Сайт ARNY.RU

Ситуация 1. Переносим профили на другой сервер.

Можно сделать через групповые политики и перемещаемые профили, но проще всего перенести ветку реестра:

и папки пользователей копированием.

Ситуация 2. Переносим профили на другой диск.

Зачем это надо? Для терминального сервера. За несколько лет размер занятого пространства диска C:\ (загрузочного раздела) может вырасти до сотен гигабайт и возникнут проблемы с резервным копированием, как это получилось у меня. Расчищая диск C:\ сразу увидел, что профили занимают больше 100GB. И квоты в общем-то тут не решат ситуацию, если квоты вообще допустимы для данной организации. Если пользователи работают с тонких клиентов и терминальный сервер получается единственным местом для хранения их информации, то объём этой информации будет расти и расти.

Кроме этого перенос профилей логически обоснован — для файлов профилей нужно индексирование поиска и теневые копии, для системных файлов индексирование не нужно, теневые копии.. даже не могу представить в какой ситуации это может быть востребовано. Для папок профилей бекап желателен, для загрузочного раздела — бекап необходим и большой суммарный объём профилей на этом же разделе сильно мешает, как уже говорил выше.

Первый вариант

Если система только-только установлена меняем значение ProfilesDirectory — «%SystemDrive%\Users» на новое расположение, в ветке реестра:

профиль Администратора останется на старом месте, новые уже будут созданы по новому пути. Этого вполне достаточно. Однако при таком методе возможны проблемы при обновлении системы в дальнейшем.

Второй вариант

Другой вариант когда система относительно свежая, но уже есть пользователи и программы. В этом случае некоторые программы, например MS Office, прописали абсолютные пути к профилям на диске C:\. Тогда лучше переместить все профили скриптом и создать символическую ссылку папки Users на новое месторасположение, загрузившись с установочного диска в командную строку:

если в указании пути будет пробел, то нужно заключить путь в кавычки. Можно дополнить ключом перезагрузки:

и пойти пить чай.

В реестре при этом менять ничего не надо и в этом большой плюс этого метода — система «думает», что все по прежнему на диске C:/ и корректно работает через символическую ссылку. Проверить можно набив путь к профилю пользователя как C:\Users\»какой-то пользователь» и откроется он именно как C:\Users. , а не как D:\Users. . (при переносе на D).

Установка разрешений

После переноса папок профилей для каждой из них нужно обязательно отключить наследование разрешений и поменять разрешения безопасности на следующие:

1. System — Полный доступ;
2. Administrators — Полный доступ;
3. Учётка пользователя — Полный доступ;
4. Больше ничего быть не должно.

Для самой папки Users разрешения следующие:

1. System — Полный доступ;
2. Administrators — Полный доступ;
3. Users — Чтение/Выполнение;
4. Все — Чтение/Выполнение.

То есть для корректной работы системы все разрешения в новом расположении должны соответствовать разрешениям, какие были на диске C:\. Это важно.

Если же система довольно старая, профили по несколько гигабайт, пользоваться скриптом не рекомендую, лучше делать руками и не копировать, а перемещать, контролируя начальный размер папки профиля и размер перенесенного. В этом случае, это понятно и очевидно, ссылку для всей папки C:/Users создать нельзя, так как в ней есть открытые файлы нашего текущего профиля. Профили переносятся отдельно. Ссылка создаётся для каждого профиля отдельно. Свой профиль либо можно оставить и не переносить, либо перенести, временно создав второго админа. Создать, залогиниться под ним, перенести свой профиль, создать ссылку, установить разрешения, разлогиниться, зайти под собой, убить второго админа.

Одно замечание — при создании символических ссылок сразу проверяйте их работоспособность. Особенно когда ссылок создается сразу много.

Решение проблем

Возможные проблемы при копировании/переносе заключается в отсутствии доступа к какому-либо файлу:

1. Нет прав на каталог;
2. Блокировка файла процессом;
3. Невозможность удаления файла.

Если нет прав на каталог, тогда нужно стать владельцем контейнера и входящих в него объектов:

затем добавить себе полные права на контейнер и заменить наследуемые разрешения для потомков. После этого можно переносить/удалять.

Если блокировка процессом, тогда рекомендую программу Unlocker — много вирусов под видом этой программы, поэтому предлагаю скачать с моего Google Drive (версия 1.9.2).

Невозможность удаления файла проявляется в основном файлами нулевого размера с точкой в конце имени файла. При попытке удаления появляется ошибка:

В этой ситуации отлично помогает Far Manager, находите файл и нажимаете Alt-Del, затем кнопку «Wipe».

Все изложенное опробовано в «боевых условиях» продакшена. Пока «полет нормальный», если возникнет ещё что-то, тогда напишу дополнение.

Дополнение от 14.06.2016

Оказалось, что если диск с символической ссылкой, созданной с ключом /D, открыт как сетевой на другом компьютере, то переход по данной ссылке заканчивается ошибкой: — «Символическая ссылка не может быть загружена, так как её тип отключен». Для устранения данной ошибки ссылку нужно пересоздать с ключом /J (junction).

Дополнение от 15.06.2016

Папка Users на диске C:/ была заменена символической ссылкой на другой диск, при этом в реестре ничего не менялось. Обновление с Windows 2008 до 2008 R2 прошло успешно. Установка заменила символическую ссылку на папку и создала в ней дефолтные профили всех пользователей. После установки удалил данную папку и пересоздал ссылку.

Перенос файлов с локального компьютера на VDS под управлением Windows Server

Каждый пользователь виртуальной машины сталкивается с необходимостью переноса данных с физической машины на виртуальную и наоборот. Сегодня мы рассмотрим один нестандартный способ.

Способы переноса данных

Перенести данные можно разными способами. Например, можно отправить их в облако (благо, бесплатных облачных хранилищ предостаточно), а потом загрузить на виртуальную машину. Можно развернуть на виртуальной машине , как это было показано в прошлой статье. А можно использовать нестандартный способ, передачу файлов по RDP.

Первый способ (облачные хранилища) подойдет тем, у кого размер файлов не превышает общего объема облака. Хорош он еще тем, что у вас будет резервная копия ваших данных, что весьма полезно.

Второй способ (FTP) скучен и не интересен. Согласитесь, использовать протокол передачи файлов для передачи файлов — совсем тривиально. К тому же вам придется устанавливать на сервер дополнительное ПО (), чего вы явно не планировали.

А вот третий способ интересен тем, что о нем знают немногие и он позволяет передать файлы на виртуальный сервер без необходимости установки на него дополнительного программного обеспечения.

Изменение параметров

Щелкните правой кнопкой мыши на подключения и выберите команду Изменить. Если вы не сохраняли в файле, запустите приложение Подключение к удаленному рабочему столу и нажмите ссылку Показать параметры. Окно должно выглядеть так, как показано на рис. 1.

Шпаргалки Админа

Тут я буду публиковать различные полезные заметки и хаки про
Oracle Hyperion/Weblogic/OHS/WinX/Cygwin/Bash/Linux
А так же способы автоматизации повседневных задач системного администратора.

P.S: Прошу отключить AdBlock на моем блоге или добавить адрес сайта в белый список.

пятница, 24 июля 2015 г.

Перенос данных на другой Windows Server c сохранением NTFS прав доступа.

30 пользователей и более 30тыс файлов, с установленными уникальными NTFS разрешениями.
Поиск в интернетах показал, что в Windows нет штатного инструмента для миграции пользователей (с паролями) и правами доступа к файлам.
При создании новых пользователей им назначаются рандомные SID, т.е просто создать пользователя и перетащить директорию с NTFS правами не выйдет, т.к не совпадут SID.
Метод описаный тут — https://technet.microsoft.com/en-us/library/dd379531%28v=ws.10%29.aspx
не подходит, т.к используются разные локали.

Официальный ответ Microsoft:
создать необходимые учетные записи и группы на новом сервере, а уже затем изменить NTFS пермиссии.
т.е они тоже не знают и не имеют нужного инструмента.

В результате поисков нашел утилиту Subinacl.exe и решил немного подправить ее экспорт файл для достижения нужного нам результата:

SubInACL is a command-line tool that enables administrators to obtain security information about files, registry keys, and services, and transfer this information from user to user, from local or global group to group, and from domain to domain.
For example, if a user has moved from one domain (DomainA) to another (DomainB), the administrator can replace DomainA\User with DomainB\User in the security information for the user’s files. This gives the user access to the same files from the new domain.

Создаем на 2008 сервере пользователей, с такими же именами как на 2003.

Устанавливаем на оба сервера утилиту Subinacl, делаем экспорт с 2003 сервера и импорт в 2008.
Для удобства экспорта делаем командный файл:
subinacl /noverbose /output=c:\perm_dir.txt /subdirectories=directoriesonly D:\ftp\*.* > dir.out 2>&1
subinacl /noverbose /output=c:\perm_file.txt /subdirectories=filesonly D:\ftp\*.* > file.out 2>&1

т.е экспортируем список прав на папки и файлы.

Редактируем полученные файлы экспорта.
Делаем поиск с заменой по всему файлу
Администраторы ==> Administrators
Отсутствует ==> None
/pace = my_comp \directory ==> заменяем имя 2003 сервера на имя 2008
+File D:\ ftp\directory ==> f:\ftp\directory (если используется такое же расположение файлов, то ничего не меняем. В ином случае меняем диск и начало пути. Я располагал директорию на другом диске)

Перенос папки профилей пользователей (Users) в ОС Windows server 2008 r2 на этапе установки

Иногда, в меру ряда причин, остро встает задача переноса папки профилей пользователей с системного диска на другой логический или физический диск, например:

1. Необходимость разделения оперативной информации (система) и архивных данных (данные пользователей) обусловленная, к примеру, необходимостью хранения системных файлов на высокоскоростном, но менее надежном массиве дисков RAID0;
2. Отсутствие необходимости дополнительного переноса информации при переустановке ОС.
3. По сравнению с переносом отдельного профиля пользователя перенос папки Users более предпочтителен, поскольку профили всех последующих пользователей компьютера будут также сохранены в нужном месте, и не будет необходимости снова проделывать процедуру переноса.

Одним из наиболее правильным методов осуществления такого переноса является возможность определения месторасположения папки профилей пользователей на этапе установки системы. Такую возможность в отношении Windows server 2008 r2 нам предоставляет Microsoft под названием Audit Mode. Подробнее об этом режиме можно почитать в следующей статье. Единственный нюанс, то, что в статье написано не подходит для сервера, т.к. в нем нет экрана на котором предлагают назвать компьютер и создать пользователя. Хотя на самом деле для серверной версии все оказалось на много проще. И так, потратив некоторое время на поиск решения, появился следующий сценарий.

Теперь собственно о сценарии переноса папки Users:

1. Необходимо создать файл ответов и положить его в корень флешки. Загрузить для х64
2. Перед началом установки нужно правильно установить диски. Определение в системе начинается с порта с меньшим номером. На первый мы устанавливаем ОС, на втором у нас будут находиться папки профилей.
3. Начните установку Windows server 2008 r2, на этапе настройки дисков, отформатируйте оба диска (обязательно оба. ). И укажите установку на первый.
4. После того как началось копирование файлов, подключаем флешку в корне которой лежит файл ответов. ( не знаю почему, но если ее подключить сразу ничего не получается)
5. Дожидаемся окончания установки, входим в систему и видим папки Users и ProgramData на диске который мы указали в файле ответов, в данном случае диск D:\

Для предотвращения ошибок, связанных с явным указанием прежних путей папок профилей пользователей создадим при помощи утилиты mklink две символические ссылки:

mklink /D C:\Users D:\Users
mklink /D C:\ProgramData D:\ProgramData

Так как я собирал сервер на дисках SSD, то решил перенести папку временных файлов то же на диск D, по этому в настройках расположения временных папок я указал путь D:\Temp и создал еще одну ссылку:

mklink /D C:\Temp D:\Temp (в принципе она не обязательна, на всякий случай)

Таким образом теперь даже при обращении по прежним путям любая программа не заметит подмены и будет работать с папками на диске C, хотя фактически они будут расположены в настроенном Вами месторасположении.

Данная статья не подлежит комментированию, поскольку её автор ещё не является полноправным участником сообщества. Вы сможете связаться с автором только после того, как он получит приглашение от кого-либо из участников сообщества. До этого момента его username будет скрыт псевдонимом.

Перенос параметров и данных на целевой сервер для миграции на Windows Server Essentials Move settings and data to the Destination Server for Windows Server Essentials migration

Область применения: Windows Server 2016 Essentials, Windows Server 2012 R2 Essentials, Windows Server 2012 Essentials Applies To: Windows Server 2016 Essentials, Windows Server 2012 R2 Essentials, Windows Server 2012 Essentials

Перенесите параметры и данные на целевой сервер следующим образом: Move settings and data to the Destination Server as follows:

Копирование данных на целевой сервер Copy data to the Destination Server

Перед копированием данных с исходного сервера на целевой сервер выполните следующие действия. Before you copy data from the Source Server to the Destination Server, perform the following tasks:

Просмотрите список общих папок на исходном сервере, включая разрешения для каждой папки. Review the list of shared folders on the Source Server, including permissions for each folder. Создайте или настройте папки на целевом сервере в соответствии со структурой папок, которую вы перемещаете с исходного сервера. Create or customize the folders on the Destination Server to match the folder structure that you are migrating from the Source Server.

Проверьте размер каждой папки и убедитесь, что целевой сервер имеет достаточно свободного места. Review the size of each folder and ensure that the Destination Server has enough storage space.

Сделайте общие папки на исходном сервере доступными только для чтения для всех пользователей, чтобы при копировании файлов на целевой сервер операции записи не выполнялись и не занимали место на диске. Make the shared folders on the Source Server Read-only for all users so no writing can take place on the drive while you are copying files to the Destination Server.

Копирование данных с исходного сервера на целевой сервер To copy data from the Source Server to the Destination Server

Войдите на целевой сервер с правами администратора домена, а затем откройте окно командной строки. Log on to the Destination Server as a domain administrator, and then open a command window.

В командной строке введите следующую команду и нажмите клавишу ВВОД: At the command prompt, type the following command, and then press ENTER:

robocopy \\ \ \\ \ /E /B /COPY:DATSOU /LOG:C:\Copyresults.txt

• — имя исходного сервера is the name of the Source Server
• — имя общей папки на исходном сервере is the name of the shared folder on the Source Server
• имя целевого сервера, is the name of the Destination Server,
• — Это общая папка на целевом сервере, куда будут копироваться данные. is the shared folder on the Destination Server to which the data will be copied.

1. Повторите предыдущую операцию для каждой общей папки, которую вы перемещаете с исходного сервера. Repeat the previous step for each shared folder that you are migrating from the Source Server.

Настройка сети Configure the network

После переноса роли DHCP на маршрутизатор настройте параметры сети на целевом сервере. After you move the DHCP role to the router, configure the network settings on the Destination Server.

Для настройки сети To configure the network

На целевом сервере откройте панель мониторинга. On the Destination Server, open the Dashboard.

На панели мониторинга на начальной странице щелкните Настройка, затем Настройка повсеместного доступа и установите флажок Щелкните, чтобы настроить повсеместный доступ. On the Dashboard Home page, click SETUP, click Set up Anywhere Access, and then choose the Click to configure Anywhere Access option.

Выполните инструкции в мастере для настройки маршрутизатора и доменных имен. Complete the instructions in the wizard to configure your router and domain names.

Если ваш маршрутизатор не поддерживает инфраструктуру UPnP, или если инфраструктура UPnP отключена, то рядом с именем маршрутизатора может появиться желтый значок предупреждения. If your router does not support the UPnP framework, or if the UPnP framework is disabled, a yellow warning icon may appear next to the router name. Убедитесь, что открыты следующие порты, и что они будут направляться на IP-адрес целевого сервера. Ensure that the following ports are open and that they are directed to the IP address of the Destination Server:

Порт 80: веб-трафик HTTP Port 80: HTTP Web traffic

Порт 443: веб-трафик HTTPS Port 443: HTTPS Web traffic

Сопоставление разрешенных компьютеров с учетными записями пользователей Map permitted computers to user accounts

Каждая учетная запись пользователя, которая переносится с исходного сервера, должна быть сопоставлена с одним или несколькими компьютерами. Each user account that is migrated from the Source Server must be mapped to one or more computers.

Сопоставление учетных записей и компьютеров To map user accounts to computers

Откройте панель мониторинга Windows Server Essentials. Open the Windows Server Essentials Dashboard.

На панели навигации щелкните Пользователи. In the navigation bar, click Users.

В списке учетных записей пользователей щелкните правой кнопкой мыши учетную запись пользователя и нажмите кнопку Просмотреть свойства учетной записи. In the list of user accounts, right-click a user account, and then click View the account properties.

Перейдите на вкладку Повсеместный доступ, а затем установите флажок Разрешить удаленный веб-доступ и доступ к веб-приложениям служб. Click the Anywhere Access tab, and then click Allow Remote Web Access and access to web services applications..

Выберите Общие папки, затем Компьютеры, затем Ссылки главной страницы и нажмите кнопку Применить. Select Shared Folders, select Computers, select Homepage links, and then click Apply.

Перейдите на вкладку Доступ к компьютеру, а затем щелкните имя компьютера, доступ к которому вы хотите разрешить. Click the Computer access tab, and then click the name of the computer to which you want to allow access.

Повторите шаги 3, 4, 5 и 6 для каждой учетной записи пользователя. Repeat steps 3, 4, 5, and 6 for each user account.

Конфигурацию клиентского компьютера изменять не нужно. You do not need to change the configuration of the client computer. Она настраивается автоматически. It is configured automatically.

По окончании процесса миграции, если при создании первой новой учетной записи пользователя на целевом сервере появится проблема, удалите добавленную учетную запись пользователя, а затем создайте ее снова. After you complete the migration, if you encounter an issue when you create the first new user account on the Destination Server, remove the user account that you added, and then create it again.