Перемещение пользователей с одного сервера Windows r2 на другой

Обновлено: 21.11.2024

Вы можете обновить роли и функции до более поздних версий Windows Server, перейдя на новый сервер, или многие из них также поддерживают обновление на месте, когда вы устанавливаете новую версию Windows Server поверх текущей. Эта статья содержит ссылки на руководства по миграции, а также таблицу с информацией о миграции и обновлении на месте, которая поможет вам решить, какой метод использовать.

Многие роли и функции можно перенести с помощью инструментов миграции Windows Server — функции, встроенной в Windows Server для переноса ролей и функций, тогда как файловые серверы и хранилище можно перенести с помощью службы миграции хранилища.

Руководства по миграции поддерживают миграцию указанных ролей и функций с одного сервера на другой (не обновления на месте). Если в руководствах не указано иное, миграция поддерживается между физическими и виртуальными компьютерами, а также между вариантами установки Windows Server с помощью Server with Desktop Experience или Server Core.

Прежде чем приступить к переносу ролей и функций, убедитесь, что на исходном и целевом серверах установлены самые последние обновления, доступные для их операционных систем.

Всякий раз, когда вы выполняете миграцию или обновление до любой версии Windows Server, вы должны изучить и понять политику жизненного цикла поддержки и временные рамки для этой версии и соответствующим образом спланировать ее. Вы можете искать информацию о жизненном цикле для конкретной версии Windows Server, которая вас интересует.

Инструменты миграции Windows Server

Средства миграции Windows Server позволяют переносить роли серверов, функции, настройки операционной системы и другие данные и общие ресурсы на серверы, включая более поздние версии Windows Server. Это функция Windows Server, поэтому ее легко установить с помощью мастера добавления ролей и компонентов или PowerShell. Узнайте больше об установке, использовании и удалении средств миграции Windows Server.

Миграция между подсетями с помощью инструментов миграции Windows Server доступна в Windows Server 2012 и более поздних версиях. Предыдущие версии средств миграции Windows Server поддерживают миграцию только в той же подсети.

Руководства по миграции

Ниже приведены ссылки на руководства по миграции для определенных ролей и функций Windows.

Хотите переместить папку «Пользователи» на другой диск в Windows Server 2012 (R2)/2016/2019/2022? Лучшее программное обеспечение для резервного копирования Windows Server — AOMEI Backupper Server и встроенная функция Windows могут вам помочь.

Автор Джесси / Последнее обновление: 19 октября 2021 г.

Дело: как переместить папку пользователей на другой диск в Windows Server 2012?

Как переместить папку пользователя на другой диск?

Мне интересно, можно ли переместить всю пользовательскую папку из C:\Users на диск D:\. Есть ли способ сделать это? И после того, как я это сделаю, мне нужно будет зайти в каждую программу, которая у меня есть, и изменить место сохранения, или все AppData переместятся вместе с ним?

Содержание страницы:

Что такое папка Users и зачем ее переносить на другой диск?

Система создает папку «Пользователи» при первом входе пользователя в систему. Вообще говоря, папка «Пользователи» содержит настройки разрешений и подпапки для каждой учетной записи Windows, которая вошла в систему. Кроме того, папка «Пользователи» по умолчанию находится на диске C:, который содержит операционную систему.

Когда вы заходите в папку со своим именем, вы можете найти разные папки, включая изображения, документы, музыку, видео и т. д. Следует отметить, что вы не можете получить доступ к папке других пользователей, если не используете специальный доступ.< /p>

По мере увеличения объема данных в папке «Пользователи» все больше и больше людей предпочитают перемещать папку «Пользователи» на другой диск в Windows Server 2012. Вы можете спросить, почему. Есть две основные причины.

Папки легко потерять из-за отказа жесткого диска или повреждения операционной системы.

Экономьте место на диске C: и повышайте производительность своего ПК.

Поэтому необходимо синхронизировать папки с другим диском. Как перенести профиль пользователя на другой диск? Не волнуйтесь! Ваша проблема скоро будет решена.

Примечание. Не рекомендуется перемещать всю папку «Пользователи» на другой диск, поскольку она содержит некоторые важные системные файлы. Но вы можете переместить папку «Рабочий стол», «Документы», «Изображение», «Загрузки» на другой диск.

Как переместить папку «Пользователи» на другой диск в Windows Server 2012

Папку "Пользователи" легко переместить на другой диск, если выбрать правильный подход. Для справки есть два эффективных метода, а именно использование стороннего инструмента или встроенной функции перемещения.

Скопируйте папку Users на другой диск с помощью AOMEI Backupper Server

AOMEI Backupper Server — это надежное и простое в использовании программное обеспечение, позволяющее перемещать папку «Пользователи» на другой диск. Вы можете извлечь большую пользу из его следующих функций:

✧ 4 Решение для синхронизации: вы можете использовать «Базовую синхронизацию», «Синхронизацию в реальном времени», «Зеркальную синхронизацию», «Двустороннюю синхронизацию» для синхронизации файлов между разными папками, дисками или даже компьютерами. Вы также можете синхронизировать локальные папки с OneDrive, Google Диском, Dropbox и т. д.
✧ Синхронизация по расписанию: вы можете настроить автоматическую синхронизацию на основе указанного времени или события. Эта функция упрощает автоматическую синхронизацию данных между двумя серверами.
✧ Совместимость. Это профессиональное программное обеспечение без проблем работает на системах Windows Server 2003, 2008, 2011, 2012, 2016, 2019, 2022 (включая R2), SBS 2003, 2008, 2011 и Windows PC.

Кстати, простые шаги и интуитивно понятный интерфейс сделают вашу работу легкой. Хотите использовать это программное обеспечение для перемещения папки «Пользователи» на другой диск в Windows Server 2012? Существует краткое руководство для справки. Хорошей новостью является то, что вы также можете обратиться к этим шагам, чтобы переместить папку «Пользователи» на другой диск в Windows Server 2012 R2/2016/2019/2022.

Шаг 1. Установите и откройте это программное обеспечение. Выберите «Синхронизация» слева. Затем нажмите Базовая синхронизация.

Шаг 2. Отредактируйте название задачи в соответствии с вашими потребностями. Нажмите «Добавить папку», чтобы добавить папку «Пользователи», которую необходимо синхронизировать.

Шаг 3. Выберите целевой диск (здесь E:\My Backups). Затем нажмите «Начать синхронизацию». чтобы переместить папку пользователей на другой диск в Windows Server 2012.

>> Параметры: вы можете написать комментарий к этой задаче синхронизации, чтобы отличить ее от других. Вы также можете включить уведомление по электронной почте, чтобы информировать вас о результатах синхронизации.
>> Расписание: вы можете автоматически синхронизировать папку «Пользователи», используя предлагаемые режимы расписания: «Ежедневно», «Еженедельно», «Ежемесячно», «Триггеры событий» и «USB-подключение».

Шаг 4. После синхронизации вы можете нажать "Готово".

Примечания:

Во время выполнения операции синхронизации вы можете щелкнуть значок "Настройки" в левом нижнем углу и выбрать, что вы хотите, чтобы компьютер сделал по завершении. Вы можете выбрать «Выключить компьютер», «Перезагрузить компьютер», «Спящий режим» и «Спящий режим».

Не изменяйте имя папки источника. В противном случае программа больше не сможет его синхронизировать.

Переместить профиль пользователя на другой диск с помощью встроенной функции Windows

Встроенный инструмент Windows также может помочь пользователям переместить папку «Пользователи» на другой диск с помощью функции «Переместить» в окне «Свойства». Если вы хотите попробовать, вы можете выполнить следующие шаги:

Шаг 1. Создайте новую папку с именем Documents на целевом диске.

Шаг 2. Перейдите в папку C:\Users\Имя пользователя, чтобы найти исходную папку «Документы».

Шаг 3. Щелкните правой кнопкой мыши папку «Документы». Затем выберите «Свойства».

Шаг 4. Перейдите на вкладку «Местоположение». Затем нажмите «Переместить», чтобы выбрать путь назначения.

Шаг 5. Если все верно, вы можете нажать OK, чтобы продолжить.

Для одной папки вы можете использовать этот простой метод. Однако при большом количестве папок было бы очень проблематично переместить эти папки на другой диск одну за другой.

Обзор

Теперь вы можете переместить папку «Пользователи» на другой диск в Windows Server 2012 с помощью этих двух эффективных методов. Рекомендуется использовать AOMEI Backupper Server, так как эта полезная утилита предоставляет более расширенные настройки.

Более того, вы можете синхронизировать рабочий стол с OneDrive и клонировать жесткий диск в Windows Server с помощью AOMEI Backupper. А пока вы можете спокойно заниматься своей работой, потому что все операции будут выполняться в фоновом режиме.

Мне хотелось бы узнать, как лучше всего просто перенести AD с одного сервера 2012 R2 на другой?

Я не хочу перемещать DNS, Сайты или что-то еще помимо AD.

Каков наилучший подход?

Защитите свои конечные точки от киберпреступников

2022-03-24 14:00:00 UTC Веб-семинар Веб-семинар: Cisco — защитите свои конечные точки от кибер-преступников Подробности о событии Просмотреть все события

10 ответов

Существует множество документации по этому вопросу, просто погуглив название. Но сначала нужно загрузить новый сервер, а затем добавить его в домен, и это позволит шлюзу его мигрировать.

  • отметить 54 лучших ответа
  • thumb_up – 214 благодарных отзывов

Вы не перемещаете его, реклама реплицируется, поэтому, если у вас есть другой контроллер домена в том же лесу, вся эта информация будет синхронизирована.

Я не совсем понимаю, что вы имеете в виду под простым перемещением AD, DNS является частью AD, поэтому он также будет синхронизироваться. Можете ли вы объяснить, что вы пытаетесь сделать?

Много настроек в текущей среде перепутаны. И устаревший без документации. Я планирую перенести AD (ou, gpo, пользователей, группы и т. д.) в новую «чистую» среду.
Я хочу добавить DNS, но я хочу настроить его с 0. Я не хочу возиться со старыми конфигурациями.

Безумный левша

О, так что, если вы хотите начать все сначала, вы должны сделать именно это. Начните заново.

Настройки домена достаточно просты, имя и тому подобное. Но вы хотите экспортировать всех пользователей в файл .csv, затем вы можете импортировать пользователей, но им придется сбросить свои пароли (или установить для них все то же самое)

Вы можете сделать то же самое для групп, но вам придется экспортировать членство в группе по имени, а затем добавить пользователей обратно в нужные группы с помощью PowerShell, у пользователей будут все новые SID

Объекты групповой политики также можно экспортировать через powershell, но я не знаю, сможете ли вы импортировать их обратно в новый домен, идентификаторы будут другими, поэтому вам, возможно, придется скопировать и вставить их

Точка с запятой

  • отметить 411 лучших ответов
  • thumb_up: 735 благодарностей

Он получит участников безопасности (пользователей, групп и т. д.); не подразделения

Вы можете экспортировать и импортировать объекты групповой политики; идентификаторы объектов групповой политики не имеют значения, поскольку вы все равно не сможете перенести ссылки или подразделения.

Точка с запятой

  • отметить 411 лучших ответов
  • thumb_up: 735 благодарностей

Если документация плохая, а настройки неактуальны, зачем переносить объекты групповой политики?

ДжитэнШ

  • отметить 127 лучших ответов
  • thumb_up 263 благодарных голоса

Вы хотите создать еще один AD/DC или создать новый домен, это будет то же имя домена в сети [Невозможно].

Используйте PowerShell для экспорта всех пользователей в AD:

Используйте этот код PowerShell для экспорта пользователей в определенные подразделения:

Или вы можете использовать эти сценарии;

После того, как вы сохраните их в CSV-файле, вы можете запустить его и убедиться, что все обновлено, или вы можете внести изменения, а затем снова использовать PowerShell, чтобы импортировать их из CSV в новый AD.

Групповые политики. Вероятно, я бы воссоздал их вручную, чтобы убедиться, что они чисты и подходят для нового сервера и среды.

Кажется, я понял. Объекты групповой политики не нужны, но как насчет компьютеров?
Должен ли я присоединяться к домену с каждым компьютером?

Точка с запятой

  • отметить 411 лучших ответов
  • thumb_up: 735 благодарностей

Bfinty написал:

Кажется, я понял. Объекты групповой политики не нужны, но как насчет компьютеров?
Должен ли я присоединяться к домену с каждым компьютером?

Эта тема заблокирована администратором и больше не открыта для комментариев.

Чтобы продолжить это обсуждение, задайте новый вопрос.

Связывание домена Windows и домена веб-сайта?

Что может вызвать мерцание экрана?

У меня есть настольный компьютер Dell OptiPlex, который вызывает проблему мерцания экрана. Пожалуйста, проверьте это изображение ниже: Я сделал следующее, но все же повезло: Заменил монитор и кабели. Обновлен BIOS. Переустановил драйвер дисплея. Заменил оперативную память. р>

Искра! Серия Pro – 21 марта 2022 г.

Здравствуйте, ребята, я должен запустить эту Искру! с извинением. Я не устанавливал напоминания для этой статьи и, следовательно, забыл подготовить ее на выходных. Просто для этой цели сегодня было что-то вроде безумия в t.

Щелкни! Обновление Linux, Паролей больше нет?, Атаки BitB, Juno Pictures, Новый лед

Ваша ежедневная доза технических новостей. Вы должны это услышать. Появляется Linux 5.17: Вот что внутри Торвальдс и его команда снова обновили ядро ​​​​Linux, после некоторых трудных времен из-за некоторых изменений, внесенных в последнюю минуту. Работа начинается на n.

Удобные наушники для работы из дома — чтобы слышать шум, но не передавать его

Поскольку все больше и больше людей работают из дома, требования к функциям гарнитур немного изменились. Теперь многим людям не нужны гарнитуры, которые полностью изолируют их от окружающей среды, потому что рядом с ними может находиться ребенок, которому нужно быть собой.

У меня есть больной файловый сервер, который находится на последнем издыхании.

На нем также есть все профили пользователей. Как только я скопирую файлы, есть ли простой способ изменить каждого пользователя, чтобы его профиль указывал на новое местоположение?

Мы имеем дело с сервером 2008 R2.

Примите участие, чтобы выиграть Oculus Win, наушники/колонки или подарочную карту на 300 евро

24 ответа

Рокн

Как профили указывают, где они сейчас находятся? Групповая политика? Другое?

Устанавливается вручную в профиле каждого пользователя

Рокн

Вам нужно будет выполнить робокопирование с неповрежденными настройками безопасности на новый сервер, а затем изменить путь в профиле каждого. На сайте есть множество примеров скриптов robocopy, которые сделают именно то, что вам нужно.

Вам нужно будет сделать это в два этапа.

  1. Убедитесь, что нет открытых сеансов с файловым сервером, и выполните автоматическое или теракопирование в новое место.
  2. Загрузите программу ADModify. Это позволит вам одновременно редактировать несколько пользовательских объектов, а также добавлять подстановочные знаки для имен пользователей.Отредактируйте путь к профилю для всех пользователей, и это должно помочь.

Дайте мне знать, если вам понадобится помощь.

Брайс Кац

  1. Загрузите программу ADModify. Это позволит вам одновременно редактировать несколько пользовательских объектов, а также добавлять подстановочные знаки для имен пользователей. Отредактируйте путь к профилю для всех пользователей, и это должно помочь.

PowerShell, FTW. Вот скрипт, который я использовал именно для этого.

Даррен@делюкс

ADmodify не требуется, если путь к профилю — сервер\общий ресурс\имя пользователя

Выделите всех пользователей в запросе ADUC и измените путь к профилю на \\NEWSERVER\SHARE\%USERNAME%

В настоящее время я прохожу через это. Вот основные шаги:

1) Полное резервное копирование сервера

2) Отключите все общие ресурсы. Перезагрузитесь, чтобы убедиться, что все пользователи отключены.

3) Скопируйте все данные:

На старом сервере войдите в систему как пользователь с правами на все файлы (как правило, администратор домена):

\\newserver\e$\ *.* /mir /sec /r:1 /w:1 /LOG:C:\Mirlog.txt /XD «RECYCLER» «Recycled» «Информация о системном томе» /XF « desktop.ini” “thumbs.db”

Это скопирует все с разрешениями и создаст журнал копии в c:\. Проверьте журнал и найдите файлы, которые не удалось скопировать, и при необходимости исправьте. Кроме того, команда /mir УДАЛИТ файлы в месте назначения, если они больше не существуют в источнике. Если у вас много данных, вы должны сделать «промежуточную» копию за несколько дней до переключения, что займет много времени, в зависимости от того, сколько у вас данных. Когда вы будете готовы к переключению и запустите команду во второй раз, это не займет много времени, если данные не сильно изменились.

4) Повторно создайте все общие ресурсы на Newserver

5) Переименуйте старый сервер, перезагрузитесь, затем ipconfig /registerdns

6) На новом сервере переименуйте старый сервер, перезагрузитесь, затем ipconfig /registerdns

7) Войдите и проверьте доступ.

Все пользовательские клиенты должны быть закрыты или перезагружены после этого процесса, поскольку некоторые из них могут кэшировать списки дисков и вызывать странные ошибки/странное поведение.

Лично мне до этой недели каким-то образом удавалось никогда этого не делать (не спрашивайте меня как, потому что я не знаю). Однако мой план состоит в том, чтобы (после установки Windows Server и добавления ролей и т. д.) создать и настроить разрешения для основной общей папки, содержащей файлы пользователей на новом сервере. Затем скопируйте файлы на новый сервер с помощью robocopy или чего-то еще, что перенесет права доступа к папке. Затем переименуйте новый сервер так же, как старый сервер (или настройте псевдонимы DNS) вместо того, чтобы возиться со всеми настройками профиля пользователя в AD.

Редактировать: Или вы можете украсть красивую, подробную версию этого плана Gmail, опубликованную, когда я печатал это. что я и намереваюсь сделать сейчас. :-)

Под профилями пользователей вы имеете в виду домашние диски или перемещаемые профили? Если это так, то миграция довольно проста. Отключите файловые ресурсы на старом сервере, перезагрузитесь (если можете). Это закроет все активные подключения к серверу. Используйте RoboCopy для перемещения профилей и разрешений. Обновите профили всех затронутых пользователей в ADUC. Вы можете выбрать всех пользователей и указать их профиль в \\NEWSERVER\PROFILES\%username%. В качестве альтернативы вы можете переименовать старый сервер после переноса файлов, а затем создать DNS-запись CNAME для имени старого сервера, указывающую на новый сервер, а затем выполнить очистку профилей и имен серверов позже.

  • отметить 54 лучших ответа
  • thumb_up – 214 благодарных отзывов

Чинван написал:

Устанавливается вручную в профиле каждого пользователя

Если старый сервер необходимо удалить и вывести из эксплуатации, добавьте запись DNS для имени старого сервера, указывающую на IP-адрес нового сервера, и все готово.

Изменений не требуется.

Конечно, после того, как вы выполнили Robocopy/восстановление из резервной копии

HatterJBK написал:

Лично мне до этой недели каким-то образом удавалось никогда не делать этого (не спрашивайте меня как, потому что я не знаю) . Однако мой план состоит в том, чтобы (после установки Windows Server и добавления ролей и т. д.) создать и настроить разрешения для основной общей папки, содержащей файлы пользователей на новом сервере. Затем скопируйте файлы на новый сервер с помощью robocopy или чего-то еще, что перенесет права доступа к папке. Затем переименуйте новый сервер так же, как старый сервер (или настройте псевдонимы DNS) вместо того, чтобы возиться со всеми настройками профиля пользователя в AD.

Именно так я всегда выполнял эту задачу :) За исключением того, что я всегда убивал общий ресурс на старом сервере ПЕРЕД переносом данных с помощью RoboCopy.

Джон4120

Похоже, самое время настроить DFS, вы можете просто изменить целевую папку в DFS в следующий раз, и все остальное по-прежнему будет совпадать правильно.

Майк400

Я бы переключил всех на пространство имен DFS, а затем вы могли бы использовать DFS-R для перемещения файлов на новый сервер.

Что бы вы ни делали, делайте это органично с помощью инструментов, которые предлагает Microsoft.

John4120 написал:

Похоже, самое время настроить DFS, вы можете просто изменить целевую папку в DFS в следующий раз, и все остальное будет по-прежнему совпадать правильно.

Для этого я использовал DFS. Данные были там, но разрешения были скрыты. На следующей неделе я сделаю еще один снимок, и эта тема всплывет. У меня этим занимался другой техник, и он все время делает это для других клиентов.

Вы должны иметь возможность запустить сценарий powershell, чтобы стать владельцем файлов профиля, предоставить вам полный доступ к файлам профиля, исправить разрешения профиля, чтобы они отражали правильные разрешения пользователя, переместить их в новое место, обновить активный каталог, чтобы отразить новый путь.

Затем обновите групповую политику для конкретных подразделений этих пользователей и расположение их перемещаемых профилей.

Если вы используете общие ресурсы DFS и репликацию DFS, вам не нужно задавать этот вопрос.

FIS – поставщик ИТ-услуг.

кинофагеек

Я буду вторым DFS. Сделайте себе одолжение и убедитесь, что DFS настроена через DNS, а не по умолчанию. Я планирую перестроить наши DF с поиском на основе DNS, чтобы сделать работу более эффективной.

как указано выше.. DFS

Если у вас его еще нет, самое время внедрить его для обеспечения избыточности. Два зайца, один выстрел!

HatterJBK написал:

Лично мне до этой недели каким-то образом удавалось никогда не делать этого (не спрашивайте меня как, потому что я не знаю) . Однако мой план состоит в том, чтобы (после установки Windows Server и добавления ролей и т. д.) создать и настроить разрешения для основной общей папки, содержащей файлы пользователей на новом сервере. Затем скопируйте файлы на новый сервер с помощью robocopy или чего-то еще, что перенесет права доступа к папке. Затем переименуйте новый сервер так же, как старый сервер (или настройте псевдонимы DNS) вместо того, чтобы возиться со всеми настройками профиля пользователя в AD.

Именно так я всегда выполнял эту задачу :) За исключением того, что я всегда убивал общий ресурс на старом сервере ПЕРЕД переносом данных с помощью RoboCopy.

Я использовал тот же подход для более чем 20 обновлений удаленных файловых серверов. Еще проще, если есть общие папки, на которые сопоставляются сценарии входа пользователей, редактирование сценариев входа становится проблемой.

При настройке нового сервера убедитесь, что ваш диск с данными имеет ту же букву (D/E/F и т. д.), что и старый сервер. Экспортируйте ключ реестра LANMAN из старого и импортируйте его в новый. Перезапустите новый сервер, и все общие ресурсы с разрешениями общего доступа будут настроены так же, как и старый сервер. Запустите свои копии/восстановления, и вы сможете протестировать общие ресурсы через путь UNC с пользователем, если это необходимо, прежде чем отказаться от старого сервера.

Я считаю, что лучшим вариантом будет создание пространства имен DFS. Сейчас это может быть дополнительным шагом, но, в конце концов, если вы укажете на него все профили пользователей с помощью объекта групповой политики, это как бы защитит вас в будущем, когда вам снова придется переключаться между серверами.

ТониДжеверс

RoboCopy может не работать, если вы не выбрали доступ администратора ко всем профилям.

Кстати, DFS сократит этот объем работы в следующий раз.

Том2338

Зачем все это копирование файлов? Мы сделали это несколько лет назад, мы перешли с физического сервера на виртуальный сервер. Мы используем перемещаемые профили с путем, заданным в настройках учетной записи пользователя AD.

Вот основные принципы того, как мы это сделали. Поскольку я работаю в средней школе, я делал движения в трех «группах». 1 группа - Учителя. Группа 2 — вспомогательный персонал (техническое обслуживание, руководство и т. д.), группа 3 — офисный персонал и администрация. У наших студенческих учетных записей нет перемещаемых профилей, так как у меня есть «общие» студенческие учетные записи, привязанные к конкретным компьютерам. Я делал одну группу в день.

<р>1. Настройте виртуальный сервер с общим ресурсом, правильно настроенным как с разрешениями общего доступа, так и с настройками безопасности.

<р>2. Дождался полудня, чтобы все залогинились, обновил настройки AD Account (массовая смена). Расположение перемещаемого профиля изменено на новый сервер\общий ресурс.

<р>3. В конце дня все вышли из системы.

<р>4. Остальные группы в соответствующие дни.

Вот как это работало. Когда пользователь входил в систему, он использовал перемещаемый профиль, расположенный по адресу «\\server1\profiles$\%username%». Когда в полдень были внесены изменения в учетные записи AD, учетные записи AD были изменены на использование "\\server2\Profiles$\%username%". Когда произошла проверка AD GPO (15 минут по умолчанию, верно?), она знала, что нужно сохранить в новом месте. Когда они вышли из системы, компьютер проверил новое местоположение на наличие полей для обновления, и, поскольку там ничего не было, он создал каталог и скопировал «изменения» в новое местоположение.

Это основы работы перемещаемых профилей. Войдите в систему, проверьте локальные файлы на сервере и загрузите любые изменения. Выйдите из системы, проверьте расположение локальных файлов на сервере, обновите любые изменения на сервере (если файлы или каталоги отсутствуют, создайте и обновите их.

Все сработало идеально? Что-нибудь в ИТ работает идеально?Для всей системы, 18 различных школ/мест, более 10 000 учетных записей пользователей, задействовано 36 серверов, у нас было, вероятно, менее 50 учетных записей, которые не работали должным образом, в основном из-за отсутствия входа в систему при смене серверов. Довольно успешно, если вы спросите меня!

Эта тема заблокирована администратором и больше не открыта для комментариев.

Поскольку Microsoft прекращает поддержку Windows Server 2008/2008 R2 14 января 2020 г., в этой записи блога я объясню, как перенести корневой центр сертификации Microsoft, работающий на Windows Server 2003/2008/2008 R2, на Windows 2016. Это пост также объясняет, как перенести ключ центра сертификации из поставщика служб криптографии (CSP) в поставщика хранилища ключей и как перейти с SHA1 на SHA2 (SHA256). Обратите внимание, что аналогичные шаги можно использовать для перехода с Windows 2008 R2/2012 R2 на Windows 2016 или Windows Server 2019.

Резервное копирование базы данных центра сертификации Windows Server 2008/2008 R2 и ее конфигурации

  1. Войдите в свою текущую ЦС Windows 2008/2008 R2 как член локальной группы администраторов.
  2. Выберите "Пуск" > "Инструменты администратора" > "Центр сертификации".

  1. Щелкните правой кнопкой мыши на своем узле сервера ЦС и выберите «Резервное копирование ЦС» —> «Все задачи» —> «Резервное копирование ЦС».

  1. Откроется «Мастер резервного копирования центра сертификации». Нажмите «Далее», чтобы продолжить.
  2. В мастере «Элементы для резервного копирования» выберите «Закрытый ключ и сертификат ЦС» и «База данных сертификатов и журнал базы данных сертификатов». Обратите внимание на путь к файлу резервной копии, где вы будете сохранять резервную копию. Нажмите «Далее», чтобы продолжить.
  3. Укажите пароль для защиты закрытого ключа и файла сертификата ЦС. После ввода пароля нажмите «Далее», чтобы продолжить.
  4. Создайте резервную копию настроек регистрации ЦС с помощью regedit –> Пуск –> Запустите, введите regedit и нажмите «ОК».
  5. Разверните следующий ключевой путь HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc после раскрытия. Щелкните правой кнопкой мыши ключ «Конфигурация» и выберите «Экспорт».
  6. Укажите имя и место для сохранения файла резервной копии reg. Я предлагаю сохранить его в том же месте, что и пример резервной копии ЦС –> C:\CABackup
    Примечание. Файлы, которые в настоящее время должны находиться в вашем хранилище резервной копии,
    На данный момент у нас есть резервная копия вашего текущего CA, переместите их на новый сервер CA 2016 или на другой сервер, если новый сервер CA 2016 еще не создан.
  7. Удалить ЦС с существующего сервера 2008/2008 R2

    Поскольку теперь у нас есть резервная копия наших файлов CA и мы переместили их с текущего сервера CA 2008/2008 R2, пришло время удалить роль CA с существующего сервера CA.

    1. Откажитесь от диспетчера серверов и выберите «Удалить роли» в разделе «Роли» —> «Пуск» —> «Администрирование» —> «Диспетчер серверов»
    2. Нажмите «Далее» в мастере «Перед началом работы».
    3. На странице мастера «Удалить роли сервера» отмените выбор «Службы сертификатов Active Directory» и «Веб-сервер (IIS)» и нажмите «Далее». Обратите внимание, если вам по-прежнему требуется веб-сервер (IIS), оставьте его отмеченным
    4. На странице мастера «Подтвердить выбор удаления» вывод будет выглядеть примерно так, как показано на рисунке ниже, и может вызвать предупреждение: нажмите кнопку «Удалить». Обратите внимание: наберитесь терпения, этот процесс может занять некоторое время.
    5. На странице мастера "Результаты удаления" просмотрите сообщения, нажмите "Закрыть" и выполните перезагрузку сервера для завершения удаления.
    6. После перезагрузки сервера снова войдите в систему, и процесс удаления продолжится, после завершения нажмите кнопку «Закрыть», как показано на следующих трех изображениях.
    7. На этом этапе мы завершили удаление роли ЦС, следующим шагом будет установка и настройка служб ЦС Windows 2016. Если существующий сервер CA 2008/2008 R2 больше не нужен, рекомендуется удалить его из вашего домена и удалить сервер (если он виртуальный) или выключить питание, если он физический. ВАЖНОЕ ПРИМЕЧАНИЕ: новый сервер CA 2016 должен иметь то же имя компьютера, что и старый сервер CA 2008/2008 R2. В этом документе НЕ объясняется, как использовать другое имя для вашего нового сервера CA 2016.

      Установка служб сертификации Windows 2016

      Допущение. Новая виртуальная машина (предпочтительный вариант) или физический сервер версии 2016 подготовлены и присоединены к домену с тем же именем компьютера, что и ваш старый сервер CA 2008/2008 R2. Если возможно, повторно используйте тот же IP-адрес, что и старый сервер ЦС.

      Настройка AD CS

      **Важное примечание** Выполните указанные ниже действия от имени пользователя, входящего в группу AD «Администратор предприятия»

      1. Войдите на только что созданный сервер 2016 в качестве администратора предприятия и перейдите к диспетчеру серверов –> AD CS
      2. На правой панели появится сообщение «Требуется конфигурация для служб сертификатов Active Directory…». Нажмите «Дополнительно», как показано ниже.
      3. На странице мастера «Сведения о задачах и уведомлениях для всех серверов» нажмите «Настроить службу сертификатов Active Directory…». как показано ниже
      4. На странице мастера «Конфигурация ролей» вы можете изменить учетные данные, если вы уже вошли в систему как член «Администратора предприятия», а затем нажать «Далее», если не указать пользователя, который является членом Группа «Администратор предприятия»
      5. На странице мастера «Службы ролей» выберите «Центр сертификации» и «Веб-регистрация центра сертификации» и нажмите «Далее», как показано на изображении ниже.
      6. На странице мастера «Тип установки» выберите «Центр сертификации предприятия» и нажмите «Далее», как показано на изображении ниже.
      7. На странице мастера «Тип ЦС» выберите «Корневой ЦС» в качестве типа ЦС и нажмите «Далее», как показано на изображении ниже.
      8. На странице мастера "Закрытый ключ" выберите "Использовать существующий закрытый ключ" и "Выберите сертификат и используйте связанный с ним закрытый ключ", нажмите "Далее", как показано на изображении ниже.
      9. На странице мастера «Существующий сертификат» выберите «Импорт», как показано на изображении ниже.
      10. На странице мастера «Импорт существующего сертификата» выберите ключ, резервную копию которого мы создали в процессе резервного копирования (Резервное копирование базы данных центра сертификации Windows Server 2008/2008 R2 и ее конфигурации)
        с сервера Windows 2008/2008 R2 и укажите пароль, который мы использовали для шифрования ключа, и нажмите «ОК», как показано на изображении ниже
      11. После успешного импорта ключа выберите импортированный сертификат и нажмите «Далее», как показано на изображении ниже.
      12. На странице мастера «База данных сертификатов» укажите, где вы хотите хранить базу данных сертификатов, если вы не хотите принимать значения по умолчанию. В этом случае мы приняли значения по умолчанию, нажмите «Далее», как показано на изображении ниже.
      13. На странице мастера «Конфигурация» он предоставит вам обзор подтверждения конфигурации. Если вы удовлетворены, нажмите «Настроить», как показано на изображении ниже.
      14. На странице мастера «Результат» нажмите «Закрыть», так как установка завершена, как показано на изображении ниже.
      15. Восстановить базу данных сертификатов и ее конфигурацию

        1. Перейдите в Диспетчер серверов –> Инструменты –> Центр сертификации, как показано на рисунке ниже.
        2. В Центре сертификации щелкните правой кнопкой мыши узел сервера ЦС –> Все задачи –> Восстановить ЦС, как показано на рисунке ниже.
        3. В «Мастере восстановления центра сертификации» нажмите «ОК». Вам будет предложено остановить службы ADCS, как показано на изображении ниже.
        4. В окне «Добро пожаловать в мастер восстановления центра сертификации» нажмите «Далее», как показано на изображении ниже.
        5. На странице мастера «Элементы для восстановления» выберите «Закрытый ключ и сертификат ЦС» и «База данных сертификатов и журнал базы данных сертификатов». Перейдите к сохраненному местоположению резервных копий файлов, которые мы сделали ранее, и нажмите «Далее», как показано на изображении ниже.
        6. На странице мастера «Предоставить пароль» введите пароль, который вы использовали для шифрования файлов резервных копий, и нажмите «Далее», как показано на изображении ниже.
        7. На странице мастера «Завершение работы мастера восстановления центра сертификации» нажмите «Готово», чтобы завершить процесс импорта, как показано на рисунке ниже.
        8. После завершения восстановления вам будет предложено запустить ADCS, нажмите «Да», как показано на изображении ниже.
          Во время резервного копирования ЦС мы экспортировали ключ реестра; пришло время восстановить этот ключ. Выполните следующие действия, чтобы завершить восстановление раздела реестра.
        9. Перейдите к месту резервного копирования файлов резервных копий ЦС и дважды щелкните раздел реестра для импорта. В ответ на запрос «Вы уверены, что хотите продолжить?» нажмите «Да», как показано на изображении ниже
        10. После завершения импорта раздела реестра нажмите «ОК», как показано на изображении ниже.
        11. Перезапустите службы сертификации, остановив и запустив ЦС, перейдя к центру сертификации, щелкните правой кнопкой мыши узел сервера ЦС –> Все задачи –> Остановить службу, как показано на изображениях ниже.
        12. Мы завершили установку и восстановление сервера ЦС версии 2016. ПРИМЕЧАНИЕ. Вам потребуется повторно выпустить все используемые шаблоны сертификатов. Для этого откройте свой сервер CA, щелкните правой кнопкой мыши узел сервера CA -> Шаблоны сертификатов -> Создать -> Шаблон сертификата для выпуска, как показано на рисунке ниже. Если вы не видите свои шаблоны, это означает, что вы не перезапустили службы ЦС после импорта резервной копии раздела реестра.

          Перенести ключ центра сертификации от поставщика криптографических услуг (CSP) к поставщику хранилища ключей (KSP)

          Если вы установили корпоративный или автономный центр сертификации (ЦС), использующий поставщика служб криптографии (CSP), и хотите обновить свой ЦС для использования SHA2 (SHA256), вам необходимо перенести этот ключ в поставщика хранилища ключей (KSP). . Эта миграция позволит центру сертификации поддерживать новейший расширенный механизм хранения ключей и более надежные алгоритмы ключей и подписей.

          Как проверить, является ли мой ключ центра сертификации поставщиком криптографических услуг или поставщиком хранилища ключей (KSP)

          Изображение 1 Изображение 2

          Выполните следующие действия, чтобы продолжить перенос ключа центра сертификации с поставщика криптографических услуг (CSP) на поставщика хранилища ключей (KSP) для поддержки SHA2 (SHA256).

          1. Создайте резервную копию настроек центра сертификации с помощью PowerShell с повышенными правами. Введите следующую команду в PowerShell вместе с паролем, как показано на изображении ниже. *Примечание* вам будет предложено ввести пароль

          Backup-CARoleService –путь C:\CABackup\2016CABackup –Password (Read-Host –Prompt «Enter Password» -AsSecureString)

          1. Создайте резервную копию раздела реестра CertSvc, выполнив следующую команду в том же окне PowerShell, как показано на изображении ниже.

          reg export HKLM\SYSTEM\CurrentControlSet\services\CertSvc c:\CABackup\2016CABackup\CA-registry.reg

          1. Создайте резервную копию раздела реестра CertSvc, выполнив следующую команду в том же окне PowerShell, как показано на изображении ниже.
          2. Убедитесь, что теперь у вас есть два файла (.p12 и .reg) вместе с папкой базы данных в каталоге расположения резервных копий (например, 2016CABackup), как показано на рисунке ниже.
          3. Остановите службу сертификатов и экспортируйте выходной текстовый файл вашего хранилища ЦС, выполнив следующие команды, как показано на рисунке ниже. **ПРИМЕЧАНИЕ. YOUR-CA-Server — это имя ВАШЕГО ЦС**
            • Остановить службу certsvc
            • Certutil – сохраните мой ВАШ-CA-сервер >C:\output.txt

            1. С помощью приведенной ниже команды PowerShell импортируйте файл p12, резервную копию которого мы создали ранее. Вам будет предложено ввести пароль PFX, который вы установили ранее, как показано на изображении ниже.

            Certutil –csp «Поставщик хранилища ключей программного обеспечения Microsoft» –importpfx C:\CABackup\2016Backup\ИМЯ-ФАЙЛА-OF-THE-P12

            1. С помощью приведенной ниже команды PoweShell экспортируйте файл в формате PXF, введя приведенные ниже команды в административной оболочке PowerShell, и обратите внимание на папку, в которой он сохраняется. Обратите внимание, замените «Your_CA_Server_Node_Name» на имя вашего сервера CA, после ввода команды вам будет предложено «Ввести и подтвердить пароль»

            Certutil –exportpfx my YOUR_CA_Server_Node_Name C:\CABackup\Exported-YOUR_CA_Server_Node_Name.pfx

            1. С помощью приведенной ниже команды PowerShell восстановите ЦС из только что экспортированного PFX-файла, введя указанную ниже команду в административной оболочке PowerShell, как показано на рисунке ниже.

            Certutil – ключ восстановления C:\CABackup\Exported-YOUR_CA_Server_Node_Name.pfx

            1. Нам нужно импортировать пару файлов реестра. Обратите внимание, замените YOUR_CA_Server_Node_Name именем вашего ЦС. Откройте блокнот и вставьте следующее содержимое ниже и сохраните его как «CA-Registry-1.reg» (установите тип сохранения «Все файлы»), как показано на изображении ниже.

            Редактор реестра Windows версии 5.00

            [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\YOUR_CA_Server_Node_Name\CSP]

            "Provider"="Поставщик хранилища ключей программного обеспечения Microsoft"

            1. Создайте еще один файл реестра с именем «CA-Registry-2.reg» и вставьте приведенный ниже контент, заменив YOUR_CA_Server_Node_Name именем вашего ЦС, как показано на рисунке ниже.

            Редактор реестра Windows версии 5.00

            [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\ YOUR_CA_Server_Node_Name \EncryptionCSP]

            "Provider"="Поставщик хранилища ключей программного обеспечения Microsoft"

            Изображения импорта файла CA-Registry-2.reg

            На этом миграция ключа центра сертификации из поставщика служб криптографии (CSP) в поставщика хранилища ключей (KSP) завершена. В следующем разделе этого блога я объясню необходимые шаги, необходимые для изменения алгоритма хеширования на SHA2 (SHA256).

            Миграция с SHA1 на SHA2 (SHA256)

            В этом разделе этого руководства я покажу, как перенести текущий SHA1 на SHA2 (SHA256), что возможно только в том случае, если ваш ключ центра сертификации является поставщиком хранилища ключей (KSP).

            1. Измените алгоритм хеширования на SHA2 (SHA256) и запустите сервер ЦС, введя следующие команды в административной оболочке PowerShell, как показано на рисунке ниже
                • Сертификаты остановки сети
                • Certutil –setreg ca\csp\CNGHashAlgorithm SHA256
                • Net start certsvc

            1. Подтвердите, что ваш новый сертификат теперь использует SHA256, перейдя к своему ЦС и щелкнув правой кнопкой мыши узел сервера ЦС –> Свойства –> Общие
            1. Выпустите повторно все требуемые шаблоны сертификатов. Обратите внимание, что шаблоны сертификатов должны автоматически извлекать SHA256 в качестве хэша запроса, однако, если он не меняет алгоритм на что-то другое и повторно выбирает «RSA». Для этого перейдите в свой ЦС и щелкните правой кнопкой мыши «Шаблоны сертификатов» -> «Управление» -> «Выберите соответствующий шаблон» -> щелкните правой кнопкой мыши шаблон -> «Свойства» -> щелкните вкладку «Криптография». После изменения измените его обратно на «RSA», и «2048» теперь должно отображаться как минимальный размер ключа, как показано на изображении ниже.

            Обратите внимание: после изменения алгоритма шаблона сертификата, если шаблон сертификата отсутствует в списке, остановите и запустите службу ЦС.

            Заключение

            Я надеюсь, что эта запись в блоге помогла вам перенести существующий центр сертификации Microsoft с неподдерживаемой операционной системы на поддерживаемую операционную систему.

            Читайте также: