samvanratt
Goto Top

LUN Umzug Windows Server 1 zu 2: NTFS Lokale Gruppen nutzen und umziehen

Hallo zusammen
aufgrund eines Serverdefekts muss ich einen Server dringend umziehen. Die LUNs und alle Daten kleben via SAN dran; Umzug also technisch erst einmal harmlos. Leider verwende ich bis dato Lokalgruppen. Diese sind bereits auf dem Server 2 (gleichnamig) vorhanden. Da es eine recht umfangreiche (35Mio Dateien auf 70TB) Sammlung und Rechtstruktur (350 Gruppen) intus hat, ist ein simples xcacls vererben eine ungehbare Aufgabe. Das MS Fileserver Migration Tool benötigt leider ein weiteres gleich großes LUN (90TB was es jetzt gesamt hat) liegen nicht mal so rum und der Speed via 1GBit ist lächerlich bei der Menge. Ein Backup Recovery Worst Case Szenario wollte ich vermeiden (Zeitfenster).

SetACL kann zwar schön Gruppen mit Namen exportieren, leider geht der Import dann laut Doku damit nicht. Ein Export+Import mit SDDL geht, hat aber verständlicherweise dann die falsche ID gesetzt (was ja nichts bringt da diese ID ja schon da ist). 350 SIDs dann im Exportscript ändern ist auch letzte Wahl. AD Gruppen kann ich leider nicht anlegen/nutzen.

Einfälle?

Server 1 ist 2008R2 und Server 2 2012R2

Gruß
Sam

Content-Key: 300605

Url: https://administrator.de/contentid/300605

Ausgedruckt am: 29.03.2024 um 11:03 Uhr

Mitglied: emeriks
Lösung emeriks 02.04.2016 aktualisiert um 19:05:25 Uhr
Goto Top
Hi,
wenn Die LUN am anderen Server hängt, dann werden in den ACL die Einträge für die lokalen Gruppen des alten Servers als SID angezeigt. Diese kannst Du z.B. mit subinacl ersetzen lassen durch die neuen Gruppen/SID. Aber auch hier wird das aufgrund der Masse der Dateien und Ordner ne Weile dauern.

E.

Edit: Wenn die LUN flott genug ist, dann kannst Du mehrere dieser Ersetzungen parallel laufen lassen.
Mitglied: SamvanRatt
SamvanRatt 04.04.2016 um 13:10:43 Uhr
Goto Top
Hallo Emeriks
das Programm ist mir neu, habe aber keine Anleitung gefunden was SIDs (sondern nur dom+Gruppennamen) zuläßt. Das es nur bis 2003 zugelassen ist stimmt mich unruhig, vor allem da wir Syswow64 auf allen Servern deaktiviert haben und damit ein Zwischenhost hermuss (HyperV VM evtl).
Dank der gut 25k IOPS die das System kann, geht das schon recht flott. Die Masse machts natürlich wieder relativ. Ich habe auch schon angefangen an einem icacls Batch zu arbeiten und dies gestaggert dann durchzulaufen. Das dauert aber durch den vielfachen Zugriff (Baumstruktur mit typ. RFC Gruppen also 120 Mal) ein vielfaches gegen setacl mit einem Durchlauf im Search & Replace Modus. Subincl macht auch nur eine SID/Gruppe in einem Durchlauf wie ich so kurz gesehen habe.
Gruß
Sam
Mitglied: emeriks
Lösung emeriks 04.04.2016 aktualisiert um 13:22:55 Uhr
Goto Top
Du kannst damit aber
  1. exportieren
  2. Export bearbeiten (suchen/ersetzen)
  3. Export wieder importieren

Export
subinacl /noverbose /outputlog=y:\ACL.txt /subdirectories x:\*.* /display

Import
subinacl /playfile y:\ACL.txt

Sollte so gehen.

E.
Mitglied: SamvanRatt
SamvanRatt 05.04.2016 um 13:25:05 Uhr
Goto Top
Hallo Emeriks
auch wenn ich (fehlende 64 Bit Fähigkeit) sehr skeptisch bin, erfüllt das Tool in meinen Tests alles was ich brauche und mir von Setacl versprochen habe (Lesbare Infos und da wir keine Einzelberechtigungen auf Dateien Ordnern führen): super lesbar; einfach zu editieren.
Ich habe vorhin einen Antrag gestellt Syswow64 auf dem System temporär einsetzen zu dürfen da eine VM ja die falsche Identität haben würde und damit nur das (Zukunfts) Original das machen kann.

DANKE!

Das werde ich zwar wohl nur einmal im Leben brauchen und ReFS wird es wohl nicht wirklich können (von den Baudaten sieht es ja aus das es 2001 geplant & umgesetzt wurde). Den Rest (64Bit FUnktionen) wird man ja mit setacl machen....was ich auch noch nicht mit ReFS getestet habe.

Gruß
Sam