快樂的做白工
筆者在 IT 職涯中,常自嘲 IT 人員常常在做白工,比如說:
- 幫資料做了很多的備份,但到最後都沒有使用到。
- 自己找時間、找機器,進行資料還原演練,到頭來也多是沒有用到。
之所以自嘲在做白工是因為,筆者發現,大家平常都不太關心這些資料,IT 人員默默的進行備份、又默默的還原演練。到頭來幾乎沒有被用到。
所以,老闆都沒有感受到我們的認真...,不理解我們的辛勞付出...。
不過,能做這種白工是快樂的,我們還是要一如往常的繼續做下去吧... (希望老闆看到文章時,能夠知道我們的辛勞啦...)
要能快樂的做白工,還是有很多事要注意的。我們一起來探討吧...
備份兩大觀念:3-2-1原則、還原演練
說到備份,現在最流行的是 3-2-1 原則,另外筆者也非常強調 還原演練
3-2-1 原則
何謂 備份 3-2-1 原則:至少 3 份備份、存放在 2 種不同媒介,其中 1 份在異地。
👉 小提醒:這裡的「3 份」包含原始檔線上資料 + 備份副本在內的總份數(也就是:正式資料 1 份 + 備份 2 份 = 3)。
💡 3-2-1 不是口號,是把風險切成三份的理性。
為什麼要這樣做?
- 3 份:任何一份資料壞掉、資料被加密或操作失誤,都還有資料可以使用。
- 2 種不同的儲存媒介:如果只有單一種儲存媒介(只用 NAS、或只用雲),若遇到同質性風險的侵害(同一顆韌體/同一雲服務設計缺陷)會遭受到相同的損害命運,所以需要兩種不同的儲存媒介。
- 1 份異地:若是遭受到火災、水災、竊盜、勒索軟體全面入侵時,還有最後的保命副本。
3-2-1 只是最低標準,如果企業有條件多做,那是最好。
💡 一份在異地 (至少是離線),才是最後的保命鍵。
容易踩的雷
- 只做「同一地區、同一種媒介」的備份:NAS 壞了或被勒索,就一次全毀。
- 把所有備份憑證、金鑰放在同一台 AD 或同一個密碼庫:如果被勒索病毒加密,也是一次就全毀了。
還原演練
- 最徹底的系統還原演練:
- 完全模擬正式生產環境,
- 將資料還原回去,並請 User 測試是否可以使用。
- 這並沒有很容易,尤其是系統有保護裝置的,通常保護裝置 (比如 License Server) 無法模擬。
- 建議每一個系統,都至少要做一次 還原演練,這樣也可以驗證設定紀錄是否完整。
- 資料還原演練:
- 異地路徑演練:
- 如果是雲端異地備份,也務必進行從異地資料還原演練。
- 避免:真的要還原時才發現,雲端登不進去、頻寬太小、存取金鑰遺失...等因素而無法還原。
💡 備份做得漂亮,不等於能救命。演練是把「白工」變「功德」的關鍵。
資料備份工具
先介紹一些常見的資料備份工具,之後再來探討如何用應用。
1.Windows Server Backup
-
Windows Server 內建工具
-
適用:備份 Windows Server 檔案伺服器、AD 資料、IIS 資料、Exchange 資料
-
重點:卷層級 (Volume-level,指的是一個 C:\ 或 D:) VSS 備份、可排程、可做系統狀態與裸機還原。
- 卷層級:Volume-level,指的是一個 C:\ 或 D:\
- VSS Volume Shadow Copy Service)= Windows 的「陰影複本」機制,通常可以在檔案仍開啟時也可以進行備份。(一般情況:已開啟的檔案,通常無法進行備份,俗稱「被咬住」 )
-
快速做法:新增 Windows 角色 → 新增排程 → 勾選要備份的磁碟區(DB 與 Logs 分開者兩個都要)→ 目的地用獨立硬碟或 NAS。
- 建議備份目的地,要使用獨立的硬碟 (外接硬碟),也就是那顆硬碟裡不能有其他資料。
-
優缺點:免費、簡單;但報表與細粒度(單封郵件、單筆 DB 物件)能力有限。
-
提醒:務必選 VSS Full(會截斷交易日誌),固定做還原演練。
2.備份與還原(Windows 7)
-
適用:單機需要進行備份時;Windows 10/11 仍保留此「備份與還原(Windows 7)」功能。
-
重點:支援檔案備份與系統映像(整機災難復原)。
-
用法:控制台 → 備份與還原(Windows 7)→ 設定備份 → 選檔案 + 系統映像 → 設排程。
-
提醒:屬於「舊版」工具,管理與報表偏陽春;建議搭配雲端或 NAS 做第二份備份。
3.第三方專業備份軟體
-
適用:需要多版本、跨站點、雲端整合、應用程式感知(DB/郵件)的環境。
-
重點:支援 Application-aware/VSS、細粒度還原(單檔案/單郵件)、異地複寫、不可變儲存(WORM/Object Lock)。
-
選型要點:
- 是否支援你的關鍵系統(AD、SQL、Exchange、虛擬化)。
- 還原粒度與速度(RPO/RTO 能否達標)。
- 授權模式與擴充成本(主機數、容量、訂閱)。
-
常見類型:企業級(如 Commvault、Veritas),VM/混合雲友善(如 Veeam、Acronis、NAKIVO),中小企業友善方案等。
常見的第三方備份軟體
台灣常見的第三方備份軟體如下,通常有支援應用程式感知(VSS)與細粒度還原:
- 3-1. Veeam Backup & Replication:以虛擬化為強項(VMware/Hyper-V),同時支援實體與雲端;內建 Explorer 能做 Exchange/SQL/AD 的項目層級還原。
- 3-2. Veritas NetBackup(或 SMB 可選 Backup Exec):歷史悠久、相容性廣;NetBackup 適合中大型、多站點與磁帶環境,Backup Exec 則偏中小企業的一體化備份。
細粒度還原:
- 如果以 Windows Server Backup 備份 Exchange,還原時只能完全還原,無法只還原單一信箱,這個就是 細粒度還原 的差異。
- 以 Exchange Server 為例:如果以 Windows Server Backup 備份,通常就只用在災難毀損時的還原;但若使用第三方備份軟體,有的細粒度較細,則可能還原單一信箱...等。這些細粒度規格,要以各備份軟體規格文件為準。
4.Robocopy:好用的檔案備份工具
-
定位:檔案複製與同步工具,不適合應用在應用程式備份。
-
是一個 CLI 指令式工具,基本範例:
robocopy 來源 目的 /選項
robocopy D:\Data \\NAS\backup\Data /MIR /Z /R:0 /W:0 /FFT /COPY:DAT /DCOPY:T /XJ /LOG:robolog.txt
-
/MIR 鏡像(讓目的資料夾與來源資料夾完全一樣,就像 mirror 一樣,也會備份子資料夾。注意:會刪除目標端多餘檔,請謹慎)
-
/Z 斷點續傳、/R:0 /W:0 失敗不重試、/XJ 忽略交叉掛載點
-
優缺點:輕量、好排程;但無版本保留、無壓縮/無加密、無應用感知。
-
提醒:不適用於關鍵系統(DB/郵件)備份。關鍵系統中,Robocopy 通常只當「檔案第二副本」。
5.NAS 內建的備份軟體
5.1 Synology 的 Hyper Backup、Active Backup for Business
-
5.1.1 Hyper Backup:把 NAS 資料備到外接碟、另一台 NAS、或 S3/Wasabi 等雲。
-
5.1.2 Active Backup for Business:可以備份遠端整台機器、虛擬機。
-
重點:多版本、排程、壓縮與加密、完整性檢查;可還原到特定版本。
- 可以每次備份都留存一個版本,如果需要 每日一版本時,這很好用。
5.2 QNAP 的 HBS 3、Snapshots
-
5.2.1 HBS 3(Hybrid Backup Sync):備份/同步到本地、遠端 NAS、雲端;支援 QuDedup(去重)與排程、版本。
-
5.2.2 Snapshots + 複製:卷/LUN 快照與跨 NAS 複製,適合快速回復與勒索防護(快照非備份,但很關鍵)。
-
重點:多版本、排程、壓縮與加密、完整性檢查;可還原到特定版本。
- 可以每次備份都留存一個版本,如果需要 每日一版本時,這很好用。
6.外接硬碟附的備份軟體
有些外接硬碟有附備份軟體,適合拿來備份 Windows 10/11 單機的資料
盤點企業需要備份的資料
筆者幫大家整理一個檢查表 (您也可以參考 Day 11, Day 21 再行檢查),同時也把備份注意事項一併整理,如下:
| 資料 |
工具、注意事項 |
自我檢查紀錄 |
| AD 資料庫 |
只能使用 1.Windows Server Backup 或 3.第三方備份軟體 |
|
| Exchange 資料 |
只能使用 1.Windows Server Backup 或 3.第三方備份軟體 |
|
| SQL 資料庫 |
使用 3.第三方備份軟體、或 SQL Server 備份指令/工具 |
|
| 網頁伺服器 |
通常使用檔案備份工具可以備份,或使用 3.第三方備份軟體、或 1.Windows Server Backup |
|
| 自己建立的郵件伺服器 |
使用該設備提供的備份工具 |
|
| ISP 廠商提供的信箱 |
ISP 通常有系統層級備援,不等於提供使用者歷史版本還原;使用者應拉回本地或另行存檔以自保之。 |
