CertBase Community
Die Lernplattform für Ihren Erfolg
Verwenden von Active Directory Snapshots unter Windows Server 2008

Windows Server 2008 bietet ein neues Feature, das es Administratoren erlaubt Snapshots (Momentaufnahmen) der Active Directory Datenbank für die offline Verwendung zu erstellen. Sie haben somit die Möglichkeit eine Sicherung der Active Directory Datenbank unter einem wählbaren TCP Anschluss zu mounten und mit einem LDAP Reader oder der Konsole Active Directory-Benutzer und -Computer (ADUC) zu durchforsten.

Die Zugriffsmöglichkeiten auf die Informationen des Snapshot umfassen nur das Lesen.

Die Einsatzmöglichkeiten sind recht vielfältig. Sind beispielsweise die Eigenschaften von Objekten geändert worden und Sie müssen den ursprünglichen Zustand ermitteln und wiederherstellen, können Sie eine ältere Sicherung der Active Directory Datenbank mounten und die Daten entweder manuell übertragen oder die Standardtools CSVDE und LDIFDE verwenden, um die Informationen zu exportieren und anschließend in der produktiven Datenbank zu importieren.

Ein einfacher und komfortabler Weg für das Wiederherstellen von Objekten oder einzelnen Attributen aus einem Snapshot ergibt sich in Verbindung mit dem Programm Directory Service Comparison Tool von Fredrik Lindström, welches ich in einem späteren Artikel vorstellen möchte. Dieses Tool, das als Snap-In für die MMC installiert wird, erhöht den Nutzen der Active Directory Snapshots deutlich und macht die neue Technik zu einem wertvollem Instrument im Rahmen von Sicherungs- und Wiederherstellungsstrategien.

Inhalt

  • 1. Erstellen eines Active Directory Snapshot
  • 2. Mounten eines Active Directory Snapshot
  • 3. Verbinden und durchsuchen eines Active Directory Snapshot
  • 4. Trennen eines Active Directory Snapshot
  • 5. Löschen eines Active Directory Snapshot


1.      
Erstellen eines Active Directory Snapshot

Für das Erstellen eines Active Directory Snapshots benötigen Sie das Befehlszeilenprogram Ntdsutil.exe. Das Programm wird unter Windows Server 2008 automatisch installiert, sobald Sie die Rolle Active Directory-Domänendienste oder Active Directory Lightweight Directory Services installieren.

  1. Melden Sie sich als Mitglied der Gruppe Domänen-Admins an einem Ihrer Windows Server 2008 Domänencontroller an.
  2. Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten.
  3. Rufen Sie das Befehlszeilenprogramm Ntdsutil.exe auf.
  4. Wechseln Sie in das Unterprogramm Snapshot.

    Anmerkung: Ntdsutil bietet eine hierarchische Menüstruktur. Über den Befehl Quit wechseln Sie wieder eine Ebene nach oben. Befehle können in der Regel auch abgekürzt werden, solange Sie eindeutig bleiben (z.B.: Snap anstelle von Snapshot).
     
  5. Geben Sie Activate Instance ntds ein, um den Fokus auf die Active Directory Datenbank zu setzen.
  6. Geben Sie Create ein, um einen Snapshot zu erstellen.
  7. Geben Sie List All ein, um eine Liste aller verfügbaren Snapshots zu erhalten.
  8. Geben Sie Quit ein, um das Unterprogramm Snapshot zu verlassen.
  9. Geben Sie Quit ein, um das Programm Ntdsutil zu verlassen. 

Ntdsutil ermöglicht es die oben aufgelisteten Befehle in eine Zeile zu schreiben. Auf diese Weise kann der gesamte Prozess zu Erstellung von Snapshots im Rahmen einer geplanten Aufgabe automatisiert werden.

Die Schritte 1 bis 9 können durch das folgende kurze Skript automatisiert werden:

@echo off
ntdsutil snapshot "activate instance ntds" create quit quit
exit 

2.       Mounten eines Active Directory Snapshot

Bevor nun eine Verbindung mit dem Snapshot hergestellt und Zugriff auf die Informationen erfolgen kann muss das Snapshot zunächst gemountet werden.

