Bo, l'altre dia ví esto en un doc oficial de Microsoft y había que probarlo. Se refereix a poder fer instantànies del nostre Directori Actiu, per al simple fet de portar a un altre equip i realitzar unes proves amb eines LDAP per exemple, o per veure com estava el nostre Director Actiu en un moment dado, per si hem de fer una restauració del AD autoritativa i no sabem com es crida un objecte o contenedor (http://www.bujarra.com/?p=1593), o para usarlo amb ADrestore para saber como se llama un Tombstone (http://www.bujarra.com/?p=1567)… de totes formes no es recomanable tener muchos snapshots que no se vayan a usar por loss de rendimiento.

Para hacer un snapshot del Directorio Activo, primero desde una consola DOS, executem: “ntdsutil”

Dentro de ntdsutil, executem “snapshot”

Lo primero es activar la instancia NTDS para indicar que será un snapshot de nuestro Active Directory, así que ponemos: “activate instance ntds”

Ahora hacemos el snapshot con el comando: “create”

… esperamos unos segundos mientras se crea la instancia…

OK, instancia creada, podemos salir con “q” o “quit”.

Con el parámetro “list all” podemos ver todos los snapshot que tenemos creados en nuestro AD, todo ello dentro de “ntdsutil” > “snapshot”.

Con el parámetro “delete NÚMERO” podemos eliminar un snapshot que no necesitemos más, todo ello dentro de “ntdsutil” > “snapshot”.

Para qué nos sirven estos snapshots? bé, podemos montar un snapshot y poder acceder a los datos de nuestro antiguo Directorio Activo, nos montará todo su contenido en un directorio de nuestro C: con ello podremos acceder al antiguo NTDS.DIT o lo que necesitemos. Montamos un snapshot con el comando “mount NÚMERO” (dins de “ntdsutil” > “snapshot”).

Vemos que nos monta la instantánea en un directorio en concreto C:$SNAP_AAAAMMDDHHMM_VOLUMEX$ podemos comprobar el contenido si nos interesa.

Pero lo ideal es usar el comando DSAMAIN para hacer más o menos un ‘servidor LDAP’ 🙂 El comando sería: dsamain -dbpath PATH_DEL_SNAPSHOTDIRECTORIO_NTDSNTDS.DIT -ldapport NÚMERO_PUERTO. Este NÚMERO_PUERTO será el puerto tcp que permitirá conexiones entrantes a nuestra base de datos del Directorio Activo. A part, DSAMAIN abre los siguientes puertos para poder usarlos además:

LDAPS (LDAP sobre SSL): NÚMERO_PUERTO + 1.
GC (Catálogo Global): NÚMERO_PUERTO + 2.
GCS (Catálogo Global sobre SSL): NÚMERO_PUERTO + 3.

La cosa es que se queda el DSAMAIN a la escucha de peticiones por cualquiera de esos puertos para conectarse a esa instantánea del AD.

Podemos usar cualquier consola para conectarnos a este snapshot, per exemple, si abrimos la consola de “Usuarios y Equipos del Directorio Activo” y damos con botón derecho “Cambiar el controlador de dominio…”

Si marcamos la opción “Este controlador de dominio grabable”, podremos escribir la dirección a la que nos queremos conectar, per exemple: localhost:NÚMERO_PUERTO. & “Acceptar”,

En esta imagen se ve la misma consola conectada al Directorio Activo actual y la otra al snapshot, viendo las diferencias, por ejemplo si queremos saber que propiedades tenía configuradas el usuario ‘dos’ o para restaurarlas con ADrestore…