Работа со снимками Active Directory в Windows Server 2012/2008 R2
Снимок(snapshot) – теневая копия дискового тома, созданная службой теневого копирования тома (Volume Shadow Copy Service — VSS), которая содержит базу данных Active Directory и лог-файлы. Используя снимки Active Directory, вы можете просматривать данные в них на контроллере домена без необходимости запуска сервера в режиме восстановления службы каталогов.
В Windows Server 2008 есть новая функция, которая позволяет администраторам создавать моментальные снимки базы данных Active Directory в автономном режиме.
Используя снимки AD вы можете смонтировать резервную копию AD DS и получить доступ (read-only) к вашим резервным копиям по протоколу LDAP.
Вы должны принять меры для защиты ваших снапшотов AD точно такие же, какие Вы применяете для защиты обычных резервных копий DC. Например, используйте шифрование или другие меры обеспечения безопасности для ваших снапшотов AD DS, чтобы снизить вероятность угрозы несанкционированного доступа к ним.
Есть довольно много сценариев использования снимков AD. Например, если кто-то изменил свойства неких объектов AD, и вы должны вернуться всему свои прежние значения, вы можете смонтировать копию предыдущего снимка на другой порт и легко экспортировать необходимые атрибуты для любого из объектов, который был изменен. Эти значения могут быть импортированы в запущенный экземпляр AD DS. Вы также можете восстановить удаленные объекты или просто просматривать объекты для диагностических целей.
Когда снимок AD смонтирован и подключен, он позволяет увидеть как выглядела база AD на момент создания снимка, какие объекты в ней существовали и другие виды информации. Тем не менее, сразу после развертывания, не возможно перемещать или копировать элементы и их атрибуты со снимка в активную БД. Для этого вам нужно будет вручную экспортировать соответствующие объекты или атрибуты из снимка, а потом вручную импортировать их обратно в текущую базу AD.
Хотя процесс создания снимка, установки, подключения к нему, отключения, размонтирования и удаления может показаться немного запутанным на первый взгляд, после нескольких минут работы, вы разберетесь в этом процессе. В любом случае это гораздо лучше, чем старый вариант – отключении контроллеров домена, перезагрузка в DSRM, восстановление состояния системы из резервной копии, а затем экспорта атрибутов.
Создание снимков (снапшотов) Active Directory
В целях создания снапшотов Active Directory необходимо использовать команду NTDSUTIL. NTDSUTIL встроена в Windows Server 2008. Она доступна, если у вас установлена роль сервера Active Directory Domain Services (AD DS) или роль AD LDS.
Выполните последовательно следующие действия:
1. Зайдите в систему как член группы «Администраторы домена» на один из ваших Windows Server 2008 контроллеров домена.
2. Откройте окно командной строки
Примечание: Вы должны выполнить NTDSUTIL из командной строки с повышенными правами, чтобы запустить такую строку нажмите правой кнопкой мыши на значке “Command Prompt”, а затем выберите пункт «Run as administrator».
3. В окне CMD, введите следующую команду:
ntdsutil
4. В окне CMD, введите следующую команду:
snapshot
Примечание: NTDSUTIL команды построены по принципу вложенного меню. Вы можете набрать «?» в любое время и получить все доступные на этом уровне команды. Также заметим, что обычно можно ввести только несколько первых букв каждой команды. Например, вместо » snapshots » вы можете просто ввести «sna».
5. Введите следующую команду:
activate instance ntds
6. Перед тем как запускать команды работы со снимками, необходимо запустить подкоманду «activate instance» для установки текущей активной инстанции.
В окне CMD, введите следующую команду:
activate instance ntds
Результат должен выглядеть так:
snapshot: Activate Instance ntds
Active instance set to "ntds".
7. В окне CMD, введите следующую команду:
create
Результат должен выглядеть примерно так:
snapshot: create
Creating snapshot...
Snapshot set {3a861a35-2f33-4d7a-8861-a10e47afdaba} generated successfully.
8. Для просмотра всех доступных снимков, в окне CMD, введите следующую команду:
list all
Результат должен выглядеть примерно так:
snapshot: create
snapshot: List All
1: 2008/10/25:03:14 {ec53ad62-8312-426f-8ad4-d47768351c9a}
2: C: {15c6f880-cc5c-483b-86cf-8dc2d3449348}
9. Далее, вы можете продолжить работу с NTDSUTIL, или вы можете выйти, набрав «quit» 2 раза.
Примечание: NTDSUTIL позволяет запускать перечисленные выше команды, просто набрав их в одну строку. Выполните следующую команду:
ntdsutil "Activate Instance NTDS" snapshot create quit quit
Т.е. Вы сможете легко автоматизировать этот процесс.
Монтирование снимка Active Directory
Перед подключением к снимку мы должны примонтировать его. Глядя на вывод команды «List All», мы можем выбрать снимок с которым хотим работать, для чего обратите внимание на число рядом с ним.
Для того, чтобы подключить снимок Active Directory выполните следующие действия:
1. Зайдите в систему как член группы «Администраторы домена» на один из ваших Windows Server 2008 контроллеров домена.
2. Откройте командную строку с правами администратора
3. В окне CMD, введите следующую команду:
ntdsutil
4. Далее наберите
snapshot
5. Для просмотра всех доступных снимков, в окне CMD, введите следующую команду:
list all
Результат должен выглядеть примерно так:
snapshot: List All
1: 2009/10/25:13:14 {ec53ad62-8312-426f-8ad4-d47768351c9a}
2: C: {15c6f880-cc5c-483b-86cf-8dc2d3449348}
6. В данном примере у нас есть только один доступный снимок, сделан он 2009/10/25 в 13:14. Его мы и будем монтировать .
В окне CMD, введите следующую команду:
mount 2
Результат должен выглядеть примерно так:
snapshot: mount 2
Snapshot {15c6f880-cc5c-483b-86cf-8dc2d3449348} mounted as C:$SNAP_200810250314_VOLUMEC$
7. Далее, вы можете продолжить работу с NTDSUTIL, или вы можете выйти, набрав «quit» 2 раза.
Примечание: Как и при создании снапшота, вы моете запускать цепочку команд монтирования в одну строку. Например:
ntdsutil snapshot "list all" "mount 2" quit quit
Подключение снимков Active Directory
Для того, чтобы подключиться к снимку AD, который Вы смонтировали, вам придется использовать команду DSAMAIN. DSAMAIN это утилита командной строки, которая встроена в Windows Server 2008. Она доступна, если у вас установлена роль сервера Active Directory Domain Services (AD DS) или роль Active Directory Lightweight Directory Services (AD LDS).
После использования утилиты DSAMAIN для того, чтобы извлечь информацию из снимка AD, вы можете использовать любой графический интерфейс, такой как оснастки Active Directory пользователи и компьютеры (Dsa.msc), Adsiedit.msc, LDP.exe и другие. Вы также можете подключиться к нему с помощью утилит командной строки LDIFDE, CSVDE и других инструментов, которые позволяют экспортировать информацию из базы данных домена.
При использовании DSAMAIN для подключения к данным, которые содержатся в снимке, следующих условий:
- Все разрешения, которые применяются к данным в снимке — принудительные.
- По умолчанию, только члены группы администраторов домена и группы администраторов предприятия разрешено просматривать снимки.
Во-первых, DSAMAIN требует точного и полного пути к файлу Ntds.dit.
Во-вторых, вы должны выделить DSAMAIN уникальный порт для обслуживания LDAP запросов. Вы можете использовать любой порт, который пока не задействован. В этом примере я буду использовать порт 10389. DSAMAIN развернет каталог для доступа к нему по 4 последовательных портам — LDAP, LDAP / SSL, GC, и GC / SSL. Вы можете вручную указать каждому из них определенный порт, но если вы просто зададите один порт (т.е. 10 389), все остальные порты займутся последовательно. Так что если вы выбрали 10389 для порта LDAP, вы получите:
- LDAP: 10389
- LDAP/SSL: 10390
- GC: 10391 GC:
- GC/SSL: 10392
Для того, чтобы подключиться к снимку Active Directory выполните следующие действия:
- Зайдите в систему как член группы «Администраторы домена» на один из ваших Windows Server 2008 контроллеров домена.
- Откройте командную строку с правами администратора
- В окне CMD, введите следующую команду:
dsamain –dbpath "C:$SNAP_200810250314_VOLUMEC$WindowsNTDSntds.dit" -ldapport 10389
Вы не получите никакого визуального подтверждения того, что снимок был подключен. Единственное, что действительно показывают, что DIT подключен сообщение » Microsoft Active Directory Domain Services startup complete «. Не закрывайте окно командной строки. Пока DSAMAIN работает, вы можете получить доступ к каталогу через LDAP по порту, заданному Вами.
Результат должен выглядеть примерно так:
C:UsersAdministrator>dsamain -dbpath "C:$SNAP_200810250314_VOLUMEC$WindowsNTDSntds.dit" -ldapport 10389
EVENTLOG (Informational): NTDS General / Service Control : 1000
Microsoft Active Directory Domain Services startup complete, version 6.0.6001.18072
Отключение от снимка Active Directory
Для того, чтобы отключиться от снимка AD, нужно просто нажать CTRL+C в командной строке DSAMAIN. Вы получите сообщение о том, что DS успешно завершена.
Результат должен выглядеть примерно так:
EVENTLOG (Informational): NTDS General / Service Control : 1004
Active Directory Domain Services was shut down successfully.
Как отмонтировать снимок Active Directory
Последнее, что нам нужно сделать, это отключить снимок. Это можно сделать с помощью команды NTDSUTIL.
Для того, чтобы отключить Active Directory снимок выполните следующие действия:
1. Откройте командную строку с правами администратора
2. В окне CMD, введите следующую команду:
ntdsutil
3. В окне CMD, следующую команду:
snapshot снимок
4. Для просмотра всех доступных снимков, в окне CMD, введите следующую команду:
list mounted
Результат должен выглядеть примерно так:
snapshot: List Mounted
1: 2009/10/25:13:14 {ec53ad62-8312-426f-8ad4-d47768351c9a}
2: C: {15c6f880-cc5c-483b-86cf-8dc2d3449348} C:$SNAP_200810250314_VOLUMEC$
5. Мы отключим смонтированный снимок.
unmount 2
Результат должен выглядеть примерно так:
snapshot: Unmount 2 Snapshot {15c6f880-cc5c-483b-86cf-8dc2d3449348} unmounted.
6. Далее, вы можете продолжить работу с NTDSUTIL, или вы можете выйти, набрав «quit» 2 раза.
Примечание: Здесь опять можно использовать запуск всей последовательности команд в одной строке, например:
ntdsutil snapshot "list mounted" "unmount 2" quit quit
Удаление снимков Active Directory
Для того, чтобы удалить снимок Active Directory выполните следующие действия:
1. В окне CMD, введите следующую команду:
ntdsutil
2. В окне CMD, введите следующую команду:
snapshot
3. Для просмотра всех доступных снимков, в окне CMD, введите следующую команду:
list all
Результат должен выглядеть примерно так:
snapshot: create
snapshot: List All
1: 2009/10/25:13:14 {ec53ad62-8312-426f-8ad4-d47768351c9a}
2: C: {15c6f880-cc5c-483b-86cf-8dc2d3449348}
5. Мы удалим единственный доступный снимок. В окне CMD, введите следующую команду:
delete 2
Результат должен выглядеть примерно так:
snapshot: delete 2
Snapshot {15c6f880-cc5c-483b-86cf-8dc2d3449348} deleted.
6. Далее, выйдите из NTDSUTIL, набрав «quit» 2 раза.
Windows Server 2008
Работа со снимками Active Directory в Windows Server 2012/2008 R2