Работа с моментни снимки на Active Directory в Windows Server 2012/2008 R2

Моментна снимка е копие в сянка на обем на диска, създаден от Службата за копиране на тонове на звука (VSS), която съдържа база данни и журнални файлове на Active Directory. Използвайки моментни снимки на Active Directory, можете да преглеждате данните в тях на контролер на домейн, без да е необходимо да стартирате сървъра в режим на възстановяване на директория.

Windows Server 2008 има нова функция, която позволява на администраторите да правят офлайн снимки на базата данни на Active Directory..

С помощта на моментни снимки на AD можете да монтирате архивиране на AD DS и да имате достъп (само за четене) на своите LDAP архиви.

Трябва да предприемете стъпки, за да защитите вашите AD моментни снимки точно така, както използвате за защита на редовни резервни копия на DC. Например, използвайте криптиране или други мерки за сигурност за моментните снимки на AD DS, за да намалите риска от неоторизиран достъп до тях..

Има доста сценарии за използване на AD моментни снимки. Например, ако някой промени свойствата на някои AD обекти и трябва да върнете всичко до предишните им стойности, можете да монтирате копие на предишното изображение на друг порт и лесно да експортирате необходимите атрибути за всеки от променените обекти. Тези стойности могат да бъдат импортирани в работещ екземпляр AD DS. Можете също така да възстановите изтритите обекти или просто да преглеждате обекти за диагностични цели..

Когато моментната снимка на AD е монтирана и свързана, тя ви позволява да видите как е изглеждала базата данни на AD по времето, когато е създадена снимката, какви обекти са съществували в нея и други видове информация. Въпреки това, веднага след разполагането не е възможно да премествате или копирате елементи и техните атрибути от изображението в активната база данни. За да направите това, ще трябва ръчно да експортирате съответните обекти или атрибути от моменталната снимка и след това ръчно да ги импортирате обратно в текущата база данни на AD.

Въпреки че процесът на създаване на моментна снимка, инсталирането, свързването към него, изключването, демонтирането и изтриването може на пръв поглед да изглежда малко объркващо, след няколко минути работа ще разберете този процес. Във всеки случай това е много по-добре от старата версия - деактивиране на контролерите на домейни, рестартиране в DSRM, възстановяване на състоянието на системата от резервно копие и след това експортиране на атрибути.

Създаване на снимки на Active Directory

За да създадете моментни снимки на Active Directory, трябва да използвате командата NTDSUTIL. NTDSUTIL е вграден в Windows Server 2008. Той е достъпен, ако имате инсталирана роля на сървъра на Active Directory Domain Services (AD DS) или ролята на AD LDS инсталирана.

Следвайте тези стъпки последователно:

1. Влезте като член на групата на администратори на домейни в един от вашите контролери на домейни на Windows Server 2008.

2. Отворете прозореца на командния ред

Забележка: Трябва да стартирате NTDSUTIL от повишен команден ред, за да стартирате такъв ред, щракнете с десния бутон върху иконата „Команден ред“ и след това изберете „Изпълнение като администратор“.

3. В прозореца на CMD въведете следната команда:

 Ntdsutil

4. В прозореца на CMD въведете следната команда:

 моментална снимка

Забележка: NTDSUTIL командите са изградени на принципа на подменю. Можете ли да напишете "?" по всяко време и да получите всички команди, достъпни на това ниво. Също така имайте предвид, че обикновено можете да въведете само първите няколко букви от всяка команда. Например, вместо снимки, можете просто да въведете sna.

5. Въведете следната команда:

 активирайте инстанция ntds

6. Преди да стартирате командите за моментни снимки, трябва да стартирате подкомандата „активиране на инстанция“, за да зададете текущия активен екземпляр.

В прозореца на CMD въведете следната команда:

 активирайте инстанция ntds

Резултатът трябва да изглежда така:

 моментна снимка: Активирайте Instance ntds
 Активният екземпляр е зададен на "ntds".

7. В прозореца на CMD въведете следната команда:

 създавам

Резултатът трябва да изглежда така:

моментна снимка: създаване
Създаване на моментна снимка ... 
Набор от снимки 3a861a35-2f33-4d7a-8861-a10e47afdaba генериран успешно.

8. За да видите всички налични снимки, в прозореца на CMD въведете следната команда:

 избройте всички

Резултатът трябва да изглежда така:

моментна снимка: създаване
моментна снимка: Списък на всички
1: 2008/10/25: 03:14 ec53ad62-8312-426f-8ad4-d47768351c9a
2: C: 15c6f880-cc5c-483b-86cf-8dc2d3449348

9. След това можете да продължите да работите с NTDSUTIL или можете да излезете, като напишете "quit" 2 пъти.

Забележка: NTDSUTIL ви позволява да стартирате горните команди, просто като ги напишете на един ред. Изпълнете следната команда:

 ntdsutil „Активирайте инстанция NTDS“ моментна снимка създайте прекратете

Т.е. Можете лесно да автоматизирате този процес..

Монтирайте снимка на Active Directory

Преди да се свържете към картината, трябва да я монтираме. Разглеждайки изхода на командата „Списък на всички“, можем да изберем картината, с която искаме да работим, за която обърнем внимание на числото до нея.

За да монтирате моментна снимка на Active Directory, изпълнете следните стъпки:

1. Влезте като член на групата на администратори на домейни в един от вашите контролери на домейни на Windows Server 2008.

2. Отворете команден ред с права на администратор

3. В прозореца на CMD въведете следната команда:

 Ntdsutil

4. След това въведете

 моментална снимка

5. За да видите всички налични снимки, в прозореца на CMD въведете следната команда:

 избройте всички

Резултатът трябва да изглежда така:

 моментна снимка: Списък на всички
 1: 2009/10/25: 13:14 ec53ad62-8312-426f-8ad4-d47768351c9a
 2: C: 15c6f880-cc5c-483b-86cf-8dc2d3449348

6. В този пример имаме само една налична снимка, направена е на 2009/10/25 в 13:14. Ще го монтираме .

В прозореца на CMD въведете следната команда:

 монтаж 2

Резултатът трябва да изглежда така:

 моментна снимка: монтиране 2
Снимка 15c6f880-cc5c-483b-86cf-8dc2d3449348, монтирана като C: \ $ SNAP_200810250314_VOLUMEC $ \

7. След това можете да продължите да работите с NTDSUTIL или можете да излезете, като напишете "quit" 2 пъти.

Забележка: Както при създаването на моментна снимка, можете да стартирате веригата от команди за монтиране на един ред. Например:

 ntdsutil моментна снимка „списък на всички“ „mount 2“ излезте

Монтирайте снимки на Active Directory

За да се свържете със снимката AD, която сте монтирали, ще трябва да използвате командата DSAMAIN. DSAMAIN е помощна програма за команден ред, която е вградена в Windows Server 2008. Достъпна е, ако имате инсталирана роля на сървъра на Active Directory Domain Services (AD DS) или ролята на Active Directory с леки услуги (AD LDS)..

След като използвате помощната програма DSAMAIN за извличане на информация от моментна снимка на AD, можете да използвате всеки графичен интерфейс, като например Snap-in на Active Directory потребители и компютри (Dsa.msc), Adsiedit.msc, LDP.exe и други. Можете също да се свържете с него с помощта на помощните програми на командния ред LDIFDE, CSVDE и други инструменти, които ви позволяват да експортирате информация от база данни на домейна.

Когато използвате DSAMAIN за свързване към данните, съдържащи се в изображението, следните условия:

  • Всички разрешения, които се прилагат към данните в изображението, са принудени.
  • По подразбиране само членовете на групата на администратори на домейни и групата на Enterprise Admins могат да виждат снимки.

Първо, DSAMAIN изисква точен и пълен път към файла Ntds.dit..

