jacksoney
Goto Top

Windows Server 2008 verweigert wiederherstellung von Schattenkopien

Hallo,
Ich hoffe es kann mir jemand helfen. Auf einem Windows Server 2008 R2 werden regelmäßig Schattenkopien erstellt. Ich bin zwar der Administrator, jedoch scheinen einige Dateien andere Rechte bekommen zu haben. Wie auch immer das geschehen sein mag, ich kann es mir nicht erklären. Nun muss ich die Dateien Wiederherstellen und es klappt nicht.
Die Dateien sind natürlich Schreibgeschützt und ich kann den Schutz nicht aufheben. Auch den "Administrator" als "Besitzer" der Dateien zu setzen klappt nicht, kein Zugriff.
Ich verzweifle langsam an dieser Stelle. VSSadmin hat mir leider auch nichts gebracht.
Hat jemand eine Idee wie ich die Dateien retten kann?
Es klappte nicht mit "Netzwerk Admin" und auch nicht mit "Localadmin" Rechten
Danke und Gruß

Content-ID: 239556

Url: https://administrator.de/contentid/239556

Ausgedruckt am: 24.11.2024 um 12:11 Uhr

colinardo
colinardo 29.05.2014 aktualisiert um 16:03:33 Uhr
Goto Top
Moin Jacksoney,
Die Dateien sind natürlich Schreibgeschützt
mit Dateien meinst du die normalen Userdaten und nicht die Schattenkopien selbst oder ?
Wenn selbst das in Besitz nehmen der Dateien nicht geht, stimmt bei dir aber was gehörig nicht. Ich würde in diesem Fall mal ein chkdsk c: /f über die Platte laufen lassen um die Konsistenz der Security-Descriptors sicherzustellen.

Was bekommst du denn für Fehlermeldungen beim Versuch die Sicherheitseinstellungen zu ändern bzw. was sagen die Eventlogs über das Verhalten insbesondere das Security Eventlog?

Hat der Ordner noch weitere übergeordnete Ordner, und haben dort die Admins genügend Rechte rekursiv auf alle Unterordner ?

Grüße Uwe
Jacksoney
Jacksoney 29.05.2014 um 16:17:00 Uhr
Goto Top
Hallo Uwe,
Danke schon mal für deinen Post. Die Dateien kann schon in Besitz nehmen bzw. zur Not erzwingen, jedoch nicht die Schattenkopien. D.H. die waren mal in einem Zustand, wo sie aus unerklärlichen Gründen andere Rechte hatten, wo der Admin nicht drin vorkam. Ich habe es nicht bemerkt, sonst hätte ich die Besitzrechte schon korrigiert. Nun sind die Dateien weg und ich kann die Rechte nicht mehr übertragen, da es sie nur noch als Schattenkopien gibt und diese Schreibgeschützt sind.
Ist das Verständlich?
Danke und Gruß
Kasra
colinardo
colinardo 29.05.2014 aktualisiert um 16:39:45 Uhr
Goto Top
Ist das Verständlich?
noch immer nicht ganz.
Was hantierst du mit den Rechten in den Schattenkopien herum ? Da solltest du unbedingt die Finger von lassen das macht der VSS von selber.

Welche Dateien sind nun weg ? Dateien in den Schattenkopien oder "normale" Dateien im Dateisystem ?

Du verlässt dich auf die Schattenkopien als Backup ? Diese ersetzen kein "richtiges" Backup was du selbstverständlich zur Hand haben solltest.

http://www.shadowexplorer.com/
Files aus den Schattenkopien holen, rechte überprüfen bzw. entsprechend zuweisen, oder Backup zurückspielen, feddich
ist die Laube.

Grüße Uwe
Jacksoney
Jacksoney 29.05.2014 um 16:57:55 Uhr
Goto Top
Danke,klappt aber auch nicht.."couldnt copy file". Ich nehme an, weil ich keine Berechtigung auf die Schattenkopie habe.
Gibt es keine Möglichkeit Rechte zu erzingen? Oder via CMD zu Kopieren?
colinardo
colinardo 29.05.2014 aktualisiert um 17:49:06 Uhr
Goto Top
Du kannst dir auf der Kommandozeile die Snapshots einees Laufwerks vom VSS anzeigen lassen (natürlich alles in einer administrativen Konsole):
Für die Anzeige alle VSS Snapshots z.B. für das Laufwerk D:\ gibst du folgendes ein
vssadmin list shadows /for=D:
In dieser Liste wählst du deinen gewünschten Snapshot raus und kopierst dir den Pfad hinter : Schattenkopievolume:. Zu diesem Pfad kannst du dir einen Symbolischen Link erzeugen den du dann über den Explorer ansprechen kannst: (WICHTIG an den Pfad musst du einen abschließenden Backslash anhängen)
mklink /d D:\VSSKopie \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy36\
Jetzt kannst du die VSS-Kopie unter D:\VSSKopie ansprechen. Noch ein Hinweis, den Ordner D:\VSSKopie darfst du nicht selber im Explorer anlegen, das macht mklink von selbst.

Prüfe auch zusätzlich nochmal nach ob der "System"-Account Vollzugriff auf den Root-Ordner des Laufwerks besitzt !

Noch mehr dazu steht hier: http://encase-forensic-blog.guidancesoftware.com/2012/06/examining-volu ...

Grüße Uwe
Jacksoney
Jacksoney 29.05.2014 um 18:46:19 Uhr
Goto Top
Ok Danke schon mal im Voraus..ich werde es morgen Früh probieren und berichten ob es geklappt hat und ob ich dann die Berechtigungen neu setzen kann.
Grundsätzlich müsste der Vollzugriff auf alles andere da sein. Von 3100 konnte nur 16 Dateien nicht zurückholen. Wie gesagt, ich habe keinen Schimmer wie so was überhaupt sein kann..also wie ein Client Dateien in einem Netzwerkordner kopieren kann und dabei die Vererbung des übergeordneten Ordner einfach ignoriert. Wirklich seltsam.
Jacksoney
Jacksoney 30.05.2014 um 09:04:08 Uhr
Goto Top
Guten Morgen,

Das habe ich versucht aber leider kein Erfolg. Wenn ich versuche die Dateien im Besitz zu nehmen bekomme ich folgenden Fehler:

"Der neue Besitzer von ...pdf kann nicht eingerichtet werden. Das Medium ist Schreibgeschützt."

Ich glaube ein Verweis ist auf dem "Localhost" ändert nix daran, dass ich dort beschränkt Rechte habe. Ich müsste die Dateein irgendwie auf das Laufwerk "C" z.B. kopieren, um Besitz ergreifen zu können.

Gibt es dafür eine Möglichkeit? Oder hast du sonst noch eine Idee?

Danke und Gruß
Kasra
colinardo
colinardo 30.05.2014 aktualisiert um 10:46:47 Uhr
Goto Top
Wenn du die Files sehen kannst kannst du sie auch kopieren. Kopiere sie an einen sicheren Ort, feddich, ich sehe hier das Problem nicht !!! Sichere die Files und dann lösche alle Schattenkopien um einen konsistenten Zustand wiederherzustellen. Punkt.

Grüße Uwe
Jacksoney
Jacksoney 30.05.2014 um 10:54:39 Uhr
Goto Top
Wie soll ich das tun? Über den Explorer ist es unmöglich, da steht immer Zugriff verweigert. Ich nehme an über dem Befehl "Copy" in DOS unter "Admin" oder? Nur hier findet er den Pfad "\\Localhost..." nicht und mit dem Pfad Schattenkopievolume geht es auch nicht. Welchen Pfad soll ich angeben?
Oder müsste ich einen anderen Befehl eingeben?
colinardo
colinardo 30.05.2014 aktualisiert um 11:00:11 Uhr
Goto Top
äh woher kommt jetzt \\localhost ??. Du sprichst immer mehr in Rätseln.
Dann mach es halt über ein Live-Boot-Linux ... das kennt keine Berechtigungsprobleme beim Zugriff auf die Platte.
Jacksoney
Jacksoney 30.05.2014 um 11:08:13 Uhr
Goto Top
Ja ok das wäre dann Wochenendarbeit, da es in der Woche in Gebrauch ist.

"Localhost.." ist der Ort wo die Dateien abgelegt werden bei Schattenkopien:

das ist der komplette Link:

"\\localhost\C$\@GMT-2014.05.29-05.00.02"

Falls die eine bessere Lösung einfällt dann lass es mich wissen sonst muss ich wohl mit Linux booten.

Gruß und Danke
colinardo
colinardo 30.05.2014 aktualisiert um 11:16:20 Uhr
Goto Top
Zitat von @Jacksoney:
das ist der komplette Link:
"\\localhost\C$\@GMT-2014.05.29-05.00.02"
der Pfad einer Schattenkopie aus vssadmin list shadows sollte eher in dieser Art aussehen : \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy29. Ich weiß nicht woher du diesen Pfad hast. Irgendwas machst du da falsch, ich seh's nur nicht face-wink

Falls die eine bessere Lösung einfällt
denke hier hilft ansonsten nur noch Teamviewer ...

Grüße Uwe
colinardo
colinardo 30.05.2014 aktualisiert um 12:11:39 Uhr
Goto Top
Öffne mal eine Konsole mit Systemrechten via Sysinternals PSEXEC: und mounte darin die Shadow-Copy.
psexec.exe \\localhost /s cmd.exe
Dann solltest du in der Konsole eventuell auf die Files zugreifen können.

emeriks
emeriks 30.05.2014 um 13:05:02 Uhr
Goto Top
Hi,
@colinardo
Dieses Verfahren mit dem Symlink auf eine VSS-Copy ist ne coole Sache! Danke für den Tipp. Das teste ich mal.

@Jacksoney
Wenn das mit den Symlink so funktioniert, dann solltest Du mit einem Backup Operator (i.A. ist der lokale Admin einer) die Dateien auch mit Robocopy und Oprion /B kopieren können.

mfg
E.
emeriks
emeriks 30.05.2014 um 13:12:23 Uhr
Goto Top
Und da bin ich schon wieder.

@colinardo
Den Symlink kann ich erstellen. Aber wenn ich den dann öffnen wil, dann kommt

"Der Pfad ist nicht verfügbar.
Auf C:\VSStest kann nicht zugegriffen werden.
Falscher Parameter."

Egal ob im Explorer oder CMD. Egal ob als Administrator oder als Local System.

Habe ich noch was vergessen?

E.

C:\>vssadmin list shadows /for=C:
vssadmin 1.1 - Verwaltungsbefehlszeilenprogramm des Volumeschattenkopie-Dienstes
(C) Copyright 2001-2005 Microsoft Corp.

Inhalte der Schattenkopiesatzkennung: {a33bf6bf-b01b-44c9-93fe-e56ce1cddc27}
1 Schattenkopie(n) war(en) enthalten bei der Erstellungszeit: 30.05.2014 13:02:16
Schattenkopienkennung: {1a2af1ee-4b3c-463b-8060-4c5dbe241343}
Ursprüngliches Volume: (Cface-smile\\?\Volume{07c19102-ae54-11e1-80aa-806e6f6e6963}\
Schattenkopievolume: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1
Quellcomputer: XXXXX
Dienstcomputer: XXXXX
Anbieter: "Microsoft Software Shadow Copy provider 1.0"
Typ: ClientAccessible
Attribute: Permanent, Clientzugänglich, Keine automatische Freigabe, Keine Verfasser, Differenziell

C:\>mklink /d C:\VSStest \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1
symbolische Verknüpfung erstellt für C:\VSStest <<===>> \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1

C:\>cd vsstest
Falscher Parameter.
colinardo
colinardo 30.05.2014, aktualisiert am 05.05.2015 um 18:01:10 Uhr
Goto Top
Du musst wie oben geschrieben den abschließenden Backslash an den VSS-Pfad fügen !
mklink /d C:\VSStest \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\
und vor deinem erneuten versuch den Symlink vorher löschen
rd c:\vsstest
emeriks
emeriks 30.05.2014 um 13:17:11 Uhr
Goto Top
Bingo!
Danke!

E.
Jacksoney
Jacksoney 30.05.2014 aktualisiert um 14:18:45 Uhr
Goto Top
@ Emerics,
Bei mir hat es leider nicht geklappt. Es bleibt mir übrig am Wochenende, den Server mit Linux starten und die Dateien wo anders kopieren.

@ Uwe,
Danke schon mal für die Hilfe bis her, ein Frage noch. unter welchem Pfad finde ich die "Schattenkopien" unter Linux?
Gruß
colinardo
colinardo 30.05.2014 aktualisiert um 14:25:15 Uhr
Goto Top
Danke schon mal für die Hilfe bis her, ein Frage noch. unter welchem Pfad finde ich die "Schattenkopien" unter Linux?
http://www.epyxforensics.com/node/46
colinardo
Lösung colinardo 05.05.2015 aktualisiert um 20:06:53 Uhr
Goto Top
Ist zwar schon älter der Thread, aber für alle die hier noch mit dem selben Problem vorbei kommen sollten... Eine Schritt für Schritt Anleitung gibt's in diesem Thread mit der selben Fragestellung:
Schattenkopien - Besitzer - Profilordner

Grüße Uwe
Jacksoney
Jacksoney 05.05.2015 um 20:07:29 Uhr
Goto Top
Top!!danke! Ist eine sinnvolle Sache!