SnapShot Active Directory einrichten

SnapShots belegen Platz. Damit eine Partition nicht volläuft, sollte mittels vssadmin.exe das SnapShot Volume richtig konfiguriert werden.
Dazu verwende ich den vssadmin.exe:

Mit dem Kommando

vssadmin Add ShadowStorage /For=C: /On=<Ziel-Partition> /MaxSize=2GB

setze ich die Größe, welche für Snapshots von Laufwerk C: verwendet werden sollen. Das schöne daran ist, dass ich mich nicht um alte Snapshots kümmern muss. Sollte der Platz im ShadowStorage nicht mehr ausreichen, dann wird automatisch der älteste Eintrag entfernt.

Nun zum eigentlichen SnapShot, der mittels NTDSUtil.exe erzeugt wird.

Mit diesem Kommand wird ein SnapShot vom  Active Directory erzeugt:

ntdsutil snapshot „activate instance ntds“ create q q

erzeugen wir den SnapShot im angegebenen ShadowStorage Bereich.

Update: 2013-06-04

Mit der Option IFM kann man die ADS Datenbank als „nur“ Datei erzeugen. Das bedeutet, ich muss später nicht mit dem ntdsutil einen SnapShot finden und mounten. Damit kann man gleich direkt auf die ntds.dit Datei zugreifen. Gleichzeitig lässt sich die DIT Datei auch wesentlich leichter an einen anderen Speicherort kopieren.

In einer Batchdatei wird folgendes ausgeführt:

rd "C:\BackupADS\Active Directory"
rd "C:\BackupADS\registry"

ntdsutil "activate instance ntds" IFM "create full C:\BackupADS" q q

 

 

Wiederherstellen von Active Directory Objekten aus einem SnapShot

Ich verwende dazu das „Directory Service Comparison Tool“ von Frederik Lindström.

Von seinem SkyDrive kann es auch direkt heruntergeladen werden.

Voraussetzung: Ein SnapShot muss vorhanden sein. (Hier gehts zum SnapShot Thema)

Verwenden Sie Ntdsutil um einen SnapShot zu mounten:

Im Explorer taucht nun der SnapShot als Linked Volume auf:

Suchen Sie nun die Datei ntds.dit (<SnapShotVolume>\Windows\NTDS\ntds.dit)

Übernehmen Sie den Pfad incl. Dateiname um diese Active Directory Kopie zu mounten.

Verwenden Sie dsamain.exe um die Kopie zu mounten.

Der Befehl lautet :

Dsamain.exe /DBPath „<Pfad zur NTDS Kopie Datei>“ /ldapPort 16000

Starten Sie nun eine MMC.EXE und fügen das SnapIn „Directory Service Comparison Tool“ hinzu.

Verbinden Sie sich mit dem aktuellen Domaincontroller und der Kopie, in dem Sie den Port 16000 verwenden, wie im dsamin Programm angegeben.

Die beiden Verzeichnisse werden nun miteinander verglichen und die Änderungen (Change, Add, Delete) werden angezeigt.

Durch markieren des entsprechenden Attributes können Sie den geänderten Wert durch die Information aus dem SnapShot wieder herstellen.

Wenn der Restore Vorgang beendet ist, beenden Sie die MMC Konsole.

Beenden Sie die gemountete Kopie des Active Directories (im dsamain) indem Sie STRG + C drücken.

Verwenden Sie das ntdsutil um den gemounteten SnapShop zu dismounten. Geben Sie dazu im ntdsutil folgendes ein:

  • „List mount“ um eine Liste der gemounteten SnapShots anzuzeigen
  • Unmount <Nr des SnapShots>