Active Directory Snapshots v Microsoft Windows Serveru 2008

Jednou ze zajímavých novinek, které přinesl nový Microsoft Windows Server 2008, je využití Shadow Copies (tj. Stínových kopií) i pro „snímkování “ Active Directory.

Autor:  Petr Hanák, OKsystem s.r.o.

AD  Snapshot (česky „snímek AD“) je stínová kopie zachycující stav Active Directory tak, jak vypadala v určitém čase a se kterou lze po vypublikování  pracovat jako s instancí LDAP serveru. Prakticky je tedy možné si prohlížet Active Directory (objekty, atributy apod.), jak vypadala v době vytváření snímku AD (samozřejmě jich může být více) bez nutnosti restartovat řadič domény v Directory Services Restore Mode, obnov AD ze zálohy apod.  Pomocí dalších nástrojů je pak možné ze snímků AD  i obnovovat smazané objekty, porovnávat snímek AD se současným stavem atp.

Vytvoření AD Snapshot

Snímek AD se vytváří pomocí nástroje NTDSUTIL (verze z Windows Serveru 2008), který je na každém řadiči k dispozici po doinstalování role AD DS nebo AD LDS. Postup je následující:

1. Spustíme CMD.EXE
2. NTDSTUTIL
3. SNAPSHOT
4. ACTIVATE INSTANCE NTDS
5. CREATE
6. 2x QUIT

Klepněte pro větší obrázek
Obr. 1 – Vytvoření snímku AD

Poznámka:  Tímto způsobem lze samozřejmě snímků AD vytvořit více, případně použití NTDSUTIL naskriptovat a pouštět v pravidelných intervalech.

Připojení AD Snapshot

Předtím, než s vytvořeným snímkem AD můžeme začít pracovat, je nutné jej připojit k souborovému systému. Připojený snímek AD se pak bude chovat jako „běžná“ složka souborového systému.  Připojení („namountování“) se provede následovně:

1. Spustíme CMD.EXE
2. NTDSUTIL
3. SNAPSHOT
4. LIST ALL
5. MOUNT  1

Klepněte pro větší obrázek
Obr. 2 – Připojení snímku AD

Všimněme  si nově vytvořené složky na disku C:

Klepněte pro větší obrázek
Obr.3 – Připojení na disku C

Poznámka: Jako parametr příkazu mount lze použít buď index vytvořeného snímku AD (v našem případě 1 nebo 2) nebo GUID (v našem případě {ca49e5cc-169a-4407-a519-38359f7e230a} nebo {0577492b-80b2-42a6-88f8-bc3c57b7d69a}). Také si můžete všimnout, že ve výpisu se snímky AD vypisují po dvojicích, tj. kdybychom teď vytvořili další snímek AD, bude mít indexy 3 a 4. Zajímavé také je, abychom mohli indexy používat, musíme si je nejprve nechat vypsat příkazem LIST ALL.

Vypublikování a připojení

Vypublikování, tj. vytvoření dalšího LDAP serveru na určeném portu, se provede pomocí vestavěné utility DSAMAIN, která je opět k dispozici na doménovém řadiči po doinstalování rolí AD DS nebo AD LDS. K vytvořenému LDAP serveru je již možné se připojit takřka libovolným nástrojem, tedy např. Active Directory Users and Computers, ADSIedit apod.

1. Musíme zjistit přesnou cestu k souboru ntds.dit (např. C:\$SNAP_200903021150_VOLUMEC$\Windows\NTDS\ntds.dit ) a vložit si ji do do clipboardu
2. Spustíme CMD.EXE
3. DSAMAIN  -dpbath C:\$SNAP_200903021150_VOLUMEC$\Windows\NTDS\ntds.dit –ldapport 51389
Poznámka: Číslo portu lze zvolit jakékoliv neobsazené - v našem případě to bude LDAP:51389, LDAP/SSL(+1):51390, GC(+2):51391 a GC/SSL(+3):51392.
4. Okno CMD.EXE nechte spuštěné

Klepněte pro větší obrázek
Obr.4 – Vypublikování snímku AD

Nyní je již možné si spustit nástroj pro práci s AD např. AD Users and Computers a připojit s k řadiči na portu 51389. Postup je následující:

1. START -> Administrative Tools -> Active Directory Users and Computers
2. Poklepat pravým tlačítkem myši na název domény (v levém sloupci) a zvolit -> Change Domain Controller
3. Change to:  This Domain Controller or AD LDS instance a místo <Type a Directory Server name[:port] here> napište Localhost:51389

Klepněte pro větší obrázek
Obr.5 – Připojení v ADUC

K čemu použít?

V současné době lze s takto vypublikovaným snímkem AD pomocí Microsoft nástrojů pracovat pouze ve stavu Read-only. Lze tedy si snímek AD prohlížet včetně nejrůznějších atributů objektů, ale bohužel chybějí funkce pro porovnání snímku AD s aktuální („živou“) AD, kopírování objektů mezi snímkem AD a „živou“ AD, sledování změn apod. Pro tyto funkce musíme sáhnout po nástroji Active Directory Comparison Tool.

Pokročilá práce s AD Snapshot – Active Directory Comparison Tool

Pokud chcete s vypublikovaným snímkem AD  dělat i jiné operace než jen Read-only, stáhněte si  nástroj Active Ditrectory Comparison Tool (dále jen DSCT) od pana Fredrika Lindströma (Microsoft MVP)  ze stránek  http://lindstrom.nullsession.com/?page_id=11.  Nástroj (MMC snap-in) je schopen pracovat se dvěma zdroji dat: „živou“ AD na jedné straně a publikovaným snímkem AD na straně druhé.

Mezi hlavní funkce ACDT patří:

  • Porovnání snímku AD s „živou“ A -  tj. zobrazení smazaných, přidaných a modifikovaných objektů
  • Obnova smazaných objektů (ze snímku AD do „živé“ AD) - včetně obnovy členství ve skupinách!
  • Obnova změněných atributů objektu (ze snímku AD do „živé“ AD)
Klepněte pro větší obrázek
Obr. 6 – Ukázka práce s ADCT

Závěr

Snímky AD jsou velmi užitečným rozšířením funkcionality doménových služeb v Microsoft Windows Serveru 2008, které může pomoci v případě obnovování AD ze zálohy (výběr „té správné“ zálohy), sledování změn v AD atd. Práce se snímky AD sice není právě intuitivní, ale zvládnout se dá a spolu s  Active Directory Comparison Tool se stávají opravdu silným nástrojem.

Zdroje:

Články ze série Microsoft TechNet nevytváří redakce Živě.cz, ale partneři programu Microsoft TechNet. Jsou publikovány v rámci mediálního partnerství Živě.cz a společnosti Microsoft.

Váš názor Další článek: Pro šéfa Opery není možnost odinstalování IE řešením

Témata článku: Software, Microsoft, Read, Only, Snap, Dirigent, Živý snímek, Běžná složka, Active, Apod, Mount, Snímek, Active Directory


Určitě si přečtěte

Lenovo přivezlo na IFA 2018 skutečné inovace. Tyto tři notebooky stojí za to

Lenovo přivezlo na IFA 2018 skutečné inovace. Tyto tři notebooky stojí za to

** Yoga C930 nabídne revoluční reproduktor v kloubu displeje ** Yoga Book C930 představuje zdařilý reparát podivného Yoga Booku ** ThinkPad X1 Extreme se může pochlubit extrémní výbavou v tenkém těle

Tomáš Holčík | 16

Nedávno detekovaná potulná planeta je ohromné magnetické monstrum

Nedávno detekovaná potulná planeta je ohromné magnetické monstrum

** Astronomové nedávno zaznamenali pozoruhodné prvenství ** Poprvé s radioteleskopem detekovali planetární objekt za hranicemi Sluneční soustavy ** Stejně tak poprvé změřili magnetické pole takové planety

Stanislav Mihulka | 6

Byli tam! Důkazy o přistání na Měsíci, Lunochody i čínská sonda jsou vidět z vesmíru

Byli tam! Důkazy o přistání na Měsíci, Lunochody i čínská sonda jsou vidět z vesmíru

** Sonda LRO pořídila z oběžné dráhy Měsíce zajímavé snímky ** Jsou na nich vidět artefakty všech misí programu Apolla, které přistály na povrchu Měsíce ** Jde například o části lunárních modulů, rovery a dokonce i vlajky

Petr Kubala | 65

Jak a proč používat alternativní DNS: Zrychlí internet a odblokuje weby

Jak a proč používat alternativní DNS: Zrychlí internet a odblokuje weby

** Alternativní DNS servery mohou zpříjemnit surfování na internetu ** Existuje několik ověřených alternativ, nejen známé DNS od Googlu ** Alternativní DNS však mají i své nevýhody, pozor na ně

Petr Březina | 33

Tohle tak jednou zažít: Nová vzducholoď Airlander 10 s prosklenou podlahou

Tohle tak jednou zažít: Nová vzducholoď Airlander 10 s prosklenou podlahou

** Airlander 10 nabídne plavby vzduchem v interiéru s prosklenou podlahou ** Luxusní vzducholoď byla původně vyvíjena pro vojenské účely ** Počítá se s třídenními „kochacími“ výlety za poznáním

Karel Kilián | 7


Aktuální číslo časopisu Computer

Megatest: 13 grafických karet

Srovnání 7 dokovacích stanic s USB-C

Jak na perfektní noční fotografie

Kvalitní zdroje informací pro sebevzdělávání