Acceder a una instantánea del Directorio Activo

La realización de instantáneas de la base de datos del Directorio Activo es una tarea muy habitual para un administrador de sistemas.

Estas instantáneas no permiten la restauración de los elementos borrados pero permiten ver donde se encontraban y poder realizar esa recuperación por medio de métodos como la reanimación Thombstone.

Llevar a cabo la realización de estas instantáneas es muy importante ya que en caso de borrar accidentalmente algún elemento puede implicar que el Directorio Activo. Por ejemplo tenemos un usuario que un día llega a nuestro departamento y nos explica que no puede iniciar sesión en su trabajo, investigamos y nos damos cuenta de que algún administrador ha borrado ese usuario accidentalmente. Si no disponemos de ninguna instantánea no podemos saber a que usuarios y grupos pertenecía ese usuario.

Cuando hacemos esta operación estamos haciendo una «fotografía» al archivo ntds.dit que es la base de datos del Directorio Activo.

Debemos proteger nuestras instantáneas como protegemos las copias de seguridad del sistema para asegurarnos de que nadie puede acceder a ellas sin  nuestro permiso y pueda ver su contenido.

Vamos a llevar a cabo esta operación mediante la herramienta ntdsutil.

Con esta herramienta en línea de comandos podemos realizar múltiples tareas de mantenimiento del AD, por ejemplo podemos compactar el archivo ntds.dit.

Para crear estas instantáneas debemos seguir los siguientes pasos una vez que hayamos accedido al cmd:

ntdsutil
activate instance ntds
snapshot
create
Siguiendo en el contexto de snapshot vemos cual es la que ha creado y la montamos:

List all

Mount {UUID de la snapshot creada}

Una vez montada la instantánea tenemos que montarla en un puerto diferente al 389 que es el que utiliza el protocolo Ligthweight Directory Acces Protocol (LDAP) en el que se basa nuestro Directorio Activo y que lo utilizan las maquinas que quieren autenticarse contra nuestro controlador de dominio a la hora de iniciar sesión. En nuestro caso la montaremos en el 10398. Primero salimos del contexto de ntdsutil:

Quit

Dsamaindbpath {C:\${…}\Windows\NTDS\ntds.dit} –ldapport 10389

Con este comando montamos la instantánea y para acceder a ella, abrimos la consola de gestión de Usuarios y equipos del AD y cambiamos el controlador de dominio al actual en el puerto 10389.

Una vez hecha este operación podemos observar donde estaban los usuarios que habíamos borrado accidentalmente y poder llevar a cabo una restauración autoritaria del objeto borrado.

Una vez hecho este proceso, cortamos el proceso que habíamos abierto para poner la instantánea en el puerto nuevo y la desmontamos, para ello:

Ntdsutil

Unmount {UUID de la instantanea}

 

Adrián Vadillo Dueñas

MCSE 2016/2017

 

Leave a Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.