Active Directory Snapshots v Microsoft Windows Serveru 2008

Jednou ze zajímavých novinek, které přinesl nový Microsoft Windows Server 2008, je využití Shadow Copies (tj. Stínových kopií) i pro „snímkování “ Active Directory.

Autor:  Petr Hanák, OKsystem s.r.o.

AD  Snapshot (česky „snímek AD“) je stínová kopie zachycující stav Active Directory tak, jak vypadala v určitém čase a se kterou lze po vypublikování  pracovat jako s instancí LDAP serveru. Prakticky je tedy možné si prohlížet Active Directory (objekty, atributy apod.), jak vypadala v době vytváření snímku AD (samozřejmě jich může být více) bez nutnosti restartovat řadič domény v Directory Services Restore Mode, obnov AD ze zálohy apod.  Pomocí dalších nástrojů je pak možné ze snímků AD  i obnovovat smazané objekty, porovnávat snímek AD se současným stavem atp.

Vytvoření AD Snapshot

Snímek AD se vytváří pomocí nástroje NTDSUTIL (verze z Windows Serveru 2008), který je na každém řadiči k dispozici po doinstalování role AD DS nebo AD LDS. Postup je následující:

1. Spustíme CMD.EXE
2. NTDSTUTIL
3. SNAPSHOT
4. ACTIVATE INSTANCE NTDS
5. CREATE
6. 2x QUIT

Klepněte pro větší obrázek
Obr. 1 – Vytvoření snímku AD

Poznámka:  Tímto způsobem lze samozřejmě snímků AD vytvořit více, případně použití NTDSUTIL naskriptovat a pouštět v pravidelných intervalech.

Připojení AD Snapshot

Předtím, než s vytvořeným snímkem AD můžeme začít pracovat, je nutné jej připojit k souborovému systému. Připojený snímek AD se pak bude chovat jako „běžná“ složka souborového systému.  Připojení („namountování“) se provede následovně:

1. Spustíme CMD.EXE
2. NTDSUTIL
3. SNAPSHOT
4. LIST ALL
5. MOUNT  1

Klepněte pro větší obrázek
Obr. 2 – Připojení snímku AD

Všimněme  si nově vytvořené složky na disku C:

Klepněte pro větší obrázek
Obr.3 – Připojení na disku C

Poznámka: Jako parametr příkazu mount lze použít buď index vytvořeného snímku AD (v našem případě 1 nebo 2) nebo GUID (v našem případě {ca49e5cc-169a-4407-a519-38359f7e230a} nebo {0577492b-80b2-42a6-88f8-bc3c57b7d69a}). Také si můžete všimnout, že ve výpisu se snímky AD vypisují po dvojicích, tj. kdybychom teď vytvořili další snímek AD, bude mít indexy 3 a 4. Zajímavé také je, abychom mohli indexy používat, musíme si je nejprve nechat vypsat příkazem LIST ALL.

Vypublikování a připojení

Vypublikování, tj. vytvoření dalšího LDAP serveru na určeném portu, se provede pomocí vestavěné utility DSAMAIN, která je opět k dispozici na doménovém řadiči po doinstalování rolí AD DS nebo AD LDS. K vytvořenému LDAP serveru je již možné se připojit takřka libovolným nástrojem, tedy např. Active Directory Users and Computers, ADSIedit apod.

1. Musíme zjistit přesnou cestu k souboru ntds.dit (např. C:\$SNAP_200903021150_VOLUMEC$\Windows\NTDS\ntds.dit ) a vložit si ji do do clipboardu
2. Spustíme CMD.EXE
3. DSAMAIN  -dpbath C:\$SNAP_200903021150_VOLUMEC$\Windows\NTDS\ntds.dit –ldapport 51389
Poznámka: Číslo portu lze zvolit jakékoliv neobsazené - v našem případě to bude LDAP:51389, LDAP/SSL(+1):51390, GC(+2):51391 a GC/SSL(+3):51392.
4. Okno CMD.EXE nechte spuštěné

Klepněte pro větší obrázek
Obr.4 – Vypublikování snímku AD

Nyní je již možné si spustit nástroj pro práci s AD např. AD Users and Computers a připojit s k řadiči na portu 51389. Postup je následující:

1. START -> Administrative Tools -> Active Directory Users and Computers
2. Poklepat pravým tlačítkem myši na název domény (v levém sloupci) a zvolit -> Change Domain Controller
3. Change to:  This Domain Controller or AD LDS instance a místo <Type a Directory Server name[:port] here> napište Localhost:51389

Klepněte pro větší obrázek
Obr.5 – Připojení v ADUC

K čemu použít?

