MS Exchange Server Sicherungs- und Wiederherstellungslösungen

Home > MS Exchange Server Sicherungs- und Wiederherstellungslösungen

*Diese Seite behandelt ausschließlich lokal betriebene Exchange-Instanzen. Für M365-Backups bietet Bacula Enterprise ein separates, spezielles Backup- und Wiederherstellungstool.

Stand 2026 betreiben weltweit 45.754 Unternehmen Microsoft Exchange Server vor Ort, um wichtige Geschäftskommunikation wie E-Mails, Kalender, Kontakte und Terminplanung zu verwalten. Ohne regelmäßige Exchange-Backups riskieren Unternehmen den dauerhaften Verlust kritischer Postfachdaten, da ein einziger Serverausfall oder ein Ransomware-Angriff den Betrieb auf unbestimmte Zeit lahmlegen und das Unternehmen Compliance-Verstößen und finanziellen Strafen aussetzen kann. E-Mails sind zudem der primäre Angriffsvektor für Ransomware, was Exchange zu einem der am häufigsten angegriffenen Systeme in einem Unternehmensnetzwerk macht.

Da Exchange einen Teil seiner Daten jederzeit im Arbeitsspeicher hält und diese nur in festgelegten Intervallen auf die Festplatte schreibt, werden bei einem standardmäßigen dateibasierten Backup-Tool alle Daten übersehen, die sich zum Zeitpunkt der Ausführung noch im Arbeitsspeicher befinden. Mit anderen Worten: Das Backup führt zu einer unvollständigen Momentaufnahme, die nicht zuverlässig wiederhergestellt werden kann.

Um Exchange zuverlässig zu sichern, während es noch aktiv ist, bietet Bacula Enterprise zwei speziell entwickelte Backup-Plugins für zwei unterschiedliche Ausfallszenarien. Das VSS-Plugin arbeitet auf der Ebene der gesamten Datenbank direkt mit der Exchange-Datenbank-Engine zusammen. Das EWS-Plugin arbeitet auf der Ebene einzelner Elemente direkt mit der Exchange-Datenbank-Engine zusammen.

Das Exchange-VSS-Plugin nutzt den Windows Volume Shadow Copy Service, um anwendungskonsistente Backups auf Datenbankebene zu erstellen, während Exchange online bleibt. Es ist das empfohlene Tool, wenn die gesamte Exchange-Bereitstellung betroffen ist und die Priorität darin besteht, die gesamte Datenbank umgehend wieder online zu bringen.

Backup Exchange EWS

Download Testversion

Das Exchange-EWS-Plugin hingegen nutzt die Exchange Web Services-API von Microsoft, um einzelne E-Mail-Elemente auf Benutzerebene zu sichern und wiederherzustellen, darunter E-Mails, Anhänge, Kontakte, Aufgaben und Kalendereinträge, ohne den laufenden Exchange-Server zu beeinträchtigen.

Administratoren können jedes Plugin unabhängig voneinander bereitstellen; für den bestmöglichen Schutz von Exchange vor Ort empfiehlt es sich jedoch, beide gemeinsam unter demselben Bacula Director auszuführen, der als zentrale Komponente alle Bacula-Sicherungsvorgänge verwaltet und koordiniert.

Wichtigste Funktionen der Bacula Enterprise MS Exchange-Sicherungssoftware

Wenn Ihr Unternehmen im Falle eines Serverausfalls oder eines Ransomware-Angriffs eine vollständige Notfallwiederherstellung benötigt, setzen Sie das VSS-Plugin ein. Wenn Ihre Priorität jedoch in der Wiederherstellung einzelner E-Mail-Nachrichten auf Benutzerebene liegt, ist das EWS-Plugin das spezielle Werkzeug für genau diesen Zweck. Auch hier empfiehlt Bacula Systems, beide Plugins gemeinsam unter demselben Bacula Director auszuführen.

