Сброс пароля Win 7

В этой статье я расскажу, как сбросить пароль учётной записи администратора (или создать новую) без использования дополнительных программ. Вам понадобится только установочный диск Windows 7 или диск восстановления системы. Этот способ следует применять, если стандартными способами сбросить пароль нет возможности, например когда утерян пароль от единственной учётной записи. О стандартных методах и о сбросе с помощью стороннего ПО читайте по ссылкам вдополнительных сведениях.

• Этап №1 - Настройка запуска командной строки перед экраном входа в Windows
• Этап №2 - Сброс пароля или создание нового пользователя, и вход в систему
• Как это работает?

Этап №1 - Настройка запуска командной строки перед экраном входа в Windows

1. Загрузитесь с установочного диска Windows 7 или с диска восстановления.
   Примечание. Если у Вас нет установочного диска или диска восстановления, но имеется LiveCD с Windows PE или на другом разделе жесткого диска установлена ещё одна Windows, Вы можете воспользоваться ими - переходите к пункту №3.
2. В окне выбора языковых параметров нажмите Далее ---> [только при загрузке с установочного диска] щелкните Восстановление системы---> Далее ---> Командная строка.
   
3. В командной строке наберите regedit и нажмите Enter. Откроется редактор реестра.
4. Выделите раздел HKEY_LOCAL_MACHINE, как показано на рисунке ниже. Затем из меню Файл выберите пункт Загрузить куст.
   
5. Перейдите на диск, где установлена Windows 7 (буква может отличаться от привычной С), и откройте файл:

   <буква_диска>:\Windows\System32\config\SYSTEM

   
   Примечание. В некоторых случаях диск с ОС может быть не виден среде восстановления, в этом случае на шаге 2 необходимо загрузить драйвер. Понадобится тот же драйвер, который использовался при установке ОС.
6. Введите произвольное имя для загружаемого раздела. В примере - 888.
   
7. Перейдите в раздел

   HKEY_LOCAL_MACHINE\888\Setup

   Затем щелкните два раза по параметру:
   • CmdLine, введите cmd.exe и нажмите ОК.
   • SetupType, замените 0 на 2 и нажмите ОК.
   
8. Выделите раздел 888 в HKEY_LOCAL_MACHINE, затем из меню Файл выберите пункт Выгрузить куст.
9. Извлеките установочный диск, закройте редактор реестра и командную строку, нажмите Перезагрузка в окне параметров восстановления.

Этап №2 - Сброс пароля или создание нового пользователя, и вход в систему

После перезагрузки продолжайте обычный вход в Windows 7. Перед входом в систему Вы увидите окно командной строки.

Сброс пароля

Для сброса пароля введите следующую команду и подтвердите её выполнение клавишей Enter:

net user имя_пользователя новый_пароль

Важно! Если имя или пароль содержат пробелы, вводите их в "кавычках".

На рисунке ниже для пользователя Adm7 задается пароль tL942G8dWp.

Если Вы забыли имя учетной записи, введите команду net user без параметров, чтобы отобразить все имеющиеся учётные записи.

Создание новой учётной записи

Если у вас нет ни одной учетной записи администратора, такую можно легко создать. Для этого последовательно введите приведенные ниже команды, нажимая после каждой клавишу Enter.

Для русской (локализованной) Windows:

net user имя_пользователя пароль /add
net localgroup Администраторы имя_пользователя /add
net localgroup Пользователи имя_пользователя /delete

Для английской Windows:

net user имя_пользователя пароль /add
net localgroup Administrators имя_пользователя /add
net localgroup Users имя_пользователя /delete

Команды последовательно выполняют следующие действия:

1. Создание нового пользователя.
2. Добавление пользователя в группу Администраторы (Administrators).
3. Удаление пользователя из группы Пользователи (Users).

Если Вы хотите установить для всех учетных записей бессрочное действие пароля, введите в конце команду:

net accounts /maxpwage:unlimited

По окончании ввода закройте окно командной строки.

Вход в систему

Теперь у Вас есть учетная запись с правами администратора и новым паролем. Просто выберите пользователя и выполните вход в Windows:

Как это работает?

Для изменения параметров пользователей необходим доступ к панели управления Windows или командной строке, запущенной с правами администратора из Windows. Поскольку вход в систему заблокирован, изменения надо произвести до входа.

Для этого на первом этапе мы входим в редактор реестра среды восстановления и подгружаем в него часть реестра (куст) установленной Windows 7. С помощью параметра SetupType мы указываем, что перед следующим входом в Windows надо выполнить команду из параметра CmdLine, а вCmdLine указываем командную строку (cmd.exe). Эти параметры изначально предназначены для выполнения административных задач во время автоматической установки Windows, но мы их используем в своих целях. После этого куст реестра выгружается и компьютер отправляется на перезагрузку. Дальше всё просто - в появившемся окне командной строки производим необходимые операции с пользователями и входим в Windows.

Приятного использования!

Задействование нового сертификата для CAS и HT

Сервера Exchange активно используют в своей работе цифровые сертификаты. Сертификаты используются для различных служб в Exchange: службы IIS, POP/IMAP, SMTP.

При установке Exchange 2010 автоматически настраивается самозаверяющий сертификат. Самозаверяющий сертификат позволяет некоторым клиентским протоколам использовать при передаче данных протокол SSL.

Созданный при установке самозаверяющий сертификат содержит лишь имя сервера, на котором выполняется установка Exchange, поэтому для удобства использования различными службами и установки сертификата на другие сервера Exchange, необходимо сгенерировать другой сертификат.

Для удобства использования и упрощения администрирования необходимо сгенерировать один сертификат включающий  множество имен серверов, который будет использован для всех служб развернутых серверов Exchange.

Запрос должен быть следующий:

New-ExchangeCertificate -privatekeyExportable:$true -SubjectName "CN=mail.BLA-BLA.ua, O=BLA-BLA, C=UA" -DomainName mail.bla-bla.ua, exh3-kv-0.bla-bla.ua.loc, exh3-kv-0, bla-bla.ua, bla-bla.ua.loc, bla.bla-bla.ua.loc, autodiscover.bla-bla.ua-GenerateRequest:$True -Keysize 2048 -FriendlyName "BLA-BLA Exchange 2010"

Сертификат необходимо установить на CAS сервера Exchange 2010.

Для установки сертификата, который выдан центром сертификации, необходимо выполнить следующие шаги наEXH20-KV-0 и EXH21-KV-0:

1. Скопировать сертификат на сервер Exchange 2010.

2. Используя Exchange Management Shell выполнить следующую команду:

Import-ExchangeCertificate -Path c:\certificates\import.pfx -Password:(Get-Credential).password

3.Задействовать импортированный сертификат для служб Exchange Server:

Enable-ExchangeCertificate –Thumbprint “94JJ9478HRY6R6RRH63211NJ1NN74BYY8F4H67B7” –Services IIS,SMTP,POP,IMAP

Параметры сертификата импортированного на сервера EXH20-KV-0 EXH21-KV-0

Параметр	Значение
CertificateDomains	mail.bla-bla.ua, exh3-kv-0.bla-bla.ua.loc, exh3-kv-0, exh1-kv-0.bla-bla.ua.loc, exh1-kv-0, bla-bla.ua, bla-bla.ua.loc, bla-bla.bla-bla.ua.loc, mail-bla.bla-bla.ua, autodiscover.bla-bla.ua
HasPrivateKey	True
IsSelfSigned	False
Issuer	CN=bla-bla-DC11-KV-0-CA, DC=bla-bla, DC=ua, DC=loc
NotAfter	15.05.2013 13:18:46
NotBefore	16.05.2011 13:18:46
PublicKeySize	2048
RootCAType	Enterprise
SerialNumber	1234560D000000001234
Services	IMAP, POP, IIS, SMTP
Status	Valid
Subject	CN=mail.bla-bla.ua, O=BLA-BLA, C=UA
Thumbprint	94JJ9478HRY6R6RRH63211NJ1NN74BYY8F4H67B7

14.05.2013 необходимо повторно провести работы по задействованию нового сертификата для CAS и HT, поскольку  15.05.2013 истекает время действительности сертификата с отпечатком «94JJ9478HRY6R6RRH63211NJ1NN74BYY8F4H67B7».   

