EFSで暗号化されたファイルをrobocopyでコピーしてみる

WindowsのファイルシステムであるNTFSでは、ファイルを暗号化する事ができます。
EFSとはEncrypting File Systemの略です。

ファイルサーバーのデータ移行などの時に、まれにEFSで暗号化されているファイルが存在し、コピーできないことがあります。
Windows上の標準的なコピーツール、copyコマンド、xcopyコマンド、robocopyコマンドではEFSで暗号化されたファイルはコピーできないためです。

Windows Server 2008/Windows Vista以降のrobocopyには、/EFSRAWオプションが追加されたことを知ったので、これをちょっと検証してみました。
暗号化されたファイルを複合化せず、暗号化されたままコピーしてくれるのかと期待して。

環境
コピー元になるのはWindows 7 SP1で、これが移行元になる旧サーバーです。
コピー先はWindows 8.1で、移行先となる新サーバーを想定しています。
2台ともActive Directoryドメインに参加していない、ワークグループでの運用です。

旧サーバーはD:\TESTフォルダを共有していて、そこに暗号化されたファイルがあるとします。
新サーバー上でrobocopyを実行して、暗号化されたファイルがどのようにコピーされるかを検証しました。

(写真1)旧サーバー上の共有フォルダ
旧サーバー上の共有フォルダ
共有フォルダ内に3つのファイルがあります。

(写真2)旧サーバー上の「norimakiで暗号化.txt」
旧サーバー上の「norimakiで暗号化.txt」
「norimakiで暗号化.txt」は、旧サーバー上のnorimakiというユーザーが暗号化しています。

(写真3)旧サーバー上の「TestUserで暗号化.txt」
旧サーバー上の「TestUserで暗号化.txt」
「TestUserで暗号化.txt」は、旧サーバー上のTestUserというユーザーが暗号化しています。

(写真4)旧サーバー上のローカルユーザー
旧サーバーのnorimakiとTestUserはどちらも管理者
norimakiもTestUserも、どちらもAdministratorsグループに属しています。
つまり管理者の権限があります。

(写真5)ここから旧サーバーから新サーバーに対して、TestUserで接続する部分のログ
C:\Windows\system32\cmd.exe
C:\>net use \\192.168.0.4\TEST /d
\\192.168.0.4\TEST が削除されました。


C:\>net use
新しい接続は記憶されます。

一覧にエントリが存在しません。


C:\>net use \\192.168.0.4\TEST password /user:Windows7SP1\TestUser
コマンドは正常に終了しました。


C:\>dir \\192.168.0.4\TEST
 ドライブ \\192.168.0.4\TEST のボリューム ラベルは ボリューム です
 ボリューム シリアル番号は F810-2C3B です

 \\192.168.0.4\TEST のディレクトリ

2014/03/08  15:31    <DIR>          .
2014/03/08  15:31    <DIR>          ..
2014/03/08  13:44                16 norimakiで暗号化.txt
2014/03/08  13:09                16 TestUserで暗号化.txt
2014/03/08  13:09                16 暗号化してないファイル.txt
               3 個のファイル                  48 バイト
               2 個のディレクトリ  136,263,761,920 バイトの空き領域

C:\>type \\192.168.0.4\TEST\norimakiで暗号化.txt
アクセスが拒否されました。

C:\>type \\192.168.0.4\TEST\TestUserで暗号化.txt
アクセスが拒否されました。

C:\>

(写真6)新サーバーから旧サーバーにTestUserで接続
新サーバーから旧サーバーにTestUserで接続
新サーバーから「net use \\旧サーバー パスワード /user:旧サーバー\TestUser」で接続して、旧サーバーの共有フォルダを見たところです。

(写真7)新サーバーから暗号化されているファイルを開くと
新サーバーから暗号化されているファイルを開くと
新サーバー上のメモ帳で、旧サーバー上の暗号化されたファイルを開こうとすると「アクセスが拒否されました」になります。
norimakiで暗号化されたファイルも、TestUserで暗号化されたファイルも同じです。


(写真8)ここから旧サーバーから新サーバーに対して、norimakiで接続する部分のログ
C:\Windows\system32\cmd.exe
C:\>net use
新しい接続は記憶されます。

一覧にエントリが存在しません。


C:\>net use \\192.168.0.4\TEST password /user:Windows7SP1\norimaki
コマンドは正常に終了しました。


C:\>dir D:\TEST
 ドライブ D のボリューム ラベルは Data です
 ボリューム シリアル番号は 22D4-C0F1 です

 D:\TEST のディレクトリ

2014/03/09  21:52    <DIR>          .
2014/03/09  21:52    <DIR>          ..
2014/03/08  13:44                16 norimakiで暗号化.txt
2014/03/08  13:09                16 暗号化してないファイル.txt
               2 個のファイル                  32 バイト
               2 個のディレクトリ  450,627,051,520 バイトの空き領域

C:\>type \\192.168.0.4\TEST\norimakiで暗号化.txt
13:44 2014/03/08
C:\>type \\192.168.0.4\TEST\TestUserで暗号化.txt
アクセスが拒否されました。

C:\>

(写真9)新サーバーから旧サーバーにnorimakiで接続
新サーバーから旧サーバーにTestUserで接続
新サーバーでnet use /d *で、一度すべてのネットワーク接続を切断します。
新サーバーから「net use \\旧サーバー パスワード /user:旧サーバー\norimaki」で接続して、旧サーバーの共有フォルダを開くと、さっきのTestUserで接続したのと同じように見えます。

(写真10)norimakiで暗号化されたファイルは開くことができる
norimakiで暗号化されたファイルは開くことができる
新サーバーのメモ帳で、旧サーバーの共有フォルダ上の「norimakiで暗号化されたファイル」は開いて読むことができます。

(写真11)TestUserで暗号化されたファイルはアクセス拒否
TestUserで暗号化されたファイルはアクセス拒否
新サーバーのメモ帳で、旧サーバーの共有フォルダ上の「TestUserで暗号化されたファイル」を開こうとすると、「アクセスが拒否されました」となります。

(写真12)ここから/EFSRAW無しでrobocopyでのファイルコピーを実行部分のログ
C:\Windows\system32\cmd.exe
C:\>robocopy \\192.168.0.4\TEST D:\TEST /E /R:0 /W:1

-------------------------------------------------------------------------------
   ROBOCOPY     ::     Windows の堅牢性の高いファイル コピー
-------------------------------------------------------------------------------

  開始: 2014年3月10日 10:17:25
   コピー元 : \\192.168.0.4\TEST\
     コピー先 : D:\TEST\

    ファイル: *.*

  オプション: *.* /S /E /DCOPY:DA /COPY:DAT /R:0 /W:1

------------------------------------------------------------------------------

                           3    \\192.168.0.4\TEST\
100%      新しいファイル                      16        norimakiで暗号化.txt
          新しいファイル                      16        TestUserで暗号化.txt
2014/03/10 10:17:46 エラー 5 (0x00000005) ファイルをコピーしています \\192.168.0.4\TEST\TestUserで暗号化.txt
アクセスが拒否されました。

100%      新しいファイル                      16        暗号化してないファイル.txt

------------------------------------------------------------------------------

                  合計     コピー済み      スキップ       不一致        失敗    Extras
   ディレクトリ:         1         0         0         0         0         0
     ファイル:         3         2         0         0         1         0
      バイト:        48        32         0         0        16         0
       時刻:   0:00:21   0:00:21                       0:00:00   0:00:00


       速度:                   1 バイト/秒
       速度:               0.000 MB/分
   終了: 2014年3月10日 10:17:46


C:\>type D:\TEST\norimakiで暗号化.txt
13:44 2014/03/08
C:\>type D:\TEST\暗号化してないファイル.txt
13:09 2014/03/08
C:\>

(写真13)新サーバーから/EFSRAW無しのrobocopyを実行した場合の受け側フォルダ
新サーバーから/EFSRAW無しのrobocopyを実行
新サーバー上で以下のコマンドを実行します。
robocopy \\192.168.0.4\TEST D:\TEST /E /R:0 /W:1


するとnorimakiで暗号化されたファイルと、暗号化していないファイルはコピーできますが、TestUserで暗号化したファイルはコピーされませんでした。
robocopyのログにも「エラー 5 (0x00000005) ~中略~ アクセスが拒否されました」と記録されています。

(写真14)コピー後のnorimakiで暗号化されたファイルと暗号化されていないファイルは読み取り可能
コピー後のnorimakiで暗号化されたファイルと暗号化されていないファイルは読み取り可能

(写真15)ここから/EFSRAW付きでrobocopyでのファイルコピーを実行
C:\Windows\system32\cmd.exe
C:\>del D:\TEST /s
D:\TEST\*、よろしいですか (Y/N)? y
削除したファイル - D:\TEST\norimakiで暗号化.txt
削除したファイル - D:\TEST\暗号化してないファイル.txt

C:\>robocopy \\192.168.0.4\TEST D:\TEST /E /R:0 /W:1 /EFSRAW

-------------------------------------------------------------------------------
   ROBOCOPY     ::     Windows の堅牢性の高いファイル コピー
-------------------------------------------------------------------------------

  開始: 2014年3月10日 10:23:38
   コピー元 : \\192.168.0.4\TEST\
     コピー先 : D:\TEST\

    ファイル: *.*

  オプション: *.* /S /E /DCOPY:DA /COPY:DAT /EFSRAW /R:0 /W:1

------------------------------------------------------------------------------

                           3    \\192.168.0.4\TEST\
100%      新しいファイル                      16        norimakiで暗号化.txt
          新しいファイル                      16        TestUserで暗号化.txt
2014/03/10 10:23:59 エラー 5 (0x00000005) ファイルをコピーしています \\192.168.0.4\TEST\TestUserで暗号化.txt
アクセスが拒否されました。

100%      新しいファイル                      16        暗号化してないファイル.txt

------------------------------------------------------------------------------

                  合計     コピー済み      スキップ       不一致        失敗    Extras
   ディレクトリ:         1         0         0         0         0         0
     ファイル:         3         2         0         0         1         0
      バイト:        48        32         0         0        16         0
       時刻:   0:00:21   0:00:21                       0:00:00   0:00:00


       速度:                   1 バイト/秒
       速度:               0.000 MB/分
   終了: 2014年3月10日 10:23:59


C:\>type D:\TEST\norimakiで暗号化.txt
アクセスが拒否されました。

C:\>type D:\TEST\TestUserで暗号化.txt

C:\>type D:\TEST\暗号化してないファイル.txt
13:09 2014/03/08
C:\>

(写真16)新サーバーから/EFSRAW付きのrobocopyを実行した場合の受け側フォルダ
新サーバーから/EFSRAW付きのrobocopyを実行
新サーバー上で以下のコマンドを実行します。
robocopy \\192.168.0.4\TEST D:\TEST /E /R:0 /W:1 /EFSRAW

今度はTestUserで暗号化したファイルもコピーされました。
しかし緑色ではなく(暗号化されておらず)、サイズもゼロバイトです。

(写真17)norimakiで暗号化したファイルはアクセス拒否
norimakiで暗号化したファイルはアクセス拒否
/EFSRAW無しでコピーしたら暗号化されたままコピーされ、しかもコピー後のファイルを読むことができました。
しかし/EFSRAW付きでコピーすると暗号化されたままコピーされますが、コピー後のファイルを読むことができません。

(写真18)その他のファイルは読み取れるが
その他のファイルは読み取れるが
暗号化されていないファイルは問題無し。
しかしTestUserで暗号化されたファイルは、コピー先には暗号化されていない状態でコピーされ、しかもサイズがゼロバイトなので、読み取れても意味がない感じ。

うーん。robocopyで/EFSRAWオプションを付けた時の挙動がよくわからない。
今のままでは/EFSRAWは付けない方が無難な気がする。
今回はここまで。
気が向いたらまた続きをやってみます。

テスト中

全ての記事を表示する

ブロとも申請フォーム

ブログ検索
プロフィール

norimaki2000

norimaki2000のブログにようこそ
・2013/01/05テンプレートをsantaからhouseに変更
・2012/10/29テンプレートをsweet_donutsからsantaに変更
Follow norimaki2000 on Twitter気軽に話しかけてね

ニューヨーク・マンハッタン(タイムズスクェア)180×135

千葉県在住で東京都内に勤務。SE歴20年超えました。

昔々はオフコンで販売管理などのアプリケーション開発してた。
ファミリーレストランの無線オーダリングやPOS、キッチンプリンタの全国展開なんかもやっていました。
数年前まではWindows上のアプリケーション展開が多かったかな。
ここ数年はWindowsサーバーを中心としたサーバーインフラの提案・構築・保守を中心にやってます。
主な取り扱い製品は、
・Windows 2000 Server以降 (もちろんNT3.5やNT4.0も知っていますが)
・Active Directory (今で言うAD DS)
・Symantec Backup Exec
・Symantec System Recovery
・CA ARCserve Backup for Windows
・CA ARCserve Replication
・CA ARCserve D2D
・EMC RepliStor
・VMware vSphere
・某メーカーのクラスタソフトウェア

どれもこれも中途半端な知識と技術力ですが、なんとかやっています。
私自身は技術や製品を担当する立場ではなく、特定業種のお客さん(ユーザ企業)の対応窓口となるSEの役割りですから、必要であれば詳しい知識や経験豊富な別のSEを探してきてプロジェクトメンバに加えます。

もちろん小さな物件では自分で提案、インストール、お客さんへの導入、アフターサポートまでやります。
大きな物件では提案はやりますが、構築部分は専門部隊に依頼します。
その場合でもアフターサポート窓口は私がやりますので、お客さんに対しては一貫して窓口SEとなります。

サーバの世界の大きなトレンドは統合・仮想化。
2007年はVirtual Server 2005 R2によるサーバ仮想化も、2つのお客さんで本稼動させた。
2008年はVMware ESX 3.5を2セット構築。単純なローカル起動と、SANブート/VMotion/DRS/HA/VCBのフル装備もやった。
2009年はぜひHyper-Vの仮想環境を構築したいな。と思っていたが、なかなか機会に恵まれなかった。
2010年はVMware ESX 4.0でHA/VMotion/VCBバックアップを進行中。

そのほかにも、ドメインコントローラやファイルサーバの全国展開とデータ移行、特定のアプリケーションの実行基盤となるサーバ群のOS・バックアップ・DBクラスタなどインフラ部分の構築などをやっています。


2011年のポイントも引き続き、【ご利用は計画的に】。
今まで長年に渡って仕事も私生活も行き当たりばったりなので、少しでも物事を計画的に進められるようにしたい。
いつも計画性の無さが災いして多くの人に迷惑をかけています。
自分自身も計画的な仕事ができないため、いつもいろいろ苦労しています。
今年はさらに計画的に仕事をするようにしなきゃ。

それと若手を上手に使うようにならなきゃならん。
若手の育成はもちろんだけど、僕自身も仕事を上手に他の人に振ることができるようになりたい。
仕事の種類のせいなのか性格なのか、どうしても一人で抱え込んでしまうから。

【Twitter】2010年の元旦から始めました。平均して1日あたり10ツィート程度です。
仕事関連の呟きが少し、くだらない呟きがほとんどかな。
Follow norimaki2000 on Twitter
・norimaki2000 on Twitter

Follow norimaki2000 on Twitter
・norimaki2000 on Twilog


オンライン上ではあるけれど、今まで知らなかった人たちと交流する機会を得ることになり、非常に刺激を受けます。
仕事でも私生活でも、いろんな人のつぶやきは息抜きにもなり、また助けられたり、あるいは「もっとがんばんなきゃ」と励みになったりします。
Twitterを考え出した人の発想、システムとして作り上げた努力と情熱はすごい!!


【好きな音楽】ベテランの皆さんなら浜田省吾、尾崎豊、エコーズ、若手なら鬼束ちひろ、平原綾香、現在注目の若手はいきものがかり

【好きなアイドル】千葉県柏市を中心に活動する地元アイドルの「コズミック☆倶楽部」を激推し中です。

【好きな飲み物】シャンパンはご存知モエ・エ・シャンドン ブリュット アンペリアル、ビールはキリン ブラウマイスター、水ならビッテル、お茶ならキリン生茶

【好きなTVドラマ】Xファイル、24、ミレニアム、ER、CSI:科学捜査班シリーズ、NCIS:ネイビー犯罪捜査班、ザ・プラクティス、ボストン・リーガル



パソコン困り事相談もよろしく


最近の記事
最近のコメント
カレンダー
03 | 2017/04 | 05
- - - - - - 1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 - - - - - -
カテゴリー
FC2カウンター
キーワード

Windows_Server VMware_ESX VMware vCenter_Server VMware_Player PowerShell PowerCLI vSphere_Client VirtualCenter Active_Directory vStorage_API Converter Windows 文音 Hyper-V Microsoft_Security_Essentials コズミック☆倶楽部 Windows_8 Backup_Exec VMware_Converter vSphere sora カラオケ なるみん あいひょん SQL_Server Windows_Server_2012 System_Center VCB Red_Hat_Enterprise_Linux Tech_Fielders メモリダンプ System_Recovery ESX ARCserve_Backup Internet_Explorer VMware_vSphere RHEL ジン子 マークス vSphere_CLI VMware_HA Exec Directory Firefox vMotion Oracle Active Symantec Server Backup Sysinternals NTFS Twitter Oracle_Database vCenter_Converter wevtutil コズミック倶楽部 DMC-FZ1000 schtasks XenServer キリン 若手 remi 麗美 Recovery Visual_Studio Windows_Update Office System SE Vista DRS 氷結 スリムス フィット グランダム 掃除 セルシオ 洗濯 のどごし生 洗車 サッポロ ロッキー おやつカンパニー カルディ スパークリングウォーター ベビースター おとなのおつまみ 白石美帆 経済産業省 えびしお corega セキュリティ ついにステップワゴンを契約してしまった 糖質 一番搾り食物繊維 スタローン 東京国際フォーラム スパリゾートハワイアンズ サクセス カーナビ ラガー 人口甘味料 コロン ブラックホーク・ダウン ジョシュ・ハートネット ハワイ 神戸 北野 献血 けんけつちゃん シャンプー台のむこうに デュポン 映画 東京タワー 写真 マッハ ムエタイ はばたき福祉事業団 ワイヤーアクション お茶のチューハイ バルボア キャンプ 万座温泉 夏休み 草津 鬼押し出し園 カーポート 高原 バーベキュー 関西空港 羽田 グレープフルーツ ウォーター ポケモン・スタンプラリー 伊藤園 日本赤十字社  サーバ 雨どい Resource ARCserve_D2D ARCserve_Replication VMFS バックアップ Virtual_Infrastructure SkyDrive vStorag_API OpenOffice.org ジャンプフェスタ XP Word Uptime.exe ULPC OEM ITIL DSP グループポリシー Apache 浜田省吾 Linux VMware_ESXi OneDrive HUAWEI れみ GR5 IP38X/N500 NVR500 バッチ Tween OpenOffice iStorage Windows_Azure AWS robocopy USB2.0 USB CDRW-AB24JL CD CAB CG CR-V DVD CoolMax Brio ATAPI 破損 2008 オレッツァ 修復 圧縮 0x0000007B コマンドライン Gathers Hyperion STOPエラー SAP Paper.li SUPPLEX SweetGrass Tools Thunderbird Replication PCI Kit IZZE IDE NR-7900A NetBackup PC-Success OREZZA エイドリアン 

月別アーカイブ
リンク
RSSフィード