Micha/homelab-infra
1
0
Fork 0
Code Issues 1 Pull Requests 5 Actions Packages Projects Releases Wiki Activity
Files
606779d34214f1baae207f184324b500a650ac91
homelab-infra/ops/windows-reinstall/docs/windows-image-backup-baseline.md
T
Micha 42ed59a4d7 docs: commit pending status updates from 2026-06-06 sprint wrap-up 
Preserves uncommitted working-copy updates (Veeam recovery test done,
BitLocker decision, ACL rollout, freshness negative test) before the
documentation consolidation restructures these files.

Co-Authored-By: Claude Fable 5 <noreply@anthropic.com>
2026-06-11 07:00:25 +02:00

7.1 KiB
Raw Blame History

Windows Image Backup Baseline - baerchen

Stand: 2026-06-06

Dieses Runbook beschreibt den Windows-Image-Backup-Workflow fuer den frisch aufgesetzten Windows-11-Rechner baerchen. Ziel ist ein schneller Bare-Metal- Restore von C: ueber Veeam Recovery Media und ein Image auf dem bestehenden Unraid-SMB-Share backups.

Zielbild

Feld Wert
Workstation baerchen
OS Windows 11 Pro, Build 26200
Backup-Tool Veeam Agent for Microsoft Windows
Installierte Version 13.0.2.1102
Backup-Art Volume-level image backup
Gesicherte Volumes C: plus EFI-/Recovery-Partitionen, keine Datenlaufwerke D:/G:/H:
Primaeres Ziel \\kallilabcore\backups\windows-images\baerchen
Linux-Pfad auf Unraid /mnt/user/backups/windows-images/baerchen/
Share-Modell bestehender Unraid-Share backups, kein neuer Share
SMB-User micha (bestehender Unraid-User mit Read/Write auf backups)
Veeam Job baerchen-c-image
Verschluesselung Veeam Storage Encryption bewusst nicht aktiv (StorageEncryptionEnabled=False im Job-Log); neu bewerten nur bei Off-host-Auslagerung des Windows-Images
Recovery Media USB-Stick VEEAMRE auf Laufwerk F: erstellt

Bewusste Entscheidungen

  • Es wurde kein neuer Unraid-Share angelegt. Der Zielpfad lebt unter dem bestehenden Share backups, weil dieser laut docs/STORAGE_LAYOUT.md fuer lokale Backup-Daten vorgesehen ist.
  • Es wurde vorerst kein dedizierter SMB-User veeam-baerchen angelegt, um keine Unraid-Share-/User-Aenderung zu erzwingen. Der produktive Job nutzt den bestehenden User micha.
  • BitLocker bleibt bewusst deaktiviert (Entscheidung 2026-06-06). Recovery laeuft ueber das Veeam-Image; kein BitLocker-Key-Management.
  • Der Recovery-Stick ist Teil des Restore-Pfads und muss getrennt vom Rechner aufbewahrt werden.

Vorab-Pruefungen 2026-06-05

Check Ergebnis
SMB-Port 445 auf kallilabcore erreichbar
SMB-Zielordner angelegt
SMB-Schreibtest erfolgreich, Testdatei wieder geloescht
Veeam Installation erfolgreich via winget
Veeam Dienst VeeamEndpointBackupSvc running
WinRE Enabled
TPM Present/Ready/Enabled/Activated/Owned
Secure Boot True
BitLocker C: FullyDecrypted, Protection Off

Backup-Job

Veeam Agent -> Job baerchen-c-image

  • Backup Mode: Volume level backup
  • Included items:
    • Lokaler Datentraeger C:
    • EFI System Partition
    • Recovery-Partitionen
  • Destination: Shared folder
  • Shared folder: \\kallilabcore\backups\windows-images\baerchen
  • Credentials: bestehender Unraid-SMB-User micha
  • Compression: Optimal
  • Storage encryption: bewusst nicht aktiv
  • Schedule: Workstation-Schedule in Veeam; Stand 2026-06-05: taeglich nachts eingerichtet.

Wenn Veeam Storage Encryption spaeter doch aktiviert wird, ist das ein neuer bewusster Aenderungsblock: Passwort in Vaultwarden anlegen, Job umstellen, neues Full-Backup erzeugen und Recovery-Test wiederholen.

Secrets und Ablageorte

Keine Secret-Werte in dieses Repository schreiben.

Secret Ablage
Veeam Job Encryption Password nicht noetig, solange Veeam Storage Encryption bewusst deaktiviert bleibt; Ziel bei spaeterer Aktivierung: Vaultwarden Secure Note Veeam baerchen backup encryption password
SMB Credential fuer Backup-Ziel bestehender Unraid/Vaultwarden-Eintrag fuer User micha
BitLocker Recovery Key nicht noetig, weil BitLocker bewusst deaktiviert ist; Ziel bei spaeterer Aktivierung: D:\30_Finanzen\BitLocker-RecoveryKey-baerchen-<DATUM>.txt, Vaultwarden Secure Note, physischer Ausdruck

Recovery Media

Der USB-Stick wurde mit Veeam Recovery Media erstellt.