	VSS-Plugin (Datenbankebene)	EWS-Plugin (Einzelobjektebene)
Sicherungsumfang	Vollständige Exchange-Datenbank und Speichergruppen, einschließlich Transaktionsprotokollen und Active Directory-Konfiguration	Einzelne E-Mails, Anhänge, Kalendertermine, Kontakte, Aufgaben und Ordnerstrukturen auf Postfachebene
Sicherungstypen und Zeitplanung	Vollständige und inkrementelle Sicherungen mit flexibler Zeitplanung und Aufbewahrungsrichtlinien¹*	Voll-, inkrementelle und differenzielle Backups mit Möglichkeiten zur parallelen Ausführung und flexibler Zeitplanung
Wiederherstellungsfunktionen	Vollständige und einzelne Datenbankwiederherstellung	Wiederherstellung einzelner Elemente, einschließlich einzelner E-Mails, Anhänge, Kontakte, Aufgaben und Kalendereinträge; Export in das Dateisystem; Wiederherstellung in das ursprüngliche Postfach oder Migration zu einem anderen Exchange-Ziel
Administration und Verwaltung	Zentrale Verwaltung über die BWeb Management Suite-GUI, die Befehlszeilenkonsole und die Weboberfläche; Jobbenachrichtigungen und automatisierte Verifizierungsjobs	Benutzerfreundliche Wiederherstellungsberichte; erweiterte Postfacherkennung; E-Mail-Indizierung für inhaltsbasiertes Durchsuchen; Verwaltung über die BWeb Management Suite und die Befehlszeilenkonsole
Speicher und Infrastruktur	Sicherung auf lokale Festplatte, NAS, SAN, Band, Cloud-Speicher einschließlich Amazon und Azure; Verschlüsselung und Komprimierung der Sicherungsdaten	Sicherung auf lokale Festplatte, NAS, SAN, Band, Cloud-Speicher einschließlich Amazon und Azure; Verschlüsselung und Komprimierung der Sicherungsdaten
Datenschutz und Filterung	N/A – Datenschutzkontrollen werden auf Exchange-Ebene verwaltet. Das VSS-Plugin sichert die gesamte Datenbank ohne Filterung auf Elementebene.	Leistungsstarke Filterung für Datenschutz, Spam und Sicherheit; Ausschluss bestimmter Nachrichten vollständig aus der Sicherung oder nur aus dem Katalogindex; Steuerung, welche E-Mail-Header-Felder indiziert werden; Export im MIME-Format für die Migration auf eine andere E-Mail-Plattform
Plattform- und Versionsunterstützung	Erfordert Windows Server; Exchange muss sich in einer Active Directory-Domäne befinden; Clustering wird über Database Availability Groups unterstützt	Exchange Server vor Ort; Kommunikation über HTTPS über den EWS-Endpunkt; keine Agent-Installation auf dem Exchange-Server erforderlich

¹ Differenzielle Sicherungen werden vom VSS-Plugin nicht unterstützt und können zum Verlust von Transaktionsprotokolldateien führen. Verwenden Sie ausschließlich vollständige und inkrementelle Sicherungen.

Was Sie vor der Bereitstellung der VSS- und EWS-Plugins wissen müssen

Voraussetzungen für die Bereitstellung

Das VSS-Plugin erfordert mehrere obligatorische Konfigurationsschritte auf dem Exchange-Server, bevor die erste Sicherung ausgeführt wird. Das EWS-Plugin hingegen stellt keine Anforderungen an den Exchange-Server selbst und ist einsatzbereit, sobald der Bacula-Dateidaemon konfiguriert ist.

EWS-Plugin

Auf dem Exchange-Server müssen weder ein Agent noch zusätzliche Software installiert werden.
Das Plugin wird vom Bacula-Datei-Daemon auf dem Backup-Client-Host ausgeführt und kommuniziert über HTTPS mit Exchange über den Standard-EWS-Endpunkt.
Die Ressourcenauslastung des Exchange-Servers selbst wird durch die Backup-Vorgänge nicht beeinträchtigt.

VSS-Plugin

Die zirkuläre Protokollierung muss auf jeder Exchange-Datenbank deaktiviert werden, da sie die Transaktionsprotokollverwaltung außer Kraft setzt, auf die sich VSS für die inkrementelle Konsistenz stützt.
Mindestens eine Datei von jedem von Exchange genutzten Laufwerk muss explizit in das Bacula-Fileset aufgenommen werden, da das VSS-Plugin anhand der Laufwerksauswahl ermittelt, von welchen Volumes ein Snapshot erstellt werden soll.
Der „Accurate“-Modus muss in der Bacula-Job-Ressource aktiviert sein, da sonst Dateien während der Sicherung übersehen oder doppelt gesichert werden können.
VSS-Sicherungsjobs müssen als separate Bacula-Jobs von den standardmäßigen Windows-Dateisicherungsjobs ausgeführt werden, da das VSS-Subsystem in der WinPE-Bare-Metal-Wiederherstellungsumgebung nicht verfügbar ist.

Wiederherstellung

Das VSS-Plugin stellt Exchange-Daten auf Datenbankebene wieder her. Das EWS-Plugin hingegen führt die Wiederherstellung auf der Ebene einzelner Objekte durch, wobei Sie die volle Kontrolle darüber haben, welche Postfächer, Ordner und Objekte wiederhergestellt werden.

EWS-Plugin

Einzelne E-Mails, Anhänge, Kontakte, Aufgaben oder Kalendereinträge werden über HTTPS direkt auf dem Exchange-Server wiederhergestellt, ohne die laufende Exchange-Umgebung zu beeinträchtigen.
Wiederherstellungsaufträge zielen über die Fileset-Konfiguration auf bestimmte Postfächer, Ordner oder einzelne Elemente ab, sodass Administratoren nur das betroffene Postfach, den betroffenen Ordner oder das betroffene Element wiederherstellen.
Wiederhergestellte Elemente können in das ursprüngliche Postfach zurückgespielt, in einen Unterordner verschoben oder an einen anderen Exchange-Zielort migriert werden.
Nach jedem Auftrag wird ein Wiederherstellungsbericht erstellt, der bestätigt, welche Elemente wiederhergestellt wurden, und Administratoren auf Elemente hinweist, die vom Wiederherstellungsprozess nicht erreicht werden konnten.

VSS-Plugin

Das VSS-Plugin stellt die gesamte Exchange-Datenbank oder einzelne Speichergruppen am ursprünglichen Speicherort wieder her, und Exchange ist wieder betriebsbereit, sobald die wiederhergestellten Datenbanken eingebunden sind.
Exchange-Bereitstellungen, die in Datenbankverfügbarkeitsgruppen ausgeführt werden, werden grundsätzlich unterstützt, eine vollständige Garantie für alle Clusterkonfigurationen ist jedoch nicht möglich.

Datenschutz und Compliance

Das VSS-Plugin erfasst die gesamte Exchange-Datenbank als Ganzes. Daher müssen Datenschutzmaßnahmen auf der Verwaltungsebene von Exchange verwaltet werden. Das EWS-Plugin hingegen ermöglicht es Administratoren, genau festzulegen, welche Nachrichten gesichert, welche im Bacula-Katalog indiziert und welche vollständig ausgeschlossen werden sollen.

EWS-Plugin

Der Parameter email_exclude_expr entfernt Nachrichten, die dem definierten Ausdruck entsprechen, vollständig aus der Sicherung – für Umgebungen, in denen bestimmte Inhalte von Postfächern nicht aufbewahrt werden dürfen.
Der Parameter email_exclude_index_expr behält das Element in der Sicherung bei, entfernt es jedoch aus dem Bacula-Katalogindex – für Umgebungen, in denen Daten aufbewahrt werden müssen, aber für Sicherungsadministratoren nicht durchsuchbar sein dürfen.
Der Parameter email_fields_exclude_index schränkt ein, welche E-Mail-Header-Felder im Katalog indiziert werden, für Bereitstellungen, bei denen die Katalogisierung von Absender- oder Empfängerdaten Bedenken hinsichtlich der DSGVO oder interner Richtlinien auslöst.

VSS-Plugin

Die Sicherungsdaten werden auf Volume-Ebene mit AES-128, AES-192 oder AES-256 verschlüsselt, wodurch Exchange-Datenbanksicherungen sowohl während der Übertragung als auch im Ruhezustand geschützt sind.
Jeder VSS-Sicherungsauftrag kann automatisch oder über einen manuellen Überprüfungsauftrag über die Bacula-Konsole überprüft werden.

Migrationsunterstützung

Sowohl das VSS-Plugin als auch das EWS-Plugin werden bei Bacula-Kopier- und Migrationsaufträgen eingesetzt. Backup-Daten werden auf einen sekundären Speicher repliziert oder zwischen Speicherpools migriert, ohne dass die Quelldaten erneut gelesen werden müssen. Wenn die MIME-Option aktiviert ist, speichert das EWS-Plugin den Inhalt der Elemente im RFC-2077-Format, das ohne Konvertierung direkt in eine andere E-Mail-Plattform importiert werden kann.

Bacula Enterprise: Umfassende Plattformunterstützung

Sicherheit und Compliance bei Backups

Bacula Enterprise verfolgt einen mehrschichtigen Ansatz zur Sicherung von Exchange-Backup-Daten, der Transportverschlüsselung, Schutz auf Speicherebene und Ransomware-Erkennung auf ein und derselben Plattform umfasst.

Unveränderliche Backup-Kopien – Ein WORM-kompatibler Speicher schützt Backup-Daten nach dem Schreiben vor Änderungen oder Löschung. Für einen Angreifer mit gültigen Anmeldedaten besteht kein über das Netzwerk zugänglicher Pfad zu den Wiederherstellungspunkten.
AES-Verschlüsselung pro Client – Konfigurierbar mit AES 128, AES 192 oder AES 256 pro Client von der Quelle bis zum Speicherziel. Bei einem Sicherheitsverstoß am Speicherziel werden nur die Daten dieses Clients offengelegt, nicht die gesamte Backup-Umgebung.
FIPS 140-3-Konformität – Kryptografische Module erfüllen den von Regierungs- und Militärorganisationen geforderten Bundesstandard in allen unterstützten Daemons.
Granulare Zugriffskontrollen – Benutzerberechtigungen beschränken sich auf bestimmte Jobs, Wiederherstellungsworkflows und Verwaltungsfunktionen. Kein einzelnes Konto verfügt über unnötige Zugriffsrechte in der gesamten Backup-Umgebung.
Umfassende Aktivitätsprotokollierung – Jede Sicherung, Wiederherstellung und Konfigurationsänderung wird mit Benutzeridentität und Zeitstempel protokolliert. Sicherheitsteams erhalten einen lückenlosen Prüfpfad für die Untersuchung von Vorfällen und die Überprüfung der Compliance.
SIEM-Integration – Sicherheitsereignisse der Backup-Infrastruktur werden an externe SIEM-Plattformen weitergeleitet, die die Backup-Ebene in die bestehenden Incident-Response-Workflows des Unternehmens einbinden, sodass die Backup-Umgebung für das SOC sichtbar ist.
Unterstützung regulatorischer Rahmenbedingungen – Die Plattformkontrollen entsprechen den Anforderungen von DSGVO, HIPAA, SOC 2, PCI DSS und NIST durch Verschlüsselung, konfigurierbare Aufbewahrungsrichtlinien und detaillierte Audit-Protokolle.

Speicherung und Wiederherstellung

Eine Backup-Strategie gegen Ransomware scheitert, wenn die Wiederherstellung selbst langsam, ungetestet oder auf einen einzigen Pfad beschränkt ist. Bacula bietet Administratoren mehrere unabhängige Wiederherstellungsoptionen, sodass kein einzelner Ausfallpunkt die Wiederherstellungsfähigkeit beeinträchtigt.

Air-Gapped-Band – Bandvolumes, die aus dem Bandlaufwerk ausgeworfen und offline gelagert werden, sind für jegliche netzwerkbasierten Angriffe physisch unerreichbar. Selbst bei einer noch so tiefgreifenden Kompromittierung von Anmeldedaten kann ein ausgeworfenes Band nicht erreicht werden.
Backup-Kopieraufträge. Wiederherstellungspunkte werden unter unabhängigen Anmeldedaten und einer anderen Aufbewahrungsrichtlinie auf ein separates Speicherziel geschrieben. Ein beschädigter oder gelöschter primärer Backup-Satz lässt die Wiederherstellungspunkte des Kopierauftrags unberührt.
Bare-Metal-Wiederherstellung – Bacula stellt einen kompletten Server von Grund auf wieder her, einschließlich Betriebssystem, Anwendungen und Daten, ohne dass zuvor eine manuelle Installation erforderlich ist. Sowohl Linux- als auch Windows-Systeme werden abgedeckt, mit UEFI- und EFI-Unterstützung.
Mehrere Speichertypen – Backups werden im Rahmen einer einzigen Richtlinie auf lokale Festplatten, NAS, SAN, Bandbibliotheken und Cloud-Objektspeicher wie S3, Azure und Google Cloud geschrieben. Unternehmen setzen die 3-2-1-1-Regel um, ohne für jedes Ziel separate Tools verwalten zu müssen.
Mehrstufige Speicher-Workflows – Daten werden automatisch über Speicherebenen hinweg verschoben, je nach Alter: Aktuelle Wiederherstellungspunkte verbleiben auf schnellem Speicher, während ältere Daten auf kostengünstigere oder Offline-Ziele verlagert werden.
Geografische Backup-Replikation – Backup-Sätze werden an geografisch getrennte Speicherorte kopiert. Ein standortweiter Ausfall führt nicht zum Ausfall der Wiederherstellungspunkte.
Automatisierte Wiederherstellungsvalidierung – Die Wiederherstellbarkeit wird durch automatisierte Tests bestätigt, und Backup-Administratoren wissen, dass Wiederherstellungspunkte einsatzbereit sind, bevor ein Vorfall diese Frage aufwirft.

Abdeckung verschiedener Umgebungen

Ransomware macht keinen Unterschied zwischen verschiedenen Workload-Typen. Bacula schützt physische Server, virtuelle Maschinen, Container, Datenbanken und Cloud-Infrastrukturen unter einer einzigen Richtlinien-Engine und einem einzigen Prüfprotokoll.

Virtualisierung auf mehreren Plattformen – Die native Integration umfasst VMware vSphere, Hyper-V, KVM, Red Hat Virtualization, Xen, Azure VM, Proxmox, Nutanix AHV und OpenStack mit einheitlicher Richtlinienanwendung über alle Hypervisoren hinweg.
Unterstützung für Container und Cloud-native Umgebungen – Der umfassende Schutz für Docker-, Kubernetes- und OpenShift-Umgebungen umfasst Backups persistenter Volumes und anwendungskonsistente Snapshots.
Datenbanksicherung – Die Unterstützung für Hot-Backups umfasst Oracle, SQL Server, MySQL, PostgreSQL, SAP HANA, MariaDB, Percona und IBM DB2 mit vollständiger Transaktionskonsistenz. Datenbank-Backups sind zuverlässig für die Wiederherstellung, nicht nur für die Speicherung.
SaaS-Anwendungsschutz – Microsoft 365, Google Workspace und Exchange Online werden mit granularen Wiederherstellungsfunktionen bis hin zu einzelnen E-Mails und Kalendereinträgen geschützt.
Multi-Cloud-Speicherintegration – Die native Unterstützung umfasst S3-, Azure-, Google Cloud-, Oracle Cloud- und Glacier-Schnittstellen. Unternehmen sind nicht an einen einzigen Cloud-Anbieter für den Backup-Speicher gebunden.
Windows-Umgebung – Das Windows Encrypting File System, Microsoft VSS mit MS SQL Server und Exchange, Active Directory sowie Mount-Point-Snapshots laufen alle unter einem einzigen Windows-Agenten.

