Herstellung von Active Directory-Snapshots in Windows Server 2008

gut, Neulich habe ich das in einem offiziellen Microsoft-Dokument gesehen und musste getestet werden. Es bezieht sich auf die Möglichkeit, Snapshots unseres Active Directory zu erstellen, für die einfache Tatsache, es auf einen anderen Computer zu bringen und zum Beispiel einige Tests mit LDAP-Tools durchzuführen, oder um zu sehen, wie unser Active Directory zu einem bestimmten Zeitpunkt war, Falls wir eine autorisierende AD-Wiederherstellung durchführen müssen und nicht wissen, wie ein Objekt oder Container heißt (http://www.bujarra.com/?p=1593), oder um es mit ADrestore zu verwenden, um zu wissen, wie ein Tombstone heißt (http://www.bujarra.com/?p=1567)… Es wird jedoch nicht empfohlen, viele Schnappschüsse zu haben, die aufgrund von Leistungseinbußen nicht verwendet werden.

Para hacer un snapshot del Directorio Activo, primero desde una consola DOS, Lauf: “ntdsutil”

Dentro de ntdsutil, Lauf “snapshot

Lo primero es activar la instancia NTDS para indicar que será un snapshot de nuestro Active Directory, así que ponemos: “Aktivieren Sie die Instanz ntds”

Ahora hacemos el snapshot con el comando: “schaffen”

esperamos unos segundos mientras se crea la instancia

OK, instancia creada, podemos salir con “q” die “Verlassen”.

Con el parámetrolist allpodemos ver todos los snapshot que tenemos creados en nuestro AD, todo ello dentro de “ntdsutil” > “snapshot”.

Con el parámetrodelete NÚMEROpodemos eliminar un snapshot que no necesitemos más, todo ello dentro de “ntdsutil” > “snapshot”.

Para qué nos sirven estos snapshots? gut, podemos montar un snapshot y poder acceder a los datos de nuestro antiguo Directorio Activo, nos montará todo su contenido en un directorio de nuestro C: con ello podremos acceder al antiguo NTDS.DIT o lo que necesitemos. Montamos un snapshot con el comandomount NÚMERO” (innerhalb “ntdsutil” > “snapshot”).

Vemos que nos monta la instantánea en un directorio en concreto C:$SNAP_AAAAMMDDHHMM_VOLUMEX$ podemos comprobar el contenido si nos interesa.

Pero lo ideal es usar el comando DSAMAIN para hacer más o menos un ‘servidor LDAP🙂 El comando sería: dsamain -dbpath PATH_DEL_SNAPSHOTDIRECTORIO_NTDSNTDS.DIT -ldapport NÚMERO_PUERTO. Este NÚMERO_PUERTO será el puerto tcp que permitirá conexiones entrantes a nuestra base de datos del Directorio Activo. Ein Teil, DSAMAIN abre los siguientes puertos para poder usarlos además:

LDAPS (LDAP sobre SSL): NÚMERO_PUERTO + 1.
GC (Globaler Katalog): NÚMERO_PUERTO + 2.
GCS (Catálogo Global sobre SSL): NÚMERO_PUERTO + 3.

La cosa es que se queda el DSAMAIN a la escucha de peticiones por cualquiera de esos puertos para conectarse a esa instantánea del AD.

Podemos usar cualquier consola para conectarnos a este snapshot, zum Beispiel, si abrimos la consola de “Benutzer und -Computer Active Directory” y damos con botón derecho “Ändern Sie den Domänencontroller…”

Si marcamos la opciónEste controlador de dominio grabable”, podremos escribir la dirección a la que nos queremos conectar, zum Beispiel: localhost:NÚMERO_PUERTO. & “akzeptieren”,

En esta imagen se ve la misma consola conectada al Directorio Activo actual y la otra al snapshot, viendo las diferencias, por ejemplo si queremos saber que propiedades tenía configuradas el usuario ‘doso para restaurarlas con ADrestore


Letzte Artikel von Hector Herrero (Alle anzeigen)