Infra - Windows Server
Snapshot do AD – Para que serve, e como utilizar
Um dos novos recursos do AD do Windows Server 2008, é a possibilidade de fazermos Snapshot`s do Active Directory.
por Rover MarinhoTecnologias
Active Directory
Windows Server 2008
Sumário
Um dos novos recursos do AD do Windows Server 2008, é a possibilidade de fazermos Snapshot`s do Active Directory.
O Snapshot não é uma substituição do Backup do System State, nem deve ser interpretado como tal. Este recurso foi disponibilizado para efetuarmos verificações de dados entre duas bases de dados em separado.
Ele utiliza o poder do VSS (Volume Shadow Copy Service) e com isto grava os dados diferenciais naquele exato momento. Esses dados podem ser acessados, sendo assim compararmos um elemento deletado com sua versão original antes da deleção.
Conteúdo
1. Para que serve o Snapshot do Active Directory
2. Pré-Requisitos para usar o recurso
3. Executando o Snapshot do Active Directory
4. Utilizando o DSAMAIN com o Snapshot do Active Directory
Introdução
Neste artigo iremos aprender a utilizar o Snapshot do Active Directory, gerenciar o snapshot do AD, bem como utilizar o Snapshot feito para servir de base de comparação em um processo de recuperação de desastres.
1 – Para que serve o Snapshot do Active Directory
O Snapshot do Active Directory foi desenvolvido para que os administradores do AD DS, possam ter uma ferramenta que utilize o poder do VSS (Volume Shadow Copy Service) dentro do AD DS. Sendo assim nos cabe informar o que é possível fazer e o que não é possível fazer com o Snapshot.
Em um cenário onde acontece uma falha de um DC, não é possível restaurar o DC com o Snapshot, o snapshot é usado para verificação e comparação de objetos de um AD DS ou AD LDS, claro que com o auxílio de ferramentas de terceiros conseguimos prover o retorno dos objetos do TombStone Mode e completar seus dados com o Snapshot.
Vários processos podem ser executados com a ferramenta de Snapshot do Active Directory e iremos falar sobre todos eles, vamos lá.
2 – Pré-Requisitos para usar o Snapshot
Para utilizar o recurso de Snapshot do Active Directory, faz-se
necessário possuir DC`s com Windows Server 2008, com no mínimo uma das Roles
citadas abaixo:
· AD DS (Active Directory Domain Services)
· AD LDS (Active Directory Lightweight Directory Services)
O Snapshot do Active Directory apenas poderá ser manipulado, por usuários com privilégios de Domain Admins ou Enterprise Admins, isto é necessário para evitar a exposição de dados de forma incorreta.
Para todo o processo de preparação e execução do Snapshot iremos utilizar o NTDSUTIL no Command Prompt. A figura1 demonstra todas as opções de comando da ferramenta Snapshot.
Para ter o acesso ao help do comando Snapshot, basta digitar HELP conforme Figura1.
Figura 1 – Opções do Snapshot do Active Directory
Na Tabela1 Listamos todos os comandos e suas finalidades, segue abaixo:
|
PARÂMETRO |
DESCRIÇÃO |
|
|
|
|
Activate Instance <serviço> |
Atribui a instância de AD DS ou AD LDS para o Snapshot |
|
Create |
Cria um Snapshot da instância selecionada |
|
Delete <número> <*> |
Deleta um Snapshot – Pode-se utilizar a opção * para deletar todos |
|
List All |
Lista todos os Snapshot`s feitos no DC |
|
List Mounted |
Lista todos os Snapshot`s montados no DC |
|
Mount <número> |
Habilita o Snapshot no ambiente |
|
Unmount <número> <*> |
Desabilita o Snapshot do ambiente, pode se utilizar * para desabilitar todos os ativados |
Tabela 1 – Opções de paramêtros para o Snapshot
3 – Executando o Snapshot do Active Directory
Todo o processo de execução do Snapshot é através do Command Prompt, isto é claro dentro do NTDSUTIL.
Para iniciar nosso primeiro processo de Snapshot, siga os passos idênticos da Figura2 demostrados abaixo:
Figura 2 – Processo completo do Snapshot
a) Abra o prompt de comando e digite NTDSUTIL
b) Iremos utilizar o comando Snapshot, caso você desconheça as opções do NTDSUTIL, digite help para consultá-las.
c) Dentro do Snapshot digitaremos o comando mostrado na Figura2 e sublinhado em verde “Activate Instance”:
I.
Vale lembrar que este comando pode montar unidades NTDS e também ADLDS
|
Snapshot: Activate Instance NTDS Active instance set to “NTDS”. |
d) Agora e necessário utilizarmos o comando que esta sublinhado em azul “Create”.
I.
O processo de criação faz com que o Snapshot do Active Directory faça um
diferencial do DC através do VSS (Volume Shadow Copy Service).
|
Snapshot: Create Creating snapshot… Snapshot set {351ea176-265c-455e-870b-a77651158adf} generated successfully. |
e) Podemos neste momento utilizar o parâmetro “LIST ALL” para verificarmos todos os Snapshot`s feitos, este parâmetro esta sublinhado em laranja.
I.
