Cómo migrar Windows 11 a una VM en Proxmox y evitar fallos de restore con Veeam

Problema

En entornos de homelab o pequeñas oficinas es frecuente usar Windows 11 como máquina de uso diario y confiar en Veeam Agent o Synology Active Backup para proteger los datos. Cuando el agente intenta restaurar un backup a través de un recurso SMB alojado en un NAS, el proceso puede fallar con mensajes como “authentication failed – see inner exception”. El error obliga a reinstalar el sistema desde cero, lo que implica tiempo de inactividad y pérdida de configuraciones.

El dilema típico es decidir si seguir con un restore bare‑metal (hardware físico) o migrar el escritorio a una VM dentro de Proxmox y aprovechar Proxmox Backup Server (PBS), que ha demostrado ser más fiable en pruebas de restauración. La pregunta central es: ¿cuándo vale la pena virtualizar Windows 11 y qué trampas hay que evitar?

Causa

Los fallos de restore con Veeam sobre SMB suelen deberse a una combinación de factores:

1. Credenciales y contexto de seguridad

   • Veeam Agent ejecuta la restauración bajo la cuenta del sistema; si el recurso SMB requiere autenticación de dominio o credenciales explícitas, el agente no las propaga y el servidor NAS rechaza la conexión.
   • Políticas de SMB signing o versiones de protocolo (SMB 1 vs SMB 3) pueden bloquear la negociación.

2. Configuración de red en el host físico

   • Interfaces con VLAN aisladas o firewalls locales que filtran puertos 445/139 impiden que el agente alcance el NAS.
   • Cambios de IP o DNS después de una actualización de Windows pueden romper la resolución del nombre del NAS.

3. Limitaciones del agente Veeam en bare‑metal

   • El agente necesita controladores de disco compatibles con el hardware. En mini‑PCs como el GMKTech M6 Ultra, el controlador de almacenamiento NVMe puede no estar incluido en la imagen de recuperación, provocando errores de acceso al disco destino.

4. Incompatibilidades de firmware/UEFI

   • Algunas versiones de firmware desactivan el arranque seguro o cambian la tabla de particiones, lo que confunde al entorno de recuperación y genera errores de autenticación indirectos.

5. Problemas de permisos en el NAS

   • El usuario configurado en el share puede tener solo permisos de lectura; Veeam necesita escritura para crear archivos temporales durante la restauración.

En contraste, una VM en Proxmox elimina gran parte de la capa física: el disco virtual siempre está bajo control del hipervisor, los controladores son los provistos por VirtIO, y la red se gestiona mediante puentes Linux que pueden configurarse con reglas de firewall precisas. Además, PBS usa su propio protocolo de backup (PBS‑client) que no depende de SMB, reduciendo la superficie de error.

Solución

1. Preparar el host Proxmox

1. Instala la última ISO de Proxmox VE en el mini‑PC.
2. Configura el disco local como ZFS o LVM‑thin según la política de snapshots que prefieras.
3. Crea un puente (vmbr0) conectado a la red que tenga acceso al NAS Synology.

2. Crear la VM de Windows 11

1. En la GUI de Proxmox, crea una VM con UEFI y Secure Boot desactivado (Windows 11 lo permite sin Secure Boot si la VM usa la plantilla oficial).
2. Asigna al menos 4 GB de RAM y 2 vCPU; para uso de Office 365 esto es suficiente.
3. Añade un disco VirtIO SCSI de 120 GB (o el tamaño que necesites).
4. Adjunta la ISO de Windows 11 IoT LTSC y arranca la instalación.
5. Durante la instalación, carga los drivers VirtIO (network y storage) desde la ISO de drivers de Fedora.

3. Integrar Proxmox Backup Server

1. Despliega PBS en una VM o contenedor LXC dentro del mismo clúster.
2. En la VM de Windows, instala el PBS client (veeamclient no es necesario).
3. Configura un repositorio PBS y crea un job que haga backup diario del disco virtual (/dev/vda) y de los directorios críticos (C:\Users, C:\ProgramData).
4. Habilita la compresión y deduplicación para ahorrar espacio en el NAS.

4. Configurar Veeam Agent (opcional)

Si prefieres mantener Veeam como capa de backup adicional:

1. Instala Veeam Agent for Microsoft Windows dentro de la VM.
2. En la sección de “Backup destination”, elige SMB share y especifica explícitamente username y password.
3. Fuerza la versión de protocolo a SMB 3.0 (\\nas\backup\veeam).
4. Desmarca la opción “Encrypt backup” si el NAS ya cifra los datos; esto evita conflictos de claves.

5. Probar la restauración

1. Desde PBS, ejecuta un restore test a un disco temporal (/dev/vdb).
2. Verifica que el sistema arranca y que los archivos de usuario están intactos.
3. Si usas Veeam, lanza una restauración de un archivo individual a través del cliente; confirma que la autenticación SMB funciona.

6. Automatizar y documentar

• Programa snapshots de la VM cada 4 h usando qm snapshot.
• Añade un hook script que copie el snapshot a PBS después de cada backup.
• Documenta credenciales y rutas de backup en un repositorio Git privado.

Cuándo aplicar esta solución

Aplicable cuando:

• El equipo físico es un mini‑PC o una workstation sin GPU dedicada y el uso principal es ofimática.
• Se desea reducir el tiempo de recuperación: restaurar un disco virtual es mucho más rápido que reinstalar Windows y volver a aplicar drivers.
• Se cuenta con un NAS Synology o similar y se quiere centralizar los backups en PBS o en el propio NAS.
• Se necesita ejecutar pruebas de restore sin afectar el entorno productivo (las VM permiten clonar y probar).

No recomendable si:

• Se requieren aplicaciones que accedan directamente al hardware (GPU intensiva, dispositivos USB críticos).
• La licencia de Windows 11 no permite la virtualización (algunas versiones OEM están ligadas al hardware).
• El entorno de red es extremadamente restrictivo y no permite puentes de Proxmox o tráfico SMB interno.

Código

# Montar el share SMB del NAS en el host Proxmox (útil para copiar backups manuales)
mount -t cifs //nas-backup/veeam /mnt/veeam \
  -o username=backup_user,password=StrongPass,vers=3.0,iocharset=utf8,sec=ntlmssp

# Crear una VM de Windows 11 con VirtIO y UEFI (CLI de Proxmox)
qm create 101 --name win11 --memory 4096 --cores 2 --net0 virtio,bridge=vmbr0 \
  --scsihw virtio-scsi-pci --ide2 local:iso/Win11_IoT_LTSC.iso,media=cdrom \
  --bootdisk scsi0 --scsi0 local-lvm:vm-101-disk-0,size=120G \
  --efidisk0 local-lvm:vm-101-disk-1,size=128K,efitype=4m

# Añadir un hook script que envíe el snapshot a PBS después del backup
cat > /etc/pve/nodes/$(hostname)/qemu-server/101.hookscript <<'EOF'
#!/bin/bash
if [ "$1" = "post-stop" ]; then
  /usr/bin/pbs-client backup create --repo myrepo --source /dev/vda --comment "snapshot after backup"
fi
EOF
chmod +x /etc/pve/nodes/$(hostname)/qemu-server/101.hookscript

Verificación

1. Arranque limpio – Reinicia la VM y verifica que Windows arranca sin errores de driver.
2. Backup exitoso – Ejecuta el job de PBS y comprueba que el archivo backup.tar aparece en el repositorio.
3. Restore de prueba – Desde la UI de PBS, restaura el backup a un disco temporal y arranca la VM restaurada; confirma que los perfiles de usuario y configuraciones