Puits, l’autre jour, j’ai vu cela dans un document officiel de Microsoft et il a fallu le tester. Il s’agit de pouvoir prendre des instantanés de notre Active Directory, pour le simple fait de l’emmener sur un autre ordinateur et d’effectuer quelques tests avec des outils LDAP par exemple, ou pour voir comment se comportait notre Active Directory à un moment donné, au cas où nous devrions effectuer une restauration AD faisant autorité et que nous ne savons pas comment s’appelle un objet ou un conteneur (http://www.bujarra.com/?p=1593), ou à utiliser avec ADrestore pour savoir comment s’appelle une pierre tombale (http://www.bujarra.com/?p=1567)… Dans tous les cas, il n’est pas conseillé d’avoir beaucoup de snapshots qui ne vont pas être utilisés en raison d’une perte de performance.

Para hacer un snapshot del Directorio Activo, primero desde una consola DOS, Courir: “Ntdsutil”

Dentro de ntdsutil, Courir “snapshot”

Lo primero es activar la instancia NTDS para indicar que será un snapshot de nuestro Active Directory, así que ponemos: “Activer l’instance NTDS”

Ahora hacemos el snapshot con el comando: “Créer”

… esperamos unos segundos mientras se crea la instancia…

D’ACCORD, instancia creada, podemos salir con “q” ou “Démissionner”.

Con el parámetro “list all” podemos ver todos los snapshot que tenemos creados en nuestro AD, todo ello dentro de “Ntdsutil” > “snapshot”.

Con el parámetro “delete NÚMERO” podemos eliminar un snapshot que no necesitemos más, todo ello dentro de “Ntdsutil” > “snapshot”.

Para qué nos sirven estos snapshots? bien, podemos montar un snapshot y poder acceder a los datos de nuestro antiguo Directorio Activo, nos montará todo su contenido en un directorio de nuestro C: con ello podremos acceder al antiguo NTDS.DIT o lo que necesitemos. Montamos un snapshot con el comando “mount NÚMERO” (dedans “Ntdsutil” > “snapshot”).

Vemos que nos monta la instantánea en un directorio en concreto C:$SNAP_AAAAMMDDHHMM_VOLUMEX$ podemos comprobar el contenido si nos interesa.

Pero lo ideal es usar el comando DSAMAIN para hacer más o menos un ‘servidor LDAP’ 🙂 El comando sería: dsamain -dbpath PATH_DEL_SNAPSHOTDIRECTORIO_NTDSNTDS.DIT -ldapport NÚMERO_PUERTO. Este NÚMERO_PUERTO será el puerto tcp que permitirá conexiones entrantes a nuestra base de datos del Directorio Activo. Hormis, DSAMAIN abre los siguientes puertos para poder usarlos además:

LDAPS (LDAP sobre SSL): NÚMERO_PUERTO + 1.
GC (Catalogue mondial): NÚMERO_PUERTO + 2.
GCS (Catalogue mondial sur SSL): NÚMERO_PUERTO + 3.

Le fait est que DSAMAIN reste à l'écoute des requêtes sur n'importe lequel de ces ports pour se connecter à cette instantanée de l'AD.

Nous pouvons utiliser n'importe quelle console pour nous connecter à ce snapshot, Par exemple, si nous ouvrons la console de “Utilisateurs et ordinateurs Active Directory” et que nous faisons un clic droit “Changer le contrôleur de domaine…”

Si nous cochant l'option “Ce contrôleur de domaine enregistrable”, nous pourrons écrire l'adresse à laquelle nous voulons nous connecter, Par exemple: localhost:NÚMERO_PUERTO. & “Accepter”,

Sur cette image, on voit la même console connectée à l'Active Directory actuel et l'autre au snapshot, voyant les différences, par exemple si nous voulons savoir quelles propriétés l'utilisateur 'dos' avait configurées’ ou pour les restaurer avec ADrestore…