Poço, Outro dia vi isto num documento oficial da Microsoft e tinha de o experimentar. Refere-se a poder fazer instantâneos do nosso Active Directory, pelo simples motivo de o levar para outro computador e realizar alguns testes com ferramentas LDAP, por exemplo, ou para ver como estava o nosso Active Directory num dado momento, caso tenhamos de fazer uma restauração autoritativa do AD e não saibamos o nome de um objeto ou contêiner (http://www.bujarra.com/?p=1593), ou para o usar com o ADrestore para saber como se chama um Tombstone (http://www.bujarra.com/?p=1567)… de qualquer forma, não é recomendável ter muitos snapshots que não vão ser usados devido à perda de desempenho.

Para fazer um snapshot do Active Directory, primeiro a partir de uma consola DOS, Correr: “ntdsutil”

Dentro do ntdsutil, Correr “snapshot”

Lo primero es activar la instancia NTDS para indicar que será un snapshot de nuestro Active Directory, assim que ponemos: “activate instance ntds”

Ahora hacemos el snapshot con el comando: “create”

… esperamos unos segundos enquanto se crea la instância…

OKEY, instancia creada, podemos salir con “q” ou “quit”.

Con el parámetro “list all” podemos ver todos los snapshot que temos criados no nosso AD, todo ello dentro de “ntdsutil” > “snapshot”.

Con el parámetro “delete NÚMERO” podemos eliminar um snapshot que no necesitemos más, todo ello dentro de “ntdsutil” > “snapshot”.

Para que nos sirven estos snapshots? Nada mau, podemos montar um snapshot e poder aceder aos dados do nosso antigo Directorio Ativo, nos montará todo o seu conteúdo num diretório do nosso C: con ello podremos aceder ao antigo NTDS. DIT o lo que necesitemos. Montamos un snapshot con el comando “mount NÚMERO” (dentro “ntdsutil” > “snapshot”).

Vemos que nos monta la instantánea en un diretório em concreto C:$SNAP_AAAAMMDDHHMM_VOLUMEX$ podemos comprovar o conteúdo si nos interessa.

Mas o ideal es usar el comando DSAMAIN para fazer más o menos un 'servidor LDAP’ 🙂 El comando sería: dsamain -dbpath PATH_DEL_SNAPSHOTDIRECTORIO_NTDSNTDS. DIT -ldapport NÚMERO_PUERTO. Este NÚMERO_PUERTO será el puerto tcp que permitirá conexiones entrantes a nuestra base de datos del Directorio Activo. Exceto, DSAMAIN abre los siguientes puertos para poder usarlos además:

LDAPS (LDAP sobre SSL): NÚMERO_PUERTO + 1.
GC (Catálogo Global): NÚMERO_PUERTO + 2.
GCS (Catálogo Global sobre SSL): NÚMERO_PUERTO + 3.

La cosa es que se queda el DSAMAIN a la escucha de petições por qualquer um desses portos para conectarse a esa instantânea del AD.

Podemos usar qualquer consola para conectarnos a este snapshot, Por exemplo, si abrimos la consola de “Usuarios y Equipos del Directorio Ativo” y damos con botón derecho “Mudar o controlador de domínio…”

Si marcamos la opción “Este controlador de domínio grabable”, podemos escrever a direção a la que queremos conectar, Por exemplo: Anfitrião local:NÚMERO_PUERTO. & “Aceitar”,

En esta imagem se ve la misma consola conectada al Directorio Activo actual y la otra al snapshot, viendo las diferenças, por exemplo se queremos saber que propriedades tenía configuradas el utilizador 'dos’ o para restaurarlas con ADrestore…