Windows Server: Active Directory Snapshots (Instantáneas)

Una información en general muy poco conocida, es la posibilidad de crear “Snapshots” (Instantáneas) del estado de Active Directory, éstos permiten congelar, como si fuera sacarle una foto, a nuestro directorio en un momento específico

Es importante aclarar, que de esta instantánea no podremos recuperar ni modificar los datos, pero sí nos permitirá comparar con el estado actual y observar los cambios que se han producido desde el estado inicial hasta el momento actual

En esta demostración comenzaré con una pequeña estructura para demostración: una Unidad Organizativa (OU1) con un usuario (User Uno) como muestra la siguiente figura

En este estado crearé una instantánea (“Snapshot”), luego haré algún cambio, y finalmente montaré  la instantánea creada y la compararé con el estado actual

La demostración constará de los siguientes pasos:

  1. Crear el “Snapshot” (Instantánea)
  2. Modificar el Directorio Activo
  3. Montar el “Snapshot” (Instantánea)
  4. Acceder con la interfaz gráfica al “Snapshot” montado
  5. Comparar la versión actual con la del “Snapshot”

1. Crear el “Snapshot” (Instantánea)
Debemos ejecutar desde línea de comandos como administrador
NTDSUTIL
ACTIVATE INSTANCE NTDS
SNAPSHOT
CREATE
QUIT
QUIT



Resalté en amarillo los comandos, y en rojo las repuestas a los comandos

2. Modificar el Directorio Activo
Simplemente eliminaré la cuenta de “User Uno”

3. Montar el “Snapshot” (Instantánea)
NTDSUTIL
ACTIVATE INSTANCE NTDS
SNAPSHOT
LIST ALL
MOUNT 1
QUIT
QUIT

4. Acceder con la interfaz gráfica al “Snapshot” montado
Teniendo ya montado el “Snapshot” desde el paso anterior, debemos obtener el “path” al archivo NTDS.DIT. Podemos usar el explorador de archivos y un pequeño truco para obtener el dato deseado

Cuando encontremos el archivo NTDS.DIT pulsamos la tecla mayúsculas y botón derecho y nos aparecerá la opción “Copy as path” que incluye el camino completo inclusive el nombre del archivo ;-)

El paso siguiente es exponer el “Snapshot” por LDAP especificando cualquier puerto no usado (en mi caso elegí 48000), con el utilitario DSAMAIN.EXE

DSAMAIN -DBPATH <path que copiamos> -LDAPPORT 48000

Parece que se colgara, pero no es así, no lo interrumpan :-)

5. Comparar la versión actual con la del “Snapshot”
Ahora expondremos con interfaz gráfica ambas versiones, la actual, y la del “Snapshot”
Para esto debemos tener abiertas simutáneamente dos instancias de Active Directory Users and Computers. Una, con la versión actual no la tocamos. Pero en la segunda con botón derechos sobre el nombre del Dominio elegimos “Change Domain Controller”

Y seleccionamos “This Domain Controller or AD LDS instance”, y anotamos el nombre de nuestro servidor indicando el puerto seleccionado anteriormente (48000)

Alcanzará con poner una consola al lado de otra para ver rápidamente las diferencias

Recordemos que esta opción no nos sirve como copia de seguridad, ni podremos hacer cambios en los “Snapshots”, pero podrán ser usados para detectar cambios

Post a comment or leave a trackback: Trackback URL.

Comentarios

  • Nacho  On 23/09/2013 at 12:06

    Como siempre excelente explicación, me encanta que pongas tantas capturas de pantalla.

    Sólo lo soporta Windows 2012 ¿No?

    • Guillermo Delprato  On 23/09/2013 at 13:23

      Reniego bastante con las capturas de pantalla, pero creo que es una de las mejores formas de ver el desarrollo de la demo :-)

      Respecto a la pregunta, es totalmente válido también para W2008 R2, y aunque no estoy totalmente seguro creo que también es válido para W2008. No se puede en W2003 o anteriores

      • Nacho  On 24/09/2013 at 02:57

        Gracias.

  • jamal  On 28/06/2016 at 16:08

    lastima que las imagenes no esten en el post…

    • Guillermo Delprato  On 28/06/2016 at 16:21

      Hola jamal, están las imágenes, las acabo de revisar desde otra máquina por las dudas que no se vieran, pero se ven perfectamente. Salvo que algún cortafuegos te esté limitando Onedrive. Si la conexión que tienes es lenta, dale refrescar y espera un tiempo hasta que las visualiza

Trackbacks

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: