Существует ли аналог robocopy для применения вне домена?

Question

[illusionD]

Здравия желаю! Подскажите, пожалуйста, решение по простым бэкапам.
Есть 2 сервера на Windows Server:
Первый для бэкапов, он в домене. Скриптами с robocopy забирает данные с шар, очень удобно.
Второй ставлю для бэкапа бэкапов. Он должен быть не в домене, чтобы на него не залез какой-нибудь шифровальщик даже с админским доменным паролем. Он должен забирать данные сам с первого сервера, чтобы на первом не было никаких учётных данных, которые помогли бы залезть на второй.

Я конечно могу изобрести какой-нибудь костыль с NET USE. чтобы подключить шару с бэкапами, доступную какому-то определённому пользователю, и копировать её, но может есть аналог robocopy клиент-сервер, который тоже бы имел cmd-утилиту? Я видел только единственный платный сервер RSYNC в интернете, и всё.
Не буду же я данные по FTP гонять, когда есть продвинутые способы докачивать лишь изменившиеся. Способы, среди которых robocopy, наверное уже мамонт, есть у меня такое предположение.

Comments

[Максим Гришин]

Мы использовали FreeFileCopy для подобного, но он неудобный и требовал активного окна для работы, в итоге отказались.

[Ziptar]

Максим Гришин, если речь о FreeFileSync, то он не требует никаких открытых окон, вот только он для юриков платный. А FreeFileCopy никакой не гуглится.

Я конечно могу изобрести какой-нибудь костыль с NET USE. чтобы подключить шару с бэкапами, доступную какому-то определённому пользователю, и копировать её, но может есть аналог robocopy клиент-сервер, который тоже бы имел cmd-утилиту?

Чем плох вариант с пользователем и шарой? И сетевой диск монтировать не нужно, robocopy работает с UNC путями без всяких net use.

[Петровский]

Есть rsync для Windows

[Freeman]

Петровский, illusionD, я его даже скачивал в виде exe-шника (бесплатного!), но руки так и не дошли до настройки хотя бы на «поиграться». Те платные сервера — тот же бесплатный rsync с GUI и техподдержкой, как понимаю. Есть же такой класс программ.

[illusionD]

Freeman, Петровский, дак чтобы rsync работал, что-то должно его слушать. То есть, должна быть серверная часть. Если сервак на линуксе, тогда понятно, нужен просто rsync.exe для винды, он бесплатный, а серверная часть-то платная и никак не достать.
Неужели прям только NET USE, или только второй сервак на линуксе с samba, или спец решения для создания образов и инкрементных копий типа AOMEI Backupper и от Acronis, но нет чего-то очевидного типа robocopy с серверной частью? :-)

[Петровский]

illusionD, почему сервер, можно бинарник через ssh запускать

[Максим Гришин]

Ziptar, да, FreeFileSync. У меня он наотрез отказался работать как служба, может дело в том, что именно эта функция у него требует лицензии или чего там.

[Ziptar]

Максим Гришин, как служба он и не работает, а вот через шедулер вполне. Там отдельный функционал и отдельный экзешник для работы в качестве batch job. Интерактивный вход пользователя для исполнения не требуется, проверено.

Answer 1

[Freeman]

Потыкался сейчас по-быстрому — похоже, да, сервера для rsync сплошь платные. Видимо, это и остановило меня в свое время.

Зато вовремя вспомнил про BitTorrent Sync. Про него даже на Хабре было написано, как оказалось. Сейчас он поменял название и хочет регистрацию, но сама лицензия вроде бы бесплатна. Сам не щупал, не до этого пока. Но уже задумался.

Answer 2

[Евгений Хлебников]

syncthing попробуйте
С однонаправленным копированием
для пущей безопасности можно запретить всей конструкции доступ у интернет и поднять собственный приватный релей
Хоть я и не понимаю проблематики создать локального кастрированного пользователя с доступом только к папке бекапов на сервере 1 и забирать все через подключенную шару скриптом с сервера 2

Comments

[illusionD]

Проблема в том, что когда ломают пароль администратора, ломают всё. Кейлоггер ли.
Нужно чтобы пользователь с админскими правами в домене не повредил копию копий, не добрался до второго сервера бэкапов.

[Евгений Хлебников]

illusionD,
пользователь без прав существует на сервере 1, находящемся в домене

взломан домен -> взломан сервер 1 -> взломан ограниченный пользователь
но ничего из этого не имеет доступ к вашему серверу 2: ограниченный пользователь используется только со стороны сервера 2 для подключения к папке на сервере 1 и выкачивания бэкапов (возможно зараженных или поврежденных но тут безопасность данных зависит от того как вы организовали схему бэкапов)

взломан сервер 2 -> получены учетные данные ограниченного пользователя
Тоже тупик, они не дают никаких привилегий для взлома доменных пк - при правильной настройке ограниченный пользователь не может делать ровно ничего

Syncthing для вашей задачи - оверкилл, я вообще его использую для синхронизации библиотек на телефоне, NAS и ПК (музыка, фильмы, фото, книги) через интернет. Но он будет работать в предложенной схеме

[Hohmuch]

А что мешает использовать Veeam backup agent, например?

[illusionD]

Hohmuch, не то чтобы мешает, я просто не знаю про него. Рассмотрю такой вариант, спасибо)
Мне просто больше нравятся консольные варианты и скрипты. Они не подводят, и обычно более гибкие. Часто бесплатные. Хотя этот инструмент тоже бесплатный.

[Hohmuch]

Для Linux версию можно использовать, если консоль больше нравится.
А вообще если хочется защитить бекапы, то лучше платные версии использовать.
Киберпротект, например, неплох. В нем защита от шифрования есть.