Conforme você utiliza o recurso de Snapshot, vários objetos vão sendo
criados não existe um cálculo muito correto do tamanho de casa Snapshot, porém
caso você precise, poderá utilizar o comando “REMOVE <número>”
para limpar sua lista de Snapshot`s.
|
Snapshot: list all 1: 2009/07/28:09:07 {351ea176-265c-455e-870b-a77651158adf} 2: C: {ec3fce86-4099-4e0a-b1ba-76889b2646a} |
f) Após este processo podemos utilizar o parâmetro “MOUNT <número>”, este comando irá fazer o snapshot associado ao comando MOUNT estar disponível dentro do Explorer, idêntico a Figura3, segue abaixo:
Figura 3 – Local de Montagem do NTDS.dit
Reparem que o acesso é feito por meio de um Link dentro do c:\ “$SNAP_XXXXXXXX” na Figura3 podemos ver o link de acesso.
Dentro deste LINK podemos verificar todos os arquivos e observar suas mudanças com o original. Este processo é muito utilizado em conjunto com o comando “DSAMAIN”, este comando será discutido num próximo artigo também.
4 – Utilizando o DSAMAIN com o Snapshot do Active Directory
Foi desenvolvido para o Windows Server 2008 o comando DSAMAIN o comando foi desenvolvido para poder ser utilizado para montagem de um “*.DIT” – Base de dados como Read-Only, sendo assim podemos utilizar o caminho demonstrado na Figura3, juntar este comando ao Dsamain e com isto teremos uma outra base do AD, acessível é claro em outra porta que não seja a TCP 389.
Isto pode ajudar e muito quando, precisamos comparar permissões ou verificar deleções acidentais. Para montar esta base do snapshot em outra porta utilize a imagem da Figura4, segue abaixo:
Figura 4 – Local de Montagem do NTDS.dit
a) Abra o prompt de comando e digite o comando abaixo demonstrado:
|
Dsamain –dbpath “Caminho do NTDS.DIT” –ldapport “TCP port” |
Em seguida a este comando teremos a unidade acessível para utilizarmos o ADSIEDIT.msc para visualizar os dados, uma boa dica para utilizar é o ADEXPLORER do Sysinternals para fazer o download acesse: www.sysinternals.com
Ainda na Figura4 repare que o volume foi montado com sucesso.
|
EVENTLOG (Informational): NTDS General / Service Control : 1000 Microsoft Active Directory Domain Services startup complete, version 6.0.6002.18005 |
Após receber esta informação existe a confirmação da montagem da Base NTDS em
outra instância no Event Viewer conforme a Figura5, segue abaixo:
Figura 5 – Evento sobre Directory Service New Instance
Vale lembrar que precisamos deixar o prompt aberto enquanto estamos utilizando a nova instância, caso este prompt seja fechado, o processo ficará instânciado no servidor porém não será desligado corretamente.
Quando utilizamos o contexto de comandos “CRTL + C”, o processo é finalizado. Recebemos a resposta no DSAMAIN conforme a Figura6 e no Event Viewer conforme a Figura7, segue abaixo:
Figura 6 – Dsamain finalizado corretamente
Figura 7 – Evento sobre Directory Service Stopped the Instance
Conclusão
Neste artigo falamos sobre a utilização do Snapshot do Active Directory do Windows Server 2008, este artigo compreende uma série de artigos sobre este novo recurso chamado Snapshot do Active Directory.
Explicamos o conceito de Snapshot, para que serve e para o que não serve o Snapshot do AD no Windows Server 2008, mostramos a utilização do utilitário DSAMAIN para montar uma instância do NTDS.dit em outra porta TCP.
Para entender a visualização, restauração e arquitetura do Snapshot acesse nossos outros artigos. Até mais...
Referências + Tópicos Relacionados
Para elaboração deste artigo utilizamos além do dia a dia como instrutor, materiais que servem como leitura posterior.
1 – Active Directory – Administrator’s Pocket Consutant (livro de bolso para o Administrator de Active Directory)
2 – Windows Internals Fifth Edition – VSS (Volume Shadow Copy Service)
3 – Course 6424A Fundamentals of Windows Server 2008 Active Directory
Muitos foram os blogs navegados e opiniões retiradas de muitos bate-papos com amigos, gostaria de agradecer à todos vocês.
Rover Marinho - Atua no mercado de infra-estrutura desde 1998, especializando-se na área de Active Directory, Exchange e infra-estrutura de produtos Microsoft. Trabalha como Consultor e Instrutor em um grande CPLS em São Paulo, onde atua com os produtos: Exchange, Active Directory, Cluster e Projetos Específicos. Grande ênfase na comunidade TechNet, é colunista de muitos sites de Infraestrutura e colaborador da comunidade ITCentral. Atua ministrando palestras e Eventos de Produtos Microsoft, Rover Marinho é certificado MCP, MCSA, MCSE, MCTS, MCITP, MCT e MVP em Directory Services. Para conhecerem suas últimas publicações acessem o Blog: http://rovermarinho.spaces.live.com.
- Instalando e configurando um servidor DHCP no Windows Server 2008Windows Server
- Instalando Active Directory Windows Server 2008Windows Server
- Instalando e configurando um servidor DNS no Windows Server 2008Windows Server
- Aperfeiçoar UPDATE e DELETE x CursoresSQL Server
- Sequenciando as VMs no Hyper-VWindows
