بازگردانی اشیا حذف شده در اکتیو دایرکتوری

در نسخ قبلی ویندوز، راهکاری به جز Restore کردن برای بازگرداندن اشیائی که به صورت اتفاقی delete شدندن وجود نداشت. بزرگترین مشکل این روش آن است که DC باید در DSRM Mode فعال گردد و DC برای مدتی که در DSRM Mode از سرویس دادن باز می ماند. Restore کردن در برخی سناریو ها با پیچیدگی هایی همراه خواهد شد که سبب می شود Restore کردن عمل مطلوبی نباشد. در Windows Server 2008 R2 قابلیت Prevent Accidental Delete ابتدایی راهکار این مسئله است. ویژگی جدید و قابل توجهی که در Windows Server 2008 R2 به کار گرفته شده است وجود یک Recycle Bin برای اشیاء delete شده است. این مطلب حاوی روش های برای سطوح عملکرد پایین تر نیز می باشد هر چند این روش ها دارای نواقصی هستند.
با استفاده از Recycle Bin

قابلیت Recycle Bin با استفاده از Tombstone ها پیاده سازی شده است و بدون Offline کردن DC این امکان را فراهم می آورد تا بتوان اشیاء از دست رفته بازگرداند. ویژگی Tombstone سبب می شود که به جای حذف شدن بلافاصله، آن ها در یک Container به نام Deleted منتقل گردند. Recycle Bin هم برای AD DS و هم AD LDS وجود دارد اما لازم است توجه شود این ویژگی به صورت پیش فرض فعال نمی باشد. زمانی که Recycle Bin فعال گردد امکان غیر فعال کردن مجدد آن وجود ندارد.
زمانی که با استفاده از Recycle Bin یک شیئ restore می شود، هم Linked Value ها هم Non Linked Value ها Restore می شوند. به عنوان مثال در Restore کردن یک شیئ کاربر هم Group Membership های آن هم اطلاعات تماس آن restore می گردند. با Recycle Bin دو مفهوم جدید برای اشیاء حذف شده تعریف می گردد که با مفهوم قبلی آن متمایز است:
1) Logically Deteled Object: زمانی که یک شئ را حذف می کنید Value های آن باقی می مانند اما DN آن تغییر می یابد و در Conainer به نام Deleted Objects منتقل می شود. شیئ برای مدت زمان Deleted Lifetime به عنوان Logically Deteled Obect باقی می ماند.
2) Recycled Object: پس از سپری شدن Deleted Lifetime شیئ به وضعیت Recycled تبدیل می گردد. مقادیر بیشتر attribute های آن حذف می گردد اما همچنان در Deleted Object conainer باقی می ماند. پس از Deleted Lifetime، مدت Recycled Lifetime آغاز می گردد که نظیر Tombstone Lifetime در قبل است. شیئ در وضعیت Recycled به صورت hidden در خواهد آمد. پس از سپری شدن Recycled Lifetime شیئ به صورت فیزیکی تحت پروسه Garbage Collection حذف می گردد. تمایز شیی در وضعیت Recycled با Tombstone در حالت قبلی، آن است که در وضعیت Recycle امکان recover کردن وجود ندارد اما در وضعیت Tombstone این امکان وجود دارد.
تذکر: اگر ویژگی Recycle Bin را فعال کنید تمام Tombstone Object ها بلافاصله به Recycled Object تبدیل می گردند و قابل Recovery نیستند.
زمان هر دو وضعیت قابل تنظیم است. به صورت پیش فرض، مقدار Deleted Lifetime برابر Null است. مقدار Recycled Lifetime نیز Null است و برابر Tombstone Lifetime یعنی 180 روز طول می کشد. با استفاده از ویرایش مقدار ویژگی msDS-DeletedObjectLifetime می توانید مقدار Deleted Lifetime و ویرایش مقدار ویژگی tombstoneLifetime مقدار Recycled Lifetime را تغییر دهید.
فعال سازی

جهت فعال سازی ویژگی Recycle Bin لازم است مراحل زیر را انجام دهید. فراموش نکنید که امکان غیرفعال کردن مجدد وجود ندارد و لازم است تمام DC ها Windows Server 2008 R2 به بالا باشند.
1) به روز کردن Forest Schema: دستورات زیر را روی سرور های مناسب وارد کنید. برای اطلاعات بیشتر مراجعه شود به “پیش نیاز ارتقاء DCها”

adprep /forestprep
adprep /domainprep /gpprep
adprep /rodcprep

2) تنظیم سطح عملکرد: برای این عملیات لازم است دسترسی Enterprise Admin داشته باشید. برای اطلاعات بیشتر مراجعه کنید به “سطح عملکرد جنگل”. در اینجا با استفاده از Powershell و وارد کردن cmdlet زیر این عملیات را انجام می دهیم:

Set-ADForestMode -Identity DNSForestName -ForestMode Windows2008R2Forest

DNSForestName نام DNS برای Forest است.
3) فعال کردن Recycle Bin: برای این عملیات لازم است دسترسی Enterprise Admin داشته باشید. در اینجا با استفاده از Powershell و وارد کردن cmdlet زیر این عملیات را انجام می دهیم:

Enable-ADOptionalFeature -Identity ADOptionalFeature -Scope ADOptionalFeatureScope -Target DNSForestName
برای دیدن سایز بزرگ روی عکس کلیک کنید

نام: Restore-deleted-objects-in-Active-Directory-00.png
مشاهده: 1
حجم: 108.9 کیلو بایت

بازگردانی

Recycle Bin پس از Replication بین DC ها فعال خواهد شد و می توانید انجام Replication را Force کنید. اکنون با استفاده از ابزار LDP.exe می توانید اقدام به بازگردانی Object هایی کنید که در وضعیت Logically Deleted هستند. برای انجام این فرایند لازم است عضو Domain Admin باشید.
1) LDP.exe را اجرا کنید.
2) در منوی Connection آدرس FQDN سرور مورد نظر را وارد کنید. به عنوان مثال server2012.erfantaheri.com
3) در منوی Connection گزینه Bind را بزنید و Credential مناسب را فراهم آورید.
4) در منوی Option گزینه Controls را بزنید و در قسمت Load Predefined گزینه ی returen deleted objects را انتخاب کنید.

برای دیدن سایز بزرگ روی عکس کلیک کنید

نام: Restore-deleted-objects-in-Active-Directory-01.png
مشاهده: 1
حجم: 184.2 کیلو بایت

5) در منوی View گزینه Tree را زده و سپس آدرس DN مربوط به Deleted Object Container را وارد کنید. به عنوان مثال:

cn=Deleted Objects,dc=erfantaheri,dc=com

6) در ساختار درختی سمت چپ روی CN=Deleted Objectes … را باز کنید. به یاد داشته باشید ldp.exe به صورت پیش فرض فقط 1000 شیئ اول را باز می گرداند.
7) شیئ که می خواهید Restore کنید را پیدا کنید و روی آن دابل کلیک کنید تا اطلاعات آن در Detail Pane (قسمت سمت راست) نمایش داده شود.
8) روی شیی کلیک راست کنید و Modify را بزنید.
9) در Dialog Box (کادر محاوره ای) Modify در قسمت Edit Entery در Attribute وارد کنید isDeleted و در قسمت Operation گزینه ی Delete را انتخاب کنید و دکمه Enter را بزنید.
10) سپس در قسمت Edit Entery در Attribute مقدار distinguishedName را وارد کنید و سپس در قسمت Value مقدار DN مطلوب را با توجه به مثال زیر را وارد کنید. در قسمت Operation گزینه Replace را انتخاب کنید و سپس enter را بزنید.

cn=RecoverMe,ou=People,dc=erfantaheri,dc=com
برای دیدن سایز بزرگ روی عکس کلیک کنید

نام: Restore-deleted-objects-in-Active-Directory-02.png
مشاهده: 1
حجم: 131.8 کیلو بایت

11) توجه کنید که گزینه ی Extended انتخاب شده است. سپس دکمه Run را بزنید و Close را بزنید.
12) با استفاده از کنسول Active Directory Users and Computers می توانید جهت بررسی استفاده کنید.
با استفاده از cmdlet های Get-ADObject و Restore-ADObject در Powershell می توانید همین عملیات را انجام دهید.
بدون استفاده از Recycle Bin

فراموش نکنید؛ Recycle Bin فقط می تواند در Windows Server 2008 R2 Forest Functional Level (سطح عملکرد) فعال گردد. با توجه به آنکه این امر، به معنای آن است که لازم است تمام دامین کنترلر ها به Windows Server 2008 R2 به روز شوند، برای بسیاری از سازمان ها مدت زمان قابل توجهی زمان نیاز است تا بتواند به این سطح عملکرد دستیابی پیدا کنند. انجام این فرآیند مشابه روش بازگردانی فوق است با این تمایز که در این روش با آنکه SID شیئ ثابت می ماند برخی از Attribute ها همانند برخی Group Membership ها قابل بازگردانی نخواهند بود لذا لازم است که پس از restore اشیاء بازبینی گردند.

3 دیدگاه
  1. rezaghazian says

    در ویندوز سرور 2012 بعد از فعال کردن recycle bin وقتی از deleted Object چیزی restore بشه خودش DN حفظ میکنه و همچنین Value اون Object و دیگه نیازی به این همه مراحل نیست ، درست میگم ؟؟

    1. rezaghazian says

      البته از کنسول Active Directory Administrative center منظورم بود …

      1. Technet24 says

        بسیار عالی

دیدگاه

آدرس ایمیل شما منتشر نخواهد شد.