Migawka to kopia w tle woluminu dysku utworzona przez usługę kopiowania woluminów w tle (VSS), która zawiera bazę danych Active Directory i pliki dziennika. Za pomocą migawek usługi Active Directory można przeglądać zawarte w nich dane na kontrolerze domeny bez konieczności uruchamiania serwera w trybie odzyskiwania usługi katalogowej.
Windows Server 2008 ma nową funkcję, która pozwala administratorom robić migawki baz danych Active Directory offline..
Za pomocą migawek AD można zamontować kopię zapasową AD DS i uzyskać dostęp (tylko do odczytu) do kopii zapasowych LDAP.
Musisz podjąć kroki w celu ochrony migawek AD dokładnie tak samo, jak w przypadku zwykłych kopii zapasowych DC. Na przykład użyj szyfrowania lub innych środków bezpieczeństwa dla migawek usług AD DS, aby zmniejszyć ryzyko nieautoryzowanego dostępu do nich..
Istnieje wiele scenariuszy korzystania z migawek AD. Na przykład, jeśli ktoś zmienił właściwości niektórych obiektów AD i musisz przywrócić wszystko do ich poprzednich wartości, możesz zamontować kopię poprzedniej migawki na innym porcie i łatwo wyeksportować niezbędne atrybuty dla dowolnego ze zmienionych obiektów. Te wartości można zaimportować do działającej instancji usług AD DS. Możesz także odzyskać usunięte obiekty lub po prostu wyświetlić obiekty w celach diagnostycznych..
Gdy migawka AD jest zamontowana i podłączona, pozwala zobaczyć, jak wyglądała baza danych AD w czasie tworzenia migawki, jakie obiekty w niej istniały i inne rodzaje informacji. Jednak natychmiast po wdrożeniu nie można przenosić ani kopiować elementów i ich atrybutów z obrazu do aktywnej bazy danych. Aby to zrobić, musisz ręcznie wyeksportować odpowiednie obiekty lub atrybuty z migawki, a następnie ręcznie zaimportować je z powrotem do bieżącej bazy danych AD.
Chociaż proces tworzenia migawki, instalowania, łączenia się z nią, odłączania, odmontowywania i usuwania może na pierwszy rzut oka wydawać się nieco mylący, po kilku minutach pracy zrozumiesz ten proces. W każdym razie jest to znacznie lepsze niż stara wersja - wyłączenie kontrolerów domeny, ponowne uruchomienie do DSRM, przywrócenie stanu systemu z kopii zapasowej, a następnie eksportowanie atrybutów.
Tworzenie migawek usługi Active Directory
Aby utworzyć migawki usługi Active Directory, musisz użyć polecenia NTDSUTIL. NTDSUTIL jest wbudowany w Windows Server 2008. Jest dostępny, jeśli masz zainstalowaną rolę serwera usług domenowych w usłudze Active Directory (AD DS) lub rolę AD LDS.
Wykonaj kolejno następujące kroki:
1. Zaloguj się jako członek grupy Domain Admins na jednym z kontrolerów domeny z systemem Windows Server 2008.
2. Otwórz okno wiersza polecenia
Uwaga: Musisz uruchomić NTDSUTIL z wiersza polecenia z podwyższonym poziomem uprawnień, aby uruchomić taką linię, kliknij prawym przyciskiem myszy ikonę „Wiersz polecenia”, a następnie wybierz „Uruchom jako administrator”.
3. W oknie CMD wprowadź następującą komendę:
ntdsutil
4. W oknie CMD wprowadź następującą komendę:
migawka
Uwaga: Polecenia NTDSUTIL są zbudowane na zasadzie podmenu. Czy możesz wpisać „?” w dowolnym momencie i uzyskaj wszystkie polecenia dostępne na tym poziomie. Pamiętaj też, że zwykle możesz wpisać tylko kilka pierwszych liter każdego polecenia. Na przykład zamiast migawek możesz po prostu wpisać sna.
5. Wpisz następujące polecenie:
aktywuj instancję ntds
6. Przed uruchomieniem komend migawkowych należy uruchomić podkomendę „aktywuj instancję”, aby ustawić bieżącą aktywną instancję.
W oknie CMD wprowadź następujące polecenie:
aktywuj instancję ntds
Wynik powinien wyglądać następująco:
migawka: Aktywuj Instancję ntds
Aktywna instancja ustawiona na „ntds”.
7. W oknie CMD wprowadź następujące polecenie:
stworzyć
Wynik powinien wyglądać mniej więcej tak:
migawka: utwórz
Tworzenie migawki ...
Zestaw migawki 3a861a35-2f33-4d7a-8861-a10e47afdaba został pomyślnie wygenerowany.
8. Aby wyświetlić wszystkie dostępne migawki, w oknie CMD wprowadź następujące polecenie:
lista wszystkich
Wynik powinien wyglądać mniej więcej tak:
migawka: utwórz
migawka: Lista wszystkich
1: 2008/10/25: 03:14 ec53ad62-8312-426f-8ad4-d47768351c9a
2: C: 15c6f880-cc5c-483b-86cf-8dc2d3449348
9. Następnie możesz kontynuować pracę z NTDSUTIL lub możesz wyjść, wpisując „quit” 2 razy.
Uwaga: NTDSUTIL pozwala uruchamiać powyższe polecenia po prostu wpisując je w jednym wierszu. Uruchom następujące polecenie:
ntdsutil Migawka „Aktywuj wystąpienie NTDS” tworzy „zamknij”
Tj. Możesz łatwo zautomatyzować ten proces..
Montuj migawkę usługi Active Directory
Przed podłączeniem do obrazu musimy go zamontować. Patrząc na wynik polecenia „Lista wszystkich”, możemy wybrać obraz, z którym chcemy pracować, dla którego zwracamy uwagę na liczbę obok niego.
Aby zamontować migawkę usługi Active Directory, wykonaj następujące kroki:
1. Zaloguj się jako członek grupy Domain Admins na jednym z kontrolerów domeny z systemem Windows Server 2008.
2. Otwórz wiersz polecenia z uprawnieniami administratora
3. W oknie CMD wprowadź następującą komendę:
ntdsutil
4. Następnie wpisz
migawka
5. Aby wyświetlić wszystkie dostępne migawki, w oknie CMD wprowadź następujące polecenie:
lista wszystkich
Wynik powinien wyglądać mniej więcej tak:
migawka: Lista wszystkich
1: 2009/10/25: 13:14 ec53ad62-8312-426f-8ad4-d47768351c9a
2: C: 15c6f880-cc5c-483b-86cf-8dc2d3449348
6. W tym przykładzie mamy tylko jedną dostępną migawkę, którą wykonano 25.10.2009 o 13:14. Zamontujemy to .
W oknie CMD wprowadź następujące polecenie:
mocowanie 2
Wynik powinien wyglądać mniej więcej tak:
snapshot: mount 2
Migawka 15c6f880-cc5c-483b-86cf-8dc2d3449348 zamontowana jako C: \ $ SNAP_200810250314_VOLUMEC $ \
7. Następnie możesz kontynuować pracę z NTDSUTIL lub możesz wyjść, wpisując „quit” 2 razy.
Uwaga: Podobnie jak w przypadku tworzenia migawki, możesz uruchomić łańcuch poleceń montowania w jednym wierszu. Na przykład:
ntdsutil snapshot „list all” „mount 2” quit quit
Montuj migawki usługi Active Directory
Aby połączyć się z zamontowaną migawką AD, będziesz musiał użyć polecenia DSAMAIN. DSAMAIN to narzędzie wiersza polecenia wbudowane w system Windows Server 2008. Jest ono dostępne, jeśli masz zainstalowaną rolę serwera usług domenowych w usłudze Active Directory (AD DS) lub rolę usługi Active Directory w usługach Lightweight Directory Services (AD LDS)..
Po użyciu narzędzia DSAMAIN do wyodrębnienia informacji z migawki AD można użyć dowolnego interfejsu graficznego, takiego jak przystawka Użytkownicy i komputery usługi Active Directory (Dsa.msc), Adsiedit.msc, LDP.exe i inne. Możesz także połączyć się z nim za pomocą narzędzi wiersza polecenia LDIFDE, CSVDE i innych narzędzi, które pozwalają eksportować informacje z bazy danych domeny.
Podczas korzystania z DSAMAIN do łączenia się z danymi zawartymi w obrazie, następujące warunki:
- Wszystkie uprawnienia dotyczące danych w obrazie są wymuszone.
- Domyślnie tylko członkowie grupy Domain Admins i Enterprise Admins mogą wyświetlać migawki.
Po pierwsze, DSAMAIN wymaga dokładnej i pełnej ścieżki do pliku Ntds.dit..
Po drugie, musisz zapewnić DSAMAIN unikalny port do obsługi żądań LDAP. Możesz użyć dowolnego portu, który nie jest jeszcze włączony. W tym przykładzie użyję portu 10389. DSAMAIN rozszerzy katalog, aby uzyskać do niego dostęp za pośrednictwem 4 portów szeregowych - LDAP, LDAP / SSL, GC i GC / SSL. Możesz ręcznie określić konkretny port dla każdego z nich, ale jeśli podasz tylko jeden port (tj. 10 389), wszystkie pozostałe porty będą zajęte sekwencyjnie. Więc jeśli wybierzesz 10389 dla portu LDAP, otrzymasz:
- LDAP: 10389
- LDAP / SSL: 10390
- GC: 10391 GC:
- GC / SSL: 10392
Aby połączyć się z migawką usługi Active Directory, wykonaj następujące kroki:
- Zaloguj się jako członek grupy Administratorzy domeny na jednym z kontrolerów domeny z systemem Windows Server 2008.
- Otwórz wiersz polecenia z uprawnieniami administratora
- W oknie CMD wprowadź następujące polecenie:
dsamain -dbpath "C: \ $ SNAP_200810250314_VOLUMEC $ \ Windows \ NTDS \ ntds.dit" -ldapport 10389
Nie otrzymasz żadnego wizualnego potwierdzenia, że zdjęcie zostało połączone. Jedyną rzeczą, która naprawdę pokazuje, że DIT jest podłączony, jest komunikat „Uruchomienie usług domenowych Microsoft Active Directory zakończone”. Nie zamykaj okna wiersza polecenia. Podczas działania DSAMAIN możesz uzyskać dostęp do katalogu przez LDAP na określonym porcie.
Wynik powinien wyglądać mniej więcej tak:
C: \ Users \ Administrator> dsamain -dbpath "C: \ $ SNAP_200810250314_VOLUMEC $ \ Windows \ NTDS \ ntds.dit" -ldapport 10389
EVENTLOG (informacyjny): NTDS General / Service Control: 1000
Zakończono uruchamianie usług domenowych Microsoft Active Directory, wersja 6.0.6001.18072
Odłącz od migawki usługi Active Directory
Aby rozłączyć się z migawką AD, wystarczy nacisnąć CTRL + C w wierszu polecenia DSAMAIN. Otrzymasz wiadomość z informacją, że DS ukończył pomyślnie.
Wynik powinien wyglądać mniej więcej tak:
EVENTLOG (informacyjny): NTDS General / Service Control: 1004
Usługi domenowe w usłudze Active Directory zostały pomyślnie zamknięte.
Jak odmontować migawkę usługi Active Directory
Ostatnią rzeczą, którą musimy zrobić, to wyłączyć migawkę. Można to zrobić za pomocą komendy NTDSUTIL..
Aby wyłączyć migawkę usługi Active Directory, wykonaj następujące kroki:
1. Otwórz wiersz polecenia z uprawnieniami administratora
2. W oknie CMD wprowadź następującą komendę:
ntdsutil
3. W oknie CMD następujące polecenie:
migawka
4. Aby wyświetlić wszystkie dostępne migawki, w oknie CMD wprowadź następujące polecenie:
lista zamontowana
Wynik powinien wyglądać mniej więcej tak:
migawka: lista zamontowana
1: 2009/10/25: 13:14 ec53ad62-8312-426f-8ad4-d47768351c9a
2: C: 15c6f880-cc5c-483b-86cf-8dc2d3449348 C: \ $ SNAP_200810250314_VOLUMEC $ \
5. Wyłączymy zamontowaną migawkę..
odmontować 2
Wynik powinien wyglądać mniej więcej tak:
snapshot: Unmount 2 Snapshot 15c6f880-cc5c-483b-86cf-8dc2d3449348 niezmontowany.
6. Następnie możesz kontynuować pracę z NTDSUTIL lub możesz wyjść, wpisując „quit” 2 razy.
Uwaga: Tutaj ponownie możesz użyć uruchomienia całej sekwencji poleceń w jednym wierszu, na przykład:
ntdsutil snapshot „lista zamontowana” „odmontować 2” zamknij zamknij
Usuń migawki usługi Active Directory
Aby usunąć migawkę usługi Active Directory, wykonaj następujące kroki:
1. W oknie CMD wprowadź następujące polecenie:
ntdsutil
2. W oknie CMD wprowadź następującą komendę:
migawka
3. Aby wyświetlić wszystkie dostępne migawki, w oknie CMD wprowadź następujące polecenie:
lista wszystkich
Wynik powinien wyglądać mniej więcej tak:
migawka: utwórz
migawka: Lista wszystkich
1: 2009/10/25: 13:14 ec53ad62-8312-426f-8ad4-d47768351c9a
2: C: 15c6f880-cc5c-483b-86cf-8dc2d3449348
5. Usuniemy jedyną dostępną migawkę. W oknie CMD wprowadź następujące polecenie:
usuń 2
Wynik powinien wyglądać mniej więcej tak:
migawka: usuń 2
Migawka 15c6f880-cc5c-483b-86cf-8dc2d3449348 usunięta.
6. Następnie wyjdź z NTDSUTIL, wpisując „quit” 2 razy.
