Well, the other day I saw this in an official Microsoft doc and it had to be tested. It refers to being able to take snapshots of our Active Directory, for the simple fact of taking it to another computer and performing some tests with LDAP tools for example, or to see how our Active Directory was doing at any given time, in case we have to do an authoritative AD restore and we don't know what an object or container is called (http://www.bujarra.com/?p=1593), or to use with ADrestore to find out what a Tombstone is called (http://www.bujarra.com/?p=1567)… In any case, it is not advisable to have many snapshots that are not going to be used due to loss of performance.

Para hacer un snapshot del Directorio Activo, primero desde una consola DOS, Run: “Ntdsutil”

Dentro de ntdsutil, Run “snapshot”

Lo primero es activar la instancia NTDS para indicar que será un snapshot de nuestro Active Directory, así que ponemos: “activate instance ntds”

Ahora hacemos el snapshot con el comando: “Create”

… esperamos unos segundos mientras se crea la instancia…

OK, instancia creada, podemos salir con “q” or “Quit”.

Con el parámetro “list all” podemos ver todos los snapshot que tenemos creados en nuestro AD, todo ello dentro de “Ntdsutil” > “snapshot”.

Con el parámetro “delete NÚMERO” podemos eliminar un snapshot que no necesitemos más, todo ello dentro de “Ntdsutil” > “snapshot”.

Para qué nos sirven estos snapshots? Not bad, podemos montar un snapshot y poder acceder a los datos de nuestro antiguo Directorio Activo, nos montará todo su contenido en un directorio de nuestro C: con ello podremos acceder al antiguo NTDS.DIT o lo que necesitemos. Montamos un snapshot con el comando “mount NÚMERO” (inside “Ntdsutil” > “snapshot”).

Vemos que nos monta la instantánea en un directorio en concreto C:$SNAP_AAAAMMDDHHMM_VOLUMEX$ podemos comprobar el contenido si nos interesa.

Pero lo ideal es usar el comando DSAMAIN para hacer más o menos un ‘servidor LDAP’ 🙂 El comando sería: dsamain -dbpath PATH_DEL_SNAPSHOTDIRECTORIO_NTDSNTDS.DIT -ldapport NÚMERO_PUERTO. Este NÚMERO_PUERTO será el puerto tcp que permitirá conexiones entrantes a nuestra base de datos del Directorio Activo. Apart from, DSAMAIN abre los siguientes puertos para poder usarlos además:

LDAPS (LDAP sobre SSL): NÚMERO_PUERTO + 1.
GC (Global Catalog): NÚMERO_PUERTO + 2.
GCS (Catálogo Global sobre SSL): NÚMERO_PUERTO + 3.

La cosa es que se queda el DSAMAIN a la escucha de peticiones por cualquiera de esos puertos para conectarse a esa instantánea del AD.

Podemos usar cualquier consola para conectarnos a este snapshot, For example, si abrimos la consola de “Active Directory Users and Teams” y damos con botón derecho “Change the domain controller…”

Si marcamos la opción “Este controlador de dominio grabable”, podremos escribir la dirección a la que nos queremos conectar, For example: localhost:NÚMERO_PUERTO. & “Accept”,

En esta imagen se ve la misma consola conectada al Directorio Activo actual y la otra al snapshot, viendo las diferencias, por ejemplo si queremos saber que propiedades tenía configuradas el usuario ‘dos’ o para restaurarlas con ADrestore…