4
LUN Umzug Windows Server 1 zu 2: NTFS Lokale Gruppen nutzen und umziehen
Hallo zusammen
aufgrund eines Serverdefekts muss ich einen Server dringend umziehen. Die LUNs und alle Daten kleben via SAN dran; Umzug also technisch erst einmal harmlos. Leider verwende ich bis dato Lokalgruppen. Diese sind bereits auf dem Server 2 (gleichnamig) vorhanden. Da es eine recht umfangreiche (35Mio Dateien auf 70TB) Sammlung und Rechtstruktur (350 Gruppen) intus hat, ist ein simples xcacls vererben eine ungehbare Aufgabe. Das MS Fileserver Migration Tool benötigt leider ein weiteres gleich großes LUN (90TB was es jetzt gesamt hat) liegen nicht mal so rum und der Speed via 1GBit ist lächerlich bei der Menge. Ein Backup Recovery Worst Case Szenario wollte ich vermeiden (Zeitfenster).
SetACL kann zwar schön Gruppen mit Namen exportieren, leider geht der Import dann laut Doku damit nicht. Ein Export+Import mit SDDL geht, hat aber verständlicherweise dann die falsche ID gesetzt (was ja nichts bringt da diese ID ja schon da ist). 350 SIDs dann im Exportscript ändern ist auch letzte Wahl. AD Gruppen kann ich leider nicht anlegen/nutzen.
Einfälle?
Server 1 ist 2008R2 und Server 2 2012R2
Gruß
Sam
aufgrund eines Serverdefekts muss ich einen Server dringend umziehen. Die LUNs und alle Daten kleben via SAN dran; Umzug also technisch erst einmal harmlos. Leider verwende ich bis dato Lokalgruppen. Diese sind bereits auf dem Server 2 (gleichnamig) vorhanden. Da es eine recht umfangreiche (35Mio Dateien auf 70TB) Sammlung und Rechtstruktur (350 Gruppen) intus hat, ist ein simples xcacls vererben eine ungehbare Aufgabe. Das MS Fileserver Migration Tool benötigt leider ein weiteres gleich großes LUN (90TB was es jetzt gesamt hat) liegen nicht mal so rum und der Speed via 1GBit ist lächerlich bei der Menge. Ein Backup Recovery Worst Case Szenario wollte ich vermeiden (Zeitfenster).
SetACL kann zwar schön Gruppen mit Namen exportieren, leider geht der Import dann laut Doku damit nicht. Ein Export+Import mit SDDL geht, hat aber verständlicherweise dann die falsche ID gesetzt (was ja nichts bringt da diese ID ja schon da ist). 350 SIDs dann im Exportscript ändern ist auch letzte Wahl. AD Gruppen kann ich leider nicht anlegen/nutzen.
Einfälle?
Server 1 ist 2008R2 und Server 2 2012R2
Gruß
Sam
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 300605
Url: https://administrator.de/contentid/300605
Ausgedruckt am: 24.11.2024 um 17:11 Uhr
4 Kommentare
Neuester Kommentar
Hi,
wenn Die LUN am anderen Server hängt, dann werden in den ACL die Einträge für die lokalen Gruppen des alten Servers als SID angezeigt. Diese kannst Du z.B. mit subinacl ersetzen lassen durch die neuen Gruppen/SID. Aber auch hier wird das aufgrund der Masse der Dateien und Ordner ne Weile dauern.
E.
Edit: Wenn die LUN flott genug ist, dann kannst Du mehrere dieser Ersetzungen parallel laufen lassen.
wenn Die LUN am anderen Server hängt, dann werden in den ACL die Einträge für die lokalen Gruppen des alten Servers als SID angezeigt. Diese kannst Du z.B. mit subinacl ersetzen lassen durch die neuen Gruppen/SID. Aber auch hier wird das aufgrund der Masse der Dateien und Ordner ne Weile dauern.
E.
Edit: Wenn die LUN flott genug ist, dann kannst Du mehrere dieser Ersetzungen parallel laufen lassen.
