Práca so snímkami služby Active Directory v systéme Windows Server 2012/2008 R2

Snímka je tieňová kópia zväzku disku vytvorená službou Volume Shadow Copy Service (VSS), ktorá obsahuje databázu Active Directory a protokolové súbory. Pomocou snímok služby Active Directory môžete v nich zobraziť údaje v radiči domény bez toho, aby ste museli server spúšťať v režime obnovy adresárovej služby..

Windows Server 2008 má novú funkciu, ktorá umožňuje správcom vytvárať snímky databázy Active Directory v režime offline..

Pomocou snímok služby AD môžete pripojiť zálohu služby AD DS a získať prístup (iba na čítanie) k zálohám LDAP.

Musíte urobiť kroky na ochranu vašich snímok AD presne tak, ako na ochranu bežných záloh DC. Napríklad použite šifrovanie alebo iné bezpečnostné opatrenia pre vaše snímky služby AD DS na zníženie rizika neoprávneného prístupu k nim..

Existuje pomerne málo scenárov na použitie snímok AD. Napríklad, ak niekto zmenil vlastnosti niektorých AD objektov a vy musíte vrátiť všetko na svoje predchádzajúce hodnoty, môžete pripojiť kópiu predchádzajúceho obrázka na iný port a ľahko exportovať potrebné atribúty pre akýkoľvek zmenený objekt. Tieto hodnoty je možné importovať do bežiacej inštancie služby AD DS. Môžete tiež obnoviť odstránené objekty alebo jednoducho zobraziť objekty na diagnostické účely..

Keď je snímka AD pripojená a pripojená, umožňuje vám zistiť, ako vyzerala databáza AD v čase vytvorenia snímky, aké objekty v nej existovali a ďalšie typy informácií. Bezprostredne po nasadení však nie je možné presunúť alebo skopírovať prvky a ich atribúty z obrázka do aktívnej databázy. Ak to chcete urobiť, musíte manuálne exportovať príslušné objekty alebo atribúty zo snímky a potom ich manuálne importovať späť do aktuálnej databázy AD..

Aj keď proces vytvorenia snímky, jej inštalácie, pripojenia, odpojenia, odpojenia a odstránenia sa môže na prvý pohľad zdať trochu mätúci, po niekoľkých minútach práce tento proces pochopíte. V každom prípade je to oveľa lepšie ako v starej verzii - vypnutie radičov domény, reštartovanie systému DSRM, obnovenie stavu systému zo zálohy a následné exportovanie atribútov.

Vytváranie snímok služby Active Directory

Ak chcete vytvoriť snímky služby Active Directory, musíte použiť príkaz NTDSUTIL. NTDSUTIL je zabudovaný do systému Windows Server 2008. Je k dispozícii, ak máte nainštalovanú rolu servera AD DS (Active Directory Domain Services) alebo Rolu AD LDS..

Postupujte nasledovne:

1. Prihláste sa ako člen skupiny Domain Admins do jedného z radičov domény Windows Server 2008.

2. Otvorte okno príkazového riadka

Poznámka: Musíte spustiť NTDSUTIL z vyvýšeného príkazového riadka, ak chcete spustiť takýto riadok, kliknite pravým tlačidlom myši na ikonu „Príkazový riadok“ a potom vyberte „Spustiť ako správca“.

3. V okne CMD zadajte nasledujúci príkaz:

 Ntdsutil

4. V okne CMD zadajte nasledujúci príkaz:

 momentka

Poznámka: Príkazy NTDSUTIL sú postavené na princípe podponuky. Môžete napísať „?“ kedykoľvek a získajte všetky príkazy dostupné na tejto úrovni. Tiež si uvedomte, že zvyčajne môžete zadať iba prvých niekoľko písmen každého príkazu. Napríklad namiesto snímok môžete jednoducho zadať občerstvenie.

5. Zadajte nasledujúci príkaz:

 aktivovať inštanciu ntds

6. Pred spustením príkazov snímok musíte spustiť čiastkový príkaz „Activ instance“, aby ste nastavili aktuálnu aktívnu inštanciu.

V okne CMD zadajte nasledujúci príkaz:

 aktivovať inštanciu ntds

Výsledok by mal vyzerať takto:

 snímka: Aktivácia inštancie ntds
 Aktívna inštancia nastavená na „ntds“.

7. V okne CMD zadajte nasledujúci príkaz:

 vytvoriť

Výsledok by mal vyzerať asi takto:

snímka: vytvoriť
Vytvára sa snímka ... 
Sada snímok 3a861a35-2f33-4d7a-8861-a10e47afdaba bola úspešne vygenerovaná.

8. Ak chcete zobraziť všetky dostupné snímky, v okne CMD zadajte nasledujúci príkaz:

 zoznam všetkých

Výsledok by mal vyzerať asi takto:

snímka: vytvoriť
snímka: Zoznam všetkých
1: 2008/10/25: 03:14 ec53ad62-8312-426f-8ad4-d47768351c9a
2: C: 15c6f880-cc5c-483b-86cf-8dc2d3449348

9. Ďalej môžete pokračovať v práci s NTDSUTIL alebo môžete ukončiť zadaním príkazu „quit“ dvakrát.

Poznámka: NTDSUTIL umožňuje spustiť vyššie uvedené príkazy jednoducho ich zadaním do jedného riadku. Spustite nasledujúci príkaz:

 ntdsutil Snímka "Activate Instance NTDS" create quit quit

tj Tento proces môžete ľahko automatizovať..

Pripojiť snímku služby Active Directory

Pred pripojením k obrázku ho musíme namontovať. Pri pohľade na výstup príkazu „Zoznam všetkých“ si môžeme zvoliť obrázok, s ktorým chceme pracovať, pri ktorom musíme venovať pozornosť číslu vedľa neho..

Ak chcete pripojiť snímku služby Active Directory, postupujte takto:

1. Prihláste sa ako člen skupiny Domain Admins do jedného z radičov domény Windows Server 2008.

2. Otvorte príkazový riadok s právami správcu

3. V okne CMD zadajte nasledujúci príkaz:

 Ntdsutil

4. Ďalej napíšte

 momentka

5. Ak chcete zobraziť všetky dostupné snímky, v okne CMD zadajte nasledujúci príkaz:

 zoznam všetkých

Výsledok by mal vyzerať asi takto:

 snímka: Zoznam všetkých
 1: 2009/10/25: 13:14 ec53ad62-8312-426f-8ad4-d47768351c9a
 2: C: 15c6f880-cc5c-483b-86cf-8dc2d3449348

6. V tomto príklade máme k dispozícii iba jednu snímku, ktorá bola vytvorená dňa 2009/10/25 o 13:14. Pripojíme to .

V okne CMD zadajte nasledujúci príkaz:

 držiak 2

Výsledok by mal vyzerať asi takto:

 snímka: pripojenie 2
Snímka 15c6f880-cc5c-483b-86cf-8dc2d3449348 namontovaná ako C: \ $ SNAP_200810250314_VOLUMEC $ \

7. Ďalej môžete pokračovať v práci s NTDSUTIL alebo môžete ukončiť zadaním príkazu „quit“ dvakrát.

Poznámka: Rovnako ako pri vytváraní snímky, môžete spustiť reťazec príkazov mount na jednom riadku. Napríklad:

 ntdsutil snapshot "list all" "mount 2" quit quit quit

Pripojte snímky služby Active Directory

Ak sa chcete pripojiť k snímke AD, ktorú ste pripojili, budete musieť použiť príkaz DSAMAIN. DSAMAIN je pomocný program príkazového riadka, ktorý je zabudovaný do systému Windows Server 2008. Je k dispozícii, ak máte nainštalovanú rolu servera AD DS (Active Directory Domain Services) alebo Role Light Directory Directory (AD LDS) Active Directory..

Po použití nástroja DSAMAIN na extrahovanie informácií zo snímky služby AD môžete použiť akékoľvek grafické rozhranie, napríklad modul snap-in Používatelia a počítače služby Active Directory (Dsa.msc), Adsiedit.msc, LDP.exe a ďalšie. Môžete sa k nemu pripojiť aj pomocou nástrojov príkazového riadka LDIFDE, CSVDE a ďalších nástrojov, ktoré vám umožňujú exportovať informácie z databázy domén..

Keď sa pomocou programu DSAMAIN pripájajú k údajom v obrázku, nasledujúce podmienky:

  • Všetky povolenia, ktoré sa vzťahujú na údaje v obrázku, sú vynútené.
  • V predvolenom nastavení môžu snímky prezerať iba členovia skupiny Domain Admins a Enterprise Admins.

Po prvé, DSAMAIN vyžaduje presnú a úplnú cestu k súboru Ntds.dit..