V současné době lze s takto vypublikovaným snímkem AD pomocí Microsoft nástrojů pracovat pouze ve stavu Read-only. Lze tedy si snímek AD prohlížet včetně nejrůznějších atributů objektů, ale bohužel chybějí funkce pro porovnání snímku AD s aktuální („živou“) AD, kopírování objektů mezi snímkem AD a „živou“ AD, sledování změn apod. Pro tyto funkce musíme sáhnout po nástroji Active Directory Comparison Tool.

Pokročilá práce s AD Snapshot – Active Directory Comparison Tool

Pokud chcete s vypublikovaným snímkem AD  dělat i jiné operace než jen Read-only, stáhněte si  nástroj Active Ditrectory Comparison Tool (dále jen DSCT) od pana Fredrika Lindströma (Microsoft MVP)  ze stránek  http://lindstrom.nullsession.com/?page_id=11.  Nástroj (MMC snap-in) je schopen pracovat se dvěma zdroji dat: „živou“ AD na jedné straně a publikovaným snímkem AD na straně druhé.

Mezi hlavní funkce ACDT patří:

  • Porovnání snímku AD s „živou“ A -  tj. zobrazení smazaných, přidaných a modifikovaných objektů
  • Obnova smazaných objektů (ze snímku AD do „živé“ AD) - včetně obnovy členství ve skupinách!
  • Obnova změněných atributů objektu (ze snímku AD do „živé“ AD)
Klepněte pro větší obrázek
Obr. 6 – Ukázka práce s ADCT

Závěr

Snímky AD jsou velmi užitečným rozšířením funkcionality doménových služeb v Microsoft Windows Serveru 2008, které může pomoci v případě obnovování AD ze zálohy (výběr „té správné“ zálohy), sledování změn v AD atd. Práce se snímky AD sice není právě intuitivní, ale zvládnout se dá a spolu s  Active Directory Comparison Tool se stávají opravdu silným nástrojem.

Zdroje:

Články ze série Microsoft TechNet nevytváří redakce Živě.cz, ale partneři programu Microsoft TechNet. Jsou publikovány v rámci mediálního partnerství Živě.cz a společnosti Microsoft.

Váš názor Další článek: Pro šéfa Opery není možnost odinstalování IE řešením

Témata článku: Software, Microsoft, Apod, Directory, Read, Živý snímek, Window, Dirigent, Active Directory, Active, Běžná složka, Stínová kopie, Snímek, Only, Snap, Mount


Určitě si přečtěte

HTTPS byl pouze první krok. Chrome zavádí DoH, tedy šifrované DNS. Dopady mohou být obrovské

HTTPS byl pouze první krok. Chrome zavádí DoH, tedy šifrované DNS. Dopady mohou být obrovské

** Šifrovaný web je dnes už samozřejmost ** Jeden díl skládačky ale ještě chybí – DNS ** Firefox už začal a teď se na šifrované DNS chystá i Chrome

Jakub Čížek | 96

Nejlepší notebooky do 20 000 Kč. Tipy, co se dnes vyplatí koupit

Nejlepší notebooky do 20 000 Kč. Tipy, co se dnes vyplatí koupit

** S cenou do 20 tisíc lze vybrat solidní notebook na práci i hry ** Přenosné notebooky nabídnou i kovová těla a rychlý hardware ** Na hraní se hodí více peněz, ale na použitelný základ dvacet tisíc stačí

Tomáš Holčík, David Polesný | 39

Nejlepší notebooky do 10 000 korun: Co koupit a čemu se raději vyhnout

Nejlepší notebooky do 10 000 korun: Co koupit a čemu se raději vyhnout

** Do deseti tisíc korun lze dnes koupit slušné notebooky ** V nabídce ale i tak převládají zastaralé a pomalé modely ** Poradíme, jak dobře vybrat i s omezeným rozpočtem

David Polesný | 102

Vybrali jsme 21 programovatelných hraček a stavebnic pro děti i jejich rodiče

Vybrali jsme 21 programovatelných hraček a stavebnic pro děti i jejich rodiče

** Získejte děti pro matematiku a základy techniky ** Kupte jim hračku nebo stavebnici, které vdechnou vlastní život ** Vybrali jsme 21 stavebnic pro malé caparty i budoucí experty na A.I.

Jakub Čížek | 10


Aktuální číslo časopisu Computer

Megatest: 20 powerbank s USB-C

Test: mobily do 3 500 Kč

Radíme s výběrem routeru

Tipy na nejlepší vánoční dárky