sie übertragen werden. Auf dem Backup-Server werden Sie nicht entverschlüsselt.


VIRTUALMountpoint <Pfad>

(nur Unix/Linux)

ISP sichert immer nur ganze Dateisysteme / Partitionen. Sollen einzelne Verzeichnisse gesichert werden, müssen diese als virtuelle Dateisysteme / Partitionen deklariert werden.
Diese Option kann mehrfach verwendet werden.


INCLExcl <Pfad und Name>

gibt Pfad und Name der Filterdateien an, die bei der Sicherung angewandt werden sollen.
Diese Option kann mehrfach verwendet werden.

include <Pfad und Dateiname> 
exclude <Pfad und Dateiname> 
include.dir <Pfad> 
exlude.dir <Pfad> 
include.encrypt.dir <Pfad> 
include.compression.dir <Pfad>
exlude.fs <Dateisystem-Pfad> 
. . . \\

Schließt Dateien und / oder Verzeichnisse in die Sicherung mit ein oder davon aus und legt die Art der Übertragung fest. Diese Einträge finden sich üblicherweise in den per INCLExcl festgelegten Dateien, können aber direkt in dsm.sys (Linux) / dsm.opt (Windows) eingetragen werden.


NFSTIMEout <Zeit>

(nur Unix/Linux)

Gibt die Wartezeit des Servers auf einen Statussystemaufruf für ein NFS-Dateisystem in Sekunden an, bevor eine Zeitlimitüberschreitung auftritt.

Optionen für "dsm.opt" (Unix/Linux)


DOMAIN <Partition>|ALL-LOCAL

Angabe der zu sichernden Partition(en)

Diese Option kann mehrfach angegeben werden


QUIET

Unterdrücken der Statusmeldungen während der Sicherung (vor allem Anzahl der geprüften Objekte, Fehlermeldungen zu nicht sicherbaren Dateien). „QUIET“ verringert die Laufzeit der Sicherungssession nur geringfügig, die Logdateien aber signifikant.

Automation des Backups

Die Automation der Sicherung kann auf zwei Wegen erfolgen:

Das GITZ bietet seinen Kunden nur den zweiten Weg an, da die Pflege individueller Schedules personell nicht möglich ist.

Unix / Linux

Aufruf des Clients mit Backuptyp als cron-Job:

15 23 * * * /usr/bin/dsmc incremental

Windows

Das Backup kann als geplanter Taks / automatisierte Aufgabe automatisiert werden. Die vielfältigen Steuerungsmöglichkeiten von Windows erlauben sowohl die Ausführung zu bestimmten Zeiten oder Ereignis-gesteuert (z.B. beim Ein- oder Ausloggen).

Vorteilhaft ist es den Backup-Aufruf als Skript / Batch-Datei zu verfassen und diese aufzurufen. Nachfolgend ist eine Beispieldatei angegeben:

"C:\Program Files\Tivoli\TSM\baclient\dsmc.exe" incremental

Weitere Hilfen

Für detailliertere Informationen kann das offizielle Handbuch von IBM weiterhelfen.