Po druhé, musíte poskytnúť spoločnosti DSAMAIN jedinečný port na vybavovanie požiadaviek LDAP. Môžete použiť akýkoľvek port, ktorý ešte nie je povolený. V tomto príklade použijem port 10389. DSAMAIN rozšíri adresár, aby k nemu pristupoval cez 4 sériové porty - LDAP, LDAP / SSL, GC a GC / SSL. Pre každý z nich môžete manuálne určiť konkrétny port, ale ak zadáte iba jeden port (t. J. 10 389), všetky ostatné porty budú postupne obsadené. Ak pre port LDAP zvolíte 10389, získate:

  • LDAP: 10389
  • LDAP / SSL: 10390
  • GC: 10391 GC:
  • GC / SSL: 10392

Ak sa chcete pripojiť k snímke služby Active Directory, vykonajte nasledujúce kroky:

  1. Prihláste sa ako člen skupiny Domain Admins do jedného z radičov domény Windows Server 2008.
  2. Otvorte príkazový riadok s oprávneniami správcu
  3. V okne CMD zadajte nasledujúci príkaz:
dsamain -dbpath "C: \ $ SNAP_200810250314_VOLUMEC $ \ Windows \ NTDS \ ntds.dit" -ldapport 10389

Nebudete dostávať žiadne vizuálne potvrdenie o pripojení obrázka. Jediná vec, ktorá skutočne ukazuje, že DIT je pripojený, je správa „Spustenie služby Microsoft Active Directory Domain Services dokončené“. Nezatvárajte okno príkazového riadka. Kým je spustený program DSAMAIN, môžete k adresáru pristupovať prostredníctvom protokolu LDAP na určenom porte.

Výsledok by mal vyzerať asi takto:

C: \ Users \ Administrator> dsamain -dbpath "C: \ $ SNAP_200810250314_VOLUMEC $ \ Windows \ NTDS \ ntds.dit" -ldapport 10389
EVENTLOG (Informačné): NTDS Všeobecné / Kontrola služieb: 1000
Dokončenie spúšťania služby Microsoft Active Directory Domain Services, verzia 6.0.6001.18072

Odpojiť sa od snímky služby Active Directory

Ak sa chcete odpojiť od snímky AD, stačí stlačiť CTRL + C na príkazovom riadku DSAMAIN. Dostanete správu o úspešnom dokončení DS.

Výsledok by mal vyzerať asi takto:

EVENTLOG (Information): NTDS General / Service Control: 1004
Služby Active Directory Domain Services boli úspešne ukončené.

Ako odpojiť snímku služby Active Directory

Posledné, čo musíme urobiť, je vypnúť snímku. Môžete to urobiť pomocou príkazu NTDSUTIL..

Ak chcete zakázať snímku služby Active Directory, postupujte takto:

1. Otvorte príkazový riadok s oprávneniami správcu

2. V okne CMD zadajte nasledujúci príkaz:

 Ntdsutil

3. V okne CMD nasledujúci príkaz:

 snímka

4. Ak chcete zobraziť všetky dostupné snímky, v okne CMD zadajte nasledujúci príkaz:

 zoznam pripojený

Výsledok by mal vyzerať asi takto:

 snímka: Pripojené k zoznamu
 1: 2009/10/25: 13:14 ec53ad62-8312-426f-8ad4-d47768351c9a
 2: C: 15c6f880-cc5c-483b-86cf-8dc2d3449348 C: \ $ SNAP_200810250314_VOLUMEC $ \

5. Zakážeme pripojenú snímku..

 odpojiť 2

Výsledok by mal vyzerať asi takto:

 snímka: Odpojiť 2 snímka 15c6f880-cc5c-483b-86cf-8dc2d3449348 neodpojená.

6. Ďalej môžete pokračovať v práci s NTDSUTIL alebo môžete ukončiť zadaním príkazu „quit“ dvakrát.

Poznámka: Aj tu môžete spustiť celú postupnosť príkazov na jednom riadku, napríklad:

ntdsutil snímka "pripojená na zoznam" "odpojiť 2" ukončiť ukončenie

Odstráňte snímky služby Active Directory

Ak chcete odstrániť snímku služby Active Directory, postupujte takto:

1. V okne CMD zadajte nasledujúci príkaz:

 Ntdsutil

2. V okne CMD zadajte nasledujúci príkaz:

 momentka

3. Ak chcete zobraziť všetky dostupné snímky, v okne CMD zadajte nasledujúci príkaz:

 zoznam všetkých

Výsledok by mal vyzerať asi takto:

 snímka: vytvoriť
snímka: Zoznam všetkých
 1: 2009/10/25: 13:14 ec53ad62-8312-426f-8ad4-d47768351c9a
 2: C: 15c6f880-cc5c-483b-86cf-8dc2d3449348

5. Vymažeme jediný dostupný snímku. V okne CMD zadajte nasledujúci príkaz:

 odstrániť 2

Výsledok by mal vyzerať asi takto:

 snímka: odstrániť 2
Snímka 15c6f880-cc5c-483b-86cf-8dc2d3449348 bola odstránená.

6. Ďalej ukončite NTDSUTIL zadaním „quit“ dvakrát.