Arbeiten mit Active Directory-Snapshots in Windows Server 2008

Mit Windows Server 2008 können Administratoren Snapshots der Active Directory-Datenbank erstellen. Wie der Name schon sagt, ist ein Snapshot einfach eine schreibgeschützte Offline-Kopie der Datenbank.

Wenn Sie einen Snapshot erstellen, bevor Sie größere Active Directory-Änderungen vornehmen, erhalten Sie eine Kopie der Datenbank, auf die Sie bei Bedarf zurückgreifen können. Auf diese Weise können Sie die Einstellungen in der Live-Datenbank mit den in der Kopie enthaltenen Einstellungen vergleichen. Es ist sogar möglich, Daten aus dem Snapshot in die Live-Active Directory-Datenbank zu exportieren.

Erstellen eines Active Directory-Snapshots

Es mag etwas seltsam klingen, aber der erste Schritt im AD-Snapshot-Prozess besteht darin, den Snapshot selbst zu erstellen. Öffnen Sie dazu ein Eingabeaufforderungsfenster mit erhöhten Rechten und geben Sie den folgenden Befehl ein:

NTDSUTIL-Schnappschuss "Instanz-NTDS aktivieren" create quit quit

Wie Sie in Abbildung A sehen können, interpretiert Windows die einzelnen Teile, obwohl wir einen einzelnen Befehl eingeben, tatsächlich als separate Befehle. Sie sollten in der Lage sein, die Ausgabe dieser Befehle zu verwenden, um zu bestätigen, dass ein Snapshot erstellt wurde.

Abbildung A (zum Vergrößern anklicken)

Schnappschuss einbinden

Nachdem der Snapshot erstellt wurde, muss er noch bereitgestellt werden, bevor er verwendet werden kann. Geben Sie an Ihrer Eingabeaufforderung mit erhöhten Rechten die folgenden Befehle ein:

NTDSUTIL
Schnappschuss
Liste alle auf

In der Regel werden bei der Eingabe dieser Befehle zwei Active Directory-Snapshots aufgelistet. Der erste Schnappschuss enthält das aktuelle Datum und die aktuelle Uhrzeit. Dies ist der Schnappschuss, den Sie gerade erstellt haben. Wenn Sie auf Abbildung A zurückblicken, werden Sie feststellen, dass in einer Textzeile steht, dass Snapshot-Set {5062af3e-fa88-405c-9f80-b19d0764f706} erfolgreich generiert. Dies ist dieselbe Nummer, die auf das Datum in Snapshot 1 folgt. Daher müssen wir Windows anweisen, Snapshot 1 bereitzustellen, was wir durch Eingabe dieses Befehls tun können:

Montieren Sie 1

Wie der gesamte Prozess aussieht, sehen Sie in Abbildung B.

Abbildung B (zum Vergrößern anklicken)

Verbinden eines Active Directory-Snapshots

Nachdem wir unseren Snapshot gemountet haben, müssen wir eine Portnummer daran anschließen, damit wir den Snapshot durchsuchen können. Normalerweise werden LDAP-Abfragen über Port 389 an Active Directory gesendet. Wir können jede Portnummer verwenden, solange sie nicht bereits verwendet wird. Tatsächlich benötigen Sie vier freie fortlaufende Portnummern. Ich empfehle die Verwendung von Port 30.000, wodurch Windows die folgenden Portzuweisungen vornimmt:

30.000 LDAP

30.001 LDAP / SSL

30.002 Globaler Katalog

30.003 Globaler Katalog / SSL

Bevor wir die Portnummer zuweisen können, müssen wir den Speicherort der Datei Ntds.dit im Snapshot finden. Obwohl sich die Datei normalerweise unter C: Windows NTDS befindet, sollten Sie dennoch die folgenden Befehle eingeben, um sicherzustellen:

C:
CD
Sie ntds.dit / s

Wenn Sie sich Abbildung C ansehen, sehen Sie, dass das erste zurückgegebene Ergebnis auf C: Windows NTDS ntds.dit verweist. Sie werden auch feststellen, dass der Pfad den Code C: $ SNAP_200910132254_VOLUMEC $ enthält. Sie Muss Notieren Sie sich diesen Teil des Pfads, da er auf jedem Server unterschiedlich ist.

Abbildung C (zum Vergrößern anklicken)

Sobald Sie den Pfad zu Ntds.dit (einschließlich des Mount-Codes) kennen und eine Portnummer ausgewählt haben, können Sie den Snapshot mit dem folgenden Befehl bereitstellen:

DSAdmin –dbpath "C: SNAP_200910132554_VOLUMEC $ Windows NTDS ntds.dit" –LDAPport 30000

Wie in Abbildung D dargestellt, erhalten Sie eine Bestätigung über den Start der Active Directory-Domänendienste. Danach wird das Fenster scheinbar gesperrt. Das Fenster ist jedoch nicht wirklich verschlossen, und es ist wichtig, dass Sie es offen halten.

Abbildung D (zum Vergrößern anklicken)

Arbeiten mit Active Directory-Informationen

Nachdem Sie Ihren Active Directory-Snapshot endgültig bereitgestellt haben, können Sie ihn mit allen Standard-Active Directory-Tools verwenden. Um Ihnen eine Vorstellung davon zu geben, wie dies funktioniert, verwenden wir den Snapshot mit der Active Directory-Benutzer- und -Computerkonsole.

Wählen Sie nach dem Öffnen der Konsole den Befehl Domain Controller ändern aus dem Menü Aktionen der Konsole. Sie sehen nun das Dialogfeld Change Directory Server (siehe Verzeichnisserver ändern) (siehe Abbildung E) Dieser Domänencontroller oder diese AD LDS-Instanz Option, und klicken Sie dann auf die Geben Sie einen Directory Server-Namen ein [port] Hier Möglichkeit.

Abbildung E (zum Vergrößern anklicken)

Geben Sie als Nächstes den Namen Ihres Domänencontrollers ein, gefolgt von einem Doppelpunkt und der von Ihnen ausgewählten Portnummer. In Abbildung F sehen Sie beispielsweise, dass ich Lab-DC: 30000 eingegeben habe. Klicken OK Die Konsole wird angewiesen, den Active Directory-Snapshot zu verwenden.

Abbildung F (zum Vergrößern anklicken)

Trennen des Schnappschusses

Wenn Sie mit dem Snapshot fertig sind, schließen Sie das Konsolenfenster und wechseln Sie zurück zum Eingabeaufforderungsfenster mit erhöhten Rechten, das Sie offen gelassen haben. Drücken Sie Strg + C und der Schnappschuss wird getrennt.

Als Nächstes müssen Sie den Snapshot demontieren und löschen. Beginnen Sie mit der Eingabe der folgenden Befehle:

NTDSUTIL
Schnappschuss
Liste montiert

Nachdem Sie die dem Snapshot zugewiesene Nummer überprüft haben, die Sie demontieren und löschen möchten, können Sie den Vorgang abschließen, indem Sie die folgenden Befehle eingeben:

Aussteigen 2
Löschen 2
Verlassen
Verlassen

Wie Sie sehen können, bieten Active Directory-Snapshots eine praktische Möglichkeit, mit einer Offline-Kopie von AD zu arbeiten. Beachten Sie, dass Active Directory-Einstellungen zwar aus einem Snapshot exportiert werden können, der Snapshot selbst jedoch schreibgeschützt ist.

ÜBER DEN AUTOR
Brien M. PoseyMCSE wurde für seine Arbeit mit Windows Server, IIS und Exchange Server viermal mit dem Microsoft Most Valuable Professional Award ausgezeichnet. Er war CIO für eine landesweite Kette von Krankenhäusern und Gesundheitseinrichtungen und war einst Netzwerkadministrator für Fort Knox. Sie können seine persönliche Website unter besuchen www.brienposey.com.

Similar Posts

Leave a Reply