Как использовать Теневые копии
Порой сталкиваешься на рабочем месте, что к тебе как к системному администратору обращается пользователь с просьбой восстановить файл который он редактировал весь день, а потом вернулся к рабочему месту, но весь его труд утерян. Да, на его совести тот момент если он отошел от своего компьютера и не заблокировал вручную экран (приучаю нажимать сочетание клавиш: Win + L), а таймаут выставленный групповой политикой еще не активировался. Использовать такую отговорку, что можно восстановить файл(ы) только из вчерашнего бекапа — ну это не профессионализм. Вот в этом случае каждый системный администратор должен совершенствоваться и знать, что система Windows имеет такую важную настройку как использование «Теневых копий».
За основу функции/настройки теневого копирования отвечает служба теневого копирования (Volume Shadow Copies, VSS). Служба VSS применяется ко всему логическому диску и создаем снимок всех находящихся на нем файлов. После через запланированные промежутки времени отслеживает изменения и снова создает снимок.
Покажу на примере, как такая настройка «Теневые копии» включается и что она дает обычному пользователю.
Есть файловый сервер под управлением Windows Server 2016 Standard (на заметку: настройка «Теневые копии» работает и на Server 2008 R2,Server 2012/R2).
На заметку: логический диск с общими папками должен располагаться не на системном диске и не на диске с бекапами — это мое мнение.
На заметку: при использовании настройки «Теневые копии» следует под общие папки (файловый ресурс) заложить большой логический диск для хранения снимков. Если используется система виртуализации Hyper-V или ESXi то проблем с его расширением быть не должно и отрепетирована процедура его расширения.
На логическом диске D: создана папка с именем fileserver и настроена как общая с отключенным наследованием.
Запускаю оснастку «Управление компьютером»:
Win + R → control.exe — Просмотр: Категория — Мелкие значки — «Администрирование» — «Управление компьютером» — «Служебные программы» — и на «Общие папки» через правый клик мышью выбираю «Все задачи» — «Настроить теневые копии», выделяю том, в моем случае том D:\ и нажимаю «Настроить».
В данных настройках задается максимальный размер использования теневой копии, но не менее 300 МБ. По умолчанию хранилище теневых копий занимает 10 % от размера диска, а в снимках хранятся только изменения, а не сами изменившиеся файлы. Если места не достаточно, то при создании нового снимка старые снимки удаляют.
Как выбрать какой размер задать, прикинем, всего файлов под файловый ресурс 50 Gb, то я бы выбрал 50% от размера диска или: Максимальный размер: => не ограничен.
После нажимаю «Расписание» чтобы указать как часто будут делаться теневые копии. Если обратить внимание на рекомендацию, то не следует указывать создание одной теневой копии в час, вот только здесь уже каждый системный администратор должен все правильно взвесить как отразится потеря данных на продуктивной работе организации. Т.к. у меня жесткий диск под 2Tb, а данных всего 500Gb, то я делаю под себя следующее расписание:
Нажимаю «Дополнительно…»
- Дата начала: текущая дата
- Повторять задание: отмечаю галочкой
- Каждые: 2 часа
- Выполнять: в течение: 10 час
и получается расписание: Каждые 2 часа с 09.00 по 10 час начиная с текущей даты и каждый день.
В процессе эксплуатации я подкорректирую данное расписание.
и нажимаю кнопку Ok окна настройки расписания для тома D:\ — кнопку OK окна «Параметры» и выделив том D:\ нажимаю «Создать» тем самым создаю теневую копию текущего диска.
Из представленного выше скриншота видно, что текущий снимок занимаем целых 2.5G, так что об выделяемом размере под теневые копии каждый должен смотреть самостоятельно.
Также функцию теневые копии можно включить если перейти из оснастки «Управление компьютером» — «Запоминающие устройства» — «Управление дисками» — через правый клик по тому D: вызвать «Свойства» и перейдя во вкладку «Теневые копии».
Если сымитировать добавление файлов и последующее нажатие создания снимка можно будет видеть как изменяется размер и количество теневые копий в оснастке тома:
Итак копии имеются, объясняю пользователю что он может сделать сам на своем рабочем месте если что-то у него пропало.
Под Windows 10 Pro:
Шаг №1: Перейти на файловый ресурс
Шаг №2: По каталогу (или по файлу) внутри которого располагаются его файлы нажать на нем через правый клик мышью перейти на меню «Восстановить прежнюю версию» после чего на вкладку «Предыдущие версии».
