Политика Майкрософт для дублирования дисков для установок Windows

В этой статье описываются ИД безопасности и поддерживаемые методы клонирования или дублирования установки Windows.

Исходная версия продукта: Windows 10 версии 2004, Windows 10 версии 1909, Windows 10 версии 1903, Windows 10 версии 1809, Windows 7 Пакет обновления 1, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2
Исходный номер КБ: 314828

Аннотация

При развертывании дубликата или образа установки Windows необходимо использовать средство подготовки системы (Sysprep) перед захватом образа. Sysprep подготавливает установку Microsoft Windows для дублирования, аудита и доставки клиентов. Для Windows 2000, Windows XP и Windows Server 2003 Sysprep входит в пакет обновления Deploy.cab. Для более поздних версий Windows Sysprep входит в состав операционной системы, а Sysprep находится в папке: %windir%\system32\sysprep .

Дополнительные сведения

Sysprep отвечает за удаление данных системы из Windows, таких как SID компьютера. Во время установки Windows sid компьютера вычисляется так, чтобы он содержал статистически уникальное 96-битное число. ИД безопасности компьютера — это префикс ИД БЕЗОПАСНОСТИ учетной записи пользователя и группы, созданных на компьютере. ИД безопасности компьютера объединяется с относительным идентификатором (RID) учетной записи для создания уникального идентификатора учетной записи.

В следующем примере отображаются ИД безопасности для четырех локальных учетных записей пользователей. При добавлении новых учетных записей добавляются только последние четыре цифры.

HKEY_USERS на локальном компьютере

S-1-5-21-191058668-193157475-1542849698-500 Administrator S-1-5-21-191058668-193157475-1542849698-1000 User 1a-Sa 1-5-21-191058668-193157475-1542849698-1001 User 2 S-1-5-21-191058668-193157475-1542849698-1002 User 3

Клонирование или дублирование установки без принятия рекомендуемых действий может привести к дублированию ИД безопасности. Для съемных носителю дубликат SID может предоставить учетной записи доступ к файлам, даже если разрешения NTFS для учетной записи специально запретить доступ к этим файлам. Так как sid идентифицирует компьютер или домен и пользователя, для поддержки текущих и будущих программ необходимы уникальные идентификаторы БЕЗОПАСНОСТИ. Дополнительные сведения о проблемах, которые могут возникнуть при клонировании установки Windows 8 или Windows Server 2012, можно найти в разделе Windows 8 и Windows Server 2012.

Помимо sid компьютера, многие другие компоненты и компоненты должны быть очищены, обобщены или специализированы для образа. Вот некоторые примеры:

• Журналы событий
• Параметры сети
• Параметры игрока Windows Media
• Параметры оболочки
• Лицензирование

Это не полный список.

Мы поддерживаем следующие операционные системы, которые подготовлены с помощью совместицы Sysprep, а затем с изображением:

• Windows NT Workstation 4.0
• Windows NT Server 4.0 (автономный сервер, а не основные контроллеры домена или резервные контроллеры домена)
• Windows 2000 Professional
• Windows 2000 Server (необходимо сделать изображение перед запуском DCPromo)
• Windows 2000 Advanced Server
• Windows XP Home Edition
• Windows XP Professional
• Windows Server 2003, Standard Edition;
• Windows Server 2003, Datacenter Edition;
• Windows Server 2003, Enterprise Edition;
• Windows Server 2003, Web Edition.
• Все версии Windows Vista
• Все версии Windows Server 2008
• Все версии Windows 7
• Все версии Windows Server 2008 R2
• Все версии Windows 8
• Все версии Windows Server 2012
• Все версии Windows 10
• Все версии Windows Server 2016
• Все версии Windows Server 2019
• Все версии Windows Server 1903
• Все версии Windows Server версии 1909

Мы не предоставляем поддержку компьютеров, которые настроены с помощью дубликатов SID, кроме средства подготовки системы. Например, это включает следующее:

Контактные данные сторонних организаций предоставлены в этой статье с целью помочь пользователям получить необходимую техническую поддержку. Эти данные могут быть изменены без предварительного уведомления. Корпорация Майкрософт не дает гарантий относительно правильности приведенных контактных данных сторонних производителей.

Если образ был создан без использования Sysprep, мы не поддерживаем выполнение Sysprep после развертывания образа для обеспечения соответствия требованиям. Перед захватом изображения необходимо запустить Sysprep.

Windows 8 и Windows Server 2012

Если вы клонировали образ Windows 8 или виртуальную машину windows Server 2012 без запуска, P2V и не могли поддерживать физический компьютер в работе или создавать резервную копию компьютера, но при этом на исходном компьютере могут возникнуть проблемы, из-за которых push-уведомления не sysprep.exe /generalize работают. Например, могут возникнуть следующие проблемы:

• Уведомления плиток, индикаторов событий и всплывающие уведомления не обновляются, даже если доступно подключение к Интернету.
• Приложения, которые используют необработанные уведомления, работают не так, как ожидалось. Например, вы заметили существенное снижение функциональности почты, календаря и обмена сообщениями.
• Синхронизация изменений параметров безопасности в роуминге и семейных условиях занимает много времени. Чтобы устранить эти проблемы, используйте один из следующих методов:
• Настройте компьютеры с помощью команды Sysprep /generalize, а затем развернем образ.
• Замените существующую учетную запись пользователя новой учетной записью. Идентификатор устройства хранится как часть профиля пользователя. Каждая новая учетная запись NTUser, добавляемая на компьютер, получает новый идентификатор.

