Ganz wichtig Thema Datensicherung -> Unbedingt extern sichern ODER Sicherungsordner verschlüsseln!

[Bernartz]

Aus persönlicher Erfahrung:

Die Vario kann ja nicht im laufenden Betrieb von externen Programmen gesichert werden, weil dies die FB-Datenbank beschädigen kann. Damit bleibt aber ein grosses Problem offen:

Die integrierte Datensicherung kann NICHT verschlüsselt werden (was externe Sicherungsprogramme in aller Regel können) und ist damit ein offenes Einfallstor für die typischen Verschlüsselungstrojaner.

Es gibt aber die Möglichkeit das Sicherungsverzeichnis mit Windows Bordmitteln zu verschlüsseln, so das dann die Sicherung dort hinein laufen können, aber jeder spätere Zugriff dann verwehrt ist (ohne das Passwort zu kennen):

Rechte Maustaste auf den Ordner, dann Attribute  Erweitert, Haken bei Inhalt verschlüsseln

 ABER Achtung das hierbei erzeugte Zertifikat UNBEDINGT sichern, sonst ist eventuell später ein Zugriff nicht möglich, da dies mit dem Benutzer verknüpft ist!

xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

 

[Jan Kohlmeyer]

Hallo Herr Bernartz,

bei gängigen Sicherungsprogrammen gibt es in der Regel die Möglichkeit ein Script (Powershell/Batch) vor dem Backup auszuführen.
Powershell wäre ideal, weil dann können Sie unser vorhandenes Script verwenden, wenn eine Batch ausgeführt werden kann, wäre das aber auch ein lösbares Problem.
Sichern Sie per Script die Vario-DB in ein Verzeichnis und lassen sie dieses Verzeichnis dann von ihrem Backup-Programm sichern.
Die Vario-Backup-Datei kann da ja immer den gleichen Namen haben und das Backupprogramm kümmert sich um die Versionierung. 

 

Alternativ schieben sie die Sicherung auf ein NAS mit einem Verschlüsselten Laufwerk, wobei das Ihrer Variante mit dem verschlüsselten Windows-Laufwerk entspricht, ich aber sehr hoffe, dass die Sicherung nicht auf dem selben Server liegt, wie die Datenbank.
Das NAS können Sie wahrscheinlich stärker abriegeln, also komplett dicht machen und nur Zugang per SFTP erlauben.
Unser Backup-Script kann per SFTP, schieben, wenn Sie es mit WinSCP verbinden. Das geht über die Config-Datei.

Mit freundlichen Grüßen

Jan Kohlmeyer

[Bernartz]

Hallo Herr Kohlmeyer,

gängige Sicherungsprogramme dürfen laut Aussage Vario eben NICHT die fdb mit sichern, weil dies zu Dateninkonsistenzen führen kann. Also wird bei uns alles gesichert mit Verschlüsselung aber eben ohne die fdb's. Das ist soweit dann safe.

Natürlich nutzen wir aber für die Vario fdbs die Powershell mit den von der Vario benutzten v8-backup.ps1  Dateien

Aber letzte Aussage eines Kollegen war, das dabei eben keine Verschlüsselung genutzt werden kann. Stimmt das so? 

Dann bleibt eben das von mir geschilderte Problem bestehen!

Deshalb haben wir eine zweite ps1 Datei im Einsatz, die dann die Sicherung der vario.fdb auf einen ftp macht.

NACHTRAG, ganz WICHTIG, die von der Vario genutzte backup.ps1  sichert NICHT die kasse.fdb wenn die Kasse im Netzwerk (und nicht über ftp) genutzt wird. Diese liegt dann im gleichen Datenverzeichnis wir die vario.fdb.  Auch hier sollte das backup script dringend nachgebessert werden, damit die kassen.fdb ebenso gesichert wird.

 

Bearbeitet 19. Juli 2022 von Bernartz
Ergänzung

[Jan Kohlmeyer]

Hallo Herr Bernartz,

> gängige Sicherungsprogramme dürfen laut Aussage Vario eben NICHT die fdb mit sichern, weil dies zu Dateninkonsistenzen führen kann.

Das ist richtig, daher ja mein Vorschlag in ihrem Sicherungsprogramm zu schauen ob sie da unser Script angeben können. Bei Veeam sieht das z.B. so aus:

Dann kann der Backup-Job das Script starten, legt die unverschlüsselte Sicherung in ein Verzeichnis, das mit gesichert und verschlüsselt wird und im Script nach der Sicherung, leeren Sie das Verzeichnis wieder. Dann haben Sie nur in dem Moment, wo Ihr Programm das Verzeichnis sichert eine unverschlüsselte Sicherung da liegen.

> Aber letzte Aussage eines Kollegen war, das dabei eben keine Verschlüsselung genutzt werden kann. Stimmt das so? 

Das stimmt. Die FBK Datei an sich kann durch die Sicherung nicht verschlüsselt werden. 

> NACHTRAG, ganz WICHTIG, die von der Vario genutzte backup.ps1  sichert NICHT die kasse.fdb wenn die Kasse im Netzwerk (und nicht üüber ftp) genutzt wird. 

Hierfür müssen Sie eine Kopie der Datei backup.ps1 erstellen und dort die Kassendatenbank angeben und das Script in den geplanten Task zur Sicherung aufnehmen. Der selbe Weg muss gegangen werden, um Datenbanken anderer Mandanten zu sichern.

Wichtig bei Sicherungen übers Netzwerk: 
Die Einstellung "BenutzeServiceManager" kann hier nicht genutzt werden, meine Empfehlung ist daher, den Sicherungstask direkt auf dem DB-Server mit Servicemanager laufen zu lassen und dann die gesicherte (und ggf. gepackte) Datei zu verschieben. Das ist bedeutend schneller, als übers Netzwerk zu sichren.

 

Mit freundlichen Grüßen

Jan Kohlmeyer

[Bernartz]

Hallo Herr Kohlmeyer,

wow das ist nun eine dedizierte Info, mega Danke dafür, ich werde das in Ruhe abschauen und testen. Ich denke das sollte gehen, wie Sie das beschreiben!

Werde mich dazu noch rückmelden, nochmals DANKE! 

[Bernartz]

Hallo Herr Kohlmeyer,

Sie sind ja tief in der Materie. Bei meinen Versuchen bin ich jetzt noch über nbackup.exe gestolpert, Idee wie folgt:

nbackup  -L  v:\vario\daten\ vario.fdb

copy  v:\vario\daten\vario.fdb  v:\vario\backups\varioback.fdb

nbackup  -N  v:\vario\daten\vario.fdb

Vorteil superschnell, da nur durch Hardware limitiert, Integration des Verzeichnisses Backups in die normale verschlüsselte Datensicherung, im Desasterfall nur Rückkopie in Vario-Datenverzeichnis und einmal nbackup.exe -F   v:\vario\Daten\vario.fdb, dann sollte das laufen. Würde bei uns ca. 1 Stunde Rückspielen der Datensicherung ersparen. 

Haben Sie damit auch schon Erfahrung?

 

[Jan Kohlmeyer]

Hallo Herr Bernartz,

ja, prinzipiell geht das, bzw. beim zweiten Befehl sollte der Parameter -UN sein.
Wenn Sie die DB per -L locken wird dann eine zweite Datei geschrieben, in die mögliche DB-Änderungen während des Locks reinlaufen. -UN vermischt diese Datei dann wieder mit der echten DB.

Ich hatte auch mal mit nbackup rumgespielt und hatte dann den Fall gehabt, dass -UN nicht ausgeführt wurde, wobei das wahrscheinlich nicht an nbackup, sondern meinem geplanten Task lag. Dann hatte ich das über mehrere Tage (eher Monate) nicht mehr im Auge und irgendwann gesehen, dass die Delta-Datei größer war als die Original-DB. 

Wie gesagt, wahrscheinlich mein Fehler, da ich das dann hinterher auch nicht mehr regelmäßig kontrolliert habe, aber das sollte im Auge behalten werden. 
Außerdem sind meine Gehversuche in diese Richtung bestimmt schon 10 Jahre her ;-). 

Mit freundlichen Grüßen

Jan Kohlmeyer

[Bernartz]

Hallo Herr Kohlmeyer,

mein Versuch scheitert jetzt sehr schnell:

Ich habe folgendes Bat-File erstellt:

C:\Programme\Firebird\Firebird_3_0\nbackup.exe  -LOCK  V:\VARIO\Software\VARIO8 - Spielwiese\Datenbank\spielwiese.fdb

copy  V:\VARIO\Software\VARIO8 - Spielwiese\Datenbank\spielwiese.fdb  V:\VARIO\Software\VARIO8 - Spielwiese\Backups\spielwieseback.fdb

C:\Programme\Firebird\Firebird_3_0\nbackup.exe  -UNLOCK  V:\VARIO\Software\VARIO8 - Spielwiese\Datenbank\spielwiese.fdb

 

da kommt direkt ein Fehler      ERROR: Unknown switch -

sowohl bei lock wie auch bei unlock, habe natürlich auch die Kurzform probiert -L  -UN, kein Unterschied, was mache ich da falsch ?

