# Windows Image Backup Baseline - baerchen

Stand: 2026-06-06

Dieses Runbook beschreibt den Windows-Image-Backup-Workflow fuer den frisch
aufgesetzten Windows-11-Rechner `baerchen`. Ziel ist ein schneller Bare-Metal-
Restore von C: ueber Veeam Recovery Media und ein Image auf dem bestehenden
Unraid-SMB-Share `backups`.

## Zielbild

| Feld | Wert |
|---|---|
| Workstation | `baerchen` |
| OS | Windows 11 Pro, Build 26200 |
| Backup-Tool | Veeam Agent for Microsoft Windows |
| Installierte Version | `13.0.2.1102` |
| Backup-Art | Volume-level image backup |
| Gesicherte Volumes | C: plus EFI-/Recovery-Partitionen, keine Datenlaufwerke D:/G:/H: |
| Primaeres Ziel | `\\kallilabcore\backups\windows-images\baerchen` |
| Linux-Pfad auf Unraid | `/mnt/user/backups/windows-images/baerchen/` |
| Share-Modell | bestehender Unraid-Share `backups`, kein neuer Share |
| SMB-User | `micha` (bestehender Unraid-User mit Read/Write auf `backups`) |
| Veeam Job | `baerchen-c-image` |
| Verschluesselung | Veeam Storage Encryption **bewusst nicht aktiv** (`StorageEncryptionEnabled=False` im Job-Log); neu bewerten nur bei Off-host-Auslagerung des Windows-Images |
| Recovery Media | USB-Stick `VEEAMRE` auf Laufwerk F: erstellt |

## Bewusste Entscheidungen

- Es wurde kein neuer Unraid-Share angelegt. Der Zielpfad lebt unter dem
  bestehenden Share `backups`, weil dieser laut `docs/STORAGE_LAYOUT.md` fuer
  lokale Backup-Daten vorgesehen ist.
- Es wurde vorerst kein dedizierter SMB-User `veeam-baerchen` angelegt, um
  keine Unraid-Share-/User-Aenderung zu erzwingen. Der produktive Job nutzt
  den bestehenden User `micha`.
- BitLocker bleibt bewusst deaktiviert (Entscheidung 2026-06-06). Recovery
  laeuft ueber das Veeam-Image; kein BitLocker-Key-Management.
- Der Recovery-Stick ist Teil des Restore-Pfads und muss getrennt vom Rechner
  aufbewahrt werden.

## Vorab-Pruefungen 2026-06-05

| Check | Ergebnis |
|---|---|
| SMB-Port `445` auf `kallilabcore` | erreichbar |
| SMB-Zielordner | angelegt |
| SMB-Schreibtest | erfolgreich, Testdatei wieder geloescht |
| Veeam Installation | erfolgreich via `winget` |
| Veeam Dienst | `VeeamEndpointBackupSvc` running |
| WinRE | Enabled |
| TPM | Present/Ready/Enabled/Activated/Owned |
| Secure Boot | True |
| BitLocker C: | FullyDecrypted, Protection Off |

## Backup-Job

Veeam Agent -> Job `baerchen-c-image`

- Backup Mode: `Volume level backup`
- Included items:
  - Lokaler Datentraeger C:
  - EFI System Partition
  - Recovery-Partitionen
- Destination: `Shared folder`
- Shared folder: `\\kallilabcore\backups\windows-images\baerchen`
- Credentials: bestehender Unraid-SMB-User `micha`
- Compression: `Optimal`
- Storage encryption: **bewusst nicht aktiv**
- Schedule: Workstation-Schedule in Veeam; Stand 2026-06-05: taeglich nachts
  eingerichtet.

Wenn Veeam Storage Encryption spaeter doch aktiviert wird, ist das ein neuer
bewusster Aenderungsblock: Passwort in Vaultwarden anlegen, Job umstellen,
neues Full-Backup erzeugen und Recovery-Test wiederholen.

## Secrets und Ablageorte

Keine Secret-Werte in dieses Repository schreiben.

| Secret | Ablage |
|---|---|
| Veeam Job Encryption Password | nicht noetig, solange Veeam Storage Encryption bewusst deaktiviert bleibt; Ziel bei spaeterer Aktivierung: Vaultwarden Secure Note `Veeam baerchen backup encryption password` |
| SMB Credential fuer Backup-Ziel | bestehender Unraid/Vaultwarden-Eintrag fuer User `micha` |
| BitLocker Recovery Key | nicht noetig, weil BitLocker bewusst deaktiviert ist; Ziel bei spaeterer Aktivierung: `D:\30_Finanzen\BitLocker-RecoveryKey-baerchen-<DATUM>.txt`, Vaultwarden Secure Note, physischer Ausdruck |

## Recovery Media

Der USB-Stick wurde mit Veeam Recovery Media erstellt.

Erwarteter Zustand:

- Laufwerk beim Erstellen: F:
- Label: `VEEAMRE`
- Dateisystem: FAT32
- Boot-Dateien vorhanden: `boot/`, `efi/`, `sources/`, `bootmgr`,
  `bootmgr.efi`, `BMRAnswerFile.xml`

Aufbewahrung: Stick beschriften mit `baerchen Veeam Recovery - 2026-06-05`
und nicht als Alltags-USB verwenden.

## Restore-Prozedur

1. Wenn C: defekt oder leer ist, `baerchen` ausschalten.
2. Veeam-Recovery-USB `VEEAMRE` einstecken.
3. Rechner vom USB-Stick booten.
4. In der Veeam Recovery Environment Netzwerk pruefen.
5. Shared Folder als Backup-Quelle oeffnen:
   `\\kallilabcore\backups\windows-images\baerchen`
6. Mit SMB-User `micha` authentifizieren.
7. Veeam-Backup auswaehlen.
8. Falls der Restore Point verschluesselt ist: Veeam-Job-Encryption-Passwort
   aus Vaultwarden eingeben. Der erste Full-Lauf vom 2026-06-05 ist laut Log
   nicht verschluesselt.
9. Bare Metal Recovery starten und Ziel-Disk fuer Windows C: auswaehlen.
10. Vor dem finalen Restore pruefen, dass nicht D:/G:/H: als Ziel ausgewaehlt
    sind.
11. Restore ausfuehren.
12. Nach erstem Boot:
    - Windows startet
    - Veeam Agent startet
    - Laufwerksbuchstaben C:/D:/G: plausibel
    - Netzwerk/DNS/Tailscale plausibel
    - `reagentc /info` zeigt WinRE Enabled

## Restore-Test ohne echten Restore

Der Test wurde am 2026-06-06 erfolgreich abgeschlossen
(Operator-Bestaetigung):

1. Vom USB-Stick booten.
2. Veeam Recovery Environment starten.
3. Netzwerk pruefen.
4. SMB-Ziel `\\kallilabcore\backups\windows-images\baerchen` mounten.
5. Restore Point anzeigen lassen.
6. Wenn der Restore Point verschluesselt ist: Veeam-Encryption-Passwort testen.
7. Vor Auswahl eines echten Ziel-Datentraegers abbrechen.
8. Windows normal von der internen SSD booten.

Ergebnis: Recovery-Umgebung bootet, SMB-Ziel
`\\kallilabcore\backups\windows-images\baerchen` ist erreichbar, Restore Point
wird angezeigt, und der Test wurde vor einem echten Restore abgebrochen.

## Erster Full-Lauf 2026-06-05

Der erste manuelle Full-Lauf wurde am 2026-06-05 gestartet.

Beleg aus `C:\ProgramData\Veeam\Endpoint\baerchen-c-image\Job.baerchen-c-image.Backup.log`:

- Start: 2026-06-05 19:46:01
- Ziel-Datei: `\\kallilabcore\backups\windows-images\baerchen\baerchen-c-image\baerchen-c-image2026-06-05T194605.vbk`
- Veeam-Storage-Statistik: `BackupSize 57801080832` Bytes; Veeam-GUI zeigt
  `Total backup size: 53,8 GB`
- Veeam-GUI: Restore Point Size `53,8 GB`, Backup duration `0:11:31`,
  `Full backup created`
- MetaChecker: `0 errors`, `0 warnings`
- VSS Finalisierung: `job: success`
- Repository-Speicher danach: ca. 5.99 TB total, ca. 3.99 TB frei
- Job-Konfiguration im Log: `StorageEncryptionEnabled=False`

Damit ist der erste Image-Lauf technisch erfolgreich geschrieben und der
Recovery-USB-/SMB-/Restore-Point-Test wurde am 2026-06-06 erfolgreich
abgeschlossen.

Hilfsskript fuer die Windows-Seite:

```powershell
.\ops\windows-reinstall\check-veeam-baerchen.ps1
```

Wenn der SMB-Pfad in der normalen PowerShell nicht erreichbar ist, aber Veeam
den Job erfolgreich schreibt, liegt das meist an getrennten Credentials:
Veeam nutzt gespeicherte Job-Credentials, waehrend die interaktive Windows-
Sitzung zusaetzlich per `net use` authentifiziert werden muss.

## Verbleibende Optionen

- Optional: spaeter dedizierten SMB-User `veeam-baerchen` anlegen, falls die
  Unraid-User-/Share-Policy wieder angefasst wird.
- Veeam Storage Encryption und BitLocker sind keine offenen Entscheidungen mehr;
  beide bleiben bewusst deaktiviert und werden nur bei neuem Risiko-/Ablageprofil
  erneut bewertet.