Bo, l'altre dia ví esto en un doc oficial de Microsoft y había que probarlo. Se refereix a poder fer instantànies del nostre Directori Actiu, per al simple fet de portar a un altre equip i realitzar unes proves amb eines LDAP per exemple, o per veure com estava el nostre Director Actiu en un moment dado, per si hem de fer una restauració del AD autoritativa i no sabem com es crida un objecte o contenedor (http://www.bujarra.com/?p=1593), o para usarlo amb ADrestore para saber como se llama un Tombstone (http://www.bujarra.com/?p=1567)… de totes formes no es recomanable tener muchos snapshots que no se vayan a usar por loss de rendimiento.

Per fer un snapshot del Directori Actiu, primer des d'una consola DOS, executem: “ntdsutil”

Dins de ntdsutil, executem “snapshot”

El primer és activar la instància NTDS per indicar que serà un snapshot del nostre Directori Actiu, així que posem: “activate instance ntds”

Ara fem el snapshot amb la comanda: “create”

… esperem uns segons mentre es crea la instància…

OK, instància creada, podem sortir amb “q” o “quit”.

Amb el paràmetre “list all” podem veure tots els snapshot que tenim creats al nostre AD, tot això dins de “ntdsutil” > “snapshot”.

Amb el paràmetre “delete NÚMERO” podem eliminar un snapshot que ja no necessitem, tot això dins de “ntdsutil” > “snapshot”.

Per a què serveixen aquests snapshots? bé, podem muntar un snapshot i poder accedir a les dades del nostre antic Directori Actiu, nos montarà tot el seu contingut en un directorio de la nostra C: amb ell podrem accedir a l'antic NTDS. DIT o lo que necessitem. Montamos un snapshot con el comando “mount NÚMERO” (dins de “ntdsutil” > “snapshot”).

Vemos que nos monta la instantània en un directorio en concret C:$SNAP_AAAAMMDDHHMM_VOLUMEX$ podem comprovar el contingut si ens interessa.

Pero lo ideal es usar el comandament DSAMAIN para hacer más o menos un 'servidor LDAP’ 🙂 El comandament sería: Dsamain -DBPATH PATH_DEL_SNAPSHOTDIRECTORIO_NTDSNTDS. DIT -ldapport NÚMERO_PUERTO. Este NÚMERO_PUERTO serà el puerto tcp que permitirá conexiones entrantes a la nostra base de dades del Directorio Activo. A part, DSAMAIN abre los siguientes puertos para poder usarlos además:

LDAPS (LDAP sobre SSL): NÚMERO_PUERTO + 1.
GC (Catàleg Global): NÚMERO_PUERTO + 2.
GCS (Catàleg Global sobre SSL): NÚMERO_PUERTO + 3.

La qüestió és que el DSAMAIN es queda escoltant sol·licituds per qualsevol d’aquests ports per connectar-se a aquesta instantània de l’AD.

Podem utilitzar qualsevol consola per connectar-nos a aquest snapshot, per exemple, si obrim la consola de “Usuaris i Equips del Directori Actiu” i fem clic dret “Canviar el controlador de domini…”

Si marquem l’opció “Aquest controlador de domini gravable”, podrem escriure l’adreça a la qual ens volem connectar, per exemple: localhost:NÚMERO_PUERTO. & “Acceptar”,

En aquesta imatge es veu la mateixa consola connectada al Directori Actiu actual i l’altra al snapshot, veient les diferències, per exemple si volem saber quines propietats tenia configurades l’usuari ‘dos’ o per restaurar-les amb ADrestore…