Wäre super wenn Sie mir da noch eine Hilfe geben könnten!

[Jan Kohlmeyer]

Hallo Herr Bernartz,

Ihr "Unknown Switch" ist dieser freischwebende Bindestrich hier hinten:

Vermutlich reicht es, den Pfad in Gänsefüßchen einzufassen:

C:\Programme\Firebird\Firebird_3_0\nbackup.exe  -UNLOCK  "V:\VARIO\Software\VARIO8 - Spielwiese\Datenbank\spielwiese.fdb"

Mit freundlichen Grüßen

Jan Kohlmeyer

[Bernartz]

Hallo Herr Kohlmeyer,

danke für diesen Hinweis, in der Tat ist dies das Hinderniss, habe meine weiteren Experimente dann im normalen \Daten\ Verzeichnis am Wochenende gemacht.

Aber es gibt ein weiteres Hindernis, das ganze ist NUR funktional für Kunden mit Schreibrechten, sprich Firebird Nutzer-Daten nutzbar!

Die Befehle müssen also wie folgt ergänzt werden

C:\Programme\Firebird\Firebird_3_0\nbackup.exe  -LOCK  V:\VARIO\Daten\ xxx.fdb -user yyy  -pass zzz

copy  V:\VARIO\Datenxxx.fdb  V:\VARIO\Software\VARIO8\Backups\xxxback.fdb

C:\Programme\Firebird\Firebird_3_0\nbackup.exe  -UNLOCK  V:\VARIO\Daten\ xxx.fdb -user yyy  -pass zzz

Logisch muss hier statt  xxx  der Datenbakname stehen  (Vario8.fdb oder Kasse8,fdb

statt yyy  der Datenbak User,   statt zzz das Passwort des Datenbank Users

dann läuft es perfekt und so schnell, das wir nun die Kassendb stündlich und die Variodb alle 3 Stunden sichern

Vielen Dank für Ihre Mithilfe!

Winfried Bernartz

[Bernartz]

Hier noch ein wichtiger Nachtrag:

Wenn die so gesicherten fdb`s live genutzt werden sollen, muss voher noch folgende Befehl ausgeführt werden:

C:\Programme\Firebird\Firebird_3_0\nbackup.exe  -F  V:\VARIO\Daten\ xxx.fdb -user yyy  -pass zzz

sonst kommt es zu einer Fehlermeldung weil der Firebird Server noch das Flag für den Betrieb der delta- Datei gesetzt hat, das wird damit entfernt und de fdb ist dann normal nutzbar.

 

[Jan Kohlmeyer]

Hallo Herr Bernartz,

> statt yyy  der Datenbak User,   statt zzz das Passwort des Datenbank Users

hier können sie alternativ auch von unserm sFTP-Server aus dem Verzeichnis /tools/VARIO 8/Backupscript die aktuelle version unserer vBak.exe herunterladen und mit dem Parameter -nbackup aufrufen und dann die Parameter von nBackup anhängen, dann werden Benutzername und Passwort ergänzt.

die vBak.exe muss dann im selben Verzeichnis liegen, wie nBackup.exe

In ihrem Falle wäre der Befehl dann:

C:\Programme\Firebird\Firebird_3_0\vback.exe -nbackup  -LOCK  V:\VARIO\Daten\ xxx.fdb -user yyy  -pass zzz

Das ist praktisch, wenn man das DB-Kennwort nicht kennt.

Ansonsten vielen Dank für die Mühe und die Ausarbeitung dieses Themas!

Mit freundlichen Grüßen 

Jan Kohlmeyer

[Bernartz]

Hallo,

ich möchte noch einen Nachtrag hierzu schreiben:

Alle von der Vario angebotenen Sicherungsarten sind für grosse Datenbanken viel zu langsam, konkret bei uns mit 25 GB reden wir über ca. 50 Minuten

Nun habe ich folgende Batch/Cmd Datei im Einsatz, wodurch die Sicherung der Vario Datenbank unter 1 Minute im Verzeichnis Vario\Backups erfolgt

Hier ist der Einsatz von robocopy sicher mit entscheidend, hier der Parameter /J kein Buffering und besonders /MT:24   dadurch werden alle 24 Cores der CPU genutzt (muss natürlich angepasst werden auf die jeweilige CPU) Es ist unglaublich, das so eine 25GB grosse Datei in ca 30 Sekunden kopiert wird.