|
| M365、GMail |
服務端有高可用與保留機制;使用者如誤刪可依官方文件還原。 |
|
| Windows PC 個人的檔案 |
使用 2.Windows 7 備份與還原、或是習慣都把資料存放在 Server 或 NAS,再由 Server 或 NAS 進行備份 |
|
| Windows PC 整機備份 |
使用 2.Windows 7 備份與還原、或 3.第三方備份軟體 |
|
| Windows PC 信件檔案 |
因平常檔案會被咬住無法備份,建議採 2.Windows 7 備份與還原、或 3.第三方備份軟體 |
|
| 瀏覽器的書籤(我的最愛) |
建議使用者登入 Google 或 Microsoft 帳號後,再進行加入書籤(我的最愛),這樣資料會備份在你的帳號裡 |
|
| 報稅、LOB軟體... |
依各軟體文件進行備份 |
|
以上整理,您需再仔細檢查您企業的資料,還有哪些是需要備份的。
💡 「自動備份」往往是最危險的;抽驗還原才能心安。
如何落實企業的備份工作
就如筆者上面幫大家整理的,需要備份的資料非常多元,而且散居各系統、各地之間,加上備份工作非常枯燥...,一不小心就漏了備份、或備份失敗而不知。
所以需要想一些策略或方法,才能確實地把資料備份起來。整理如下:
- 所有系統都採用同一套 第三方備份軟體,方便集中操作,減少遺漏。
- 但通常非常昂貴,筆者服務過的企業中,還是有一定比率企業沒有編預算購買之。
- 中小企業一個可行的配套方案:
- AD、Exchange 資料庫:單獨一組備份硬碟備份之。
- PC 端的資料都請 User 把資料存放在 File Server 或 NAS。
- 這個習慣,User 容易疏忽,但他們得自己負責。
- Outlook 信箱檔案,也須請 User 自己備份到 File Server 或 NAS。
- SQL Server:排程將 SQL 備份檔案儲存到 File Server 或 NAS。
- 最後由 Server 或 NAS 執行備份到儲存媒介。
- 儲存媒介,中小企業通常就是 外接硬碟啦。有的企業會儲存在 磁帶。
國內兩家本土廠牌的 NAS ,其內建的備份軟體非常好用,推薦之。
該由誰負責備份呢?
通常是由 資料保管者需要負責備份。
- 網域管理員,要負責備份 AD 資料。
- Exchange 管理員,要負責備份 Exchange 資料
- 資料庫管理員 (DBA) 要負責備份 資料庫資料
- 備份管理員,備份檔案資料...
在大公司,分工很細,也因他們權責劃分、防弊與相互監督...的機制關係。
在小公司,建議企業要在 IT Support 之外,再找一位專責負責備份工作的人,再由 IT Support 負責檢查。因為只要是「人」就會有犯錯的機會、就會有忘記的機會,企業資料這麼重要,一定要建立一套相互提醒、相互檢查的機制。
💡 「用不到」是備份的日常;用得上是備份的使命。
小結
最後整理一些筆者看到或遇過的一些災難,及事後的檢討:
- 勒索病毒:
- 曾有一次 File Server 被勒索病毒加密,但 User 有發現,我就先請他們先拔掉 Server 網路線,我幫他們從備份還原、使用防毒軟體檢查所有 PC 後抓出源頭,之後才恢復大家存取。
- 有一台 單獨 PC 被勒索病毒加密,但平常並沒有依照 SOP 備份,後來付了贖金後,檔案復原之。
- 有一企業擬似 Server 開 Port 被勒索病毒侵入,並加密了所有 File Server 檔案。早先我已建議他們要再增加 離線備份,但老闆沒同意,也就少了救援成功的機會。所以筆者一直會強調務必執行 3-2-1 原則。
- NAS 備份無法還原
- 使用 NAS 備份軟體,排定每天自動備份,
- 但當 NAS 掛了之後,從備份媒體還原的資料不完整,足足少了最新的一年。
- 每次 NAS 備份後,都說備份成功,可是還原會來的資料就是少了一年。
- 所以還是不能太相信「自動備份」,要有良好的檢查還原演練機制才好。
備份 這件事很重要,做了沒有用到就像做白工,但沒有做或忘記做,老闆通常也不會知道。當如果有一天需要的時候,就是企業的救命草...
資料備份了沒有需要被使用,是做白工;資料備份了,要用的時候才發現無效備份、資料沒備到、沒得用,也是做白工!
- 前者:我們可以備份了沒有需要被使用,表示你 IT Support 工作做得很好 + 一點點運氣。
- 但絕不能是後者,要使用的時候才發現無效備份、資料沒備到、沒得用,那就慘了...
💡 有效備份是 IT 的「白工」,能復原是公司的黑天鵝保險。
iThome鐵人賽
看影片追技術