Ресурсные почтовые ящики в Exchange 2010 - бронирование

Помощник по ведению календаря
Помощник по ведению календаря (Calendar Assistant) обрабатывает поступающие приглашения на собрания, в результате чего собрания автоматически помещаются в календарь ресурсного почтового ящика. У обычных почтовых ящиков параметры помощника по ведению календаря настраиваются через графическую консоль управления на вкладке Параметры календаря. К сожалению, у ресурсных почтовых ящиков подобной вкладки нет, следовательно, в случае необходимости, придется настраивать параметры этого помощника через командную консоль управления. Могут быть выполнены следующие настройки:

· Включить/отключить помощник по ведению календаря. По умолчанию помощник по ведению календаря включен. Выключить его можно командой:
Set-CalendarProcessing –Identity "Room01" -AutomateProcessing None

Когда помощник по ведению календаря включен, становятся доступны следующие параметры:

· Удалять уведомления о переадресации собрания в папку "Удаленные". Уведомления о переадресации собрания после обработки помощником по ведению календаря перемещаются в папку «Удаленные». Этот параметр по умолчанию отключен. Включить его можно командой:
Set-CalendarProcessing –Identity "Room01" -RemoveForwardedMeetingNotifications $True

· Удалять устаревшие приглашения на собрания и ответы. Помощник по ведению календаря удаляет старые и избыточные изменения и ответы. Этот параметр по умолчанию включен. Отключить его можно командой:
Set-CalendarProcessing –Identity "Room01" –RemoveOldMeetingMessages $False

· Пометить новые приглашения на собрания как "Под вопросом". Если это свойство активно, входящие приглашения на собрания помечаются в календаре как «Под вопросом». Если отключено, то ожидающие запросы помечаются как «Свободен». Этот параметр по умолчанию включен. Отключить его можно командой:
Set-CalendarProcessing –Identity "Room01" –AddNewRequestsTentatively $False

· Обработать приглашения на встречу и ответы, созданные за пределами организации Exchange. Если этот параметр включен, то помощник по ведению календаря будет обрабатывать приглашения на собрания, поступившие извне организации Exchange. По умолчанию этот параметр отключен. Включить его можно командой:
Set-CalendarProcessing –Identity "Room01" –ProcessExternalMeetingMessages $False

Помощник по резервированию ресурсов
Помощник по резервированию ресурсов (Resource Booking Attendant) – это агент, позволяющий автоматически принимать или отклонять запросы на резервирование ресурсов на основе установленной для этих ресурсов политики. Как включается помощник по резервированию ресурсов через графический интерфейс Exchange, показано в прошлой части статьи на рис.3, но аналогичное действие можно выполнить и через командную консоль управления:

Set-CalendarProcessing "Room01" -AutomateProcessing AutoAccept

Примечание: Если помощник по резервированию ресурсов выключен, делегат почтового ящика ресурса должен самостоятельно принимать или отклонять все запросы. О делегатах поговорим чуть далее.

Состояние обоих помощников
Если вы обратите внимание на команды, управляющие состоянием помощников, то заметите, что оно управляется параметром календаря AutomateProcessing. Данный параметр может принимать три значения:

· None - Если значение этого параметра равно None, помощник по резервированию ресурсов и помощник по ведению календаря в этом почтовом ящике будут отключены;
· AutoUpdate (по умолчанию) - Если значение равно AutoUpdate, помощник по ведению календаря включен и он будет обрабатывать приглашения на собрания и ответы, а помощник по резервированию ресурсов будет отключен. Это рекомендуемая настройка;
· AutoAccept - Если значение этого параметра равно AutoAccept, помощник по резервированию ресурсов и помощник по ведению календаря в этом почтовом ящике будут включены. Это означает, что помощник по ведению календаря будет обновлять календарь, а затем помощник по резервированию ресурсов будет принимать приглашения на собрания на основе политики.
Политика ресурса
Как мы уже говорили ранее, помощник по резервированию ресурсов работает на основе политики, примененной к конкретным ресурсам. Политики для ресурсных почтовых ящиков настраиваются на нескольких вкладках:

Вкладка Политика ресурса

Начнем с вкладки Политика ресурса (Resource Policy) (рис.1). Здесь определяются основные параметры для помощника по резервированию ресурсов, такие как:

· Доступность резервирования в нерабочее время;
· Максимальная продолжительность резервирования;
· Возможность создавать повторяющиеся события, например, резервировать помещение на определенное время для еженедельных собраний;
· Запрет резервирования ресурса на определенное время;
· Параметры разрешения конфликтов в случае наложения по времени одного запроса на другой;
· Определяется список делегатов для данного ящика.

Рис.1: Вкладка Политика ресурса у ресурсного почтового ящика.

Делегаты используются для управления параметрами планирования. Делегаты в ручном режиме могут утверждать или отклонять приглашения, отправленные на ресурсный почтовый ящик.

Кроме этого, можно самостоятельно наделить определенного сотрудника правом управления ресурсным почтовым ящиком, для этого ему просто необходимо дать полный доступ к этому ящику. Делается это точно также, как и для обычного почтового ящика через графическую консоль управления, либо командой:

Add-MailboxPermission –User “User1” –Identity “Room01” –AccessRights FullAccess

Вкладка Сведения о ресурсе

На вкладке Сведения о ресурсе (Resource Information) (рис.2), администратор может указать какая именно информация, поступающая вместе с запросом на бронирование, должна сохраняться в почтовом ящике, а какая – нет.

Дело в том, что при назначении совещания, к запросу может быть прикреплена конфиденциальная информация не только в виде темы собрания и основного текста, но и в виде вложений и других элементов. Сотрудники организации видеть эти данные не должны, по этому можно сделать так, чтобы все лишнее удалялось из ресурсного почтового ящика в момент поступления запроса. Кроме того, ресурсный почтовый ящик имеет стандартный SMTP адрес, следовательно, он может получать обычные письма. Это также не желательно и установив галочку в поле Удалять некалендарные элемента (Delete non- calendar items) вы проинструктируете Exchange удалять всю информацию, приходящую в ресурсный почтовый ящик, за исключением той, которая относятся к календарю.

Рис.2: Вкладка Сведения о ресурсе у ресурсного почтового ящика.

На этой вкладке также можно ввести текст, который будет добавлен в сообщения с подтверждением, либо отклонением резервирования. Этот текст может быть использован для более детального описания самого ресурса и добавляется он в начало основной части сообщения.

Соответствие запроса политике

Помощник по резервированию принимает решение о дальнейшей судьбе пришедшего запроса основываясь на политике, соответственно все запросы можно разделить на два типа и обрабатывать по-своему:

· Запросы, соответствующие политике — не противоречат ни одному из параметров планирования ресурса;
· Запросы, нарушающие политику — противоречат одному или нескольким параметрам планирования ресурса.
Поведение помощника по резервированию ресурса конфигурируется для каждой из категорий отдельно на двух разных вкладках — Запросы, соответствующие политике ресурса (Resource In- Policy Requests) и Запросы, не соответствующие политике ресурса (Resource Out- of- Policy Requests) (рис.3):

Рис.3: Конфигурирование поведения помощника по резервированию ресурса относительно политики резервирования.

На вкладке Запросы, соответствующие политике ресурса указывается набор пользователе, запросы от которых будут утверждаться автоматически и набор пользователей, утверждение запросов которых требует вмешательства делегата.

На вкладке Запросы, не соответствующие политике ресурса заполняется список пользователей, которым разрешено отправлять запросы, не соответствующие политике. Подобные запросы отклонены не будут, но при этом, в любом случае, потребуется вмешательство делегата. Рекомендуется указывать здесь пользователей, наделенных особыми привилегиями, например руководителей компании, либо руководителей подразделений.

Сценарий использования
В качестве итога ко всему выше сказанному, я хотел бы сформулировать три, на мой взгляд, наиболее общих варианта использования данной технологии на практике. Основаны эти варианты будут именно на конфигурации автоматического резервирования.

Можно настроить ресурсный почтовый ящик так, чтобы:

· Ресурс бронировался автоматически;
· Запрос на бронирование пересылался бы делегату;
· Требовалось бы подключение делегата к ресурсному почтовому ящику, с целью обработки запросов в ручном режиме.
Для разных типов ресурсов настройки будут различными, все завит от предъявляемых требований, администратору нужно лишь знать о существовании описанных выше возможностей, а уж применить их через удобный графический интерфейс не составит большого труда.

Ресурсные почтовые ящики в Exchange 2010 - общие параметры

Создание ресурсного ящика
Создаются ресурсные почтовые ящики также просто, как и обычные. При помощи графической консоли нужно перейдя в настройки получателей – Почтовый ящик – Создать почтовый ящик… - выбрать Почтовый ящик места или Почтовый ящик оборудования.

Рис.1: Создание ресурсного почтового ящика через Exchange Management Console.

Далее просто следуя подсказкам мастера указать необходимые данные.

Аналогичное действие можно выполнить и при помощи командной консоли Exchange (EMS). Для почтового ящика места используется параметр –Room, следующим образом:

New-Mailbox -Database "YourDB" -Name Room01 -OrganizationalUnit "Rooms" -DisplayName "Room1" -UserPrincipalName Room01@test.local –Room

А для почтового ящика оборудования - параметр — Equipment:

New-Mailbox -Database " YourDB" -Name Pjector01 -OrganizationalUnit "Equipment" -DisplayName " Pjector01" -UserPrincipalName Pjector01@test.local –Equipment

Примечание: Рекомендуется выделить для ресурсных почтовых ящиков отдельные Organizational Unit (OU) в Active Directory.

Список всех имеющихся ресурсных почтовых ящиков можно получить следующим образом:

Get-Mailbox –Filter {(ResourceType –eq ‘Room’) -or (ResourceType –eq ‘Equipment’)} | FT Name, ResourceType

Если же мы теперь взглянем на свойства этих ящиков через графическую консоль управления Exchange (EMC), то заметим, что у них есть значительные отличия по сравнению с обычными почтовыми ящиками (рис.2).

Рис.2: Сравнение почтового свойств ящика ресурса и обычного почтового ящика.

Далее, давайте более детально рассмотрим специфические свойства этого типа ящиков.

Для описания параметров, я предлагаю пройтись по вкладкам окна свойств ресурсных почтовых ящиков, и начать стоит с вкладки «Общие параметры ресурса».

Общие параметры ресурса
Первое свойство, о котором я хотел бы рассказать – это Емкость ресурса (Resource Capacity) (рис.3).

Рис.3: Редактирование общих параметров ресурсов.

Как не трудно догадаться из названия, используется он для того, чтобы указать, каким количеством людей данный ресурс может быть использован в одно время. Здесь можно указать вместимость переговорных комнат, автомобилей и т.п... При этом информация о емкости ресурса доступна при его выборе из адресной книги в MS Outlook во время его бронирования (рис.4).

Примечание: Процесс бронирования ресурсов при помощи M Outlook 2010 был детально расписан в одной из предыдущих статей, а о том, как это происходит с точки зрения сервера, мы поговорим чуть далее.

Рис.4: Информация о емкости ресурса в MS Outlook.

Нужно знать, что данный параметр также используется помощником по резервированию ресурсов (Resource Booking Attendant) для автоматического выбора наиболее подходящих ресурсов. О том, как работает помощник по резервированию ресурсов, мы поговорим во второй части статьи, а здесь важно не забыть его включить, установив соответствующую галочку (см. рис.3).

Кроме этого, на вкладке Общие параметры ресурса, вы можете указать дополнительные свойства. Например, уточнить, что переговорная оснащена ТВ-аппаратурой, телефоном и т.п., автомобиль – кондиционером… К сожалению, создать список дополнительных свойств для ресурсных почтовых ящиков через графические консоли управления Exchange нельзя. Это можно сделать только путем изменения конфигурации ресурсов организации Exchange при помощи командлета Set- ResourceConfig и параметра –ResourcePropertySchema.

Set-ResourceConfig –ResourcePropertySchema (“Room/TV”, “Room/Tel”, “Equipment/Conditioner”)

Рис.5: Создание списка дополнительных параметров ресурсных почтовых ящиков.

В данном случае, для указания свойств почтовых ящиков места, используется суффикс Room/, а для почтовых ящиков оборудования – Equipment/. Впоследствии, при редактировании разных типов ресурсных почтовых ящиков будет доступен только соответствующий им набор параметров, см. рис.3.

Примечание: Не допускается использовать знаки пробелов при указании дополнительных свойств.

Обновлять данный список параметров нельзя, возможно его только полностью пересоздавать! Для этого можно воспользоваться следующей конструкцией:

$CurrentConfig = Get-ResourceConfig


$CurrentConfig.ResourcePropertySchema+="Room/Window"


Set-ResourceConfig –ResourcePropertySchema $CurrentConfig.ResourcePropertySchema

Установить дополнительные параметры ресурсным почтовым ящикам можно через графическую консоль управления, как показано на рис.3, либо воспользоваться PowerShell следующим образом:

Set-Mailbox –Identity “Room02” –ResourceCustom (“TV”, “Tel”)

Open pelay

 Открыть SMTP для отправки всем подряд, например, когда есть сервисы внутри организации для отправки различных отчетов, прайсов.

Спасает положение вот такая вот строка:

Get-ReceiveConnector "Receive Connector Name" | Add-ADPermission -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"
________________________
дополнительно:

Get-ReceiveConnector "Receive Connector Name" | Get-ADPermission -user "NT AUTHORITY\Anonymous Logon" |where {$_.ExtendedRights -like "ms-exch-smtp-accept-authoritative-domain-sender"}

Все, что вы хотели знать о DPM 2010 Bare Metal Recovery, но боялись спросить (часть 1)

В жизненном цикле любого сервера, будь это многопроцессорный монстр – сердце основных бизнес-процессов компании, или маленький «самосбор», хранящий тщательно собранные сезоны любимого сериала, в результате неудачно сложившихся обстоятельств может настать момент отказа оборудования или полного краха операционной системы. Несмотря на возможное присутствие кластерных технологий и хранение копий файлов на дополнительных носителях, подобные аварии могут изрядно подпортить настроение и отнять несколько часов на ликвидацию последствий. Использование возможностей Data Protection Manager для защиты и восстановления исходного состояния системы – Bare Metal Recovery позволяет минимизировать негативные последствия таких событий. В этой статье мы рассмотрим подробно принцип работы BMR, а так же  – как и что именно данная технология защищает.
В Data Protection Manager (DPM) различаются два вида защиты системной информации –защита состояния системы (System State) и защита восстановления исходного состояния системы (Bare Metal Recovery, BMR, альтернативное название – Disaster Recovery, но, применительно к DPM, данное название закрепилось за другой технологией). Согласно определению Microsoft, Bare Metal Recovery – это процесс восстановления компьютера после катастрофического отказа. Для реализации данных видов защиты DPM 2010 использует компонент операционной системы – систему архивации данных Windows Server (Windows Server Backup, WSB). Точнее, для архивации состояния системы и BMR на серверах Windows 2008 и Windows 2008 R2 используется WSB, для архивации только состояния системы на серверах Windows 2003 используется утилита NTbackup. А как же остальные операционные системы? Ответ суров – BMR для них в DPM 2010 не поддерживается. С выходом DPM 2010 в перечень неподдерживаемых конфигураций для BMR попали:

• Windows Server 2003 (только состояние системы);
• весь спектр клиентских операционных систем – от Windows XP до Windows 7;
• сервер DPM 2010 не может обеспечить защиту BMR для самого себя (только состояние системы);
• невозможна архивация BMR сразу на ленту (возможен только вариант с краткосрочной архивацией на диск, долгосрочной на ленту).

Оставим в стороне разговоры о тонкой грани между маркетингом и техническими ограничениями в реализации BMR для Windows 7 и рассмотрим различия между двумя упомянутыми видами защиты. Защита состояния системы включает в себя создание резервных копий следующих компонентов:

• реестр (набор файлов реестра default, sam, security, software, system, shema.dat, components из %windir%\System32\Config);
• база данных регистрации классов COM+ (все файлы из папки %windir%\Registration);
• регистрационная и лицензионная информация операционной системы (файлы *.GUID из папки %windir%\System32 + все файлы из папок %SystemDrive%\ProgramData\Microsoft\Crypto\RSA\MachineKeys\ и %windir%\System32\Microsoft\Protect)
• объекты WMI (все файлы из папки %windir%\System32\wbem\repository);
• загрузочные файлы, в том числе системные файлы (Boot.ini, NDTLDR, NTDetect.com и т.д.);
• база данных служб сертификации (CA), при условии, что данный сервер является сервером CA (файлы CAName.p12 – сертификат и закрытый ключ CA, certbkxp.dat – информация о расположении базы данных CA и файлов журнала, CAName.edb – база данных CA, edb*.log – журналы транзакций CA);
• служба каталогов Active Directory, при условии, что данный сервер является контроллером домена (содержимое папки %SystemRoot%\NTDS: Ntds.dit – база данных AD, edb.chk – файл контрольных точек, edb*.log – журналы транзакций);
• содержимое директории SYSVOL, при условии, что данный сервер является контроллером домена;
• информация кластерных служб, если сервер является узлом кластера (файл %windir%\Cluster\CLUSDB);
• метакаталог IIS, если установлены службы IIS (файлы %windir%\System32\inetsrv\MetaBase.xml и MBSchema.xml);
• защищенные системные файлы Windows (все установленные статические файлы, идентифицируются атрибутом writeabletype = «static» или «» в манифесте компонента + содержимое папки %windir%\WinSxS + все файлы PnP для установленных драйверов PnP + все службы и не PnP драйверы пользовательского режима + все каталоги управляемые CryptSvc);
• служба DHCP, если установлена (файлы базы данных dhcp.mdb, dhcp.pat, журнала j*.log, контрольных точек j*.chk из папки %windir%\System32\dhcp + файл конфигурации DhcpCfg);
• служба WINS, если установлена (структура аналогична DHCP, только без файла конфигурации);
• задания планировщика Windows Scheduler (все файлы из папки %windir%\System32\Tasks и %windir%\Tasks);
• счетчики производительности Performance Counters (файлы Prf*.dat и Perf*.dat из папки %windir%\System32).

В различных версиях операционной системы содержимое архива состояния системы может незначительно изменяться в сравнении с вышеизложенным, но основные моменты постоянны. И можно не забивать себе голову тонкостями его состава, т.к. актуализацией перечня входящих в него файлов занимаются специальные модули службы теневого копирования томов (Volume Shadow Copy Service, VSS) – VSS writers. Теперь взглянем на состав данных для защиты исходного состояния системы:

• все пункты, указанные в составе состояния системы;
• все содержание критических томов (том является критическим, если он содержит любой компонент данных состояния системы).

Всего из двух названных пунктов можно сделать множество выводов:

1. Если, например, папка SYSVOL будет расположена на томе с терабайтами пользовательской информации, вы получите многотерабайтный архив BMR. Старайтесь держать всю системную информацию на отдельных томах.
2. Невозможно защищать BMR без состояния системы.
3. Данные состояния системы можно восстановить из BMR отдельно.
4. При восстановлении из архива BMR приложения, расположенные на критических томах будут так же восстановлены и работоспособны.
5. Базы данных и аналогичные, жизненно необходимые для приложений компоненты, хранящиеся на отдельных от критических томов разделах, не войдут в состав BMR. Их необходимо защищать отдельно.
6. На сервере с защитой BMR нет никакой необходимости для защиты каких-либо файлов и папок на системном и загрузочном дисках (обычно это диск C). Вы всегда сможете восстановить эти файлы из архива BMR.
7. С помощью BMR можно восстановить сервер на отличную от оригинальной аппаратную платформу.

В случае каких-либо сомнений о составе BMR узнать точно – что именно в каждом конкретном случае войдет в архив можно выполнив из консоли с административными правами команду:

wbadmin.exe start backup -allcritical -quiet -backuptarget:%1

Путь для создания архива %1 приведет к ошибке, но на экран будет выведен перечень разделов для создания резервной копии. В данном случае в архив планируется  включить том Зарезервировано системой и C:. Правда, тут так же есть тонкость – по словам специалистов из команды поддержки DPM на TechNet EN том Зарезервировано системойисключен из состава данных BMR для DPM 2010.

Теперь, прояснив вопросы состава архива, взглянем на процедуру создания группы защиты включающей BMR. Запускаем мастер выбором действия Создать группу защиты… Пропустив страницу приветствия, мы видим окно выбора типов защиты.

Защита BMR для клиентов в DPM пока не существует, поэтому выбираем Серверы и следуем Далее. В окне выбора элементов группы необходимо отметить System Protection для всех серверов, архив BMR которых необходим для восстановления в случае сбоя. Напомню, что невозможно защищать BMR без Состояния системы, и в этом варианте у вас будут отмечены оба элемента – Bare Metal Recovery и System State. Для серверов, которым достаточно защиты только Состояния Системы, нужно отметить элемент System State.

Хотя в примере я выбираю один защищаемый компьютер, группа защиты может включать множество серверов с System Protection. В следующем окне мастера назначаем Имя группы защиты и выбираем Метод защиты Диск или Лента, либо оба варианта.

В моем тестовом стенде пока отсутствует ленточная библиотека, поэтому выбор тут один – диск . В следующем окне необходимо определиться с Диапазоном хранения и расписанием Быстрой полной архивации.

В дальнейшем, именно на указанные временные отметки и будут доступны архивы BMR. В следующем окне происходит Проверка выделения места на диске.

Забавная ошибка/опечатка как бы торопит нас своим побудительным наклонением –Измени, быстрее, то, что я тут насчитал, пока никто не увидел.

