Windows Server 2008 R2 Öncesinde Aktif Dizin Nesnelerini Geri Döndürme İşlemi

0
146
views
Silinen bir Aktif Dizin nesnesinin geri döndürülmesi ihtiyacı olabilmektedir. Bu amaçla Microsoft tarafından sunulan Recycle Bin (geri döndürme) özelliği kullanılabilir. Windows Server 2008 R2 sürümü etki alanı denetleyicilerinde ve önceki sürüm etki alanı denetleyicilerinde (Domain Controller) geri döndürme özelliği farklılık göstermektedir. Bu yazıda Windows Server 208 R2 öncesinde geri döndürme özelliği incelenecektir.

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

Windows Server 2008 r2 sürümlerinden önceki etki alanı denetleyicilerinde bir Aktif Dizin nesnesi silindiğinde, nesnenin üyelikleri gibi bazı özellikler silinirken, nesnenin kendisi veritabanında «TombStoneLifeTime» olarak adlandırılan 180 günlük bir süre kadar (Windows Server 2003 SP1 öncesi sürümler için 60 gün) veritabanında fiziksel olarak saklanmaktaydı. Bu süre içerisinde bir çok özelliği silinerek «Deleted Object» içerisinde saklanan nesneler Aktif Dizin ara yüzünde veya operasyonlarda görülmemekteydi. «TombStoneLifeTime» dolmadan geri yükleme gerçekleştirildiğinde bu nesne, «Deleted Object» içerisinden çıkarılmaktaydı. Ancak nesnelerin yedek alındıktan sonra değişen özellikleri geri gelmemekteydi. Yani, nesnelerin yedeği alınıp daha sonra nesneler üzerinde değişiklik yapıldığında, yapılan değişiklikler yedekten geri dönüldüğünde nesne geri getirilmesine rağmen, değiştirilen özellikler kaybolmaktaydı. «TombStoneLifeTime» süresi geçtiğinde ise bu veriler kalıcı olarak silinmektedir. Benzer olarak «TombStoneLifeTime» olarak belirtilen süreden daha eski yedekler geri döndürülemez. Bu sebeple, kurum ihtiyaçlarına göre bu sürenin ayarlanması tavsiye edilmektedir. Şekil – 01’de Windows Server 2008 R2 öncesinde geri dönüş işlemi gösterilmektedir.

Şekil - 01: Windows Server 2008 R2 Öncesi Nesne Geri Dönüşümü
Şekil – 01: Windows Server 2008 R2 Öncesi Nesne Geri Dönüşümü

 

Windows Server 2008 r2 sürümü öncesi sunucularda geri getirme işlemi için şu adımlar uygulanmaktaydı:

  • Etki alanı denetleyicisi, Directory Service Restore Mod’da açılırdı. Bunun için bilgisayar yeniden başlatılır ve Aktif Dizin servisi çevrim dışı (offline) modda çalıştırılırdı. Bu işleme “Tombstone Reanimation” adı verilir. Bu işlemi gerçekleştirebilmek için, etki alanı denetleyicisi kurulumu sırasında girilen Directory Service Restore Mod’a ait parola girilir.
  • Aktif Dizin yedeği geri yüklenirdi.
  • NTDSUTIL aracı ile “Authoritive Restore” gerçekleştirilirdi. Yani, silinen nesneler «Authoritative» olarak işaretlenip, geri yüklenirdi.
  • Etki alanı denetleyicisi çevrim içi moda getirilip, diğer denetleyiciler ile replike olması sağlanırdı.

 

tombstone Değeri

Aktif Dizin nesnelerinin geri dönüşümü için bir parametre olan tombstone değerinin, komut satırından elde edilebilmesi için aşağıdaki komut çalıştırılabilir.

dsquery * “CN=Directory Service, CN=Windows NT, CN=Services, CN=Configuration, DC=sirket, DC=com, DC=tr” -scope base -attr tombstonelifetime

Şekil - 2: dsquery ile tombstone Değerinin Elde Edilmesi
Şekil – 2: dsquery ile tombstone Değerinin Elde Edilmesi

 

Komut satırı yerine, ADSI Edit üzerinde konfigürasyon bölümüne bağlanarak da bu değişiklik gerçekleştirilebilir.

Şekil - 3: Directory Service Nesnesine Erişim Sağlanması
Şekil – 3: Directory Service Nesnesine Erişim Sağlanması

 

Bu değer ihtiyaca göre belirlenebilir:

Şekil - 4: tombstoneLifetime Değerinin Elde Edilmesi ve Değiştirilmesi
Şekil – 4: tombstoneLifetime Değerinin Elde Edilmesi ve Değiştirilmesi

 

SYSVOL Geri Getirme

SYSVOL dosyasını geri getirme işlemi, Aktif Dizin veritabanının geri getirilmesinden daha basittir.

  • Etki alanı denetleyicisi, Restore Mod’da açılır.
  • Geçici bir klasör oluşturulur ve yedekler bu klasörün içine geri döndürülür.
  • Etki alanı denetleyicisi yeniden başlatılır.
  • Geçici klasördeki dosyalar, SYSVOL klasörüne el ile (manüel olarak) kopyalanır.

 

System State Geri Getirme

Aktif Dizin veritabanını içeren ve sistemsel bir takım bilgileri içeren «System State»’i yedeklemek için Backup Operators veya Administrators grubunda olmak gerekirken, yedekten geri döndürmek içinse, Administrators grubunda olmak gereklidir. Acil ihtiyaçlar için her site içerisinde bir sistem yöneticisinin (Administrators grubunda üye bir kullanıcının) bulunması tavsiye edilmektedir.

 

 

Pentist: Sızma Testleri ve Bilgi Güvenliği Danışmanlık Hizmetleri

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.