Знімок (snapshot) - тіньова копія дискового тому, створена службою тіньового копіювання тому (Volume Shadow Copy Service - VSS), яка містить базу даних Active Directory і лог-файли. Використовуючи знімки Active Directory, ви можете переглядати дані в них на контролері домену без необхідності запуску сервера в режимі відновлення служби каталогів.
У Windows Server 2008 є нова функція, яка дозволяє адміністраторам створювати моментальні знімки бази даних Active Directory в автономному режимі.
Використовуючи знімки AD ви можете змонтувати резервну копію AD DS і отримати доступ (read-only) до ваших резервних копій по протоколу LDAP.
Ви повинні вжити заходів для захисту ваших снапшотов AD точно такі ж, які ви застосовуєте для захисту звичайних резервних копій DC. Наприклад, використовуйте шифрування або інші заходи забезпечення безпеки для ваших снапшотов AD DS, щоб знизити ймовірність загрози несанкціонованого доступу до них.
Є досить багато сценаріїв використання знімків AD. Наприклад, якщо хтось змінив властивості деяких об'єктів AD, і ви повинні повернутися всьому свої колишні значення, ви можете змонтувати копію попереднього знімка на інший порт і легко експортувати необхідні атрибути для будь-якого з об'єктів, який був змінений. Ці значення можуть бути імпортовані в запущений екземпляр AD DS. Ви також можете відновити видалені об'єкти або просто переглядати об'єкти для діагностичних цілей.
Коли знімок AD змонтований і підключений, він дозволяє побачити як виглядала база AD на момент створення знімка, які об'єкти в ній існували й інші види інформації. Проте, відразу після розгортання, що не може носити або копіювати елементи і їх атрибути зі знімка в активну БД. Для цього вам потрібно буде вручну експортувати відповідні об'єкти або атрибути зі знімка, а потім вручну імпортувати їх назад в поточну базу AD.
Хоча процес створення знімка, установки, підключення до нього, відключення, размонтирования і видалення може здатися трохи заплутаним на перший погляд, після декількох хвилин роботи, ви розберетеся в цьому процесі. У будь-якому випадку це набагато краще, ніж старий варіант - відключенні контролерів домену, перезавантаження в DSRM, відновлення стану системи з резервної копії, а потім експорту атрибутів.
Створення знімків (снапшотов) Active Directory
З метою створення снапшотов Active Directory необхідно використовувати команду NTDSUTIL. NTDSUTIL вбудована в Windows Server 2008. Вона доступна, якщо у вас встановлена роль сервера Active Directory Domain Services (AD DS) або роль AD LDS.
Виконайте послідовно наступні дії:
1. Зайдіть в систему як член групи "Адміністратори домену" на один з ваших Windows Server 2008 контролерів домену.
2. Відкрийте вікно командного рядка
Примітка: Ви повинні виконати NTDSUTIL з командного рядка з підвищеними правами, щоб запустити такий рядок натисніть правою кнопкою миші на значку "Command Prompt", а потім виберіть пункт "Run as administrator".
3. У вікні CMD, введіть наступну команду:
ntdsutil
4. У вікні CMD, введіть наступну команду:
snapshot
Примітка: NTDSUTIL команди побудовані за принципом вкладеного меню. Ви можете набрати «?» в будь-який час і отримати всі доступні на цьому рівні команди. Також зауважимо, що зазвичай можна ввести тільки декілька перших букв кожної команди. Наприклад, замість "snapshots» ви можете просто ввести «sna».
5. Введіть наступну команду:
activate instance ntds
6. Перед тим як запускати команди роботи зі знімками, необхідно запустити підкоманду "activate instance" для установки поточної активної інстанції.
У вікні CMD, введіть наступну команду:
activate instance ntds
Результат повинен виглядати так:
snapshot: Activate Instance ntds
Active instance set to "ntds".
7. У вікні CMD, введіть наступну команду:
create
Результат повинен виглядати приблизно так:
snapshot: create
Creating snapshot ...
Snapshot set 3a861a35-2f33-4d7a-8861-a10e47afdaba generated successfully.
8. Для перегляду всіх доступних знімків, в вікні CMD, введіть наступну команду:
list all
Результат повинен виглядати приблизно так:
snapshot: create
snapshot: List All
1: 2008/10/25: 03: 14 ec53ad62-8312-426f-8ad4-d47768351c9a
2: C: 15c6f880-cc5c-483b-86cf-8dc2d3449348
9. Далі, ви можете продовжити роботу з NTDSUTIL, або ви можете вийти, набравши "quit" 2 рази.
Примітка: NTDSUTIL дозволяє запускати перераховані вище команди, просто набравши їх у один рядок. Виконайте наступну команду:
ntdsutil "Activate Instance NTDS" snapshot create quit quit
Тобто Ви зможете легко автоматизувати цей процес.
Монтування знімка Active Directory
Перед підключенням до знімка ми повинні примонтировать його. Дивлячись на висновок команди "List All", ми можемо вибрати знімок з яким хочемо працювати, для чого зверніть увагу на число поруч з ним.
Для того, щоб підключити знімок Active Directory виконайте наступні дії:
1. Зайдіть в систему як член групи "Адміністратори домену" на один з ваших Windows Server 2008 контролерів домену.
2. Відкрийте командний рядок з правами адміністратора
3. У вікні CMD, введіть наступну команду:
ntdsutil
4. Далі наберіть
snapshot
5. Для перегляду всіх доступних знімків, в вікні CMD, введіть наступну команду:
list all
Результат повинен виглядати приблизно так:
snapshot: List All
1: 2009/10/25: 13: 14 ec53ad62-8312-426f-8ad4-d47768351c9a
2: C: 15c6f880-cc5c-483b-86cf-8dc2d3449348
6. В даному прикладі у нас є тільки один доступний знімок, зроблений він 2009/10/25 о 13:14. Його ми і будемо монтувати .
У вікні CMD, введіть наступну команду:
mount 2
Результат повинен виглядати приблизно так:
snapshot: mount 2
Snapshot 15c6f880-cc5c-483b-86cf-8dc2d3449348 mounted as C: \ $ SNAP_200810250314_VOLUMEC $ \
7. Далі, ви можете продовжити роботу з NTDSUTIL, або ви можете вийти, набравши "quit" 2 рази.
Примітка: Як і при створенні снапшотов, ви миєте запускати ланцюжок команд монтування в один рядок. наприклад:
ntdsutil snapshot "list all" "mount 2" quit quit
Підключення знімків Active Directory
Для того, щоб підключитися до знімка AD, який після монтажу, вам доведеться використовувати команду DSAMAIN. DSAMAIN це утиліта командного рядка, яка вбудована в Windows Server 2008. Вона доступна, якщо у вас встановлена роль сервера Active Directory Domain Services (AD DS) або роль Active Directory Lightweight Directory Services (AD LDS).
Після використання утиліти DSAMAIN для того, щоб отримати інформацію з знімка AD, ви можете використовувати будь-який графічний інтерфейс, такий як оснащення Active Directory користувачі і комп'ютери (Dsa.msc), Adsiedit.msc, LDP.exe і інші. Ви також можете підключитися до нього за допомогою утиліт командного рядка LDIFDE, CSVDE та інших інструментів, які дозволяють експортувати інформацію з бази даних домену.
При використанні DSAMAIN для підключення до даних, які містяться в знімку, наступних умов:
- Всі дозволи, які застосовуються до даних в знімку - примусові.
- За замовчуванням, тільки члени групи адміністраторів домену та групи адміністраторів підприємства дозволено переглядати знімки.
По-перше, DSAMAIN вимагає точного і повного шляху до файлу Ntds.dit.
По-друге, ви повинні виділити DSAMAIN унікальний порт для обслуговування LDAP запитів. Ви можете використовувати будь-який порт, який поки не задіяний. У цьому прикладі я буду використовувати порт 10389. DSAMAIN розгорне каталог для доступу до нього по 4 послідовних портів - LDAP, LDAP / SSL, GC, і GC / SSL. Ви можете вручну вказати кожному з них певний порт, але якщо ви просто поставите один порт (тобто 10 389), все решта порти займуться послідовно. Так що якщо ви вибрали 10389 для порту LDAP, ви отримаєте:
- LDAP: 10389
- LDAP / SSL: 10390
- GC: 10391 GC:
- GC / SSL: 10392
Для того, щоб підключитися до знімка Active Directory виконайте наступні дії:
- Зайдіть в систему як член групи "Адміністратори домену" на один з ваших Windows Server 2008 контролерів домену.
- Відкрийте командний рядок з правами адміністратора
- У вікні CMD, введіть наступну команду:
dsamain -dbpath "C: \ $ SNAP_200810250314_VOLUMEC $ \ Windows \ NTDS \ ntds.dit" -ldapport 10389
Ви не отримаєте ніякого візуального підтвердження того, що знімок був підключений. Єдине, що дійсно показують, що DIT підключений повідомлення »Microsoft Active Directory Domain Services startup complete«. Чи не закривайте вікно командного рядка. Поки DSAMAIN працює, ви можете отримати доступ до каталогу через LDAP по порту, заданому Вами.
Результат повинен виглядати приблизно так:
C: \ Users \ Administrator> dsamain -dbpath "C: \ $ SNAP_200810250314_VOLUMEC $ \ Windows \ NTDS \ ntds.dit" -ldapport 10389
EVENTLOG (Informational): NTDS General / Service Control 1000
Microsoft Active Directory Domain Services startup complete, version 6.0.6001.18072
Відключення від знімка Active Directory
Для того, щоб відключитися від знімка AD, потрібно просто натиснути CTRL + C в командному рядку DSAMAIN. Ви отримаєте повідомлення про те, що DS успішно завершена.
Результат повинен виглядати приблизно так:
EVENTLOG (Informational): NTDS General / Service Control: 1004
Active Directory Domain Services was shut down successfully.
Як отмонтировать знімок Active Directory
Останнє, що нам потрібно зробити, це відключити знімок. Це можна зробити за допомогою команди NTDSUTIL.
Для того, щоб відключити Active Directory знімок виконайте наступні дії:
1. Відкрийте командний рядок з правами адміністратора
2. У вікні CMD, введіть наступну команду:
ntdsutil
3. У вікні CMD, наступну команду:
snapshot знімок
4. Для перегляду всіх доступних знімків, в вікні CMD, введіть наступну команду:
list mounted
Результат повинен виглядати приблизно так:
snapshot: List Mounted
1: 2009/10/25: 13: 14 ec53ad62-8312-426f-8ad4-d47768351c9a
2: C: 15c6f880-cc5c-483b-86cf-8dc2d3449348 C: \ $ SNAP_200810250314_VOLUMEC $ \
5. Ми відключимо змонтований знімок.
unmount 2
Результат повинен виглядати приблизно так:
snapshot: Unmount 2 Snapshot 15c6f880-cc5c-483b-86cf-8dc2d3449348 unmounted.
6. Далі, ви можете продовжити роботу з NTDSUTIL, або ви можете вийти, набравши "quit" 2 рази.
Примітка: Тут знову можна використовувати запуск всієї послідовності команд в одному рядку, наприклад:
ntdsutil snapshot "list mounted" "unmount 2" quit quit
Видалення знімків Active Directory
Для того, щоб видалити знімок Active Directory виконайте наступні дії:
1. У вікні CMD, введіть наступну команду:
ntdsutil
2. У вікні CMD, введіть наступну команду:
snapshot
3. Для перегляду всіх доступних знімків, в вікні CMD, введіть наступну команду:
list all
Результат повинен виглядати приблизно так:
snapshot: create
snapshot: List All
1: 2009/10/25: 13: 14 ec53ad62-8312-426f-8ad4-d47768351c9a
2: C: 15c6f880-cc5c-483b-86cf-8dc2d3449348
5. Ми видалимо єдиний доступний знімок. У вікні CMD, введіть наступну команду:
delete 2
Результат повинен виглядати приблизно так:
snapshot: delete 2
Snapshot 15c6f880-cc5c-483b-86cf-8dc2d3449348 deleted.
6. Далі, вийдіть з NTDSUTIL, набравши "quit" 2 рази.
