Active Directory Snapshots v Microsoft Windows Serveru 2008

Jednou ze zajímavých novinek, které přinesl nový Microsoft Windows Server 2008, je využití Shadow Copies (tj. Stínových kopií) i pro „snímkování “ Active Directory.

Autor:  Petr Hanák, OKsystem s.r.o.

AD  Snapshot (česky „snímek AD“) je stínová kopie zachycující stav Active Directory tak, jak vypadala v určitém čase a se kterou lze po vypublikování  pracovat jako s instancí LDAP serveru. Prakticky je tedy možné si prohlížet Active Directory (objekty, atributy apod.), jak vypadala v době vytváření snímku AD (samozřejmě jich může být více) bez nutnosti restartovat řadič domény v Directory Services Restore Mode, obnov AD ze zálohy apod.  Pomocí dalších nástrojů je pak možné ze snímků AD  i obnovovat smazané objekty, porovnávat snímek AD se současným stavem atp.

Vytvoření AD Snapshot

Snímek AD se vytváří pomocí nástroje NTDSUTIL (verze z Windows Serveru 2008), který je na každém řadiči k dispozici po doinstalování role AD DS nebo AD LDS. Postup je následující:

1. Spustíme CMD.EXE
2. NTDSTUTIL
3. SNAPSHOT
4. ACTIVATE INSTANCE NTDS
5. CREATE
6. 2x QUIT

Klepněte pro větší obrázek
Obr. 1 – Vytvoření snímku AD

Poznámka:  Tímto způsobem lze samozřejmě snímků AD vytvořit více, případně použití NTDSUTIL naskriptovat a pouštět v pravidelných intervalech.

Připojení AD Snapshot

Předtím, než s vytvořeným snímkem AD můžeme začít pracovat, je nutné jej připojit k souborovému systému. Připojený snímek AD se pak bude chovat jako „běžná“ složka souborového systému.  Připojení („namountování“) se provede následovně:

1. Spustíme CMD.EXE
2. NTDSUTIL
3. SNAPSHOT
4. LIST ALL
5. MOUNT  1

Klepněte pro větší obrázek
Obr. 2 – Připojení snímku AD

Všimněme  si nově vytvořené složky na disku C:

Klepněte pro větší obrázek
Obr.3 – Připojení na disku C

Poznámka: Jako parametr příkazu mount lze použít buď index vytvořeného snímku AD (v našem případě 1 nebo 2) nebo GUID (v našem případě {ca49e5cc-169a-4407-a519-38359f7e230a} nebo {0577492b-80b2-42a6-88f8-bc3c57b7d69a}). Také si můžete všimnout, že ve výpisu se snímky AD vypisují po dvojicích, tj. kdybychom teď vytvořili další snímek AD, bude mít indexy 3 a 4. Zajímavé také je, abychom mohli indexy používat, musíme si je nejprve nechat vypsat příkazem LIST ALL.

Vypublikování a připojení

Vypublikování, tj. vytvoření dalšího LDAP serveru na určeném portu, se provede pomocí vestavěné utility DSAMAIN, která je opět k dispozici na doménovém řadiči po doinstalování rolí AD DS nebo AD LDS. K vytvořenému LDAP serveru je již možné se připojit takřka libovolným nástrojem, tedy např. Active Directory Users and Computers, ADSIedit apod.

1. Musíme zjistit přesnou cestu k souboru ntds.dit (např. C:\$SNAP_200903021150_VOLUMEC$\Windows\NTDS\ntds.dit ) a vložit si ji do do clipboardu
2. Spustíme CMD.EXE
3. DSAMAIN  -dpbath C:\$SNAP_200903021150_VOLUMEC$\Windows\NTDS\ntds.dit –ldapport 51389
Poznámka: Číslo portu lze zvolit jakékoliv neobsazené - v našem případě to bude LDAP:51389, LDAP/SSL(+1):51390, GC(+2):51391 a GC/SSL(+3):51392.
4. Okno CMD.EXE nechte spuštěné

Klepněte pro větší obrázek
Obr.4 – Vypublikování snímku AD

Nyní je již možné si spustit nástroj pro práci s AD např. AD Users and Computers a připojit s k řadiči na portu 51389. Postup je následující:

1. START -> Administrative Tools -> Active Directory Users and Computers
2. Poklepat pravým tlačítkem myši na název domény (v levém sloupci) a zvolit -> Change Domain Controller
3. Change to:  This Domain Controller or AD LDS instance a místo <Type a Directory Server name[:port] here> napište Localhost:51389

Klepněte pro větší obrázek
Obr.5 – Připojení v ADUC

K čemu použít?

V současné době lze s takto vypublikovaným snímkem AD pomocí Microsoft nástrojů pracovat pouze ve stavu Read-only. Lze tedy si snímek AD prohlížet včetně nejrůznějších atributů objektů, ale bohužel chybějí funkce pro porovnání snímku AD s aktuální („živou“) AD, kopírování objektů mezi snímkem AD a „živou“ AD, sledování změn apod. Pro tyto funkce musíme sáhnout po nástroji Active Directory Comparison Tool.

Pokročilá práce s AD Snapshot – Active Directory Comparison Tool

Pokud chcete s vypublikovaným snímkem AD  dělat i jiné operace než jen Read-only, stáhněte si  nástroj Active Ditrectory Comparison Tool (dále jen DSCT) od pana Fredrika Lindströma (Microsoft MVP)  ze stránek  http://lindstrom.nullsession.com/?page_id=11.  Nástroj (MMC snap-in) je schopen pracovat se dvěma zdroji dat: „živou“ AD na jedné straně a publikovaným snímkem AD na straně druhé.

Mezi hlavní funkce ACDT patří:

  • Porovnání snímku AD s „živou“ A -  tj. zobrazení smazaných, přidaných a modifikovaných objektů
  • Obnova smazaných objektů (ze snímku AD do „živé“ AD) - včetně obnovy členství ve skupinách!
  • Obnova změněných atributů objektu (ze snímku AD do „živé“ AD)
Klepněte pro větší obrázek
Obr. 6 – Ukázka práce s ADCT

Závěr

Snímky AD jsou velmi užitečným rozšířením funkcionality doménových služeb v Microsoft Windows Serveru 2008, které může pomoci v případě obnovování AD ze zálohy (výběr „té správné“ zálohy), sledování změn v AD atd. Práce se snímky AD sice není právě intuitivní, ale zvládnout se dá a spolu s  Active Directory Comparison Tool se stávají opravdu silným nástrojem.

Zdroje:

Články ze série Microsoft TechNet nevytváří redakce Živě.cz, ale partneři programu Microsoft TechNet. Jsou publikovány v rámci mediálního partnerství Živě.cz a společnosti Microsoft.

Váš názor Další článek: Pro šéfa Opery není možnost odinstalování IE řešením

Témata článku: Software, Microsoft, Active, Živý snímek, Snap, Mount, Dirigent, Only, Read, Běžná složka, Snímek, Apod


Určitě si přečtěte

Nechcete platit za Total Commander? Těmito bezplatnými programy ho můžete nahradit

Nechcete platit za Total Commander? Těmito bezplatnými programy ho můžete nahradit

** Total Commander je na Windows takřka legendou ** Licence však stojí více než tisíc korun ** Našli jsme pro vás deset alternativ dostupných zdarma

Karel Kilián | 126

Rekordy počasí: V Česku to ještě jde, skutečné extrémy zažívají jinde

Rekordy počasí: V Česku to ještě jde, skutečné extrémy zažívají jinde

** Teplotní extrémy dokážou překvapit. Seznamte se s rekordy v Česku i ve světě ** Rekordní hodnoty jsou mnohdy až k neuvěření ** Zjistěte, kdy ke bylo největší horko, zima, déšť či vítr

Karel Kilián | 7

PrusaLab a FutLab: Praha se dočkala špičkových komunitních dílen pro hackery

PrusaLab a FutLab: Praha se dočkala špičkových komunitních dílen pro hackery

** Nejprve svoji velkou dílnu otevřelo Brno ** Letos se přidala i Praha ** Nabízí malé 3D tiskárny i velké průmyslové stroje

Jakub Čížek | 11

Porno insider: Jak virtuální realita vstupuje do filmů pro dospělé

Porno insider: Jak virtuální realita vstupuje do filmů pro dospělé

** Pornografie údajně představuje třetinu internetové obsahu a je technologický tahounem ** Do erotického obsahu postupně zasahuje i virtuální realita ** Kromě vizuálního vjemu se pracuje také na virtuálním uspokojení toho hmatového

Jan Dudek | 28

Blíží se Juno. Jeden z nejhezčích Linuxů pro normální lidi

Blíží se Juno. Jeden z nejhezčích Linuxů pro normální lidi

** Ubuntu a Fedora patří k nejpopulárnějším linuxovým OS pro desktop ** A pak je tu zástup dalších nebo jejich odvozenin ** Jedním z nich je Elementary OS, který se brzy dočká novinek

Jakub Čížek | 71

15 věcí, které umí Windows 10, ale možná o nich vůbec nevíte

15 věcí, které umí Windows 10, ale možná o nich vůbec nevíte

** Systém Windows 10 umí spoustu užitečných drobností ** O mnoha praktických funkcích pravděpodobně ani nevíte ** Poznejte užitečné tipy, které se vám mohou hodit každý den

Vladislav Kluska | 33

Alan Turing: Genius, který matematicky stvořil počítač

Alan Turing: Genius, který matematicky stvořil počítač

Řešením matematického problému se dostal k modelu teoretického stroje, který nese jeho jméno a je základem logiky univerzálních počítačů.

Pavel Tronner | 56

WALL-E vyfotil Zemi ze vzdálenosti 1 milionů km

WALL-E vyfotil Zemi ze vzdálenosti 1 milionů km

** Malá sonda s přezdívkou WALL-E pořídila fotografii Země a Měsíce ze vzdálenosti 1 milionů km ** CubeSat letí se sondou InSight k Marsu ** InSight přistane na Marsu 26. listopadu

Petr Kubala | 4


Aktuální číslo časopisu Computer

Kdy necháme řídit chytrá auta?

6 Wi-Fi Mesh systémů ve velkém testu

Srovnali jsme 7 sportovních kamer

Znáte pravidla pro létání s drony?