Windows Server – Backup & Restore
Backups auf Windows Server richtig aufsetzen: 3-2-1-Regel, Windows Server Backup, wbadmin, Veeam und Bare-Metal-Wiederherstellung Schritt fuer Schritt.
Warum Backups auf dem Server noch wichtiger sind als auf dem PC
Ein Workstation-Absturz ist unangenehm. Ein Server-Absturz ohne Backup ist ein Unternehmensproblem. Auf einem typischen KMU-Server liegen Dateifreigaben, Active-Directory-Datenbanken, ERP-Daten, vielleicht noch Exchange – kurz: alles, was die Firma braucht, um zu arbeiten.
RAID ist kein Backup. RAID schuetzt vor Festplattenausfall, aber nicht vor:
- versehentlichem Loeschen von Dateien oder ganzen Ordnern
- Ransomware (die verschluesselt alle Volumes synchron)
- Fehlkonfigurationen und kaputten Systemupdates
- Brand oder Diebstahl des Servers
Die 3-2-1-Regel auf Server-Niveau
| Regel | Was das auf dem Server bedeutet |
|---|---|
| 3 Kopien | Produktivdaten + lokales Backup + Offsite-Backup |
| 2 verschiedene Medien | z.B. lokale externe HDD oder NAS + Cloud oder Bandlaufwerk |
| 1 Offsite | Azure Backup, Backblaze B2, physisches Medium an anderem Standort |
Fuer KMU ist eine pragmatische Loesung: Lokales Backup auf ein NAS im selben Gebaeude (fuer schnelle Wiederherstellung) + Cloud-Backup (fuer Disaster Recovery).
RPO und RTO: Was willst du versprechen?
Bevor du irgendetwas konfigurierst, klaer diese zwei Fragen mit dem Geschaeftsfuehrer oder IT-Verantwortlichen:
- RPO (Recovery Point Objective): Wie viel Datenverlust ist akzeptabel? Wenn RPO = 4 Stunden, muss alle 4 Stunden ein Backup laufen.
- RTO (Recovery Time Objective): Wie lange darf der Server ausfallen? RTO = 2 Stunden bedeutet, du musst innerhalb von 2 Stunden alles wiederhergestellt haben.
Ein Backup-Job, der einmal täglich laeuft und auf Band gespeichert ist, passt nicht zu RTO = 2 Stunden. Das muss vorher stimmen.
Windows Server Backup – das eingebaute Tool
Windows Server Backup (WSB) ist kostenlos, laeuft auf jedem Windows Server und reicht fuer viele KMU-Szenarien. Es unterstuetzt:
- Volume-Backups (ganzes Laufwerk)
- Systemstate-Backup (AD, Registry, COM+, SYSVOL)
- Bare Metal Recovery (BMR) – Wiederherstellung auf neuer Hardware
- Einzeldatei-Wiederherstellung
Feature installieren
WSB ist nicht standardmaessig aktiv. Installation ueber Server Manager oder PowerShell:
# Feature installieren
Install-WindowsFeature -Name Windows-Server-Backup -IncludeManagementTools
# Pruefen ob es geklappt hat
Get-WindowsFeature Windows-Server-Backup
Oder per Server Manager: Rollen und Features hinzufuegen > Features > Windows Server-Sicherung anhaaken.
Backup per GUI einrichten
- Server Manager > Tools > Windows Server-Sicherung (
wbadmin.msc) - Links: Lokale Sicherung > rechts: Sicherungszeitplan
- Sicherungskonfiguration: Vollstaendiger Server (empfohlen) oder benutzerdefiniert
- Sicherungszeit festlegen (z.B. 02:00 Uhr)
- Ziellaufwerk auswaehlen: dediziertes Backup-Volume (kein Produktivlaufwerk!)
- Bestaetigen und speichern
Backup per wbadmin (Kommandozeile)
wbadmin laeuft als erhoehte Eingabeaufforderung (Als Administrator ausfuehren). Ideal fuer Skripting oder Server Core.
:: Einmaliges vollstaendiges Backup auf Laufwerk F:
wbadmin start backup -backupTarget:F: -allCritical -quiet
:: Systemstate-Backup (fuer Active Directory unverzichtbar)
wbadmin start systemstatebackup -backupTarget:F: -quiet
:: Verfuegbare Backup-Versionen anzeigen
wbadmin get versions
:: Status eines laufenden Backups pruefen
wbadmin get status
:: Backup abbrechen
wbadmin stop job
Der Parameter -allCritical sorgt dafuer, dass alle fuer das OS notwendigen Volumes mitgesichert werden – also Windows, Bootpartition, System Reserved und EFI. Das ist die Mindestanforderung fuer eine spaetere Bare-Metal-Wiederherstellung.
Backup per PowerShell (WindowsServerBackup-Modul)
# Modul laden (nach Feature-Installation verfuegbar)
Import-Module WindowsServerBackup
# Alle verfuegbaren Cmdlets anzeigen
Get-Command -Module WindowsServerBackup
# Backup-Policy erstellen: alle kritischen Volumes auf Volume E:
$Policy = New-WBPolicy
$BackupLocation = New-WBBackupTarget -VolumePath E:
Add-WBBackupTarget -Policy $Policy -Target $BackupLocation
Set-WBVssBackupOption -Policy $Policy -VssFull
Add-WBBareMetalRecovery -Policy $Policy
Set-WBSchedule -Policy $Policy -Schedule 02:00
# Policy anwenden
Set-WBPolicy -Policy $Policy
# Manuellen Backup-Job starten
Start-WBBackup -Policy $Policy
Systemstate-Backup: Pflicht bei Active Directory
Wenn dein Server ein Domain Controller ist, brauchst du zusaetzlich zum normalen Backup zwingend ein Systemstate-Backup. Darin ist die AD-Datenbank (ntds.dit), SYSVOL und die Registry enthalten.
# Systemstate in Backup-Policy aufnehmen
$Policy = Get-WBPolicy
Add-WBSystemState -Policy $Policy
Set-WBPolicy -Policy $Policy
Ohne Systemstate-Backup ist eine AD-Wiederherstellung nach einem Totalverlust extrem aufwaendig bis unmoeglich. Systemstate-Backups gelten 180 Tage – aeltere Versionen werden vom AD als ungueltig betrachtet (Tombstone-Lifetime).
Wiederherstellung – so geht’s
Einzelne Dateien/Ordner wiederherstellen
wbadmin.msc> Wiederherstellung- Sicherungsversion auswaehlen (Datum/Uhrzeit)
- Dateien und Ordner auswaehlen
- Zielordner angeben (original oder anderer Pfad)
- Fertigstellen
Oder per wbadmin:
:: Verfuegbare Versionen zeigen (Identifier notieren)
wbadmin get versions
:: Einzelne Dateien aus einer Version wiederherstellen
wbadmin start recovery -version:06/23/2026-02:00 -itemType:File -items:D:\Freigaben\Projekte\Bericht.docx -recursive -overwrite:yes
Bare Metal Recovery (BMR) – Wiederherstellung auf neuer Hardware
Wenn der Server physisch kaputt ist oder auf neue Hardware umgezogen werden soll:
- Windows Server Installationsmedium booten (USB oder ISO)
- Bei der Sprachauswahl: Computerreparaturoptionen (unten links)
- Problembehandlung > System Image Recovery (oder
wbadmin start sysrecoveryin der Wiederherstellungskonsole) - Backup-Quelle auswaehlen (lokales Laufwerk, Netz, oder externes Medium)
- Version auswaehlen und Wiederherstellung starten
:: In der Windows Recovery Environment (WinRE) – nicht im normalen Betrieb
wbadmin start sysrecovery -version:06/23/2026-02:00 -backupTarget:F: -quiet
Der Prozess dauert je nach Datenmenge 30 Minuten bis mehrere Stunden. Danach bootet der Server in den Zustand zum Zeitpunkt des Backups.
Veeam als Alternative (empfohlen fuer KMU)
Fuer etwas mehr Komfort, VM-Backups und zentrales Monitoring empfehle ich Veeam Backup & Replication Community Edition – kostenlos fuer bis zu 10 Workloads.
