Active Directory Snapshots v Microsoft Windows Serveru 2008

Jednou ze zajímavých novinek, které přinesl nový Microsoft Windows Server 2008, je využití Shadow Copies (tj. Stínových kopií) i pro „snímkování “ Active Directory.

Autor:  Petr Hanák, OKsystem s.r.o.

AD  Snapshot (česky „snímek AD“) je stínová kopie zachycující stav Active Directory tak, jak vypadala v určitém čase a se kterou lze po vypublikování  pracovat jako s instancí LDAP serveru. Prakticky je tedy možné si prohlížet Active Directory (objekty, atributy apod.), jak vypadala v době vytváření snímku AD (samozřejmě jich může být více) bez nutnosti restartovat řadič domény v Directory Services Restore Mode, obnov AD ze zálohy apod.  Pomocí dalších nástrojů je pak možné ze snímků AD  i obnovovat smazané objekty, porovnávat snímek AD se současným stavem atp.

Vytvoření AD Snapshot

Snímek AD se vytváří pomocí nástroje NTDSUTIL (verze z Windows Serveru 2008), který je na každém řadiči k dispozici po doinstalování role AD DS nebo AD LDS. Postup je následující:

1. Spustíme CMD.EXE
2. NTDSTUTIL
3. SNAPSHOT
4. ACTIVATE INSTANCE NTDS
5. CREATE
6. 2x QUIT

Klepněte pro větší obrázek
Obr. 1 – Vytvoření snímku AD

Poznámka:  Tímto způsobem lze samozřejmě snímků AD vytvořit více, případně použití NTDSUTIL naskriptovat a pouštět v pravidelných intervalech.

Připojení AD Snapshot

Předtím, než s vytvořeným snímkem AD můžeme začít pracovat, je nutné jej připojit k souborovému systému. Připojený snímek AD se pak bude chovat jako „běžná“ složka souborového systému.  Připojení („namountování“) se provede následovně:

1. Spustíme CMD.EXE
2. NTDSUTIL
3. SNAPSHOT
4. LIST ALL
5. MOUNT  1

Klepněte pro větší obrázek
Obr. 2 – Připojení snímku AD

Všimněme  si nově vytvořené složky na disku C:

Klepněte pro větší obrázek
Obr.3 – Připojení na disku C

Poznámka: Jako parametr příkazu mount lze použít buď index vytvořeného snímku AD (v našem případě 1 nebo 2) nebo GUID (v našem případě {ca49e5cc-169a-4407-a519-38359f7e230a} nebo {0577492b-80b2-42a6-88f8-bc3c57b7d69a}). Také si můžete všimnout, že ve výpisu se snímky AD vypisují po dvojicích, tj. kdybychom teď vytvořili další snímek AD, bude mít indexy 3 a 4. Zajímavé také je, abychom mohli indexy používat, musíme si je nejprve nechat vypsat příkazem LIST ALL.

Vypublikování a připojení

Vypublikování, tj. vytvoření dalšího LDAP serveru na určeném portu, se provede pomocí vestavěné utility DSAMAIN, která je opět k dispozici na doménovém řadiči po doinstalování rolí AD DS nebo AD LDS. K vytvořenému LDAP serveru je již možné se připojit takřka libovolným nástrojem, tedy např. Active Directory Users and Computers, ADSIedit apod.

1. Musíme zjistit přesnou cestu k souboru ntds.dit (např. C:\$SNAP_200903021150_VOLUMEC$\Windows\NTDS\ntds.dit ) a vložit si ji do do clipboardu
2. Spustíme CMD.EXE
3. DSAMAIN  -dpbath C:\$SNAP_200903021150_VOLUMEC$\Windows\NTDS\ntds.dit –ldapport 51389
Poznámka: Číslo portu lze zvolit jakékoliv neobsazené - v našem případě to bude LDAP:51389, LDAP/SSL(+1):51390, GC(+2):51391 a GC/SSL(+3):51392.
4. Okno CMD.EXE nechte spuštěné

Klepněte pro větší obrázek
Obr.4 – Vypublikování snímku AD

Nyní je již možné si spustit nástroj pro práci s AD např. AD Users and Computers a připojit s k řadiči na portu 51389. Postup je následující:

1. START -> Administrative Tools -> Active Directory Users and Computers
2. Poklepat pravým tlačítkem myši na název domény (v levém sloupci) a zvolit -> Change Domain Controller
3. Change to:  This Domain Controller or AD LDS instance a místo <Type a Directory Server name[:port] here> napište Localhost:51389

Klepněte pro větší obrázek
Obr.5 – Připojení v ADUC

K čemu použít?

V současné době lze s takto vypublikovaným snímkem AD pomocí Microsoft nástrojů pracovat pouze ve stavu Read-only. Lze tedy si snímek AD prohlížet včetně nejrůznějších atributů objektů, ale bohužel chybějí funkce pro porovnání snímku AD s aktuální („živou“) AD, kopírování objektů mezi snímkem AD a „živou“ AD, sledování změn apod. Pro tyto funkce musíme sáhnout po nástroji Active Directory Comparison Tool.

Pokročilá práce s AD Snapshot – Active Directory Comparison Tool

Pokud chcete s vypublikovaným snímkem AD  dělat i jiné operace než jen Read-only, stáhněte si  nástroj Active Ditrectory Comparison Tool (dále jen DSCT) od pana Fredrika Lindströma (Microsoft MVP)  ze stránek  http://lindstrom.nullsession.com/?page_id=11.  Nástroj (MMC snap-in) je schopen pracovat se dvěma zdroji dat: „živou“ AD na jedné straně a publikovaným snímkem AD na straně druhé.

Mezi hlavní funkce ACDT patří:

  • Porovnání snímku AD s „živou“ A -  tj. zobrazení smazaných, přidaných a modifikovaných objektů
  • Obnova smazaných objektů (ze snímku AD do „živé“ AD) - včetně obnovy členství ve skupinách!
  • Obnova změněných atributů objektu (ze snímku AD do „živé“ AD)
Klepněte pro větší obrázek
Obr. 6 – Ukázka práce s ADCT

Závěr

Snímky AD jsou velmi užitečným rozšířením funkcionality doménových služeb v Microsoft Windows Serveru 2008, které může pomoci v případě obnovování AD ze zálohy (výběr „té správné“ zálohy), sledování změn v AD atd. Práce se snímky AD sice není právě intuitivní, ale zvládnout se dá a spolu s  Active Directory Comparison Tool se stávají opravdu silným nástrojem.

Zdroje:

Články ze série Microsoft TechNet nevytváří redakce Živě.cz, ale partneři programu Microsoft TechNet. Jsou publikovány v rámci mediálního partnerství Živě.cz a společnosti Microsoft.

Témata článku: Software, Microsoft, Active, Apod, Mount, Only, Snap

Určitě si přečtěte

Operační systém běžným počítačům nedal Bill Gates, ale Gary Kildall

Operační systém běžným počítačům nedal Bill Gates, ale Gary Kildall

** Gary Kildall pochopil, že levné výpočetní čipy mohou posloužit jako univerzální počítače pro všechny ** Připravil pro ně proto první operační systém ** Později mu systém vyfoukl Microsoft a nazval ho MS DOS

23.  4.  2017 | Pavel Tronner | 57

Umělá inteligence je sice v plenkách, už teď ale přestáváme rozumět, jak vlastně funguje. To je problém

Umělá inteligence je sice v plenkách, už teď ale přestáváme rozumět, jak vlastně funguje. To je problém

** Už je to tady, lidé přestávají chápat počítače ** Systémy neuronových sítí začínají pracovat tak, že ani jejich tvůrci přesně neví, co se uvnitř děje ** Do budoucna to může být závažný problém

24.  4.  2017 | Jakub Čížek | 112

Před 35 lety měl premiéru legendární počítač ZX Spectrum. Připomeňte si „Gumáka“

Před 35 lety měl premiéru legendární počítač ZX Spectrum. Připomeňte si „Gumáka“

** Slavný osmibitový počítač Sinclair ZX Spectrum byl uveden právě před 35 lety ** Připomeňte si tento průkopnický počítač v tematických článcích ** Podívejte se, jak funguje dnes

23.  4.  2017 | Pavel Tronner | 13

Acer chrlí novinky: levný a tenký Predator, nové Switche a další notebooky

Acer chrlí novinky: levný a tenký Predator, nové Switche a další notebooky

** Acer na konferenci v New Yorku představil velkou spoustu novinek z oblasti počítačů, notebooků i monitorů ** Notebookové novinky se dotkly řad Predator, Swift, Switch i Aspire ** Herní notebooky dostaly nový typ chlazení

27.  4.  2017 | Karel Javůrek | 7

Správný počítač má alespoň dva monitory. Anebo je to jinak?

Správný počítač má alespoň dva monitory. Anebo je to jinak?

** David si nedokáže představit práci bez dvou a více monitorů ** Kubovi naopak stačí jeden a ve více displejích se ztrácí ** Jaký přístup je lepší?

23.  4.  2017 | Jakub Čížek | 59


Aktuální číslo časopisu Computer

Supertéma: moderní cestování

Kdy opravdu přijdou nové baterie?

Velké testy: 6 herních notebooků a 8 volantů

Recenze: AMD Ryzen řady 5