Второ, трябва да предоставите на DSAMAIN уникален порт за обслужване на LDAP заявки. Можете да използвате всеки порт, който все още не е активиран. В този пример ще използвам порт 10389. DSAMAIN ще разшири директорията, за да има достъп до нея чрез 4 серийни порта - LDAP, LDAP / SSL, GC и GC / SSL. Можете ръчно да посочите конкретен порт за всеки от тях, но ако просто посочите един порт (т.е. 10 389), всички останали портове ще бъдат заети последователно. Така че, ако изберете 10389 за LDAP порта, ще получите:

  • LDAP: 10389
  • LDAP / SSL: 10390
  • GC: 10391 GC:
  • GC / SSL: 10392

За да се свържете с моментна снимка на Active Directory, изпълнете следните стъпки:

  1. Влезте като член на групата на администратори на домейни в един от вашите контролери на домейни на Windows Server 2008.
  2. Отворете командния ред с права на администратор
  3. В прозореца на CMD въведете следната команда:
dsamain -dbpath "C: \ $ SNAP_200810250314_VOLUMEC $ \ Windows \ NTDS \ ntds.dit" -ldapport 10389

Няма да получите никакво визуално потвърждение, че картината е свързана. Единственото нещо, което наистина показва, че DIT е свързан, е съобщението „Стартирането на домейни на Microsoft Active Directory завършено“. Не затваряйте прозореца на командния ред. Докато DSAMAIN работи, можете да получите достъп до директорията чрез LDAP на порта, който сте посочили.

Резултатът трябва да изглежда така:

C: \ Потребители \ Администратор> dsamain -dbpath "C: \ $ SNAP_200810250314_VOLUMEC $ \ Windows \ NTDS \ ntds.dit" -ldapport 10389
EVENTLOG (Информационен): NTDS Общ / Контролен сервиз: 1000
Завършване на стартиране на услуги за домейн Microsoft Active Directory, версия 6.0.6001.18072

Прекъснете връзката с моментната снимка на Active Directory

За да изключите моменталната снимка на AD, просто трябва да натиснете CTRL + C в командния ред DSAMAIN. Ще получите съобщение, че DS е завършено успешно.

Резултатът трябва да изглежда така:

EVENTLOG (Информационен): NTDS Общ / Контролен сервиз: 1004
Услугите на домейна на Active Directory бяха спрени успешно.

Как да демонтирате моментна снимка на Active Directory

Последното нещо, което трябва да направим, е да изключим моменталната снимка. Това може да стане с помощта на командата NTDSUTIL..

За да деактивирате моментната снимка на Active Directory, изпълнете следните стъпки:

1. Отворете командния ред с права на администратор

2. В прозореца на CMD въведете следната команда:

 Ntdsutil

3. В прозореца на CMD следната команда:

 снимка на снимката

4. За да видите всички налични снимки, в прозореца на CMD въведете следната команда:

 списък монтиран

Резултатът трябва да изглежда така:

 моментна снимка: Монтиран списък
 1: 2009/10/25: 13:14 ec53ad62-8312-426f-8ad4-d47768351c9a
 2: C: 15c6f880-cc5c-483b-86cf-8dc2d3449348 C: \ $ SNAP_200810250314_VOLUMEC $ \

5. Ще деактивираме монтираната снимка..

 демонтирайте 2

Резултатът трябва да изглежда така:

 моментна снимка: Демонтиране 2 Снимка 15c6f880-cc5c-483b-86cf-8dc2d3449348.

6. След това можете да продължите да работите с NTDSUTIL или можете да излезете, като напишете "quit" 2 пъти.

Забележка: Тук отново можете да използвате стартирането на цялата последователност от команди в един ред, например:

ntdsutil моментална снимка "монтиран списък" "откачи 2" излезе

Изтриване на моментни снимки на Active Directory

За да изтриете моментната снимка на Active Directory, изпълнете следните стъпки:

1. В прозореца на CMD въведете следната команда:

 Ntdsutil

2. В прозореца на CMD въведете следната команда:

 моментална снимка

3. За да видите всички налични снимки, в прозореца на CMD въведете следната команда:

 избройте всички

Резултатът трябва да изглежда така:

 моментна снимка: създаване
моментна снимка: Списък на всички
 1: 2009/10/25: 13:14 ec53ad62-8312-426f-8ad4-d47768351c9a
 2: C: 15c6f880-cc5c-483b-86cf-8dc2d3449348

5. Ще изтрием единствената налична снимка. В прозореца на CMD въведете следната команда:

 изтрийте 2

Резултатът трябва да изглежда така:

 моментна снимка: изтрийте 2
Снимка 15c6f880-cc5c-483b-86cf-8dc2d3449348 изтрита.

6. След това излезте от NTDSUTIL, като напишете "quit" 2 пъти.