Active Directory yedekten nasıl geri yüklenir? – Restore Domain Controller

Okuma süresi - 7 dk.


Bu makalede, Active Directory etki alanı denetleyicisini daha önce oluşturulan bir System State yedeklemesinden nasıl geri yükleyeceğimizi ve AD DC kurtarma türlerini ve ilkelerini tartışacağız.

AD etki alanı denetleyicinizin başarısız olduğunu ve yedek kopyadan geri yüklemek istediğinizi varsayalım. DC’nizi geri yüklemeye başlamadan önce hangi senaryoyu kullanacağınızı anlamalısınız. Bu, ağınızda başka etki alanı denetleyicilerinin bulunup bulunmamasına ve üzerlerinde Active Directory veritabanının sağlığına bağlıdır.

Replication kullanarak bir etki alanı denetleyicisi nasıl geri yüklenir?

Standart AD replication yoluyla DC kurtarma, bir DC’nin bir yedeklemeden geri yüklenmesi anlamına gelmez. Kurumsal ağınızda birden çok etki alanı denetleyiciniz varsa ve bunların tümü kullanılabilir durumdaysa bu senaryoyu kullanabilirsiniz. Bu senaryo, aynı sitedeki yeni bir ADDS etki alanı denetleyicisinin tanıtılmasıyla yeni sunucu yüklemesini içerir. Eski DC, AD’den kolayca kaldırılır.

Geri dönüşümsüz AD değişiklikleriyle ilgili olmayan en kolay yol budur. Bu senaryoda, ntds.dit veritabanı, GPO dosyaları ve SYSVOL klasörünün içeriği, çevrimiçi kalan DC’lerden yeni etki alanı denetleyicisine otomatik olarak çoğaltılır.

ADDS veritabanı küçükse ve yüksek hızlı ağ bağlantısı üzerinden başka bir DC kullanılabilirse, yukarıda açıklanan yöntem DC’yi yedek kopyadan geri yüklemekten daha hızlıdır.

Active Directory restore türleri: Authoritative ve Non-Authoritative

Yedeği restore etmeden önce açıkça anlamanız gereken iki tür Active Directory DC geri yüklemesi bulunuyor.

Authoritative Restore — AD nesnelerinizi geri yükledikten sonra, replication geri yüklenen DC’den diğer tüm etki alanı denetleyicilerine doğru gerçekleştirilir. Bu geri yükleme türü, tek bir DC’nin veya tüm DC’lerin aynı anda başarısız olması durumunda (örneğin, bir fidye yazılımı veya virüs saldırısından sonra) veya bozuk bir NTDS.DIT ​​veritabanının bir etki alanında replike edildiği senaryolarda kullanılır. Bu modda, geri yüklenen tüm AD nesnelerinin USN (Update Sequence Number) değeri 100.000 artırılır. Böylece, DC’ler geri yüklenen tüm nesneleri daha yeni nesneler olarak görür ve etki alanında replike eder. Authoritative Restore’de, yedeklemenizi oluşturduktan sonra AD grup üyeliği, Exchange attributes vb. gibi çoğu AD değişikliğini kaybedersiniz. Authoritative Restore’yi kullanırken çok dikkatli olmanızı tavsiye ederiz.

Non-authoritative Restore — AD veritabanınızı geri yükledikten sonra, controller diğer DC’lere bir yedeklemeden geri yüklendiğini bildirir ve en son AD değişikliklerine ihtiyaç duyar. DC için yeni bir DSA Invocation ID oluşturulur. Bu kurtarma yöntemini, büyük bir AD veritabanını yavaş bir WAN kanalı üzerinden hızla replike etmenin zor olduğu veya sunucunuzda bazı önemli verileriniz veya uygulamalarınız varsa uzak sitelerde kullanabilirsiniz.

Active Directory Domain Controller’i System State yedeğinden geri yükleme

Diyelim ki domain ortamınızda yalnızca bir DC var ve Nedense domain controller rolünün çalıştığı sunucu fail oldu. Etki alanı denetleyicinizin nispeten yeni bir System State yedeğine sahipsiniz ve Authoritative Restore’yi kullanarak yepyeni bir sunucuya Active Directory’yi geri yüklemek istiyorsunuz.

DC geri yüklemesini başlatmak için, fail olan bir DC’nin çalıştığı Windows Server sürümü ile aynı Windows Server sürümünü kullanmalısınız. ADDS rolünü ve Windows Server Backup rolünü de yeni Windows Server üzerine yüklemelisiniz.

Active Directory’nizi geri yüklemek için sunucuyu DSRM ile (Directory Services Restore Mode) başlatmanız gerekir. DSRM mode ile başlatmak için Msconfig → Safe Boot → Active Directory repair seçeneğini işaretleyin.

Sunucunuzu yeniden başlatın. DSRM’de önyükleme başlayacak. Windows Server Backup’ı çalıştırın ve sağdaki menüden Recover seçeneğine tıklayın.

Recovery Wizard’da, ‘A backup stored on another location’ seçeneğini işaretleyin.

Ardından, eski AD etki alanı denetleyicisinin backup dosyalarının depolandığı diski seçin veya UNC yolunu belirtin.

Yedeğinizi diskte görebilmek için, yedekli WindowsImageBackup dizinini kök sürücü klasörüne yerleştirin. Aşağıdaki komutu kullanarak ilgili sürücüde yedek dosyaları olduğundan emin olabilirsiniz.

wbadmin get versions -backupTarget:D:

Kurtarma için kullanılacak yedeklemenin tarihini seçin.

Geri yüklemek için System State seçeneğini işaretleyin.

Original location‘u seçin ve “Perform an authoritative restore of Active Directory files” seçeneğini işaretleyin. Sistem başka bir sunucu yedeği olduğuna dair bir uyarı gösterir ve farklı bir sunucuda kurtarılırsa çalışmayabilir. OK butonuna tıklayın. Aşağıdaki uyarı da kabul edin.

Windows Server Backup
Note: This recovery option will cause replicated content on the local server to re-synchronize after recovery. This may cause potential latency or outage issues.

Ardından yeni bir sunucuda AD etki alanı denetleyicisi recovery işlemi başlayacaktır. Bittiğinde, sunucunun yeniden başlatılması gerekir. Yeni sunucunun adı DC hostname olacak şekilde değiştirilir.

Sunucuyu normal modda başlatın. Msconfig kullanarak DSRM’yi devre dışı bırakın.

Domain administrator izinlerine sahip bir hesap kullanarak sunucuya login olun.

Active Directory Users and Computers (ADUC) konsolunu ilk kez çalıştırdığınız aşağıdaki hatayı alabilirsiniz.

Active Directory Domain Services
Naming information cannot be located for the following reason:
The server is not operational.

Geri yüklenen etki alanı denetleyicisinde SYSVOL ve NETLOGON klasörü bulunmuyor. Bu hatayı düzeltmek için aşağıdaki adımları uygulayın.

Regedit konsolunu açın.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters kayıt defteri anahtarına gidin.
SysvolReady 0 değerini 1 olarak değiştirin.

Ardından aşağıdaki komutu kullanarak NetLogon hizmetini yeniden başlatın.

net stop netlogon & net start netlogon

ADUC’u tekrar açmayı deneyin. Etki alanı yapınızı göreceksiniz.

Böylece Authoritative Restore modunda AD etki alanı denetleyicinizi başarıyla kurtardınız. Ardından Active Directory’deki tüm nesneler otomatik olarak diğer etki alanı denetleyicilerine replike olacaktır.

Tek DC’niz kaldıysa, 5 FSMO rolünün tümüne sahip olduğundan emin olun ve gerekirse bunları zorlayarak yeni DC üzerine taşıyın.

Farklı AD objeleri yedekten nasıl geri yüklenir?

Belirli AD objelerini geri yüklemek istiyorsanız, Active Directory Recycle Bin‘i kullanabilirsiniz. Tombstone olarak lifetime süresi dolduysa veya Active Directory Recycle Bin etkin değilse, Authoritative Restore modunu kullanarak ayrı AD objelerini kurtarabilirsiniz.

  • Kısaca, prosedür aşağıdaki adımlara sahiptir.
  • DC’yi DSRM modunda başlatın.
  • Kullanabileceğiniz yedeklerin listesini görüntüleyin. “wbadmin get versions”
  • Seçilen yedekten restore işlemini başlatın. “wbadmin start systemstaterecovery –version:[your_version]”
  • DC geri yüklemeyi onaylayın. (Non-Authoritative modda)
  • Sunucuyu yeniden başlattıktan sonra, ntdsutil’i çalıştırın.
  • activate instance ntds
  • authoritative restore

Geri yüklemek istediğiniz objenin tam LDAPl yolunu belirtin. Bu aşamada tüm OU’yu geri yükleyebilirsiniz.

restore subtree ″OU=Users,DC=teknolojikadam,DC=com″

veya tek bir AD objesini restore edebilirsiniz.

restore object “cn=Test,OU=Users,DC=teknolojikadam,DC=com”

Bu komut, belirtilen objelerin diğer etki alanı denetleyicilerinden replike edilmesini reddeder ve USN nesnesini 100.000 artırır.

Exit ntdsutil: quit

DC’yi normal modda başlatın ve objelerin geri yüklendiğinden emin olun.