Tạo Và Truy xuất thông tin Snapshot Active Directory trong Windows Server 2008

Windows Server 2008 có một số tính năng mới cho phép người quản trị mạng tạo ảnh nhanh của database AD để sử dụng Offline. Với bản chụp AD bạn có thể sao lưu dự phòng Active Directory Domain service với quyền truy cập Read – Only thông qua LDAP.

Trong quá trình snapshot bạn nên dùng các biện pháp để bảo vệ snapshot AD nhẳm bảo mật những thông tin nhạy cảm trên AD.

Ví dụ: sử dụng mã hoá bảo mật dữ liệu.

Một vài trường hợp sử dụng Snapshot AD:

– Nếu có ai đó thay đổi thuộc tính của các đối tượng trong AD và bạn cần phải khôi phục lại giá trị thuộc tính ban đầu trước khi bị thay đổi, bạn có thể kết nối đến 1 bản snapshot trước đó để thay thế và dễ dàng khôi phục lại các thuộc tính của đối tượng đã bị thay đổi.

– Khôi phục lại các đối tượng đã bị xoá trong AD.

– Cho phép bạn xem cơ sở dữ liệu AD tại thời điểm các bản snapshot được tạo ra. Tuy nhiên, khi bạn xem trong Snapshot, bạn sẽ không được phép di chuyển hoặc sao chép các bản ghi, các thông tin từ bản snapshot vào trong cơ sở dữ liệu đang hoạt động.

Tạo một Active Directory snapshot

Để tạo một bản snapshot AD bạn cần phải sử dụng lệnh: NTDSUTIL. NTDSUTIL được xây dựng sẵn trong Windows server 2008. Khi bạn có sẵn một Active Directory Domain Services (AD DS) đóng vai trò máy chủ hoặc máy chủ được cài đặt vài trò AD LDS..

Bạn thực hiện với các bước sau:

1. Đăng nhập như là thành viên của nhóm Domain Admins vào một Windows Server 2008 Domain Controller.

2. Mở cửa sổ dòng lệnh bằng cách click vào đường tắt của CMD trên thực đơn Start, hoặc gõ cmd vào cửa sổ Run.

3. Trong cửa sổ dòng lệnh, bạn gõ lệnh sau: Ntdsutil

4. Tiếp theo bạn gõ lệnh: Snapshot

5. Trong cửa sổ dòng lệnh, bạn gõ tiếp dòng lệnh sau: Activate instance ntds

7. Tiếp theo, bạn gõ lệnh sau: Create

8. Để xem tất cả các bản chụp có sẵn, trong cửa sổ dòng lệnh bạn gõ lệnh: List all

snapshotAD

9. Tiếp theo, bạn có thể di chuyển ra khỏi NTDSUTIL đang chạy hoặc bạn gõ lệnh “quit” hai lần.

Mount một Active Directory snapshot

Trước khi kết nối tới 1 bản snapshot chúng ta cần mount nó.

Để mount một bản snapshot AD bạn làm theo các bước sau:

1. Tại dấu nhắc lệnh snapshot.

2.  Bạn gõ: List all  để xem danh sách các snapshot đang có

3. Sau đó bạn dùng lệnh mount để chọn snapshot cần mount trước khi kết nối

shapshotAD_1

Kết nối Active Directory snapshot

Để kết nối bản snapshot AD mà chúng ta vừa mount, chúng ta cần phải sử dụng lệnh: DSAMAIN.

DSAMAIN là công cụ dòng lệnh được xây dựng sẵn trong Windows server 2008. Nó đóng vai trò như là: Active Directory Domain Services (AD DS) hoặc Active Directory Lightweight Directory Services (AD LDS) server. Sau khi sử dụng lệnh DSAMAIN để đưa ra các thông tin trong bản chụp AD, bạn có thể sử dụng công cụ gia diện (GUI) để kết nối bản snapshot với một cổng được chỉ định cụ thể. Các công cụ được dùng để xem 1 snapshot AD như : Active Directory Users and Computers (DSA.msc), ADSIEDIT.msc, LDP.exe và một số công cụ khác.

Mặc định, chỉ có thành viên của nhóm Domain Admins và nhóm Enterprise Admins được phép xem snapshot bởi vì nó chứa các dữ liệu nhạy cảm của AD . Đầu tiên, bạn cần xác định chính xác và đầy đủ đường dẫn tới file: NTDS.dit, để có thể sử dụng DSAMAIN cho việc kết nối Snapshot

1. Mở cửa số Windows Explorer và di chuyển theo cây thư mục cho đến khi bạn đến nơi chứa tập tin NTDS.dit.

snapshotAD_2

2. Tiếp theo bạn cần cung cấp cho DSAMAIN một cổng (port) trên máy để phục vụ những yêu cầu về dịch vụ LDAP. Bạn có thể sử dụng bất kỳ cổng nào, miễn là không có ứng dụng nào đang sử dụng cổng đó.

Trong bài viết này tôi sẽ sử dụng cổng: 10000. DSAMAIN sẽ mở ra danh mục trên 4 cổng liên tục: LDAP, LDAP /SSL GCGC /SSL. Bạn có thể tự xác định mỗi cổng cho từng giao thức bạn kết nối, nhưng bạn chỉ cần cung cấp cho nó một trong những cổng (ví dụ: 10000).

Để kết nối tới ảnh chụp của AD bạn thực hiện các bước sau:

1. Đăng nhập vào server như là thành viên của nhóm quản trị (Domain Admins). 2. Mở cửa dòng lệnh bằng cách click vào đường dẫn cmd trên thanh thực đơn Start, hoặc gõ cmd vào của sổ RUN sau đó nhấn Enter. 3. Trong cửa sổ dòng lệnh bạn gõ : dsamain /dbpath <path to database file> /ldapport <PortNumber>

snapshotAD_4

Bạn sẽ không nhận được bất kỳ xác nhận nào rằng các snapshot của AD đã được kết nối vào, ngoại trừ một message thông báo “Microsoft Active Directory Domain Services startup complete”. Lúc này, bạn giữ nguyên cửa sổ dòng lệnh đang chạy và dùng những công cụ để truy xuất snapshot trên AD vừa tạo thông qua cổng trên LDAP mà bạn vừa tạo.

Chi tiết sử dụng các công cụ để truy cập Snapshot sẽ được giới thiệu ở bài viết sau.

Ngắt kết nối đến một Active Directory snapshot

Để có thể ngắt kết nối đến một AD snapshot, bạn có thể dùng tổ hợp phím CTRL+C trong cửa sổ dòng lệnh của DSAMAIN.

shapshotAD_5

Unmount một Active Directory snapshot

Để unmount một Active Directory snapshot bạn cần sử dụng câu lệnh unmount:

  1. Trong màn hình Cmd, bạn gõ ntdsutil –> snapshot
  2. Liệt kê các snapshot đang có thông qua câu lệnh: list mounted
  3. Sau đó bạn cần chọn id của snapshot cần unmount và gõ lệnh unmount.
VD: unmount 1 (1:id của snapshot)
  4. Gõ quit 2 lần để thoát khỏi NSTDUTIL

Xóa 1 bản Active Directory snapshot

Để xóa một bản Snapshot AD, bạn dùng câu lệnh delete:

  1. Trong màn hình Cmd, bạn gõ ntdsutil –> snapshot
  2. Liệt kê các snapshot đang có thông qua câu lệnh: list mounted
  3. Sau đó bạn cần chọn id của snapshot cần delete và gõ lệnh unmount.
VD: delete 1 (1:id của snapshot)
  4. Gõ quit 2 lần để thoát khỏi NSTDUTIL

Truy xuất thông tin Snapshot Active Directory trong Windows Server 2008

Active Directory snapshots trong Windows Server 2008 cho phép người quản trị tạo ra các snapshot dành cho cơ sở dữ liệu Active Directory tại một thời điểm. Với AD snapshot, bạn có thể xem dữ liệu của Domain Controller bên trong snapshot mà không cần phải khởi động lại server trong chế độ “Directory Services Restore Mode” .

Trong bài viết đã hướng dẫn cách snaphost AD trong Windows Server 2008, bài viết này sẽ hướng dẫn các bạn truy xuất các thông tin trong Snapshot qua các công cụ như DSA.mscm LDP và ADSIEDIT.msc.

Mặc định chỉ có thành viên nhóm Domain Admins và Enterprise Admins mớĩ được xem các snapshots ở dạng chỉ đọc, không được phép chỉnh sửa thông tin.

Sử dụng Active Directory Users and Computers – DSA.msc

Để sử dụng DSA.msc cho việc truy xuất thông tin một snapshot của AD, bạn thực hiện các bước sau:

  1. Đăng nhập với tài khoản trong nhóm Domain Admins trong Windows Server 2008 Domain Controller.
  2. Chọn Start, trong khung Search, gõ DSA.msc và Enter.
  3. Màn hình Active Directory Users and Computers xuất hiện, chuột phải trên tên domain và chọn Change Domain Controller.
  4. Trong cửa sổ Change Directory Server, chọn <Type a Directory Server name[:port] here> line, nhập tên server và port đi kèm mà bạn đã sử dụng trong DSAMAIN (xem lại bài viết trước, tạo một snapshot AD). Trong trường hợp này là sps.spserver.com:10000. shapshotAD_6
  5. Khi Enter, ứng dụng sẽ kiểm tra đường dẫn, nếu thành công bạn sẽ nhận được thông báo  “Online”. Chọn Ok.
  6. Lúc này bạn sẽ thấy sự khác biệt trên cửa sổ Active Directory Users and Computers vừa xuất hiện. Nếu bạn mở thuộc tính dành cho 1 user, bạn sẽ thấy các giá trị thuộc tính của user sẽ có màu xám, và không thể chỉnh sửa.  shapshotAD_7 

Sử dụng ADSIEDIT.msc

Một lợi điểm của việc sử dụng ADSIEDIT.msc hơn DSA.msc là bạn có thể sử dụng để kết nối đến các phân vùng AD khác như phân vùng cấu hình (Configuration partition) và phân vùng Schema, cũng như là các phân vùng Domain.

Để sử dụng công cụ ADSIEDIT.msc cho một snapshot AD, bạn cần thực hiện các bước:

  1. Đăng nhập với tài khoản trong nhóm Domain Admins trong Windows Server 2008 Domain Controller.
  2. Chọn Start, trong khung Search, gõ ADSIEDIT.msc và Enter.
  3. Cửa sổ ADSIEDIT , chuột phải ADSI Edit và chọn Connect To.
  4. Trong cửa sổ Connection Settings , nhập tên server và port mà bạn sử dụng trong DSAMAIN. Chọn Ok. shapshotAD_8
  5. Nếu thành công, bạn sẽ thấy thông tin snapshot AD xuất hiện theo kiến trúc cây bên trái. Bạn chọn OU và object bạn cần xem thông tin. Chú ý thông tin ở đây lúc này chỉ dưới dạng chỉ đọc (read-only)shapshotAD_9 

Sử dụng LDP.exe

Giống như ADSIEDIT.msc, LDP.exe có thể sử dụng để kết nối đến các AD partitions khác như Configuration partition và Schema partition, cũng như là Domain partition.

Để sử dụng LDP.exe cho việc xem thông tin của snapshot AD, bạn cần thực hiện các bước sau:

  1. Đăng nhập với tài khoản trong nhóm Domain Admins trong Windows Server 2008 Domain Controller.
  2. Chọn Start, trong khung Search, gõ ldp.exe và Enter.
  3. Trong cửa sổ LDP, chọn Connections -> Connect.
  4. Trong cửa sổ Connect , nhập tên server và port mà bạn sử dụng trong DSAMAIN. shapshotAD_10
  5. Nếu thành công bạn sẽ thấy thông tin kết nối nằm bên phải. Trong trường hợp này bạn cần nhập thông tin tài khoản và mật khẩu cần kết nối, chọn tab Connections > Bind. shapshotAD_11
  6. Sau đó chọn View->Tree để xem thông tin AD

shapshotAD_12

8. Kéo thanh trượt bên trái để tìm thông tin về OU và user mà bạn cần. Khi bạn chọn đối tượng, thuộc tính đối tượng sẽ hiện ra khung bên phải dưới dạng chỉ đọc.

shapshotAD_13

Advertisements

Trả lời

Please log in using one of these methods to post your comment:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Đăng xuất / Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Đăng xuất / Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Đăng xuất / Thay đổi )

Google+ photo

Bạn đang bình luận bằng tài khoản Google+ Đăng xuất / Thay đổi )

Connecting to %s