Brunnen, Neulich habe ich das in einem offiziellen Microsoft-Dokument gesehen und musste es ausprobieren. Es bezieht sich darauf, Schnappschüsse unseres Active Directory erstellen zu können, einfach um sie auf einen anderen Rechner zu übertragen und Tests mit LDAP-Tools durchzuführen, zum Beispiel, oder um zu sehen, wie unser Active Directory zu einem bestimmten Zeitpunkt aussah, falls wir eine autoritative AD-Wiederherstellung durchführen müssen und nicht wissen, wie ein Objekt oder Container heißt (http://www.bujarra.com/?p=1593), oder um es mit ADrestore zu verwenden, um zu wissen, wie ein Tombstone heißt (http://www.bujarra.com/?p=1567)… Auf jeden Fall ist es nicht empfehlenswert, viele Snapshots zu haben, die nicht verwendet werden, wegen Leistungsverlusts.

Um einen Snapshot des Active Directory zu erstellen, zuerst von einer DOS-Konsole aus, Laufen: “ntdsutil”

Innerhalb von ntdsutil, Laufen “snapshot”

Lo primero es activar la instancia NTDS para indicar que será un snapshot de nuestro Active Directory, así que ponemos: “activate instance ntds”

Ahora hacemos el snapshot con el comando: “Schaffen”

… esperamos unos segundos mientras se crea la instancia…

OKAY, instancia creada, podemos salir con “q” oder “Verlassen”.

Con el parámetro “list all” podemos ver todos los snapshot que tenemos creados en nuestro AD, todo ello dentro de “ntdsutil” > “snapshot”.

Con el parámetro “delete NÚMERO” podemos eliminar un snapshot que no necesitemos más, todo ello dentro de “ntdsutil” > “snapshot”.

Para qué nos sirven estos snapshots? Nicht schlecht, podemos montar un snapshot y poder acceder a los datos de nuestro antiguo Directorio Activo, nos montará todo su contenido en un directorio de nuestro C: con ello podremos acceder al antiguo NTDS. DIT o lo que necesitemos. Montamos un snapshot con el comando “mount NÚMERO” (innerhalb “ntdsutil” > “snapshot”).

Vemos que nos monta la instantánea en un directorio en concreto C:$SNAP_AAAAMMDDHHMM_VOLUMEX$ podemos comprobar el contenido si nos interesa.

Pero lo ideal es usar el comando DSAMAIN para hacer más o menos un 'servidor LDAP’ 🙂 El comando sería: dsamain -dbpath PATH_DEL_SNAPSHOTDIRECTORIO_NTDSNTDS. DIT -ldapport NÚMERO_PUERTO. Este NÚMERO_PUERTO será el puerto tcp que permitirá conexiones entrantes a nuestra base de datos del Directorio Activo. Neben, DSAMAIN abre los siguientes puertos para poder usarlos además:

LDAPS (LDAP) (LDAP sobre SSL): NÚMERO_PUERTO + 1.
GC (Catálogo Global): NÚMERO_PUERTO + 2.
GCS (Catálogo Global sobre SSL): NÚMERO_PUERTO + 3.

La cosa es que se queda el DSAMAIN a la escucha de peticiones por cualquiera de esos puertos para conectarse a esa instantánea del AD.

Podemos usar cualquier consola para conectarnos a este snapshot, Zum Beispiel, si abrimos la consola de “Benutzer und Computer im Active Directory.” y damos con botón derecho “Domänencontroller ändern…”

Si marcamos la opción “Este controlador de dominio grabable”, podremos escribir la dirección a la que nos queremos conectar, Zum Beispiel: Localhost:NÚMERO_PUERTO. & “Annehmen”,

En esta imagen se ve la misma consola conectada al Directorio Activo actual y la otra al snapshot, viendo las diferencias, por ejemplo si queremos saber que propiedades tenía configuradas el usuario ‘dos’ o para restaurarlas con ADrestore…