Hallo Emeriks
das Programm ist mir neu, habe aber keine Anleitung gefunden was SIDs (sondern nur dom+Gruppennamen) zuläßt. Das es nur bis 2003 zugelassen ist stimmt mich unruhig, vor allem da wir Syswow64 auf allen Servern deaktiviert haben und damit ein Zwischenhost hermuss (HyperV VM evtl).
Dank der gut 25k IOPS die das System kann, geht das schon recht flott. Die Masse machts natürlich wieder relativ. Ich habe auch schon angefangen an einem icacls Batch zu arbeiten und dies gestaggert dann durchzulaufen. Das dauert aber durch den vielfachen Zugriff (Baumstruktur mit typ. RFC Gruppen also 120 Mal) ein vielfaches gegen setacl mit einem Durchlauf im Search & Replace Modus. Subincl macht auch nur eine SID/Gruppe in einem Durchlauf wie ich so kurz gesehen habe.
Gruß
Sam
das Programm ist mir neu, habe aber keine Anleitung gefunden was SIDs (sondern nur dom+Gruppennamen) zuläßt. Das es nur bis 2003 zugelassen ist stimmt mich unruhig, vor allem da wir Syswow64 auf allen Servern deaktiviert haben und damit ein Zwischenhost hermuss (HyperV VM evtl).
Dank der gut 25k IOPS die das System kann, geht das schon recht flott. Die Masse machts natürlich wieder relativ. Ich habe auch schon angefangen an einem icacls Batch zu arbeiten und dies gestaggert dann durchzulaufen. Das dauert aber durch den vielfachen Zugriff (Baumstruktur mit typ. RFC Gruppen also 120 Mal) ein vielfaches gegen setacl mit einem Durchlauf im Search & Replace Modus. Subincl macht auch nur eine SID/Gruppe in einem Durchlauf wie ich so kurz gesehen habe.
Gruß
Sam
Du kannst damit aber
Export
Import
Sollte so gehen.
E.
- exportieren
- Export bearbeiten (suchen/ersetzen)
- Export wieder importieren
Export
subinacl /noverbose /outputlog=y:\ACL.txt /subdirectories x:\*.* /displayImport
subinacl /playfile y:\ACL.txtSollte so gehen.
E.
Hallo Emeriks
auch wenn ich (fehlende 64 Bit Fähigkeit) sehr skeptisch bin, erfüllt das Tool in meinen Tests alles was ich brauche und mir von Setacl versprochen habe (Lesbare Infos und da wir keine Einzelberechtigungen auf Dateien Ordnern führen): super lesbar; einfach zu editieren.
Ich habe vorhin einen Antrag gestellt Syswow64 auf dem System temporär einsetzen zu dürfen da eine VM ja die falsche Identität haben würde und damit nur das (Zukunfts) Original das machen kann.
DANKE!
Das werde ich zwar wohl nur einmal im Leben brauchen und ReFS wird es wohl nicht wirklich können (von den Baudaten sieht es ja aus das es 2001 geplant & umgesetzt wurde). Den Rest (64Bit FUnktionen) wird man ja mit setacl machen....was ich auch noch nicht mit ReFS getestet habe.
Gruß
Sam
auch wenn ich (fehlende 64 Bit Fähigkeit) sehr skeptisch bin, erfüllt das Tool in meinen Tests alles was ich brauche und mir von Setacl versprochen habe (Lesbare Infos und da wir keine Einzelberechtigungen auf Dateien Ordnern führen): super lesbar; einfach zu editieren.
Ich habe vorhin einen Antrag gestellt Syswow64 auf dem System temporär einsetzen zu dürfen da eine VM ja die falsche Identität haben würde und damit nur das (Zukunfts) Original das machen kann.
DANKE!
Das werde ich zwar wohl nur einmal im Leben brauchen und ReFS wird es wohl nicht wirklich können (von den Baudaten sieht es ja aus das es 2001 geplant & umgesetzt wurde). Den Rest (64Bit FUnktionen) wird man ja mit setacl machen....was ich auch noch nicht mit ReFS getestet habe.
Gruß
Sam