В документации DPM 2010 честно сказано, что при защите BMR он не затрудняет себя точным подсчетом необходимого места. Если быть  объективным, DPM вообще, без прямого указания администратора, подсчетами необходимого для архивов места себя не утруждает. Поэтому не пугайтесь, когда он потребует от вас докинуть сверху терабайт дискового пула к выделенным для защиты 100 ГБ данных. Методику и лучшие практики выделения дискового пространства для архивов DPM мы рассмотрим в отдельной статье, а для BMR получаем следующую раскладку:

объем необходимого места для реплики = объем загрузочного диска + объем системного диска + объемы всех критических томов

DPM автоматически выделит 30 Гб для реплики, и администратор должен отрегулировать размер самостоятельно, опираясь на указанную выше формулу.

При защите BMR, все входящие в архив данные копируются напрямую в раздел реплики на сервере DPM. И только при явной защите одного Состояния Системы, без BMR, данные архивируются на защищаемом сервере локально и затем копируются в папку реплики на сервере DPM. Это накладывает требование на тома защищаемого сервера – хотя бы на одном из них должно быть 15 Гб свободного места для хранения Состояния системы. 15 Гб является официальной рекомендацией, на практике же я не встречал архива более 10 Гб.

При создании группы защиты DPM 2010 автоматически определяет место храненияСостояния системы на томе с наибольшим объемом свободного места. В производственной среде на серверах приложений всегда проверяйте, где DPM собрался хранить архив, т.к. он может оказаться на любом диске, даже на общем кластерном, что может привести к проблемам функционирования ваших систем. Вы всегда можете изменить место хранения архива Состояния системы, открыв на защищаемом  сервере файл

C:\Program Files\Microsoft Data Protection Manager\DPM\Datasources\PSDataSourceConfig.xml

и изменив букву раздела в строке <FilesToProtect>. Изменяйте только букву диска. АрхивСостояния системы должен находиться в папке WindowsImageBackup в корневом каталоге.

Таким образом, при использовании DPM, защита BMR, в отличие от защиты System State, не накладывает каких-либо особых требований к дисковому пространству защищаемого сервера.

Возвращаемся к мастеру создания группы защиты. После подсчетов необходимого дискового пространства, вы можете активировать опцию Автоматически увеличивать размер томов. Это позволит процессу защиты данных не прерываться, если вы ошиблись в расчетах размеров томов, и выделенное место закончилось.

В следующем окне производим Выбор метода создания реплики.

Возможны варианты автоматического создания сейчас или по расписанию в часы пониженной нагрузки. А так же, существует метод создания реплики больших объемов данных вручную. Этот вариант мы обсудим в отдельной заметке.

Далее мы видим окно Параметры проверки согласованности.

Суть этого процесса в поблочном сравнении источника данных с репликой на стороне DPM сервера с целью убедиться в идентичности данных. Мастер предупреждает, что выполнение проверки согласованности требует дополнительных ресурсов как на стороне защищаемого сервера, так и на стороне DPM. Если следовать общим рекомендациям, при защите BMR можно оставить настройку по умолчанию Выполнять проверку согласованности, если реплика оказывается несогласованной.

В принципе, группа защиты готова. Остается только проверить данные в окне Сводка, где отображены элементы и параметры группы защиты. Жмем Создать группу, и дальше сервер DPM выполнит работу сам.

Вернемся к составу архива. Если уж я взялся собрать всю информацию по BMR, то здесь должен быть отражен способ включить в архив BMR не критические тома. Впервые метод описан в блоге Robert & DPM. Итак, для включения произвольного тома в архив BMR необходимо найти файл

C:\Program Files\Microsoft Data Protection Manager\DPM\bin\Bmrbackup.cmd

Данный файл сценария содержит вызов программы wbadmin.exe с ключом -allcritical

start /WAIT %SystemRoot%\system32\wbadmin.exe start backup -allcritical -quiet -backuptarget:%1

Именно так, простым вызовом программы архивации Windows, DPM решает задачу создания архива BMR. Для добавления произвольного тома в архив BMR нужно дописать в строку вызова параметр -include:буква тома: что для диска D будет выглядеть следующим образом:

start /WAIT %SystemRoot%\system32\wbadmin.exe start backup -allcritical -include:D: -quiet -backuptarget:%1

При добавлении томов к архиву не забывайте учитывать их размер при выделении дискового пространства в пуле DPM сервера. И еще один момент – DPM позволяет свободно защищать Состояние Системы или BMR в одной группе защиты, а системный диск C – в другой. Это дает администратору дополнительное пространство для планирования схем резервного копирования.

На этом я заканчиваю первую часть этой порядком разросшейся статьи. В следующей части я подробно опишу процесс восстановления сервера из архива BMR.