Danach wird sie auf ein USB Laufwerk kopiert, das dauert ca. 10 Minuten,  dieses wird nach der Sicherung deaktiviert, damit es nicht durch Viren angegriffen werden kann und vor der Sicherung wieder aktiviert. Hierfür wird  Freeware by Uwe Sieber - www.uwe-sieber.de  genutzt     Restartsrdrv und removedrive

Die Tools aktivieren und deaktivieren USB Drives ohne das man sie physikalisch trennen muss, sie sind aber dann nicht mehr vom PC aus sichtbar oder nutzbar und damit auch für Viren nicht mehr angreifbar.

Das ist ist unser eingesetztes BAT//CMD File, das geht aber nur wenn man die DB Schreibrechte hat und damit den User XXXXXX  und Passwort  YYYYYY

Ansonsten müsste sich jemand mit der Script Lösung von Herrn Kohlmeyer auseinander setzen

::  ab hier dbs sichern

:: zuerst Verzeichnis  v;\vario\backups  komplett leeren damit nicht zuviele Dateien existieren und das Volume zu gross wird
del /q "V:\Vario\backups\*.fdb" 

:: dbs  locken für Sicherung    erzeugen von fdb.delta
C:\Programme\Firebird\Firebird_3_0\nbackup.exe -L v:\vario\daten\vario8.fdb -user XXXXXX -pass YYYYYYY

:: dbs kopieren nach Vario\backups
robocopy.exe v:\vario\daten  V:\Vario\backups *.fdb  /J /MT:24 

:: gesicherte dbs auf Sicherungsverzeichnis V:\vario\backups\  freigeben für weitere Nutzung 
C:\Programme\Firebird\Firebird_3_0\nbackup.exe  -F  V:\VARIO\backups\vario8.fdb   -user XXXXXX -pass YYYYYYY

:: Originalvariodb  unlocken  damit  fdb_delta wieder integriert wird in Vario-db
C:\Programme\Firebird\Firebird_3_0\nbackup.exe  -UN  v:\vario\daten\vario8.fdb   -user XXXXXX -pass YYYYYYY

::  Sicherungsdateien in Vario backups mit Stunden im namen ergänzen
rename "V:\vario\backups\vario8.fdb" "vario8_%time:~-11,2%.fdb"

::  bis hier dauert das bei uns deutlich  < 60 Sekunden

:: jetzt sicherungslaufwerk USB starten

:: asm1153e  = Laufwerk
restartsrdev.exe USB\VID_174C* -f -w:30000
:: dbs kopieren nach USB Laufwerk D   Verzeichnis  D:\Variobackup
robocopy.exe v:\vario\backups  D:\Variobackup *.fdb  /J /MT:24 

:: ab hier  alte Dateien löschen auf D   es werden nur die letzten 8 Dateien erhalten
cd D:\variobackup for /f "skip=8 delims=" %%F in ('dir *.* /B /O-D /A-D') do del "%%F"

:: Jetzt usb laufwerk D abschalten asm1153e für Virenschutz
removedrive.exe D

 

Alles zusammen liegt dann bei ca. 10 Minuten. Duch die sehr schnelle Laufzeit kann man nun je nach Wunsch im laufenden Betrieb bis zu stündlich sichern

Dadurch das immer die letzte gesicherte Vario.fdb im Verzeichnis Vario\Backups liegt wird diese dann auch in unserer täglich Imagesicherung des gesamten Servers mit erfasst  (das Vario\Datenverzeichnis muss ja aus jeder Imagesicherung ausgeklammert werden da, Firebird kein VS unterstützt und damit die Variodb komppromittiert werden könnte). 
Vielleicht hilft dies ja dem einen oder anderen

[Jan Kohlmeyer]

Hallo Herr Bernartz,

sehr schön ausgearbeitete Lösung, vielen Dank hierfür!

Zitat

Das ist ist unser eingesetztes BAT//CMD File, das geht aber nur wenn man die DB Schreibrechte hat und damit den User XXXXXX  und Passwort  YYYYYY

Im Anhang an meinen Post ist die aktuelle Version unserer vbak.exe. Wenn diese im selben Verzeichnis wie die nbackup.exe liegt und man ruft sie mit -nbackup auf und dann mit den restlichen gewünschten Parametern, benötigt man Benutzername und Kennwort nicht. Das regelt dann die Magie.

Dann würde die Befehlszeile so aussehen:

C:\Programme\Firebird\Firebird_3_0\vbak.exe -nbackup -F  V:\VARIO\backups\vario8.fdb

Viele Grüße

Jan Kohlmeyer

vbak.exe

[Bernartz]

Hallo Herr Kohlmeyer,

sehr gut, schon kopiert, werde ich nachher entsprechend testen. So können ja alle Vario Nutzer partizipieren! 

[Bernartz]

Hm, da stimmt leider was nicht

nbackup.exe und vbak.exe liegen beide im Verzeichnis   C:\Programme\Firebird\Firebird_3_0\

leider kommt da direkt  

C:\Programme\Firebird\Firebird_3_0\vbak.exe -nbackup -L  V:\VARIO\backups\kasse8.fdb
ERROR: Unknown switch -nbackup

wo liegt mein Fehler ?

[Jan Kohlmeyer]

Hallo Herr Bernartz,

haben Sie die vbak.exe aus dem VARIO-Verzeichnis genommen oder die, die ich an meinen Post angehangen habe?

Ich habe das nämlich erst kürzlich aufgrund Ihres Posts hier nachgerüstet.

Viele Grüße,

Jan Kohlmeyer

[Bernartz]

Hallo Herr Kohlmeyer,

nach langer Zeit und Umstellung auf die V8.5 wollte ich endlich mal Ihre Lösung testen (hatte damals einfach zuviele andere Dinge zu lösen):

Und ja ich habe Ihre VBAK.exe (10.10.2022) genommen, leider bleibt der Fehler

C:\Programme\Firebird\Firebird_4_0\vbak.exe -nbackup -L  V:\VARIO\backups\vario8.fdb
ERROR: Unknown switch -nbackup

Können Sie mir da weiter helfen bitte?

VG Winfried Bernartz

Bearbeitet 7. November 2023 von Bernartz

[Bernartz]

NACHTRAG

Achtung alle hier besprochenen Wege funktionieren nicht mehr ab der VARIO Version 8.5 

[Bernartz]

Aktueller Stand, ab sofort läuft das wieder wie folgt:

::  ab hier dbs sichern

:: zuerst Verzeichnis  v;\vario\backups  komplett leeren damit nicht zuviele Dateien existieren und das Volume zu gross wird
del /q "V:\Vario\backups\*.fdb" 

:: dbs  locken für Sicherung    erzeugen von fdb.delta
C:\Programme\Firebird\Firebird_4_0\nbackup.exe  -L localhost/56400:v:\vario\daten\vario8.fdb  -user XXXXXX -pass YYYYYYY  -role VF_ADMIN

:: dbs kopieren nach Vario\backups
robocopy.exe v:\vario\daten  V:\Vario\backups *.fdb  /J /MT:24 

:: gesicherte dbs auf Sicherungsverzeichnis V:\vario\backups\  freigeben für spätere weitere Nutzung bleibt sonst auch gelockt
C:\Programme\Firebird\Firebird_4_0\nbackup.exe  -F  localhost/56400:v:\vario\backups\vario8.fdb   -user XXXXXX -pass YYYYYYY  -role VF_ADMIN

:: Originalvariodb  unlocken  damit  fdb_delta wieder integriert wird in Vario-db
C:\Programme\Firebird\Firebird_4_0\nbackup.exe  -UN  localhost/56400:v:\vario\daten\vario8.fdb   -user XXXXXX -pass YYYYYYY  -role VF_ADMIN

::  Sicherungsdateien in Vario backups mit Stunden im namen ergänzen
rename "V:\vario\backups\vario8.fdb" "vario8_%time:~-11,2%.fdb"

::  bis hier dauert das bei uns deutlich  < 60 Sekunden

:: jetzt sicherungslaufwerk USB starten

:: asm1153e  = USB-Laufwerk 
restartsrdev.exe USB\VID_174C* -f -w:30000
:: dbs kopieren nach USB Laufwerk D   Verzeichnis  D:\Variobackup
robocopy.exe v:\vario\backups  D:\Variobackup *.fdb  /J /MT:24 

:: ab hier  alte Dateien löschen auf D   es werden nur die letzten 8 Dateien erhalten
cd D:\variobackup for /f "skip=8 delims=" %%F in ('dir *.* /B /O-D /A-D') do del "%%F"

:: Jetzt usb laufwerk D abschalten asm1153e für Virenschutz
removedrive.exe D