Veeam Backup mit Hyper-V und SMB3 SOFS Cluster – VSS Fehler

Ich hatte heute morgen einen Supportfall mit einem Kunden, der ein Problem mit der Veeam Sicherung hat. Bei dem Kunden ist ein Hyper-V Failover Cluster mit vier Knoten im Einsatz, die Daten der VMs liegen in einem eigenen Scale-Out File Server (SOFS) Cluster. Der Veeam Backup Server ist eine eigenen Hardware.
Das Backup hat bis letzte Woche problemlos funktioniert, und nach der Wartung der Systeme und einem Neustart läuft es nicht mehr. Die Server sind alle Windows Server 2012 R2, das scheint wichtig zu sein bei der Ursache.

Die Fehlermeldung

Als Fehlermeldung beim Backup erscheint die folgende Meldung:

Failed to create snapshot (Fileshare Provider) (mode: Crash consistent) Details: Failed to add volume [\SOFS\SHARENAME] to the VSS snapshot set
The given shadow copy provider does not support shadow copying the specified volume.
–tr:Failed to add volumes to the snapshot set.
–tr:Failed to perform pre-backup tasks.

Ein weiteres Indiz befindet sich auf den Cluster-Knoten des SMB3 Clusters. Hier gibt es im erweiterten Log-Bereich der Ereignisanzeige unter Anwendungs- und Dienstprotokolle -> Microsoft -> Windows -> FileShareShadowCopyAgent sehr viele Einträge mit der Event-ID 1013 und dem folgenden Fehlertext:

Microsoft File Share Shadow Copy Agent Error: The client connecting to the FssAgent RPC server did not have Local Administrator or Backup Operator privilege on this machine.

Die Ursache

Ursache und Verursacher für dieses Problem scheinen die Juni-Updates KB5014702 bzw. KB5014746 zu sein. Nach der Installation der Updates hat der Veeam-Agent, der standardmäßig als “Local System” läuft, keine Rechte mehr, auf die Daten in den SOFS SMB3-Shares zuzugreifen.

Die Lösung

Um das Backup wieder lauffähig zu bekommen, müssen die folgenden Dinge durchgeführt werden.

1. Updates auf alles Systemen installiert

Die entsprechenden Updates müssen auf allen Systemen installiert werden, die vorhanden sind. Dies sind die Hyper-V Knoten, die SOFS Cluster Knoten und der Veeam Backup Server. Haben die Server unterschiedliche Patchlevel, kann es weiterhin zu Problemen beim Backup kommen.

2. Die Anpassung der Dienst-Anmeldung

Auf den Hyper-V Hosts gibt es einen Dienst Veeam Hyper-V Integration Service. Dieser Dienst arbeitet normalerweise im Local System Kontext.

Dies muss umgestellt werden auf ein Konto, was mindestens lokaler Administrator ist. Dazu in den Eigenschaften des Dienstes die Anmeldung umstellen auf ein Domänen-Konto.

Wichtig: Setzt in den Einstellungen des Dienstes bitte nicht ein Domänen-Administrator-Konto. Die Kennwörter der Dienste-Anmeldedaten werden im Klartext in der Registry gespeichert und können dort genau so einfach ausgelesen werden, wie es sich auch anhört.
Erstellt in eurer Domäne ein neues Benutzerkonto mit einem beliebigen Namen und einen komplexen, langen Kennwort länger 20 Zeichen. Dieses Konto wird dann für die Anmeldung des Dienstes genutzt. Damit ausreichend Rechte vorhanden sind, muss dieses Konto lokal in die Gruppe der (lokalen) Administratoren hinzugefügt werden. Damit haben wir keine domänenweiten Rechte, sondern “nur” auf den Hyper-V und SMB3 Knoten.

3. Konto auf den SMB3 SOFS Cluster Knoten hinzufügen

Damit die Sicherung erfolgreich abgeschlossen werden kann, muss das Veeam-Dienste-Konto auf dem SMB3 Cluster Knoten ebenfalls in die Gruppe der lokalen Administratoren hinzugefügt werden.

Eine Anpassung der Share-Berechtigungen oder sonstiges ist nicht notwendig. Sind diese Einstellungen getätigt, kann das Backup erneut probiert werden. In meinem Fall war es danach erfolgreich möglich, ein Backup zu erstellen. Der markierte Punkt der Snapshot-Erstellung war vorher die Stelle, an dem das Backup abgebrochen ist und die schon erwähnte Fehlermeldung gezeigt hat.

Quellen und weitere Informationen

Es gibt zu diesem Problem mittlerweile ein paar Seiten von Microsoft und Veeam, die dieses Problem ebenfalls beschreiben und die mir bei der Lösung geholfen haben.

Veeam.com: Veeam’s VSS Operations With SMB 3.0 Impacted by Windows June 14, 2022 Update

Microsoft.com: KB5015527: Shadow copy operations using VSS on remote SMB shares denied access after installing Windows update dated June 14, 2022


Sie benötigten persönliche Unterstützung oder haben nicht die richtige Lösung für Ihr Problem gefunden?

Dieser Blog wird von mir, Jan Kappen, in seiner Freizeit betrieben, hier beschreibe ich Lösungen für Probleme aller Art oder technische Anleitungen mit Lösungsansätzen.

Die berufliche Unabhängigkeit

Ich bin seit Januar 2020 vollständig selbstständig und habe meine eigene Firma gegründet, die Building Networks mit Sitz in Winterberg im schönen Sauerland. Hier stehe ich als Dienstleister gerne für Anfragen, Support oder Projekte zur Verfügung.

Die Firma Building Networks bietet Ihnen:

  • Hilfe und Support per Telefon, Fernwartung oder persönlich vor Ort
  • Projekt-Unterstützung
  • Ausgezeichnete Kompetenz zu den Themen
    • Microsoft Hyper-V
    • Microsoft Failover Clustering & HA
    • Storage Spaces Direct (S2D) & Azure Stack HCI
    • Veeam Backup & Recovery
    • Microsoft Exchange
    • Microsoft Exchange Hybrid Infrastruktur
    • Microsoft Active Directory
    • Microsoft Office 365
    • Ubiquiti
    • 3CX VoIP PBX
    • Fortinet Network Security
    • Baramundi Software
    • ...

Ich freue mich über Ihren Kontakt, weitere Informationen finden Sie auf der Webseite meiner Firma unter Building-Networks.de

Jan

Jan Kappen arbeitet seit 2005 in der IT. Er hat seine Ausbildung 2008 abgeschlossen und war bis 2018 als IT-Consultant im Bereich Hyper-V, Failover Clustering und Software Defined Storage unterwegs. Seit 2015 wurde er jährlich von Microsoft als Most Valuable Professional (MVP) im Bereich "Cloud & Datacenter Management" ausgezeichnet für seine Kenntnisse und die Weitergabe seines Wissens. Jan ist häufig auf Konferenzen als Sprecher zu finden, weiterhin bloggt er viel. Von September 2018 bis Dezember 2019 war Jan als Senior Network- und Systemadministrator bei einem großen mittelständischen Unternehmen im schönen Sauerland angestellt. Im Januar 2020 hat er den Sprung in die Selbstständigkeit gewagt und ist seitdem Geschäftsführer der Firma Building Networks in Winterberg. In seiner Freizeit kümmert er sich um das Freifunk-Netzwerk in Winterberg und Umgebung.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.