Windows Server 2008 Snapshot do AD – Para que serve, e como utilizar

win2088server Um dos novos recursos do AD do Windows Server 2008, é a possibilidade de fazermos Snapshot`s do Active Directory.

O Snapshot não é uma substituição do Backup do System State, nem deve ser interpretado como tal. Este recurso foi disponibilizado para efetuarmos verificações de dados entre duas bases de dados em separado.

Ele utiliza o poder do VSS (Volume Shadow Copy Service) e com isto grava os dados diferenciais naquele exato momento. Esses dados podem ser acessados, sendo assim compararmos um elemento deletado com sua versão original antes da deleção.

Conteúdo

1. Para que serve o Snapshot do Active Directory

2. Pré-Requisitos para usar o recurso

3. Executando o Snapshot do Active Directory

4. Utilizando o DSAMAIN com o Snapshot do Active Directory

Introdução

Neste artigo iremos aprender a utilizar o Snapshot do Active Directory, gerenciar o snapshot do AD, bem como utilizar o Snapshot feito para servir de base de comparação em um processo de recuperação de desastres.

1 – Para que serve o Snapshot do Active Directory

O Snapshot do Active Directory foi desenvolvido para que os administradores do AD DS, possam ter uma ferramenta que utilize o poder do VSS (Volume Shadow Copy Service) dentro do AD DS. Sendo assim nos cabe informar o que é possível fazer e o que não é possível fazer com o Snapshot.

Em um cenário onde acontece uma falha de um DC, não é possível restaurar o DC com o Snapshot, o snapshot é usado para verificação e comparação de objetos de um AD DS ou AD LDS, claro que com o auxílio de ferramentas de terceiros conseguimos prover o retorno dos objetos do TombStone Mode e completar seus dados com o Snapshot.

Vários processos podem ser executados com a ferramenta de Snapshot do Active Directory e iremos falar sobre todos eles, vamos lá.

2 – Pré-Requisitos para usar o Snapshot

Para utilizar o recurso de Snapshot do Active Directory, faz-se necessário possuir DC`s com Windows Server 2008, com no mínimo uma das Roles citadas abaixo:

· AD DS (Active Directory Domain Services)

· AD LDS (Active Directory Lightweight Directory Services)

O Snapshot do Active Directory apenas poderá ser manipulado, por usuários com privilégios de Domain Admins ou Enterprise Admins, isto é necessário para evitar a exposição de dados de forma incorreta.

Para todo o processo de preparação e execução do Snapshot iremos utilizar o NTDSUTIL no Command Prompt. A figura1 demonstra todas as opções de comando da ferramenta Snapshot.

Para ter o acesso ao help do comando Snapshot, basta digitar HELP conforme Figura1.

 

media_artigos_rovermarinho_rm0009_image001

Figura 1 – Opções do Snapshot do Active Directory

Na Tabela1 Listamos todos os comandos e suas finalidades, segue abaixo:

PARÂMETRO

DESCRIÇÃO

Activate Instance <serviço>

Atribui a instância de AD DS ou AD LDS para o Snapshot

Create

Cria um Snapshot da instância selecionada

Delete <número> <*>

Deleta um Snapshot – Pode-se utilizar a opção * para deletar todos

List All

Lista todos os Snapshot`s feitos no DC

List Mounted

Lista todos os Snapshot`s montados no DC

Mount <número>

Habilita o Snapshot no ambiente

Unmount <número> <*>

Desabilita o Snapshot do ambiente, pode se utilizar * para desabilitar todos os ativados

3 – Executando o Snapshot do Active Directory

Todo o processo de execução do Snapshot é através do Command Prompt, isto é claro dentro do NTDSUTIL.

Para iniciar nosso primeiro processo de Snapshot, siga os passos idênticos da Figura2 demostrados abaixo:

media_artigos_rovermarinho_rm0009_image002

Figura 2 – Processo completo do Snapshot

a) Abra o prompt de comando e digite NTDSUTIL

b) Iremos utilizar o comando Snapshot, caso você desconheça as opções do NTDSUTIL, digite help para consultá-las.

c) Dentro do Snapshot digitaremos o comando mostrado na Figura2 e sublinhado em verde “Activate Instance”:

I. Vale lembrar que este comando pode montar unidades NTDS e também ADLDS

Snapshot: Activate Instance NTDS

Active instance set to “NTDS”.

d) Agora e necessário utilizarmos o comando que esta sublinhado em azul “Create”.

I. O processo de criação faz com que o Snapshot do Active Directory faça um diferencial do DC através do VSS (Volume Shadow Copy Service).

Snapshot: Create

Creating snapshot…

Snapshot set {351ea176-265c-455e-870b-a77651158adf} generated successfully.

e) Podemos neste momento utilizar o parâmetro “LIST ALL” para verificarmos todos os Snapshot`s feitos, este parâmetro esta sublinhado em laranja.