Ссылки

Дополнительные сведения о средстве подготовки системы Windows можно получить на следующих веб-сайтах Майкрософт:

В этой статье упомянуты программные продукты независимых производителей. Корпорация Майкрософт не дает никаких гарантий, подразумеваемых и прочих, относительно производительности и надежности этих продуктов.

Клонирование виртуального контролера домена в Windows Server 2012

Одной из стратегических целей, которую преследует Microsoft в своих последних продуктах – виртуализация всего, что только возможно, что является естественным требованиям для тотальной миграции в облака. Специально для этого, в новых версиях Hyper-V и Active Directory, которые выходят в составе новой серверной ОС Windows Server 2012, был введен ряд существенных улучшений и дополнений. Например, Microsoft сообщает о том, что теперь в виртуальной машине Hyper-V можно запускать даже высоконагруженные сервера SQL. Кроме того Microsoft наконец-то реализовало возможность создавать полноценные виртуальные контроллеры домена.

Если вы помните, в Windows Server 2008 R2 существовали следующие проблемы с виртуализацией контроллеров домена Active Directory:

• Нельзя создавать снапшот виртуального контроллера домена (если быть боле точным снапшот создать можно, но смысла это не имеет)
• Виртуальный DC нельзя клонировать
• Невозможна онлайн миграция V2V контроллера также
• Восстановление виртуального DC средствами гипервизора невозможно
• Для работы кластера Windows Server 2008 R2 требуется физический контроллер домена

Большинство из этих проблем связано с работой механизма USN (update sequence numbers). Вкратце напомним, в чем же была загвоздка. Для отслеживания обновлений между партнерами по репликации в лесу Active Directory используются идентификаторы USN. С помощью USN и ID вызова любой контроллер домена однозначно определяет, когда нужно принять и применить изменения в AD от партнеров по репликации, а когда переслать свои изменения. С помощью этого механизма обеспечивается непротиворечивость и актуальность базы AD.

В том случае если создать снапшот виртуального контроллера домена, а потом восстановить сервер из него, то мы получим контроллер домена с устаревшим USN. В результате, изменения на таком контроллере не реплицируются на другие сервера в лесу, т.к. партнеры по репликации считают, что их копия базы Active Directory актуальна. В итого это может привести к проблемам несоответствия паролей, противоречивым значениям атрибутов и т.д.

В Windows Server 2012 контролеры домена теперь можно виртуализовать и работать с ними точно также, как с любой другой виртуальной машиной (можно делать снапшоты, клонировать DC и т.д.).

Данный функционал основывается на новой функции в Windows Server 2012 под названием VM-GenerationID. На данный момент эта функция поддерживается только в гипервизоре Hyper-V, но Microsoft рекомендует и другим производителям платформ виртуализации интегрировать данную функцию (в частности VMware уже заявила о поддержке технологии в следующей версии VSphere).

VM-Generation ID является функцией гипервизора и генерируется им при клонировании и или создании снапшота контроллера домена. VM-Generation ID представляет собой уникальный 128 битный идентификатор, который доступен приложениям через драйвер Windows Server 2012. Контроллер домена хранит значение VM-Generation ID в нереплицируемом атрибуте базы Active Directory. И перед применением изменений в базу Active Directory, контроллер домена сравнивает значение VM-Generation ID в своей базе AD со значением, полученным от гипервизора через драйвер Windows Server 2012. Если значения отличаются, осуществляется сброс параметров invocation ID и аннулирование RID. Таким образом контроллер домена определяет, что применен снапшот или контроллер домена клонирован, и актуализирует свою базу в соответствии с другими контроллерами домена AD.

Как клонировать виртуальный контроллер домена

Подготовка к клонированию DC

• Требуется сервер Windows Server 2012 с ролью Hyper-V (вероятно, в будущем и другие гипервизоры будут поддерживать VM-GenerationID)
• Установленный контроллер домена на Windows Server 2012 (физический или виртуальный) с ролью PDC. Найти сервер с ролью PDC можно с помощью команды:
• Виртуальный контроллер домена с ОС Windows Server 2012 (не PDC), развернутый на сервере Windows Server 2012 Hyper-V server. Это тот самый контроллер домена.. который мы будем клонировать (пусть он будет называться VirtualDC1).

Чтобы контроллер домена можно было клонировать, его нужно добавить в группу Cloneable Domain Controllers. Сделать это можно с помощью консоли Active Directory Users and Computers, панели управления Active Directory Administrative Center или же команды PowerShell.

Команда PowerShell будет выглядеть так:

На исходном контролере домена (VirtualDC1) запустим команду New-ADDCCloneConfigFile , с помощью которой настраиваются IP адрес и имя нового виртуального контролера домена (клона). Пусть это будет VirtualDC2.

Примечание: в данном случае новый контроллер домена будет находится в этом же сайте. Более подробно о других параметрах клонирования можно прочитать на TechNet-е ).

После этого из графического GUI Hyper-V Manager запускаем импорт виртуальной машины, выбрав в качестве параметра опцию Copy the virtual machine (create a new unique ID).

После окончания импорта переименуем виртуальную машину в VirtualDC2 и запустим ее. После ее загрузка запуститься процедура клонирования и через несколько мгновений в вашей сети появится новый виртуальный контроллер домена.

How to Clone Windows Server 2012 (R2) to SSD or HDD?

To clone Windows Server 2012 (R2) hard drive to SSD or HDD, you can get detailed steps from this post.

By Cherry / Last Updated April 2, 2021

Scenario

How to clone Windows Server 2012?

I have a Windows Server 2012 Machine with 1 physical hard drive. I worked with it well. But recently, I found there is nearly no free space on the hard drive. I’m planing to switch my hard drive to a larger one, how can I switch the hard drive while keeping the old Server 2012 and other data?”

— Question from microsoft.com

How to solve the question in the Scenario?

To solve the problem in the Scenario, here provides you two ways: 1>. You can migrate OS to HDD/SSD only and left the hard drive as the data storage drive. This way, you do not need to spend large money to purchase a big drive. 2>. If you do not care about how much you will spend, you can upgrade hard drive to a larger HDD/SSD, and migrate all data from the old hard drive to the new HDD/SSD.

Actually, there are many other things that you can solve through cloning Windows Server 2012. For example, cloning Windows Server 2012 to another hard drive can protect data loss. Thus, when it fails, you’ll just swap it with the latest clone. Well, how to clone Windows Server 2012 (R2) disk to another HDD/SSD?

The cloning software for Windows Server 2012 (R2)

Speaking of cloning Windows Server 2012, you may need Server cloning software. The AOMEI Partition Assistant Server should be the greatest one. It allows you to copy Windows Server 2012 (R2) disk to another HDD/SSD with a few simple steps.

With this software, you can clone your Windows Server 2012 (R2) flexibly.В В No matter the entire Windows Server 2012 hard drive, or a specific partition, it will operate well. Even if you only want to migrate OS to SSD/HDD, you can use its Migrate OS to SSD function.

Steps to clone Windows Server 2012 (R2) to another HDD/SSD

Next, you can download the demo version and follow the steps below to clone the entire Windows Server disk to another HDD or SSD.

Preparations:

в–Є A hard drive that is larger than the original hard drive on your Windows Server 2012 (R2) machine. If you only want to clone a part of data to the new hard drive, the drive should be as large enough to store the data. Connect the hard drive to the machine and make sure it can be detected.

в–Є Install AOMEI Partition Assistant Server on your Windows Server machine. You can also download AOMEI Partition Assistant Lite, the free edition for Windows Server users to copy hard drive and to do other jobs.

After all the preparations, you can start to copy the old disk on Windows Server 2012 (R).

Step 1. Launch AOMEI Partition Assistant Server. It will show you the basic environment of your hard drives on your machine. Here, right click on the Server disk and choose «Clone Disk«.

Step 2. Here you can select the way to clone Windows Server 2012 (R2) disk, *Clone Disk Quickly» or «Sector-by-Sector Clone«.

вњЌNote:

* Clone Disk Quickly is highly recommended because it only clone the used space on the source disk, which means it allows you to clone disk to smaller drive, and it allows you to edit partition size as you like

*The Sector-by-Sector Clone would clone every byte on the source disk no matter it used or not. Thus, you do not be allowed to adjust the partitions’ size during cloning. Plus, it will take more times and need larger target disk.

Step 3. Then, you need to choose the hard drive you prepared before as the destination drive. If you are cloning to an SSD, here you should check the option “Optimize the performance of SSD”, which help you clone hard drive to SSD alignment .

Step 4. Here you can edit partitions. Or you can resize Windows Server 2012 partition with AOMEI Partition Assistant Server after clone.

Step 5. It will show you a Note about how to boot from the cloned drive after cloning. Read it and remember it. Click Finish.

Step 6. You will back to the main interface, click Apply to submit the whole progress.

This progress will execute under PreOS mode. When it finish, you can change the boot order to boot from the new drive. Or you can switch the old drive out with the new drive, and boot from it directly.

Conclusion

Clone Windows Server 2012 (R2) disk with AOMEI Partition Assistant Server seems a very easy thing. Actually, it does a really good job on this task. Besides Disk Clone, it also provides you Partition Clone, which you can clone a specific partition instead of the whole partition.

If you only want to move OS to a new hard drive, its Migrate OS to SSD function will achieve that goal. It should be the greatest server cloning software that meet your multiple requirements. What’s more, it is also a partition magic for Windows Server 2012, and Windows Server 2003, 2008, 2016, 2019. In a word, it is worth to use.