Active Directory Snapshots v Microsoft Windows Serveru 2008

Jednou ze zajímavých novinek, které přinesl nový Microsoft Windows Server 2008, je využití Shadow Copies (tj. Stínových kopií) i pro „snímkování “ Active Directory.

Autor:  Petr Hanák, OKsystem s.r.o.

AD  Snapshot (česky „snímek AD“) je stínová kopie zachycující stav Active Directory tak, jak vypadala v určitém čase a se kterou lze po vypublikování  pracovat jako s instancí LDAP serveru. Prakticky je tedy možné si prohlížet Active Directory (objekty, atributy apod.), jak vypadala v době vytváření snímku AD (samozřejmě jich může být více) bez nutnosti restartovat řadič domény v Directory Services Restore Mode, obnov AD ze zálohy apod.  Pomocí dalších nástrojů je pak možné ze snímků AD  i obnovovat smazané objekty, porovnávat snímek AD se současným stavem atp.

Vytvoření AD Snapshot

Snímek AD se vytváří pomocí nástroje NTDSUTIL (verze z Windows Serveru 2008), který je na každém řadiči k dispozici po doinstalování role AD DS nebo AD LDS. Postup je následující:

1. Spustíme CMD.EXE
2. NTDSTUTIL
3. SNAPSHOT
4. ACTIVATE INSTANCE NTDS
5. CREATE
6. 2x QUIT

Klepněte pro větší obrázek
Obr. 1 – Vytvoření snímku AD

Poznámka:  Tímto způsobem lze samozřejmě snímků AD vytvořit více, případně použití NTDSUTIL naskriptovat a pouštět v pravidelných intervalech.

Připojení AD Snapshot

Předtím, než s vytvořeným snímkem AD můžeme začít pracovat, je nutné jej připojit k souborovému systému. Připojený snímek AD se pak bude chovat jako „běžná“ složka souborového systému.  Připojení („namountování“) se provede následovně:

1. Spustíme CMD.EXE
2. NTDSUTIL
3. SNAPSHOT
4. LIST ALL
5. MOUNT  1

Klepněte pro větší obrázek
Obr. 2 – Připojení snímku AD

Všimněme  si nově vytvořené složky na disku C:

Klepněte pro větší obrázek
Obr.3 – Připojení na disku C

Poznámka: Jako parametr příkazu mount lze použít buď index vytvořeného snímku AD (v našem případě 1 nebo 2) nebo GUID (v našem případě {ca49e5cc-169a-4407-a519-38359f7e230a} nebo {0577492b-80b2-42a6-88f8-bc3c57b7d69a}). Také si můžete všimnout, že ve výpisu se snímky AD vypisují po dvojicích, tj. kdybychom teď vytvořili další snímek AD, bude mít indexy 3 a 4. Zajímavé také je, abychom mohli indexy používat, musíme si je nejprve nechat vypsat příkazem LIST ALL.

Vypublikování a připojení

Vypublikování, tj. vytvoření dalšího LDAP serveru na určeném portu, se provede pomocí vestavěné utility DSAMAIN, která je opět k dispozici na doménovém řadiči po doinstalování rolí AD DS nebo AD LDS. K vytvořenému LDAP serveru je již možné se připojit takřka libovolným nástrojem, tedy např. Active Directory Users and Computers, ADSIedit apod.

1. Musíme zjistit přesnou cestu k souboru ntds.dit (např. C:\$SNAP_200903021150_VOLUMEC$\Windows\NTDS\ntds.dit ) a vložit si ji do do clipboardu
2. Spustíme CMD.EXE
3. DSAMAIN  -dpbath C:\$SNAP_200903021150_VOLUMEC$\Windows\NTDS\ntds.dit –ldapport 51389
Poznámka: Číslo portu lze zvolit jakékoliv neobsazené - v našem případě to bude LDAP:51389, LDAP/SSL(+1):51390, GC(+2):51391 a GC/SSL(+3):51392.
4. Okno CMD.EXE nechte spuštěné

Klepněte pro větší obrázek
Obr.4 – Vypublikování snímku AD

Nyní je již možné si spustit nástroj pro práci s AD např. AD Users and Computers a připojit s k řadiči na portu 51389. Postup je následující:

1. START -> Administrative Tools -> Active Directory Users and Computers
2. Poklepat pravým tlačítkem myši na název domény (v levém sloupci) a zvolit -> Change Domain Controller
3. Change to:  This Domain Controller or AD LDS instance a místo <Type a Directory Server name[:port] here> napište Localhost:51389

Klepněte pro větší obrázek
Obr.5 – Připojení v ADUC

K čemu použít?

V současné době lze s takto vypublikovaným snímkem AD pomocí Microsoft nástrojů pracovat pouze ve stavu Read-only. Lze tedy si snímek AD prohlížet včetně nejrůznějších atributů objektů, ale bohužel chybějí funkce pro porovnání snímku AD s aktuální („živou“) AD, kopírování objektů mezi snímkem AD a „živou“ AD, sledování změn apod. Pro tyto funkce musíme sáhnout po nástroji Active Directory Comparison Tool.

Pokročilá práce s AD Snapshot – Active Directory Comparison Tool

Pokud chcete s vypublikovaným snímkem AD  dělat i jiné operace než jen Read-only, stáhněte si  nástroj Active Ditrectory Comparison Tool (dále jen DSCT) od pana Fredrika Lindströma (Microsoft MVP)  ze stránek  http://lindstrom.nullsession.com/?page_id=11.  Nástroj (MMC snap-in) je schopen pracovat se dvěma zdroji dat: „živou“ AD na jedné straně a publikovaným snímkem AD na straně druhé.

Mezi hlavní funkce ACDT patří:

  • Porovnání snímku AD s „živou“ A -  tj. zobrazení smazaných, přidaných a modifikovaných objektů
  • Obnova smazaných objektů (ze snímku AD do „živé“ AD) - včetně obnovy členství ve skupinách!
  • Obnova změněných atributů objektu (ze snímku AD do „živé“ AD)
Klepněte pro větší obrázek
Obr. 6 – Ukázka práce s ADCT

Závěr

Snímky AD jsou velmi užitečným rozšířením funkcionality doménových služeb v Microsoft Windows Serveru 2008, které může pomoci v případě obnovování AD ze zálohy (výběr „té správné“ zálohy), sledování změn v AD atd. Práce se snímky AD sice není právě intuitivní, ale zvládnout se dá a spolu s  Active Directory Comparison Tool se stávají opravdu silným nástrojem.

Zdroje:

Články ze série Microsoft TechNet nevytváří redakce Živě.cz, ale partneři programu Microsoft TechNet. Jsou publikovány v rámci mediálního partnerství Živě.cz a společnosti Microsoft.

Témata článku: Software, Microsoft, Active, Apod, Mount, Only, Snap

Nejnovější komentáře

Přidat příspěvek
Určitě si přečtěte

Monitory do 10 tisíc: poradíme, jaké jsou teď nejlepší

Monitory do 10 tisíc: poradíme, jaké jsou teď nejlepší

** Dobrý monitor s kvalitním panelem lze pořídit pod tři tisíce korun ** Pod deset tisíc si můžete koupit pracovní 27" monitor nebo nejlevnější použitelné 4K ** Vybrali jsme také ideální model pro vícemonitorovou konfiguraci

27.  11.  2016 | Stanislav Janů | 13

Sbíječky vyměnili za klávesnice. Nový projekt má za cíl přeučit horníky na programátory

Sbíječky vyměnili za klávesnice. Nový projekt má za cíl přeučit horníky na programátory

** Programátorů je málo a horníků bez práce po uzavření dolu Paskov bude moc ** Problém řeší unikátní projekt ** Pilotní kurz dává naději, že by z horníků mohli být použitelní kodéři

28.  11.  2016 | David Polesný | 76