Puits, l’autre jour, j’ai vu cela dans un document officiel de Microsoft et il a fallu le tester. Il s’agit de pouvoir prendre des instantanés de notre Active Directory, pour le simple fait de l’emmener sur un autre ordinateur et d’effectuer quelques tests avec des outils LDAP par exemple, ou pour voir comment se comportait notre Active Directory à un moment donné, au cas où nous devrions effectuer une restauration AD faisant autorité et que nous ne savons pas comment s’appelle un objet ou un conteneur (http://www.bujarra.com/?p=1593), ou à utiliser avec ADrestore pour savoir comment s’appelle une pierre tombale (http://www.bujarra.com/?p=1567)… Dans tous les cas, il n’est pas conseillé d’avoir beaucoup de snapshots qui ne vont pas être utilisés en raison d’une perte de performance.

Para hacer un snapshot del Directorio Activo, primero desde una consola DOS, Courir: “Ntdsutil”

Dentro de ntdsutil, Courir “snapshot”

Lo primero es activar la instancia NTDS para indicar que será un snapshot de nuestro Active Directory, así que ponemos: “Activer l’instance NTDS”

Ahora hacemos el snapshot con el comando: “Créer”

… esperamos unos segundos mientras se crea la instancia…

D’ACCORD, instancia creada, podemos salir con “q” ou “Démissionner”.

Con el parámetro “list all” podemos ver todos los snapshot que tenemos creados en nuestro AD, todo ello dentro de “Ntdsutil” > “snapshot”.

Con el parámetro “delete NÚMERO” podemos eliminar un snapshot que no necesitemos más, todo ello dentro de “Ntdsutil” > “snapshot”.

Para qué nos sirven estos snapshots? bien, podemos montar un snapshot y poder acceder a los datos de nuestro antiguo Directorio Activo, nos montará todo su contenido en un directorio de nuestro C: con ello podremos acceder al antiguo NTDS.DIT o lo que necesitemos. Montamos un snapshot con el comando “mount NÚMERO” (dedans “Ntdsutil” > “snapshot”).

Vemos que nos monta la instantánea en un directorio en concreto C:$SNAP_AAAAMMDDHHMM_VOLUMEX$ podemos comprobar el contenido si nos interesa.

Pero lo ideal es usar el comando DSAMAIN para hacer más o menos un ‘servidor LDAP’ 🙂 El comando sería: dsamain -dbpath PATH_DEL_SNAPSHOTDIRECTORIO_NTDSNTDS.DIT -ldapport NÚMERO_PUERTO. Este NÚMERO_PUERTO será el puerto tcp que permitirá conexiones entrantes a nuestra base de datos del Directorio Activo. Hormis, DSAMAIN abre los siguientes puertos para poder usarlos además:

LDAPS (LDAP sobre SSL): NÚMERO_PUERTO + 1.
GC (Catalogue mondial): NÚMERO_PUERTO + 2.
GCS (Catálogo Global sobre SSL): NÚMERO_PUERTO + 3.

La cosa es que se queda el DSAMAIN a la escucha de peticiones por cualquiera de esos puertos para conectarse a esa instantánea del AD.

Podemos usar cualquier consola para conectarnos a este snapshot, Par exemple, si abrimos la consola de “Usuarios y Equipos del Directorio Activo” y damos con botón derecho “Cambiar el controlador de dominio…”

Si marcamos la opción “Este controlador de dominio grabable”, podremos escribir la dirección a la que nos queremos conectar, Par exemple: localhost:NÚMERO_PUERTO. & “Accepter”,

En esta imagen se ve la misma consola conectada al Directorio Activo actual y la otra al snapshot, viendo las diferencias, por ejemplo si queremos saber que propiedades tenía configuradas el usuario ‘dos’ o para restaurarlas con ADrestore…