Erwarteter Zustand:

  • Laufwerk beim Erstellen: F:
  • Label: VEEAMRE
  • Dateisystem: FAT32
  • Boot-Dateien vorhanden: boot/, efi/, sources/, bootmgr, bootmgr.efi, BMRAnswerFile.xml

Aufbewahrung: Stick beschriften mit baerchen Veeam Recovery - 2026-06-05 und nicht als Alltags-USB verwenden.

Restore-Prozedur

  1. Wenn C: defekt oder leer ist, baerchen ausschalten.
  2. Veeam-Recovery-USB VEEAMRE einstecken.
  3. Rechner vom USB-Stick booten.
  4. In der Veeam Recovery Environment Netzwerk pruefen.
  5. Shared Folder als Backup-Quelle oeffnen: \\kallilabcore\backups\windows-images\baerchen
  6. Mit SMB-User micha authentifizieren.
  7. Veeam-Backup auswaehlen.
  8. Falls der Restore Point verschluesselt ist: Veeam-Job-Encryption-Passwort aus Vaultwarden eingeben. Der erste Full-Lauf vom 2026-06-05 ist laut Log nicht verschluesselt.
  9. Bare Metal Recovery starten und Ziel-Disk fuer Windows C: auswaehlen.
  10. Vor dem finalen Restore pruefen, dass nicht D:/G:/H: als Ziel ausgewaehlt sind.
  11. Restore ausfuehren.
  12. Nach erstem Boot:
    • Windows startet
    • Veeam Agent startet
    • Laufwerksbuchstaben C:/D:/G: plausibel
    • Netzwerk/DNS/Tailscale plausibel
    • reagentc /info zeigt WinRE Enabled

Restore-Test ohne echten Restore

Der Test wurde am 2026-06-06 erfolgreich abgeschlossen (Operator-Bestaetigung):

  1. Vom USB-Stick booten.
  2. Veeam Recovery Environment starten.
  3. Netzwerk pruefen.
  4. SMB-Ziel \\kallilabcore\backups\windows-images\baerchen mounten.
  5. Restore Point anzeigen lassen.
  6. Wenn der Restore Point verschluesselt ist: Veeam-Encryption-Passwort testen.
  7. Vor Auswahl eines echten Ziel-Datentraegers abbrechen.
  8. Windows normal von der internen SSD booten.

Ergebnis: Recovery-Umgebung bootet, SMB-Ziel \\kallilabcore\backups\windows-images\baerchen ist erreichbar, Restore Point wird angezeigt, und der Test wurde vor einem echten Restore abgebrochen.

Erster Full-Lauf 2026-06-05

Der erste manuelle Full-Lauf wurde am 2026-06-05 gestartet.

Beleg aus C:\ProgramData\Veeam\Endpoint\baerchen-c-image\Job.baerchen-c-image.Backup.log:

  • Start: 2026-06-05 19:46:01
  • Ziel-Datei: \\kallilabcore\backups\windows-images\baerchen\baerchen-c-image\baerchen-c-image2026-06-05T194605.vbk
  • Veeam-Storage-Statistik: BackupSize 57801080832 Bytes; Veeam-GUI zeigt Total backup size: 53,8 GB
  • Veeam-GUI: Restore Point Size 53,8 GB, Backup duration 0:11:31, Full backup created
  • MetaChecker: 0 errors, 0 warnings
  • VSS Finalisierung: job: success
  • Repository-Speicher danach: ca. 5.99 TB total, ca. 3.99 TB frei
  • Job-Konfiguration im Log: StorageEncryptionEnabled=False

Damit ist der erste Image-Lauf technisch erfolgreich geschrieben und der Recovery-USB-/SMB-/Restore-Point-Test wurde am 2026-06-06 erfolgreich abgeschlossen.

Hilfsskript fuer die Windows-Seite:

.\ops\windows-reinstall\check-veeam-baerchen.ps1

Wenn der SMB-Pfad in der normalen PowerShell nicht erreichbar ist, aber Veeam den Job erfolgreich schreibt, liegt das meist an getrennten Credentials: Veeam nutzt gespeicherte Job-Credentials, waehrend die interaktive Windows- Sitzung zusaetzlich per net use authentifiziert werden muss.

Verbleibende Optionen

  • Optional: spaeter dedizierten SMB-User veeam-baerchen anlegen, falls die Unraid-User-/Share-Policy wieder angefasst wird.
  • Veeam Storage Encryption und BitLocker sind keine offenen Entscheidungen mehr; beide bleiben bewusst deaktiviert und werden nur bei neuem Risiko-/Ablageprofil erneut bewertet.
Reference in New Issue View Git Blame Copy Permalink