Работа со снимками Active Directory в Windows Server 2008 (часть 1) | Windows для системных администраторов

Работа со снимками Active Directory в Windows Server 2008 (часть 1)

Снимок(snapshot) – теневая копия дискового тома, созданная службой теневого копирования тома (Volume Shadow Copy Service — VSS), которая содержит базу данных Active Directory и лог-файлы. Используя снимки Active Directory, вы можете просматривать данные в них на контроллере домена без необходимости запуска сервера в режиме восстановления службы каталогов.

В Windows Server 2008 есть новая функция, которая позволяет администраторам создавать моментальные снимки базы данных Active Directory в автономном режиме.

Используя  снимки AD вы можете смонтировать резервную копию AD DS и получить  доступ (read-only) к вашим резервным копиям по протоколу LDAP.

Вы должны принять меры для защиты ваших снапшотов AD точно такие же, какие Вы применяете для защиты обычных резервных копий DC. Например, используйте шифрование или другие меры обеспечения безопасности для ваших снапшотов AD DS, чтобы снизить вероятность угрозы несанкционированного доступа к ним.

Есть довольно много сценариев использования снимков AD. Например, если кто-то изменил свойства неких объектов AD, и вы должны вернуться всему свои прежние значения, вы можете смонтировать копию предыдущего снимка на другой порт и легко экспортировать необходимые атрибуты для любого из объектов, который был изменен. Эти значения могут быть импортированы в запущенный экземпляр AD DS. Вы также можете восстановить удаленные объекты или просто просматривать объекты для диагностических целей.

Когда снимок AD смонтирован и подключен, он позволяет увидеть как выглядела база AD  на момент создания снимка, какие объекты в ней существовали и другие виды информации. Тем не менее, сразу после развертывания, не возможно перемещать или копировать элементы и их атрибуты со снимка в активную БД. Для этого вам нужно будет вручную экспортировать соответствующие объекты или атрибуты из снимка, а потом  вручную импортировать их обратно в текущую базу AD.

Хотя процесс создания снимка, установки, подключения к нему, отключения, размонтирования и  удаления может показаться немного запутанным на первый взгляд, после нескольких минут работы, вы разберетесь в этом процессе. В любом случае это гораздо лучше, чем старый вариант – отключении контроллеров домена, перезагрузка в DSRM, восстановление состояния системы из резервной копии, а затем экспорта атрибутов.

Создание снимков (снапшотов) Active Directory


В целях создания снапшотов Active Directory необходимо использовать команду NTDSUTIL. NTDSUTIL встроена в Windows Server 2008. Она доступна, если у вас установлена роль сервера Active Directory Domain Services (AD DS) или роль AD LDS.

Выполните последовательно следующие действия:

1. Зайдите в систему как член группы «Администраторы домена» на один из ваших Windows Server 2008 контроллеров домена.

2. Откройте окно командной строки

Примечание: Вы должны выполнить NTDSUTIL из командной строки с повышенными правами, чтобы запустить такую строку нажмите правой кнопкой мыши на значке “Command Prompt”, а затем выберите пункт «Run as administrator».

3.  В окне CMD, введите следующую команду:

 ntdsutil

4. В окне CMD, введите следующую команду:

 snapshot

Примечание: NTDSUTIL команды построены по принципу вложенного меню. Вы можете набрать «?» в любое время и  получить все доступные на этом уровне команды. Также заметим, что обычно можно ввести только несколько первых букв каждой команды. Например, вместо » snapshots » вы можете просто ввести «sna».

5. Введите следующую команду:

 activate instance ntds

6. Перед тем как запускать команды работы со  снимками, необходимо запустить подкоманду «activate instance» для установки текущей активной инстанции.

В окне CMD, введите следующую команду:

 activate instance ntds

Результат должен выглядеть так:

 snapshot: Activate Instance ntds
 Active instance set to "ntds".

7. В окне CMD, введите следующую команду:

 create

Результат должен выглядеть примерно так:

snapshot: create
Creating snapshot...
Snapshot set {3a861a35-2f33-4d7a-8861-a10e47afdaba} generated successfully.

8. Для просмотра всех доступных снимков, в окне CMD, введите следующую команду:

 list all

Результат должен выглядеть примерно так:

snapshot: create
snapshot: List All
1: 2008/10/25:03:14 {ec53ad62-8312-426f-8ad4-d47768351c9a}
2: C: {15c6f880-cc5c-483b-86cf-8dc2d3449348}

9. Далее, вы можете продолжить работу с NTDSUTIL, или вы можете выйти, набрав «quit» 2 раза.

Примечание: NTDSUTIL позволяет запускать перечисленные выше команды, просто набрав их  в одну строку. Выполните следующую команду:

 ntdsutil "Activate Instance NTDS" snapshot create quit quit

Т.е. Вы сможете легко автоматизировать этот процесс.

Монтирование снимка Active Directory


Перед подключением к снимку мы должны примонтировать его. Глядя на вывод команды  «List All», мы можем выбрать снимок с которым хотим работать, для чего обратите внимание на число рядом с ним.

Для того, чтобы подключить снимок Active Directory выполните следующие действия:

1. Зайдите в систему как член группы «Администраторы домена» на один из ваших Windows Server 2008 контроллеров домена.

2. Откройте командную строку с правами администратора

3. В окне CMD, введите следующую команду:

 ntdsutil

4. Далее наберите

 snapshot

5. Для просмотра всех доступных снимков, в окне CMD, введите следующую команду:

 list all

Результат должен выглядеть примерно так:

 snapshot: List All
 1: 2009/10/25:13:14 {ec53ad62-8312-426f-8ad4-d47768351c9a}
 2: C: {15c6f880-cc5c-483b-86cf-8dc2d3449348}

6.  В данном примере у нас есть только один доступный снимок, сделан он 2009/10/25 в 13:14. Его мы и будем монтировать .

В окне CMD, введите следующую команду:

 mount 2

Результат должен выглядеть примерно так:

 snapshot: mount 2
Snapshot {15c6f880-cc5c-483b-86cf-8dc2d3449348} mounted as C:\$SNAP_200810250314_VOLUMEC$\

7. Далее, вы можете продолжить работу с NTDSUTIL, или вы можете выйти, набрав «quit» 2 раза.

Примечание: Как и при создании снапшота, вы моете запускать цепочку команд монтирования  в одну строку.  Например:

 ntdsutil snapshot "list all" "mount 2" quit quit
Еще записи по теме: Active Directory
Понравилась статья? Скажи спасибо и расскажи друзьям!
Назад:
Вперед:

Комментариев: 2

Оставить комментарий
  1. Иван | 15.09.2014

    Спасибо за статью. А можно как-то атвоматизировать создание снапшотов? Не совсем понял как мог бывыглядеть скрипт (тот же батник в шедулере), если ntdsutil имеет структуру вложенности?

    Ответить
    • itpro | 16.09.2014

      В статье об этом написано:
      Примечание: NTDSUTIL позволяет запускать перечисленные выше команды, просто набрав их  в одну строку
      Достаточно в планировщике / скрипте указать команды ntdsutil последовательно в порядке их выполнения, например так:
      ntdsutil «activate instance ntds» snapshot create quit quit
       

      Ответить
Полные правила комментирования на сайте winitpro.ru. Вопросы, не связанные с содержимым статьи или ее обсуждением удаляются.

Сказать Спасибо! можно на этой странице или (еще лучше) поделиться с друзями ссылкой на понравившуюся статью в любимой социальной сети(специально для этого на сайте присуствуют кнопки популярных соц. сетей).

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Я не робот( Обязательно отметьте)



MAXCACHE: 0.25MB/0.00126 sec