bare metal

[polizei]

Hallo aus reinem Interesse und ohne praktischen Hintergrund wollte ich mal fragen, ob mir jemand ein paar Ding zum Thema bare-metal-restore bzw. -backup erläutern könnte.

1. Was ist das?
Ich hab es so verstanden, dass man damit die komplette Sicherung/Wiederherstellung des Abbilds eines bootfähigen systems inkl. OS, installierten und konfigurierte Programmen, System-Einstellungen, Benutzereinstellungen, Treibern, Netzwerkeinstellunge, Rechten, Zugriff auf Netzlaufwerke usw. meint.
Das Abbild muss aber nur auf Rechnern lauffähig sein, deren Hardware identisch ist mit der Hardware, von dem das Backup ursprünglich gezogen wurde.

a) Frage: stimmt das so? Ist die Einschränkung mit der identischen Hardware richtig?
b) Würde man ein Windows-10-Image (Systempartitionen) zum Beispiel durch Macrium reflect auch als bare-metal-backup bezeichnen? Es enthält schliesslich alle Einstellungen, treiber und installierte Programme.

 

[tRITON]

Bare metal ist alles, was kein OS braucht und sich damit eine lauffähige Maschine erzeugen läßt.
Brauchst Du erst ein OS um damit etwas wieder herzustellen, ist ein kein bare metal.

Du schreibst ja selbst:

Benutzereinstellungen, Treibern, Netzwerkeinstellunge

Wie soll das mit komplett anderem Unterbau lauffähig sein?

Lösung hierzu können VMs sein. Diese bieten psydo Treiber für die Datenträger um das Hardware abhängige Dilemma zu umgehen.

 

[DFFVB]

Du hast das richtig verstanden - bare metal wird direkt installiert, theoretisch kannst du auch auf andere hardware wieder herstellen aber das wird dann eher zum sichern der daten - hab auch schon ei z370 mainboard auf nen i7 5500 U wiederhergestellt, bare metal

 

[polizei]

Vielen Dank für eure Antworten 👍

Du schreibst ja selbst: Benutzereinstellungen, Treibern, Netzwerkeinstellunge

Wie soll das mit komplett anderem Unterbau lauffähig sein?

Naja ich habe schon oft gelesen, dass z.b. ein win10 Image sogar auf einem System mit anderem Mainboard lauffähig ist. Dass der Zielrechner natürlich in einer identischen Netzwerkumgebung sein muss, und die im System enthaltenen Freigaben in der Zielumgebung auch vorhanden sein müssen, ist klar.

 

[tRITON]

Ja, das ist so, weil W10 einige Treiber für verschiedene Unterbaue dabei hat. Daher installiert es sich halt das passende Zeug selbst nach.

mach das mal auf einem "Server" mit einem RAID Controller, der nicht direkt vom OS unterstützt wird. Dann kannst Du nicht mal mehr booten.

Der Rheinländer würde also sagen: Et kütt drob ahhnn.

 

[polizei]

Interessant. Und wie backupt man komplexe Server dann am besten? Image ziehen VOR der Installation von spezieller Hardware/treibern und diese nach dem restore haendisch nachinstallieren? Oder gleich identische Hardware für den Notfall bereithalten?

 

[recu]

Hallo "polizei", Deine Frage vereinfacht die Wirklichkeit zu sehr. Befindest Du Dich in einem Umfeld, wo kritische Infrastruktur betrieben wird? Hast Du Kollegen, die für den Bereich BCM zuständig sind? Gibt es bei Dir Krisenstäbe, die nach Ausfall von IT-Infrastruktur nach einer bestimmten Zeit tätig werden? Letzten Endes bestimmen die äußeren Anforderungen die Lösung. Bist Du "systemrelevant"? Kritische Computer-Infrastruktur wird z.B. parallel betrieben. Bei Ausfall eines Rechenzentrums macht das andere Zentrum weiter.
Falls Du Hannover kennst: "Hanno" darf vermutlich nicht ausfallen, aber ob die Rechner der Leittechnik im laufenden Betrieb gesichert werden können ist fraglich.

 

[polizei]

Hallo, noch eine Nachfrage. Hab mit einem Kumpel über das Thema gesprochen.
Er sagte, man kann kein identisches Gerät mit identischer konfig ins bestehende Netzwerk bringen, weil zumindest die MAC-Adresse eine andere ist, und die würde bei der Anmeldung im Netzwerk zur Identifizierung des Rechners auch geprüft.

Das würde doch bedeuten, dass das Konzept eines bare metal Backup nicht funktionieren kann? Ist das Quatsch oder ist da was dran?

 

[Ranayna]

Er sagte, man kann kein identisches Gerät mit identischer konfig ins bestehende Netzwerk bringen, weil zumindest die MAC-Adresse eine andere ist, und die würde bei der Anmeldung im Netzwerk zur Identifizierung des Rechners auch geprüft.

Das haengt davon ab wie dein Netzwerk abgesichert ist. Wichtiger ist, das auf keinen Fall zwei Systeme mit der selben MAC im gleichen Netzwerk auftauchen duerfen, das funktioniert nicht.

Aber zwei nominell identische Systeme mit unterschiedlichen MACs sind einem ungesicherten Netzwerk erstmal egal.

In einem gesicherten Netzwerk haengt es davon ab, wie es gesichert ist: bei einem einfachen MAC-Filter muss die neue MAC natuerlich eingetragen werden.
Bei einer NAC die nur auf Dot1x aufbaut, ist die MAC eigendlich egal. Werden Zertifikate verwendet, wird es schon kritischer, zumindest wenn diese verifiziert werden. Denn zwei Systeme mit dem selben Hostnamen kollidieren.
Ist die NAC schlauer, kann es der auch auffallen, dass das System jetzt doppelt ist.

Abseits vom Netzwerk ist es aber generell keine gute Idee zwei identische Systeme zeitgleich online zu haben.
Doppelte Hostnamen habe ich ja schon erwaehnt: Das funktioniert nicht. Auch Rechner aus einer Windows Domaene moegen das nicht.

Das ist aber alles in einem Bare-Metal Recovery Szenario egal, das originale System ist ja weg.

 

[polizei]

Danke für deine ausführliche Antwort 👍 nochmal ein Beispiel zum Verständnis: es geht um ein grosses Unternehmen. Sagen wir mal die Firmenzentrale von Microsoft und eine wichtige Abteilung. Deren Netzwerk ist ziemlich gut abgesichert. Plötzlich fällt der PC eines Mitarbeiters aus. Man weiss nicht gleich, was kaputt ist, mehrere Ursachen sind möglich. Aber der Mitarbeiter MUSS binnen 1 Stunde weiterarbeiten können.
Man hat vorgesort und für diesen Fall ein bare metal Backup zur Hand und einen klonrechner mit identischer Hardware.

Den bekommt man aber nur ins Netz, wenn auf dem Server die neue MAC vorher eingetragen wird? Richtig?

 

[Ranayna]

Eine solche grosse Firma wird mit extrem hoher Wahrscheinlichkeit keinen einfachen MAC Filter verwenden, sondern etwas, das auf dot1x basiert.
Dann ist die MAC egal, und ein wiederhergestelltes System sollte direkt funktionieren. Je nach Loesung muss man dem Authentifizierungsserver einmal kurz sagen, dass das neue Geraet ins Netzwerk darf, das ist aber eine Sache von Sekunden.

Aber, und hier hole ich wieder etwas aus , dein Szenario ist relativ unwahrscheinlich.
Niemand macht Vollbackups der Endgeraete.
Regel eins: Auf dem Endgeraet haben wichtige Daten nichts verloren. Alles gehoert auf Netzlaufwerken (neudeutsch: in der Cloud) gespeichert. Geht ein Endgeraet kaputt, bekommt der betroffene aus einem Fundus von Lagergeraeten direkt ein neues, eine kurze Ersteinrichtung - idealerweise automatisch - findet statt, und der User kann weiterarbeiten.
Danach wird das alte Endgeraet repariert oder neuinstalliert, jenachdem was los war, und landet im Fundus.

Generell geht in der IT heutzutage der Trend auch weg von lokal installierten Anwendungen. Viele Sachen sind inzwischen Webanwendungen. Oder der ganze Rechner wird virtualisiert, und der Zugriff findet nur noch per Zero/Thin-Client statt. Dadurch wird das physikalische Endgeraet noch beliebiger.