Backup-Management und -Administration

BWeb Management Suite. Die primäre webbasierte Benutzeroberfläche von Bacula ermöglicht die Konfiguration von Jobs, die Überwachung, die Berichterstellung und die Sicherheitsanalyse für die gesamte Backup-Umgebung über eine einzige Schnittstelle.
Skalierbarkeit ohne Grenzen. Die gleiche Plattformarchitektur verwaltet Umgebungen von einer Handvoll Servern bis hin zu Tausenden von Servern – alles unter einer einzigen Verwaltungsebene.
Mandantenisolierung. MSPs und große Unternehmen unterteilen die Backup-Umgebung in unabhängig voneinander verwaltete Einheiten. Jede Einheit verfügt über eigene Konfigurationen, Richtlinien und Zugriffskontrollen.
Integration externer Systeme. Bacula lässt sich mit Überwachungstools, IT-Ticketingsystemen und Verzeichnisdiensten wie LDAP und Active Directory verbinden. Es ist keine kundenspezifische Entwicklung erforderlich.
Volumenunabhängige Lizenzierung. Die Lizenzgebühren richten sich nach der Größe der Umgebung, nicht nach dem Datenvolumen. Die Backup-Kapazität wächst, ohne dass dadurch höhere Kosten entstehen.

Häufig gestellte Fragen

Warum sind herkömmliche Backups auf Dateiebene für Exchange Server ungeeignet?

Weil Exchange einen Teil seiner Daten ständig im Arbeitsspeicher hält und diese nur in festgelegten Intervallen auf die Festplatte schreibt. Ein generisches Backup-Tool, das Dateien direkt von der Festplatte kopiert, übersieht alle Daten, die sich zum Zeitpunkt der Ausführung noch im Arbeitsspeicher befinden, was wiederum zu einer unvollständigen Momentaufnahme führt, die nicht zuverlässig wiederhergestellt werden kann.

Was ist der Unterschied zwischen dem VSS-Plugin und dem EWS-Plugin?

Das VSS-Plugin arbeitet auf Datenbankebene und ist das richtige Tool, wenn die gesamte Exchange-Bereitstellung nach einem Ausfall schnell wiederhergestellt werden muss. Das EWS-Plugin arbeitet auf Elementebene und ist das richtige Tool, wenn eine bestimmte E-Mail, ein Kontakt, eine Aufgabe oder ein Kalendereintrag wiederhergestellt werden muss, ohne die Datenbank zu berühren. Für den bestmöglichen Schutz von Exchange vor Ort empfiehlt Bacula Systems, beide Plugins gemeinsam einzusetzen.

Muss ich den Exchange-Server anhalten, um ein Backup durchzuführen?

Nein. Das VSS-Plugin nutzt den Windows Volume Shadow Copy Service, um anwendungskonsistente Datenbank-Snapshots zu erstellen, während Exchange weiterläuft. Das EWS-Plugin kommuniziert über HTTPS mit dem laufenden Exchange-Server und erfordert zu keinem Zeitpunkt während des Backups eine Unterbrechung von Exchange.

Muss ich die zirkuläre Protokollierung für das Exchange-Server-Backup deaktivieren?

Ja. Die zirkuläre Protokollierung muss auf jeder Exchange-Datenbank deaktiviert werden, bevor die erste VSS-Sicherung ausgeführt wird. Die zirkuläre Protokollierung überschreibt die Transaktionsprotokollverwaltung, auf die der Windows VSS Exchange-Writer für die Konsistenz inkrementeller Sicherungen angewiesen ist.

Kann ich eine einzelne E-Mail wiederherstellen, ohne die gesamte Exchange-Datenbank wiederherzustellen?

Ja. Das EWS-Plugin stellt einzelne E-Mails, Anhänge, Kontakte, Aufgaben oder Kalendereinträge direkt auf dem Exchange-Server wieder her, ohne die Datenbank zu berühren.

Wie sicher sind Exchange-Sicherungsdaten in Bacula Enterprise?

Die Sicherungsdaten werden während der Übertragung zwischen dem Bacula File Daemon und dem Storage Daemon über TLS verschlüsselt. Ruhende Daten werden auf Volume-Ebene mit AES 128, AES 192 oder AES 256 verschlüsselt. Der Bacula File Daemon verfügt über keine Anmeldedaten für den direkten Zugriff auf Speicherziele, was bedeutet, dass ein kompromittierter Exchange-Host die auf dem Bacula Storage Daemon gespeicherten Sicherungsdaten weder lesen, ändern noch löschen kann.