Führen Sie die folgenden Schritte aus, um das zuvor erstellte Snapshot zu mounten:

  1. Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten und rufen Sie das Programm Ntdsutil auf.
  2. Wechseln Sie in das Unterprogramm Snapshot
  3. Lassen Sie sich die bestehenden Snapshots mit dem Befehl List All anzeigen (Ausgabe siehe Abbildung oben).
  4. Im diesem Beispiel existieren zwei Snapshots eines mit dem Erstelldatum 2009/04/28:07:24 und ein zweites mit dem Erstelldatum 2009/04/28:09:30. Geben Sie Mount 4 ein, um das aktuellere Snapshot zu mounten.
  5. Sie können das Unterprogramm Snapshot nun durch Eingabe von Quit verlassen.
  6. Verlassen Sie Ntdsutil durch Eingabe von Quit

Die Schritte 1. bis 6. können ebenfalls in einer Zeile zusammengefasst werden. Es ist jedoch erforderlich den Befehl List All vor dem Mounten des Snapshot auszuführen. Der Befehl muss daher mit aufgenommen werden.

ntdsutil snapshot "list all" "mount 4" quit quit 

3.       Verbinden und durchsuchen eines Active Directory Snapshot

Um eine Verbindung mit dem gemounteten AD Snapshot herzustellen muss zunächst das Befehlszeilenprogramm Dsamain.exe zum Einsatz kommen. Dsamain verknüpft den Snapshot mit einem TCP Anschluss für die Protokolle LDAP, LDAP über SSL, GC LDAP und GC LDAP über SSL.

Dsamain wird unter Windows Server 2008 automatisch mit den Serverrollen Active Directory-Domänendienste oder Active Directory Lightweight Directory Services installiert.

Nach der Verwendung von Dsamain können Sie ein beliebiges GUI Tool, wie Active Directory-Benutzer und -Computer, Adsiedit, LDP.exe oder andere verwenden, um sich mit dem Snapshot zu verbinden. Auch Befehlszeilenprogramme wie LDIFDE oder CSVDE können anschließend verwendet werden.

Dsamain.exe benötigt den vollständigen Pfad zur Datei ntds.dit im Snapshot. Gehen Sie wie folgt vor, um den Pfad zu ermitteln:

  1. Öffnen Sie den Windows Explorer und wechseln Sie in das Verzeichnis, dass die Datenbankdatei ntds.dit enthält.


     
  2. Öffnen Sie bei gedrückter SHIFT Taste das Kontextmenü der Datei ntds.dit und wählen Sie die Option Als Pfad kopieren.


     

Neben der Pfadangabe müssen Sie Dsamain mitteilen auf welchem Anschluss LDAP Anfragen angenommen werden sollen. Sie können jeden beliebigen Port verwenden, solange dieser nicht bereits anderweitig verwendet wird. Die produktive Instanz der Active Directory Datenbank verwendet standardmäßig die folgenden Anschlüsse:

  • Lightweight Directory Access Protocol (LDAP): 389 TCP und UDP
  • LDAP über SSL: 636 TCP
  • Globaler Katalog (GC) LDAP: 3268 TCP
  • Globaler Katalog LDAP über SSL: 3269 TCP

Obwohl Sie für jedes Protokoll den Anschluss separat festlegen können, genügt es nur den LDAP Port zu spezifizieren. Dsamain ordnet den übrigen Protokollen dann automatisch Anschlussnummern in aufsteigender Reihenfolge zu. Legen Sie den LDAP Port für die Bereitstellung des Snapshots beispielsweise mit 400 fest, werden die übrigen Anschlüsse wie folgt bestimmt:

  •  Lightweight Directory Access Protocol (LDAP): 400
  • LDAP über SSL: 401
  • Globaler Katalog LDAP: 402
  • Globaler Katalog LDAP über SSL: 403

Um eine Verbindung mit einem gemounteten Active Directory Snapshot herzustellen, führen Sie die folgenden Schritte aus:

  1. Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten.
  2. Führen Sie den folgenden Befehl aus:

    Dsamain.exe -dbpath "C:\$SNAP_200904280930_VOLUMEC$\Windows\NTDS\ntds.dit" -ldapport 400

    Sie erhalten keine Bestätigung über die erfolgreiche Ausführung des Befehls. Das Einzige was auf den erfolgreichen Abschluss hindeutet ist die Nachricht "Das Starten der Microsoft-Active Directory-Domänendienste wurde abgeschlossen".

    Sie dürfen die Eingabeaufforderung nicht schließen. Solange das Fenster geöffnet bleibt und Dsamain ausgeführt wird, können Sie Verbindungen mit dem Snapshot herstellen.


     
  3. Öffnen Sie nun die Konsole Active Directory-Benutzer und -Computer. Öffnen Sie das Kontextmenü des Stammknotens und wählen Sie die Option Domänencontroller ändern.


     
  4. Aktivieren Sie die Option Domänencontroller oder AD LDS-Instanz und geben Sie Servernamen oder Anschlussnummer des bereitgestellten Snapshots in der Form dc1.cblabs.de:400 an


     
  5. Markieren Sie den neuen Eintrag und klicken Sie auf OK


     
  6. Die Konsole Active Directory-Benutzer und -Computer ist nun mit dem Snapshot verbunden.


     
  7. Um die Verbindung mit dem AD Snapshot zu trennen müssen Sie die Ausführung von Dsamain beenden. Drücken Sie hierzu in der bestehenden Eingabeaufforderung die Tastenkombination STRG+C. Das Ergebnis wird in der nachstehenden Abbildung gezeigt.

 4.       Trennen eines Active Directory Snapshot

Um die Verbindung eines Active Directory Snapshots zu trennen, verwenden wir erneut das Befehlszeilenprogramm Ntdsutil.

  1. Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten.
  2. Rufen Sie das Befehlszeilenprogramm Ntdsutil auf.
  3. Wechseln Sie in das Unterprogramm Snapshot.
  4. Verwenden Sie den Befehl List Mounted, um eine Liste aller verbunden Snapshots zu erhalten.
  5. Geben Sie Unmount 2 ein, um die bestehende Verbindung zu trennen.
  6. Sie können das Unterprogramm Snapshot nun durch Eingabe von Quit verlassen.
  7. Verlassen Sie Ntdsutil durch Eingabe von Quit.


     

Auch diese Befehlsabfolge können Sie wieder in einer Zeile zusammenfassen:

ntdsutil snapshot "list mounted" "unmount 2" quit quit

5.       Löschen eines Active Directory Snapshot

Das Löschen eines Snapshots folgt dem gleichen Muster wie das mounten und unmounten eines Snapshots.

Gehen Sie wie folgt vor, um ein AD Snapshot zu löschen:

  1. Öffnen Sie eine Eingabeaufforderung mit erhöhten Rechten.
  2. Rufen Sie das Programm Ntdsutil auf.
  3. Wechseln Sie in das Unterprogramm Snapshot.
  4. Lassen Sie sich eine Liste aller bestehenden Snapshots über den Befehl List All anzeigen.
  5. Geben Sie Delete 2 ein, um das erste Snapshot zu löschen oder geben Sie Delete 4 ein, um das aktuellere Snapshot zu entfernen.
  6. Verlassen Sie Ntdsutil, indem Sie zweimal Quit eingeben.


     

Zusammenfassen dieser Befehlsabfolge in einer Zeile:

ntdsutil snapshot "list mounted" "delete 4" quit quit

Quellen und weitere Informationen:

http://technet.microsoft.com/en-us/library/cc731620.aspx
http://technet.microsoft.com/en-us/library/cc753609.aspx
http://www.petri.co.il/working-active-directory-snapshots-windows-server-2008.htm


Eingetragen Tue, 28. Apr 2009 12:39 von Maik
CertBase - IT-Prüfungsvorbereitung Online