I. Conforme você utiliza o recurso de Snapshot, vários objetos vão sendo criados não existe um cálculo muito correto do tamanho de casa Snapshot, porém caso você precise, poderá utilizar o comando “REMOVE <número>” para limpar sua lista de Snapshot`s.

Snapshot: list all

1: 2009/07/28:09:07 {351ea176-265c-455e-870b-a77651158adf}

2: C: {ec3fce86-4099-4e0a-b1ba-76889b2646a}

f) Após este processo podemos utilizar o parâmetro “MOUNT <número>”, este comando irá fazer o snapshot associado ao comando MOUNT estar disponível dentro do Explorer, idêntico a Figura3, segue abaixo:

media_artigos_rovermarinho_rm0009_image003

Reparem que o acesso é feito por meio de um Link dentro do c:\ “$SNAP_XXXXXXXX” na Figura3 podemos ver o link de acesso.

Dentro deste LINK podemos verificar todos os arquivos e observar suas mudanças com o original. Este processo é muito utilizado em conjunto com o comando “DSAMAIN”, este comando será discutido num próximo artigo também.

4 – Utilizando o DSAMAIN com o Snapshot do Active Directory

Foi desenvolvido para o Windows Server 2008 o comando DSAMAIN o comando foi desenvolvido para poder ser utilizado para montagem de um “*.DIT” – Base de dados como Read-Only, sendo assim podemos utilizar o caminho demonstrado na Figura3, juntar este comando ao Dsamain e com isto teremos uma outra base do AD, acessível é claro em outra porta que não seja a TCP 389.

Isto pode ajudar e muito quando, precisamos comparar permissões ou verificar deleções acidentais. Para montar esta base do snapshot em outra porta utilize a imagem da Figura4, segue abaixo:

media_artigos_rovermarinho_rm0009_image004

Figura 4 – Local de Montagem do NTDS.dit

a) Abra o prompt de comando e digite o comando abaixo demonstrado:

Dsamain –dbpath “Caminho do NTDS.DIT” –ldapport “TCP port”

Em seguida a este comando teremos a unidade acessível para utilizarmos o ADSIEDIT.msc para visualizar os dados, uma boa dica para utilizar é o ADEXPLORER do Sysinternals para fazer o download acesse: www.sysinternals.com

Ainda na Figura4 repare que o volume foi montado com sucesso.

EVENTLOG (Informational): NTDS General / Service Control : 1000

Microsoft Active Directory Domain Services startup complete, version 6.0.6002.18005

Após receber esta informação existe a confirmação da montagem da Base NTDS em outra instância no Event Viewer conforme a Figura5, segue abaixo:

media_artigos_rovermarinho_rm0009_image005

Figura 5 – Evento sobre Directory Service New Instance

Vale lembrar que precisamos deixar o prompt aberto enquanto estamos utilizando a nova instância, caso este prompt seja fechado, o processo ficará instânciado no servidor porém não será desligado corretamente.

Quando utilizamos o contexto de comandos “CRTL + C”, o processo é finalizado. Recebemos a resposta no DSAMAIN conforme a Figura6 e no Event Viewer conforme a Figura7, segue abaixo:

media_artigos_rovermarinho_rm0009_image006

Figura 6 – Dsamain finalizado corretamente

media_artigos_rovermarinho_rm0009_image007

Conclusão

Neste artigo falamos sobre a utilização do Snapshot do Active Directory do Windows Server 2008, este artigo compreende uma série de artigos sobre este novo recurso chamado Snapshot do Active Directory.

Explicamos o conceito de Snapshot, para que serve e para o que não serve o Snapshot do AD no Windows Server 2008, mostramos a utilização do utilitário DSAMAIN para montar uma instância do NTDS.dit em outra porta TCP.

Para entender a visualização, restauração e arquitetura do Snapshot acesse nossos outros artigos. Até mais…

Referências + Tópicos Relacionados

Para elaboração deste artigo utilizamos além do dia a dia como instrutor, materiais que servem como leitura posterior.

1 – Active Directory – Administrator’s Pocket Consutant (livro de bolso para o Administrator de Active Directory)

2 – Windows Internals Fifth Edition – VSS (Volume Shadow Copy Service)

3 – Course 6424A Fundamentals of Windows Server 2008 Active Directory

Muitos foram os blogs navegados e opiniões retiradas de muitos bate-papos com amigos, gostaria de agradecer à todos vocês.

Fonte: Desmonta&CIA

Anúncios

Tags:

About Desmonta&CIA

Somos um blog que busca informar aos apaixonados por tecnologia tudo sobre o mundo de TI.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: