Snímek je stínová kopie svazku disku vytvořeného službou Volume Shadow Copy Service (VSS), která obsahuje databázi Active Directory a soubory protokolu. Pomocí snímků služby Active Directory můžete v nich zobrazit data v řadiči domény, aniž byste museli server spouštět v režimu obnovy adresářové služby..
Windows Server 2008 má novou funkci, která umožňuje správcům pořizovat snímky databáze služby Active Directory offline..
Pomocí snímků služby AD můžete připojit zálohu služby AD DS a získat přístup (pouze pro čtení) k zálohám LDAP.
Musíte udělat kroky k ochraně vašich snímků AD přesně tak, jak používáte k ochraně běžných záloh DC. Například použijte šifrování nebo jiná bezpečnostní opatření pro vaše snímky služby AD DS ke snížení rizika neoprávněného přístupu k nim..
Existuje poměrně málo scénářů pro použití snímků AD. Pokud například někdo změnil vlastnosti některých objektů AD a musíte vrátit vše na jejich předchozí hodnoty, můžete připojit kopii předchozího obrazu na jiný port a snadno exportovat potřebné atributy pro všechny změněné objekty. Tyto hodnoty lze importovat do spuštěné instance služby AD DS. Můžete také obnovit smazané objekty nebo jednoduše zobrazit objekty pro diagnostické účely..
Když je snímek služby AD připojen a připojen, umožňuje zobrazit, jak databáze AD vypadala v době, kdy byl snímek vytvořen, jaké objekty v něm existovaly, a další typy informací. Bezprostředně po nasazení však není možné přesunout nebo zkopírovat prvky a jejich atributy z obrázku do aktivní databáze. Chcete-li to provést, budete muset ručně exportovat relevantní objekty nebo atributy ze snímku a poté je ručně importovat zpět do aktuální databáze AD.
Přestože se proces vytváření snímku, instalace, připojení k němu, odpojení, odpojení a smazání může na první pohled zdát trochu matoucí, po několika minutách práce tento proces pochopíte. V každém případě je to mnohem lepší než stará verze - deaktivace řadičů domény, restartování do DSRM, obnovení stavu systému ze zálohy a následné exportování atributů.
Vytváření snímků služby Active Directory
Chcete-li vytvořit snímky služby Active Directory, musíte použít příkaz NTDSUTIL. NTDSUTIL je integrován do systému Windows Server 2008. Je k dispozici, pokud máte nainstalovanou roli serveru AD DS (Active Directory Domain Services) nebo roli AD LDS..
Postupujte následovně:
1. Přihlaste se jako člen skupiny Domain Admins do jednoho ze svých řadičů domény Windows Server 2008.
2. Otevřete okno příkazového řádku
Poznámka: Musíte spustit NTDSUTIL z vyvýšeného příkazového řádku, abyste mohli takový řádek spustit, klikněte pravým tlačítkem myši na ikonu „Příkazový řádek“ a poté vyberte „Spustit jako správce“.
3. V okně CMD zadejte následující příkaz:
ntdsutil
4. V okně CMD zadejte následující příkaz:
snímek
Poznámka: Příkazy NTDSUTIL jsou postaveny na principu podnabídky. Můžete napsat "?" kdykoli a získejte všechny příkazy dostupné na této úrovni. Také si všimněte, že obvykle můžete zadat pouze několik prvních písmen každého příkazu. Například místo snímků můžete jednoduše zadat sna.
5. Zadejte následující příkaz:
aktivovat instance ntds
6. Před spuštěním příkazů snapshot musíte spustit dílčí příkaz „Activ instance“ a nastavit aktuální aktivní instanci.
V okně CMD zadejte následující příkaz:
aktivovat instance ntds
Výsledek by měl vypadat takto:
snímek: Aktivace instance ntds
Aktivní instance nastavena na „ntds“.
7. V okně CMD zadejte následující příkaz:
vytvořit
Výsledek by měl vypadat asi takto:
snímek: vytvořit
Vytváří se snímek ...
Sada snímků 3a861a35-2f33-4d7a-8861-a10e47afdaba byla úspěšně vygenerována.
8. Chcete-li zobrazit všechny dostupné snímky, zadejte v okně CMD následující příkaz:
seznam všech
Výsledek by měl vypadat asi takto:
snímek: vytvořit
snímek: Seznam všech
1: 2008/10/25: 03:14 ec53ad62-8312-426f-8ad4-d47768351c9a
2: C: 15c6f880-cc5c-483b-86cf-8dc2d3449348
9. Dále můžete pokračovat v práci s NTDSUTIL nebo můžete ukončit zadáním „quit“ dvakrát.
Poznámka: NTDSUTIL umožňuje spustit výše uvedené příkazy jednoduše zadáním na jeden řádek. Spusťte následující příkaz:
ntdsutil Snímek „Activate Instance NTDS“ create quit quit
I.e. Tento proces můžete snadno automatizovat..
Připojte snímek služby Active Directory
Před připojením k obrázku ji musíme připojit. Při pohledu na výstup příkazu „Seznam všech“ můžeme vybrat obrázek, se kterým chceme pracovat, pro který věnujte pozornost číslu vedle něj.
Chcete-li připojit snímek služby Active Directory, postupujte takto:
1. Přihlaste se jako člen skupiny Domain Admins do jednoho ze svých řadičů domény Windows Server 2008.
2. Otevřete příkazový řádek s právy správce
3. V okně CMD zadejte následující příkaz:
ntdsutil
4. Dále zadejte
snímek
5. Chcete-li zobrazit všechny dostupné snímky, zadejte v okně CMD následující příkaz:
seznam všech
Výsledek by měl vypadat asi takto:
snímek: Seznam všech
1: 2009/10/25: 13:14 ec53ad62-8312-426f-8ad4-d47768351c9a
2: C: 15c6f880-cc5c-483b-86cf-8dc2d3449348
6. V tomto příkladu máme k dispozici pouze jeden snímek, který byl pořízen dne 2009/10/25 ve 13:14. Připojíme to .
V okně CMD zadejte následující příkaz:
držák 2
Výsledek by měl vypadat asi takto:
snapshot: mount 2
Snímek 15c6f880-cc5c-483b-86cf-8dc2d3449348 namontovaný jako C: \ $ SNAP_200810250314_VOLUMEC $ \
7. Dále můžete pokračovat v práci s NTDSUTIL nebo můžete ukončit zadáním „quit“ dvakrát.
Poznámka: Stejně jako při vytváření snímku můžete na jednom řádku spouštět řetězce příkazů mount. Například:
ntdsutil snapshot "list all" "mount 2" quit quit quit
Připojte snímky služby Active Directory
Chcete-li se připojit k snímku služby AD, který jste připojili, budete muset použít příkaz DSAMAIN. DSAMAIN je obslužný program příkazového řádku, který je integrován do systému Windows Server 2008. Je k dispozici, pokud máte nainstalovanou roli serveru Active Directory Domain Services (AD DS) nebo roli Active Directory Lightweight Directory Services (AD LDS)..
Po použití nástroje DSAMAIN k extrahování informací ze snímku služby AD můžete použít jakékoli grafické rozhraní, například modul snap-in Uživatelé a počítače služby Active Directory (Dsa.msc), Adsiedit.msc, LDP.exe a další. Můžete se k němu připojit také pomocí nástrojů příkazového řádku LDIFDE, CSVDE a dalších nástrojů, které umožňují exportovat informace z databáze domény.
Při připojení pomocí DSAMAIN k datům obsaženým v obrázku platí následující podmínky:
- Všechna oprávnění vztahující se na data v obrázku jsou vynucena.
- Ve výchozím nastavení mohou snímky prohlížet pouze členové skupiny Domain Admins a Enterprise Admins.
Nejprve DSAMAIN vyžaduje přesnou a úplnou cestu k souboru Ntds.dit..
Zadruhé musíte DSAMAINu poskytnout jedinečný port pro plnění požadavků LDAP. Můžete použít libovolný port, který ještě není povolen. V tomto příkladu budu používat port 10389. DSAMAIN rozšíří adresář, aby k němu měl přístup prostřednictvím 4 sériových portů - LDAP, LDAP / SSL, GC a GC / SSL. Pro každý z nich můžete ručně zadat konkrétní port, ale pokud zadáte pouze jeden port (tj. 10 389), budou všechny ostatní porty zaneprázdněny postupně. Pokud tedy pro port LDAP vyberete 10389, získáte:
- LDAP: 10389
- LDAP / SSL: 10390
- GC: 10391 GC:
- GC / SSL: 10392
Chcete-li se připojit k snímku služby Active Directory, proveďte následující kroky:
- Přihlaste se jako člen skupiny Domain Admins do jednoho z řadičů domény Windows Server 2008.
- Otevřete příkazový řádek s oprávněními správce
- V okně CMD zadejte následující příkaz:
dsamain -dbpath "C: \ $ SNAP_200810250314_VOLUMEC $ \ Windows \ NTDS \ ntds.dit" -ldapport 10389
Obdržíte žádné vizuální potvrzení, že byl obraz připojen. Jediná věc, která skutečně ukazuje, že DIT je připojen, je zpráva „Spuštění domény Microsoft Active Directory Domain Services dokončeno“. Nezavírejte okno příkazového řádku. Když je spuštěn program DSAMAIN, můžete k adresáři přistupovat prostřednictvím protokolu LDAP na zadaném portu.
Výsledek by měl vypadat asi takto:
C: \ Users \ Administrator> dsamain -dbpath "C: \ $ SNAP_200810250314_VOLUMEC $ \ Windows \ NTDS \ ntds.dit" -ldapport 10389
EVENTLOG (Information): NTDS General / Service Control: 1000
Dokončení spuštění služby Microsoft Active Directory Domain Services, verze 6.0.6001.18072
Odpojit se od snímku služby Active Directory
Chcete-li se odpojit od snímku služby AD, stačí stisknout klávesy CTRL + C na příkazovém řádku DSAMAIN. Obdržíte zprávu o úspěšném dokončení DS.
Výsledek by měl vypadat asi takto:
EVENTLOG (Information): NTDS General / Service Control: 1004
Služby Active Directory Domain Services byly úspěšně ukončeny.
Jak odpojit snímek služby Active Directory
Poslední věcí, kterou musíme udělat, je vypnout snímek. To lze provést pomocí příkazu NTDSUTIL..
Chcete-li zakázat snímek služby Active Directory, postupujte takto:
1. Otevřete příkazový řádek s oprávněními správce
2. V okně CMD zadejte následující příkaz:
ntdsutil
3. V okně CMD následující příkaz:
snímek snímek
4. Chcete-li zobrazit všechny dostupné snímky, zadejte v okně CMD následující příkaz:
seznam připojen
Výsledek by měl vypadat asi takto:
snímek: Seznam připojený
1: 2009/10/25: 13:14 ec53ad62-8312-426f-8ad4-d47768351c9a
2: C: 15c6f880-cc5c-483b-86cf-8dc2d3449348 C: \ $ SNAP_200810250314_VOLUMEC $ \
5. Zakážeme připojený snímek..
odpojit 2
Výsledek by měl vypadat asi takto:
snímek: Odpojit 2 snímek 15c6f880-cc5c-483b-86cf-8dc2d3449348 neodpojený.
6. Dále můžete pokračovat v práci s NTDSUTIL nebo můžete ukončit zadáním „quit“ dvakrát.
Poznámka: Zde můžete opět použít celou řadu příkazů na jednom řádku, například:
ntdsutil snímek "připojený seznam" "odpojit 2" ukončit ukončení
Odstraňte snímky služby Active Directory
Chcete-li odstranit snímek služby Active Directory, postupujte takto:
1. V okně CMD zadejte následující příkaz:
ntdsutil
2. V okně CMD zadejte následující příkaz:
snímek
3. Chcete-li zobrazit všechny dostupné snímky, zadejte v okně CMD následující příkaz:
seznam všech
Výsledek by měl vypadat asi takto:
snímek: vytvořit
snímek: Seznam všech
1: 2009/10/25: 13:14 ec53ad62-8312-426f-8ad4-d47768351c9a
2: C: 15c6f880-cc5c-483b-86cf-8dc2d3449348
5. Vymažeme jediný dostupný snímek. V okně CMD zadejte následující příkaz:
odstranit 2
Výsledek by měl vypadat asi takto:
snímek: odstranit 2
Snímek 15c6f880-cc5c-483b-86cf-8dc2d3449348 byl smazán.
6. Dále ukončete NTDSUTIL zadáním „quit“ dvakrát.