Шаг №3: Тут он увидит сделанные снимки и открывая последний ориентируясь на дату и время будут открываться экраны с файлами/или файл за указанный временной промежуток при нажатии на кнопку «Открыть» или через правый клик мышью по нему «Изменить» ту версию где результаты его работы самые последние.
Шаг №4: После чтобы его восстановить нужно либо когда файл найден и открыт сделать «Файл» — «Сохранить как» и сохранить в ту директорию где он был затерев не актуальный или же нажать кнопку «Восстановить» и воспользоваться мастером восстановления:
Нажимаю «Восстановить» и получаю сообщение «Файл был успешно переведен в предыдущее состояние».
Шаг №5: Пользователь возвращается к редактированию на том месте файл(ы) которого были восстановлены.
Шаг №6: После этого момента пользователь становится чуть счастливее от того что теперь он сам может это делать и ему не надо писать заявку на helpdesk или подходить к Вам лично.
На заметку: Не советую включать теневые копии на системном диске, т. к. обновления, логирование и многое другое будет все заполоняется никому не нужными снимками и расходуемым местом. Возьмите за правило, один логический диск под систему, другой под данные.
На заметку: если выключить «Теневое копирование тома» в свойства диска, то все снимки будут удалены, а файлы будут оставлены как есть.
На заметку: Теневые копии — это не то же самое что и резервная копия, так что не советую полностью на них надеяться, ведь это всего лишь дельта изменения от первого и последующих снимков, а бекап — это наше все.
Итого, я для себя оформил те моменты с которыми сталкиваешься когда задействуешь «Теневые копии» для тома и что пользователь может сам сделать в случае проблемы с потерей файла(ов).
На этом я прощаюсь, если что будет интересного я дополню данную заметку, а пока собственно и всё, с уважением автор блога Олло Александр aka ekzorchik.
Бекап или теневое копирование общих папок на файловом сервере.
Задался я тут после одного инцидента как сделать быстрый бекап удаленного файла или папки с сетевой папки на сервере и заодно посмотреть кто это сделал.
Ну вопрос, кто это сделал нашли сразу через аудит (это рассмотрит в другой статье)
А вот вопрос, быстрого восстановления файла меня очень сильно заинтересовал. Я по своему обычаю на основной файловой помойке делаю бекап с помощью Acronis и дифференцированного бекапа (это будет отдельная статья)
В итоге решил на файловую помойку прикрутить еще один бекап и тут встал вопрос, либо сделать ее зеркалируемый и что бы один или несколько раз в неделю происходила синхронизация диска например с помощью штатной утилиты robocopy (и ее в одной из статей опишу) либо сделать на теневом копировании. Данный способ после совещания с коллегами был выбран как основой в виду его основного плюса с версиями файла и быстрого восстановления. Сказано сделано.
Поднимаем теневое копирование на Windows Server Standart 2008 R2
Для начала надо включить теневое копирование на диске, для это проделываем следующую операцию:
1) Пуск->Мой компьютер -> «щелкаем правой кнопкой» -> Управление Компьютером ->Общие Папки -> «щелкаем правой кнопкой» -> Все задачи -> Настроить теневые копии
2) Теперь выбираем диск на котором будем делать Теневые копии и нажимаем Параметры. Тут мы задаем место где будут хранится теневые копии и расписание их создания.
3) Далее выбираем диск на котором включаем теневое копирование, в моем случае это будет диск D и сразу при включении он начнем создавать первую копию диска.
тут же будут отражены все копии по времени когда либо создаваемые теневым копированием, которые можно удалять, либо Восстановить, но это я крайне не советую потому как он тогда затрет выбранной копией все что находится в сетевой папке.
Для работы с теневыми копиями и восстановлением файлов будет пользоваться по другому.
Ситуация 1
Допустим у нас теневая копия снимается один раз в день (в конце дня). И Вас просят восстановить файл который нечаянно был перезаписан (название файлов одно и тоже)
1) «щелкаем правой кнопкой» на файле который надо восстановить -> Свойство -> Предыдущая версия
2) выбираем ту версию которая нам нужна и восстаналиваем
Ситуация 2
К Вам вбегаю манагеры и кричат что кто то удалил их файл или папку с важными документами, а шеф уже ее ждет. 
1) «щелкаем правой кнопкой» на папке в которой лежал удаленный файл или папка -> Свойство -> Предыдущая версия
2) смотрим последние версии нашего бекапа и восстаналиваем файл или папку
3) ждем от коллег кофе или шоколадку))))
Видео по Теневому копированию (Shadow Copy)
Shadow copies are deleted on Windows Server 2008 R2 when you try to run an FCI classification job
This article describes an issue in which shadow copies are deleted on Windows Server 2008 R2 when you try to run an FCI classification job. This occurs when there’s insufficient space on the volume for shadow copies.
Original product version: Windows Server 2012 R2
Original KB number: 977521
Symptoms
On a server that is running Windows Server 2008 R2, you have a volume on which you have enabled shadow copies through a Volume Shadow Copy (VSS) provider. On this volume, you run a File Classification Infrastructure (FCI) classification job. However, the classification job doesn’t finish, and older shadow copies are deleted faster than expected from the shadow copies storage area. This may result in all shadow copies being deleted from the volume. Additionally, multiple entries that resemble the following may be logged in the System log:
The oldest shadow copy of volume Volume_Letter : was deleted to keep disk space usage for shadow copies of volume Volume_Letter : below the user defined limit.
Also, entries that resemble the following are logged in the FSRM log:
Warning DD / MM / YYYY hh : mm : ss AM_PM SRMSVC 12310 None
Shadow copy ‘\\?\GLOBALROOT\Device\ HarddiskVolumeShadowCopy_File_Name‘ was deleted during storage report generation. Volume ‘Volume_Letter :’ might be configured with inadequate shadow copy storage area. Storage reports may be temporarily unavailable for this volume.
Additionally, if you run an FSRM storage report, you receive the following error message:
Error: RunFileQueries, 0x8004532c, A volume shadow copy could not be created or was unexpectedly deleted.
File Server Resource Manager encountered an unexpected error during volume scan of volumes mounted at ‘\?\Volume
Error generating report job with the task name ‘Task_name‘.
After you receive this error message, you find that the following error message is logged in the System log:
Exception encountered = Catastrophic failure (Exception from HRESULT: 0x8000FFFF (E_UNEXPECTED))
Cause
This issue occurs because the FCI classification process stores properties in each file that is classified. This behavior changes the file on the volume that has shadow copies enabled. These changes are tracked by the VSS provider and are then stored in the shadow copies storage area. When a property is stored in a text file, only a few kilobytes (KB) of data is written. However, when properties are stored in an Office file, the whole Office file is rewritten. This behavior exhausts the VSS storage space much faster.
If the Maximum Shadow Copy Storage Space size allocation is insufficient to store all these changes, VSS automatically deletes the oldest shadow copies first. If a large block of files is classified, this process can fail and at the same time delete all the old shadow copies from the storage area. This is especially true when you perform a full classification on a volume for the first time. This action is very likely to generate lots of changes on that volume.
Resolution
To resolve this issue, use one of the following methods:
Increase storage area size
Before you run a full classification of a volume for the first time, increase the maximum storage area size. To do this, follow these steps:
Click Start, click All Programs, click Accessories, and then right-click Command Prompt.
Click Run as administrator.
If you’re prompted for an administrator password, type the password. If you’re prompted for confirmation, click Continue.
At the command prompt, type the following command, and then press ENTER:
Note the Maximum Shadow Copy Storage Space value.
At the command prompt, type the following command, and then press ENTER:
Where the placeholder, Storage_Size, is a value that is at least double the value that you noted in step 4.
Close the Command Prompt window.
Incremental classification
When you perform a classification for the first time, classify only one namespace at a time. Don’t classify all the namespaces in the same classification job.
Disable Shadow Copies
You can disable shadow copies on the volume. We don’t recommend that you disable shadow copies on the volume. Only use this method if you can’t allocate more storage for shadow copies and the incremental classification method still exceeds the storage area allocation.
To disable shadow copies for a volume, follow these steps:
Click Start, point to Administrative Tools, and then click Share and Storage Management.
In the details pane, click the Volumes tab.
Right-click the volume for which you want to disable shadow copies, and then click Properties.
In the Volume_Name Properties dialog box, click the Shadow Copies tab.
Click Disable, and then click Yes.