diff --git a/docs/MASTER_TODO.md b/docs/MASTER_TODO.md index a45b1e4..9e64aed 100644 --- a/docs/MASTER_TODO.md +++ b/docs/MASTER_TODO.md @@ -70,7 +70,6 @@ Wartet auf ein externes Ereignis oder eine Abhaengigkeit. | Thema | Blockiert durch | Naechster Schritt sobald entblockt | Quelle | |---|---|---|---| -| `baerchen` Recovery-Test ohne Restore | USB-Boot erledigt, SMB-/Restore-Point-Test noch offen | Veeam Recovery Environment erneut starten, SMB-Ziel `\\kallilabcore\backups\windows-images\baerchen` oeffnen, Restore Point anzeigen, vor echtem Restore abbrechen. **Owner: Codex/Operator** | `ops/windows-reinstall/docs/windows-image-backup-baseline.md`, `docs/RESTORE_MATRIX.md` | | End-to-end-DR-Drill (Hardware-Teil) | Keine zweite Wegwerf-Hardware verfuegbar | Sobald zweite Hardware da ist: Komplett-Bootstrap Phase 1-5 fahren | `docs/DISASTER_RECOVERY.md` | --- @@ -95,6 +94,7 @@ Wartet auf ein externes Ereignis oder eine Abhaengigkeit. - DR-Workstation Bare-Metal-Kit abgeschlossen: WSL2 Ubuntu 24.04 auf `baerchen`, Borg 1.2.8, GitHub-Read-DR-Key und Hetzner-DR-Key in WSL, `~/dr-smoke.sh` vorhanden. Finaler Smoke 2026-06-06 erfolgreich: GitHub HEAD `3a263a4...`, Hetzner Storage Box Repos sichtbar, Borg-Repo `hetzner_borg_appdata_critical` gelesen, Repository ID `5dd9b949...`, encrypted `Yes (repokey)`, `DR-Smoke OK (2026-06-06 10:05:30)`. Passphrase wurde nur interaktiv eingegeben und nicht gespeichert. - Restore-Frische-Negativtest validiert: `ops/restore-tests/negative-freshness-alert-test.sh` erstellt und am 2026-06-06 auf Unraid erfolgreich ausgefuehrt. Ergebnis: synthetischer leerer Dump-Pfad erzeugte erwartungsgemaess 10 Criticals, Test-Alert nach `homelab-alerts` gesendet, Report `/mnt/user/backups/restore-reports/freshness-negative-2026-06-06-130320.md`, produktive Dumps unangetastet. - Gast-/IoT-Netz aktiviert und validiert: FRITZ!Box-Gastzugang `Fritzi Gastzugang` aktiv, Heimnetz-Zugriff aus dem Gastnetz blockiert. LAN- und Host-Preflight gruen; iPhone-Smoke aus dem Gast-WLAN bestaetigt, dass `192.168.178.58:8082`, `:8181`, `:222`, `https://192.168.178.58` und `192.168.178.1` nicht erreichbar sind. Runbook: `docs/GUEST_IOT_NETWORK.md`. +- `baerchen` Veeam-Recovery-Test ohne echten Restore abgeschlossen: Recovery-USB `VEEAMRE` bootet, SMB-Ziel `\\kallilabcore\backups\windows-images\baerchen` ist in der Recovery Environment erreichbar, Restore Point wird angezeigt, Test vor echtem Restore abgebrochen. Runbook: `ops/windows-reinstall/docs/windows-image-backup-baseline.md`. - **Operator-Entscheidungen 2026-06-06 abgeschlossen** (Liste damit ohne offene Entscheidungen): - **BitLocker `baerchen`: bewusst deaktiviert.** Recovery laeuft ueber Veeam-Image; kein BitLocker-Key-Management. Restrisiko physischer Diebstahl bewusst akzeptiert. - **Veeam Storage Encryption: bewusst unverschluesselt.** Erster Full-Lauf bleibt; Image liegt auf dem lokalen SMB-Share `\\kallilabcore\backups`. Neu bewerten bei Off-host-Auslagerung des Images. diff --git a/docs/RESTORE_MATRIX.md b/docs/RESTORE_MATRIX.md index 5e91bc1..ccd196b 100644 --- a/docs/RESTORE_MATRIX.md +++ b/docs/RESTORE_MATRIX.md @@ -44,7 +44,7 @@ Sie ist die fachliche Ergaenzung zu `docs/DISASTER_RECOVERY.md`. | System | Fuehrende Quelle | Datei-Restore | Dump / DB | Secrets / ENV | Abhaengigkeiten | Smoke-Test | |---|---|---|---|---|---|---| -| `baerchen` Windows 11 | Veeam Agent Image auf Unraid-SMB | `/mnt/user/backups/windows-images/baerchen/` bzw. `\\kallilabcore\backups\windows-images\baerchen` | Veeam Restore Points im Zielordner; erster Full-Lauf 2026-06-05, GUI-Groesse 53,8 GB, Dauer 0:11:31, MetaCheck 0 Fehler/0 Warnungen | SMB-User `micha`; Veeam Job Encryption Password nur noetig, falls Storage Encryption spaeter aktiviert wird; BitLocker-Recovery-Key erst noetig, wenn BitLocker spaeter aktiviert wird | Veeam Recovery USB `VEEAMRE`, SMB auf `kallilabcore`, AdGuard/DNS oder direkte IP | USB-Boot am 2026-06-06 erfolgreich; offen: SMB-Ziel oeffnen, Restore Point anzeigen, vor echtem Restore abbrechen; Runbook `ops/windows-reinstall/docs/windows-image-backup-baseline.md` | +| `baerchen` Windows 11 | Veeam Agent Image auf Unraid-SMB | `/mnt/user/backups/windows-images/baerchen/` bzw. `\\kallilabcore\backups\windows-images\baerchen` | Veeam Restore Points im Zielordner; erster Full-Lauf 2026-06-05, GUI-Groesse 53,8 GB, Dauer 0:11:31, MetaCheck 0 Fehler/0 Warnungen | SMB-User `micha`; Veeam Job Encryption Password nur noetig, falls Storage Encryption spaeter aktiviert wird; BitLocker-Recovery-Key erst noetig, wenn BitLocker spaeter aktiviert wird | Veeam Recovery USB `VEEAMRE`, SMB auf `kallilabcore`, AdGuard/DNS oder direkte IP | Recovery-Test am 2026-06-06 erfolgreich: USB-Boot, SMB-Ziel erreichbar, Restore Point sichtbar, vor echtem Restore abgebrochen; Runbook `ops/windows-reinstall/docs/windows-image-backup-baseline.md` | --- @@ -159,7 +159,7 @@ Stand 2026-06-06. Pro Dienst auf einen Blick: Wurde der Restore schon einmal rea | ntfy | 2 | - | rebuildbar, kein Test noetig | - | | Borg UI | 3 | - | rebuildbar | - | | Filebrowser | 3 | - | rebuildbar | - | -| baerchen Windows Image | Workstation | 2026-06-06 | Full-Backup geschrieben; Recovery-USB-Boot erfolgreich; SMB-Mount/Restore-Point-Sichtpruefung noch offen | SMB-/Restore-Point-Test | +| baerchen Windows Image | Workstation | 2026-06-06 | Full-Backup geschrieben; Recovery-USB-Boot, SMB-Mount und Restore-Point-Sichtpruefung erfolgreich; vor echtem Restore abgebrochen | nach Image-Aenderungen oder quartalsweise | --- diff --git a/ops/windows-reinstall/docs/windows-image-backup-baseline.md b/ops/windows-reinstall/docs/windows-image-backup-baseline.md index d4fdfee..3680ff4 100644 --- a/ops/windows-reinstall/docs/windows-image-backup-baseline.md +++ b/ops/windows-reinstall/docs/windows-image-backup-baseline.md @@ -125,9 +125,8 @@ und nicht als Alltags-USB verwenden. ## Restore-Test ohne echten Restore -Der Test ist teilweise erledigt. Der Veeam-Recovery-USB `VEEAMRE` wurde am -2026-06-06 erfolgreich gebootet (Operator-Bestaetigung). Noch offen bleibt die -SMB-/Restore-Point-Sichtpruefung in der Recovery-Umgebung: +Der Test wurde am 2026-06-06 erfolgreich abgeschlossen +(Operator-Bestaetigung): 1. Vom USB-Stick booten. 2. Veeam Recovery Environment starten. @@ -138,8 +137,9 @@ SMB-/Restore-Point-Sichtpruefung in der Recovery-Umgebung: 7. Vor Auswahl eines echten Ziel-Datentraegers abbrechen. 8. Windows normal von der internen SSD booten. -Erfolgskriterium fuer den vollstaendigen Test: Recovery-Umgebung sieht das -SMB-Ziel und den Restore Point, ohne dass ein Restore gestartet wurde. +Ergebnis: Recovery-Umgebung bootet, SMB-Ziel +`\\kallilabcore\backups\windows-images\baerchen` ist erreichbar, Restore Point +wird angezeigt, und der Test wurde vor einem echten Restore abgebrochen. ## Erster Full-Lauf 2026-06-05 @@ -158,9 +158,9 @@ Beleg aus `C:\ProgramData\Veeam\Endpoint\baerchen-c-image\Job.baerchen-c-image.B - Repository-Speicher danach: ca. 5.99 TB total, ca. 3.99 TB frei - Job-Konfiguration im Log: `StorageEncryptionEnabled=False` -Damit ist der erste Image-Lauf technisch erfolgreich geschrieben. Der -Recovery-USB-Boot wurde am 2026-06-06 erfolgreich getestet; offen bleibt die -SMB-/Restore-Point-Sichtpruefung in der Recovery-Umgebung. +Damit ist der erste Image-Lauf technisch erfolgreich geschrieben und der +Recovery-USB-/SMB-/Restore-Point-Test wurde am 2026-06-06 erfolgreich +abgeschlossen. Hilfsskript fuer die Windows-Seite: @@ -175,7 +175,6 @@ Sitzung zusaetzlich per `net use` authentifiziert werden muss. ## Offene Punkte -- SMB-Mount und Restore-Point in der Veeam Recovery Environment testen. - Entscheiden, ob Veeam Storage Encryption nachtraeglich aktiviert werden soll. Wenn ja: Passwort in Vaultwarden anlegen, Job umstellen und ein neues Full- Backup erzeugen.