Tag-arkiv: DSCT

Restore af objekter i AD

Ved hjælp af værktøjer der bliver leveret med Active Directory er det muligt at restore objekter enkeltvis (såfremt man har en SystemState-backup.) Active Directory´s egen papirkurv er genial, men hvis man nu skal langt tilbage eller ikke har aktiveret papirkurven, så er nedenstående vejen frem. Jeg bruger Fredrik Lindströms værktøj DSCT for at gøre livet lidt nemmere for mig selv, det kan hentes her (download link er midt på siden.)

Først skal vi have en version af ntds.dit filen som indeholder det objekt vi gerne vil restore. Hvis du gerne vil lave en hurtig test, så kan dette gøres ved at køre følgende på en DC:

Ntdsutil “ac i ntds” Sn C Q Q

Ovenstående er den meget kort udgave af Ntdsutil | Active Instance NTDS | Snapshot | Create | Quit | Quit

Nu skal vi have vores snapshot “mounted” så vi kan få fat i databasen. Dette gøres ved at skrive følgende:

Ntdsutil sn “li a” “mo 1″ Q Q

Som er den meget korte udgave af Ntdsutil | Snapshot | List All | Mount 1 | Quit | Quit – jeg forventer at der kun er 1 snapshot, hvis ikke skal du selvfølgelig lige tjekke datoen på dine snapshots og mounte det relevante. Hvis det kun er for denne ene test du prøver det kan du også springe et trin over og køre:

Ntdsutil “ac in ntds” sn cr “li a” “mo 1″ Q Q

Så tager man et snaphot og mounter det i en kommando, husk at unmounte efterfølgende især hvis det er produktions data du sidder og leger med (det er det selvfølgelig IKKE.) Snapshot unmountes ved at køre:

Ntdsutil Sn “Li A” “Un 1″ Q Q

Så nu har vi et snaphot og det ligger klar i en folder på c-drevet der hedder noget lignende $Snap_ÅÅÅÅMMDDTTTT_VolumeC$. Folderstrukturen ligner den der er taget backup af og i mit tilfælde betyder det at databasen ligger under c:\$Snap_ÅÅÅÅMMDDTTTT_VolumeC$\windows\ntds\ntds.dit. Denne kan bruges fra denne lokation eller man kan kopiere den til en anden folder og bruge den derfra. Igen kal man huske på at dette er en backup af en bruger database og disse data kan være sensitive. For at mounte databasen skal vi have fat i Dsamain. I it tilfælde vil kommandoen se således ud:

Dsamain -dbpath c:\$Snap_ÅÅÅÅMMDDTTTT_VolumeC$\windows\ntds\ntds.dit -ldapport 11389 -allownonadminaccess

Nu har vi en kopi af vores Active Directory tilgængelig på port 11389, denne kan man forbinde sig til vha ldp og kigge ned i databasen som den så ud på tidspunktet for snapshottet. Hvis du ønsker at genkabe objekter fra den kan man trække dem ud med LDIFDE og CSVDE, men som sagt så er Fredrik Lindströms værktøj Directory Services Compare Tool så meget nemmere og hvem vil ikke gerne spare tid. ;)

Installer DSCT | Start en MMC | Add Remove Snap-Inn  |  Directory Services Compare Tool | Under Actions i højre side (ikke i menuen) vælges Datasoruce Settings | Øverst skrives sti til Live Active Directory | Nederst Snapshot | OK

 

 

Directory Services Compare Tool - datasources

Nu kan vi så se hvilke forskelle der er på vores snapshot og vores live AD.

Directory Services Compare Tool

Hvis du kigger under deleted kan du se hvilke objekter der er slettet siden og hvis du kigger under added.. Ja det giver mening ikke?

Directory Services Compare Tool - restore

Marker de slettede objekter og vælg reanimate.

Directory Services Compare Tool - reanimate

Tryk på ok tjek dit AD og konstater at dine objekter er tilbage. Husk at sætte protect from deletion og aktiver brugerne igen, men ellers er du kørende.

Hent champagnen og modtag folkets hyldest! ;)

Og kudos til Fredrik Lindström for et mega fedt tool!!