Enine Boyuna Active Directory Recycle Bin (tr-TR)

Enine Boyuna Active Directory Recycle Bin (tr-TR)

Windows Server 2008 R2 Actice Directory’sinin bize sunduğu yeniliklerden bir tanesi de Active Directory Recycle Bin özelliğidir. AD Recycle Bin yanlışlıkla silinen objelerin kolay bir şekilde geri getirilmesini sağlar.

AD Recycle Bin özelliğini kullanabilmek için mutlaka domain functional level ve forest functional level’inin Server 2008 R2 olması gerekir.

Test icin Hyper-V platformunu kullandım.

Lab ortamımızda bulunan yapım;

Domain : nwtraders.msft

DC sunucu ismi : nw-dc.nwtraders.msft

DC ip adresi : 17.0.0.1/24

Active Directory Module for Windows PowerShell’i açıyoruz. Ya da PowerShell’de Import-Module ActiveDirectory komutunu calıştırıp AD modülünü çağırabiliriz.

     Bundan sonra yapmamız gereken Recycle Bin özelliğini devreye almaktır. Biliyorsunuz ki başlangıçta devrede değildir. Recycle Bin özelliğini aktif ederken Ldap DistinguishedName’inden faydalanacağımız için asağıdaki resimde Recycle Bin özelliğinin tam olarak yeri gösterilmiştir. (Not: Recycle Bin özelliğini enable ettikten sonra geri dönüşü yoktur!)


Ve Recycle Bin özelliğini aktif ediyoruz.

 PowerShell’den bu işlemi yapabileceğimiz gibi Ldp.exe aracı ile de yapmamız mümkün. LDP.EXE aracını çalıştırıp connection menüsünden connect dedikten sonra açılan pencerede server kısmına dc mizin adını yazıyoruz. Bind ile de yetkili bir kullanıcı ile giriş yapıyoruz. View menüsünden tree seçeneğinden aşağıda görüldüğü gibi BaseDN açılır kutusundan cn=configuration,dc=domain_adi,dc=domain_uzantisi seçeneğini seçiyoruz. Görüldüğü gibi partitions özelliklerinden modify seçeneğini seçiyoruz.

 

Açılan pencerede DN kısmının boş olduğundan emin olduktan sonra Edit Entry Attribute kısmını ve Values kısmını aşağıda görüldüğü gibi dolduruyoruz. Values kısmına gireceğiniz değer notepad de açık bir şekilde yazılmıştır ve en sonda gördüğünüz değerler AD Recycle Bin GUID numarasıdır. Ve bu numarayı CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration, DC=domain_adi,DC=domain_uzantisi kısmında görebilirsiniz emin olmak isterseniz.

 

Evet Recycle Bin özelliğini iki yöntemle aktif ettik. Şimdi silinen objelerin geri yüklenmesi işleminden birkaç örnek yapalım. Öncelikle ldp.exe aracında silinen objeleri nasıl göreceğimize bir bakalım.

 

Options menüsünden controls seçilir ve açılan pencere yukarıdaki gibidir. Return deleted objects seçeneği seçilip aktif edildiginde ldp aracında silinen objeleri görebilir hale geliyoruz.

Silinen objeler artık deleted objects içerisine düştüğünde görebileceğiz.

Nwtraders.msft domainimin yapısı aşağıdaki gibidir.

 Duser1 kullanıcısını sileceğim ve sonra geri yükleyeceğim. Silindiğinde deleted objects içerisinde görebilirsiniz.

Aşağıda da objenin silindiğini görebiliriz.

 

Objeleri geri getirmek istedigimizde yine bazı attributelerine göre filtrelememiz gerekir. Mesela displayname,department,givenname gibi. Bu nedenle aslında silinen objenin özelliklerini bilmek gerekir. Nereden mi görebiliriz? Deleted objects altında silinen objeye çift tıkladığınızda sağ tarafta obje ile ilgili bütün özellikler açılacaktır.

 

Şimdi kullanıcımı örneğin displayname attribute bilgisine göre geri yükleyeceğim.

 

Objeyi geri yükledikten sonra deleted objects konteynırından silindiğini ve AD de bulunduğu ou ya geri geldiğini görebilirsiniz.

Aynı şekilde birden fazla kullanıcı silindiyse mesela aynı ou dan ve aynı departman bilgisine sahip kullanıcılar ise;

 

Komutu ile hepsinin geri geldiğini görebilirsiniz.

Eger bir ou silindiyse;

 

yukarıdaki komut ile silinen ou yu geri getirebiliriz. Her zaman en dıştan geri getirmeliyiz silinen objeleri. Bundan sonra ou içerisindeki diğer objeleri kurtarmak kalıyor. Ben Paris ou sunu silmiştim ou içerindeki kullanıcıları geri getirmek için departman attribute bilgisinden faydalanacağım. Bu komutu da yukarıda yine kullanmıştık.

    Görüldüğü gibi recycle bin özelliğini enable etmek oldukça faydalı bir girişim olacaktır sizler icin. Çünkü AD backup tan authoritative restore işlemi ile bir objeyi geri yüklerken AD domain servisleri stop olmakta ve tabiki DSRM modda DC nizi açmanız gerekmektedir. Bu da aslında şirket için bir downtime dır.

    Silinen tüm objeler için nasıl geri yükleneceğini görmüş olduk. Aslında hepsi ldp.exe aracından da yapılabilmektedir. Yine ldp aracından objeler hakkında bilgi almakta restore işleminden önce bir gereksinim olacaktır.Peki silinen objeler ne kadar süre tutuluyor ve ne zaman tamamen siliniyor? Bu süreyi değiştirebilir miyiz?





 

            Yukarıdaki resimlerde görüldüğü gibi Recycle Bin disable iken üstteki birinci resimdeki gibi bir döngü söz konusu ve Recycle Bin aktif edildiğinde ikinci resimdeki döngü söz konusu.

            AD Recycle Bin aktif edilmeden önce silinen objeler tombstone lifetime a göre belirlenen sürede deleted objects altında saklanır ve  süre expire olduğunda tamamen veritabanından silinir. Expire olmadan önce objeyi kurtarmak mümkündür. Tombstone lifetime yapısı Windows Server 2003 sp1/sp2 ve Windows Server 2008 AD sinde bulunmaktadır.

            Recycle Bin enable edildikten sonra ise yine silinen objeler deleted objects altına gelir ve deleted objects lifetime süresince burada saklanır ve obje bütün özellikleri ile birlikte kurtarılabilir. Deleted objects lifetime expire olduğunda recycled objects lifetime başlar. Bu süre Windows Server 2008 R2 AD sinde yeni gelen bir süredir. Bu sırada objeler recycled objects konteynırında bulunur. Bu süre boyunca da obje yine kurtarılabilir. Ancak şuna dikkat etmeliyiz ki recycle objects lifetime süresinde objeler bazı attribute lerini (Orneğin grup üyelik bilgilerini ) kaybedebilirler. Recycled objects lifetime expire olduğunda obje veritabanından tamamen silinir.

            Deleted objects lifetime, msDS-deletedObjectLifetime   attribute değerine göre belirlenir. Bu değer başlangıçta null olarak gelir.  Recycled Object lifetime değeri ne ise deleted objects lifetime da odur.

            Aynı şekilde Recycled object lifetime ise tombstone lifetime dan default değeri alır ve tombstone lifetime değeri defaultta 180 gündür ve Recycled object lifetime da 180 gün olarak gelir.  Bu değerleri ldp.exe aracı ile ya da yine powershell ile değistirmek mümkündür. Bu değerler en az 3 gün olmalıdır.

Tombstone lifetime değerini default haliyle görüntüleyelim;

 

Tombstone lifetime değerini değiştirmek icin 2 yöntem bulunmaktadır;



Directory Service özelliklerine girip açılan pencerede (üstte) edit entry attribute ve value değeri görüldüğü gibi doldurulur. Value değeri kaç gün yapmak istediğinize göre değişir ve en az 3 gündür.
Aşağıdaki pencerede görüldüğü gibi değeri 30 olarak değiştirdik.

Powershell ile yapmak istersek;

 

 
Aynı şekilde deleted object lifetime da değiştirilebilir.

 

Deleted object lifetime bittikten sonra recycle object lifetime başlar ve tombstone lifetime kadardır. Bir objenin recycled object lifetime geçtiğini  ldp.exe aracından deleted objects konteynırındaki objelerin attribute larında Isrecycled değerinin TRUE olmasından anlayabiliriz.

 

Kaynak : Microsoft Sistem ve Platform Eğitimlerim , Technet

Leave a Comment
  • Please add 3 and 4 and type the answer here:
  • Post
Wiki - Revision Comment List(Revision Comment)
Wikis - Comment List
Sort by: Published Date | Most Recent | Most Useful
Posting comments is temporarily disabled until 10:00am PST on Saturday, December 14th. Thank you for your patience.
Comments
  • Zamaninda, bi user silip geri koydugumda bazi, hepsi degil ama bazi attributes'leri geri gelmiyor..

Page 1 of 1 (1 items)