Kostenlos bis 10 Instanzen. Unterstuetzt physische Server, VMs (Hyper-V, VMware), NAS. Industrie-Standard.
www.veeam.com
Vorteile gegenueber Windows Server Backup:
- Zentrales Dashboard mit Backup-Status aller Jobs
- Granulare Wiederherstellung einzelner AD-Objekte, SQL-Datenbanken
- E-Mail-Benachrichtigungen bei Fehlern
- Direktes Backup in Cloud (Azure, S3-kompatibel)
- Tape-Unterstuetzung
Veeam-Backup fuer physischen Server einrichten
- Veeam installieren (auf dem Backup-Server, nicht dem Produktivserver)
- Backup Infrastructure > Add Server > Produktivserver hinzufuegen
- Home > Backup Job > Windows/Linux Computer
- Backup-Repository auswaehlen (NAS, lokale HDD, Cloud)
- Zeitplan und Aufbewahrungsrichtlinie setzen (z.B. 14 Wiederherstellungspunkte)
Backup-Test: Die wichtigste Aufgabe
Ein Backup, das nie getestet wurde, ist kein Backup. Plane feste Test-Intervalle:
| Frequenz | Was testen |
|---|---|
| Monatlich | Einzelne Datei aus Backup wiederherstellen |
| Quartalsweise | Gesamtes Volume auf Test-Server wiederherstellen |
| Jaehrlich | Vollstaendige BMR-Wiederherstellung auf Test-Hardware (oder VM) |
Dokumentiere jeden Test im Ticketsystem oder als Checkliste. Falls ein Kunde oder Vorgesetzter fragt, willst du Beweise haben.
Troubleshooting haeufiger Backup-Probleme
| Problem | Ursache | Loesung |
|---|---|---|
| Backup schlaegt mit VSS-Fehler fehl | VSS-Schreiber haengt | vssadmin list writers pruefen; Dienste neu starten: net stop vss && net start vss |
| Backup-Ziel voll | Zu viele Versionen | Aufbewahrungszeit verkuerzen; aelteste Versionen mit wbadmin delete systemstatebackup loeschen |
| Backup laeuft, aber AD nicht enthalten | Systemstate nicht in Policy | Add-WBSystemState -Policy $Policy und Policy speichern |
| Wiederherstellung schlaegt fehl (BMR) | Falsches Boot-Medium / fehlende Treiber | Server-Hersteller-Treiber auf USB-Stick bereithalten; WinRE-Version muss zu Backup passen |
wbadmin get versions zeigt nichts | Katalog korrupt | wbadmin restore catalog -backupTarget:F: ausfuehren |
VSS-Diagnose
VSS (Volume Shadow Copy Service) ist der Mechanismus, der konsistente Backups laufender Systeme ermoeglicht. Bei Problemen:
# VSS-Schreiber-Status pruefen
vssadmin list writers
# Alle Schattenkopien anzeigen
vssadmin list shadows
# VSS-Dienste neu starten
Restart-Service VSS
Restart-Service VDS
Schreiber im Zustand [8] Failed oder Waiting for completion verhindern konsistente Backups. Oft hilft ein Neustart des betreffenden Dienstes (z.B. SQL Server VSS Writer).
Weiterlernen
- Windows Server Backup – Befehlsreferenz (Microsoft Learn)
- wbadmin – Referenz aller Unterkommandos (Microsoft Learn)
- AD Forest Recovery – Vollstaendige Serverwiederherstellung (Microsoft Learn)
- Veeam Backup & Replication Community Edition – Dokumentation
- Systemstate und Bare Metal Recovery mit Azure Backup (Microsoft Learn)
Verwandte Seiten:
- Active Directory Grundlagen – was im Systemstate gesichert wird
- Windows Server Dateifreigaben – was auf dem Server schuetzenswert ist
- PowerShell im IT-Alltag – Backup-Jobs automatisieren und ueberwachen
- IT-Security Grundlagen fuer KMU – Ransomware-Schutz und immutable Backups
Kommentare
Frage, Verbesserungsvorschlag oder eigene Erfahrung zu diesem Artikel? Schreib einen Kommentar. Neue Beiträge erscheinen nach kurzer Moderation.
- Lade Kommentare …