در توسینسو تدریس کنید

و

با دانش خود درآمد کسب کنید

تفاوت Tombstone Reanimation و Reanimate a Recycled Object چیست؟

دیشب بحثی را ایجاد کردم درباره دو قابلیت بالا که منجر به ایجاد این فایل آموزشی شده است. از مهندس نصیری بابت شرکت در این بحث تشکر می کنم. بحث را می توانید در اینجا بخوانید.سوالات را یک به یک مرور می کنیم :

چرخه پاک شدن Object قبل از فعال کردن AD Recycle Bin چگونه می باشد؟


وقتی ما Objectی از Active Directory پاک می کنیم این شی بصورت کامل پاک نمی شود بلکه بعضی از Attribute های آن پاک می شود که در نتیجه در کنسول AD Users and Computers , search results و.. مخفی و غیرقابل روئیت می شود.با حذف این ابجت AD مقدار isDeleted attribute این ابجت را true می کند که نشانگر پاک شدن به زودی این ابجت می باشد. این Object از این به بعد در کانتینری به نام Deleted Objects در زیر مجموعه Directory Partitions متعلق به آن ابجت ذخیره می شود. ( این برای Schema Partition صدق نمی کند زیرا ابجتهای Schema (تا جائی که می دونم)قابل خدف نیست)
  • نکته :وقتی Object ی در این کانتینر ذخیره شود به آن tombstone گفته می شود.
تفاوت بین Tombstone Reanimation و Reanimate a Recycled Object در چیست؟

ابجت مدت زمانی در این کانتینر باقی می ماند که به آن tombstone lifetime گفته می شود. مدت زمان TSL بستگی به OS نخستن DC ی می باشد که Forest را ایجاد می کند.

The default tombstone lifetime for forests is based on the OS of the first DC in the forest

تفاوت بین Tombstone Reanimation و Reanimate a Recycled Object در چیست؟

  • نکته : قصد مایکروسافت از این مدت زمان Replication شدن این ابجت به عنوان ابجت حذف شده به تمام DC های دومین و فارست می باشد.
بعد از سپری شدن این مدت زمان AD بوسیله پروسه Garbage collection ابجکتهای که TSL آن سپری شده را پاک سازی می کند.
  • نکته : پروسه Garbage collection بصورت دیفالت هر 12 ساعت بر روی DC اجرا می شود.
برای اطلاع بیشتر درباره Garbage collection لینک زیر را مطالعه کنید :
https://support.microsoft.com/en-us/kb/198793
تفاوت بین Tombstone Reanimation و Reanimate a Recycled Object در چیست؟

نکته : شما فقط در مدت زمان TSL می توانید یک ابجت را بازیابی یا reanimation کنید. و Good Practice بازیابی اطلاعات بوسیله Backup در این مدت زمان می باشد.

چرخه پاک شدن Object بعد از فعال کردن AD Recycle Bin چگونه می باشد؟


بعد از فعال کردن قابلیت Active Directory Recycle Bin بر روی DC های ساختار وقتی ابجکتی را پاک می کنید ابجکت بصورت کامل پاک نمی شود و مثل مرحله قبلی در کانتینری به نام deleted object نگهداری می شود (isDeleted attribute set to=true). ابجکت زمانی در این کانتینر سپری می کند (default TSL=180 days) ( در این مرحله شما می توانید Reanimate a Recycled Object را انجام دهید).بعد از Expire شدن deleted object TSL ابجت وارد کانتینر جدیدی به نام recycled object می شود (isRecycled attrbute set to=true) و مدت زمانی در آن سپری می کند. بعد از Expire شدن Recycled TSL که (default TSL=180 days) می باشد ابجکت توسطه پروسه Garbage collection بصورت کامل حذف می شود.
تفاوت بین Tombstone Reanimation و Reanimate a Recycled Object در چیست؟

ولی یک فرق اساسی با مرحله قبلی دارد: وقتی ابجکتی وارد کانتینر recycled object می شود شما با Reanimating Active Directory Tombstone یا Restore کردن ابجکت توسط Backup نمی توانید آن را بازیابی کنید.
تفاوت بین Tombstone Reanimation و Reanimate a Recycled Object در چیست؟

After the deleted object lifetime expires, the garbage collector moves the object into the recycled object phase. A recycled object is the functional equivalent of a tombstone, with one important difference: You can’t reanimate a recycled object or restore it from a backup.

مایکروسافت توصیه می کنه برای بازیابی این ابجکتا از authoritative restore استفاده نشود و به جای آن از قابلیت Active Directory Recycle Bin در زمان Deleted object lifetime استفاده شود.

Do not attempt to recover a recycled object through an authoritative restore from a backup of AD DS. Instead, we recommend that you recover deleted objects with Active Directory Recycle Bin during the deleted object lifetime.

سوال : وقتی قابلیت Active Directory Recycle Bin را فعال می کنم چه بالائی سر tombstone objects های در مرحله قبلی می افتد؟ همه ابجکتها تبدیل به recycled objects و به recycled objects منتقل می شوند و در Deleted Objects container قابل روئت نمی باشند. و شما نمی توانید این بجکتها را بوسیله Active Directory Recycle Bin ریکاوری کنید و تنها راه حل این مشکل استفاده از authoritative restore می باشد.

When Active Directory Recycle Bin is enabled, all objects that were deleted before Active Directory Recycle Bin was enabled (that is, all tombstone objects) become recycled objects. These objects are no longer visible in the Deleted Objects container, and they cannot be recovered with Active Directory Recycle Bin. The only way to restore these objects is through an authoritative restore from a backup of AD DS that was taken of the environment before Active Directory Recycle Bin was enabled.

سوال : استفاده از Tombstone Reanimation و Reanimate a Recycled Object چه مزیتی به ما می دهد؟ قبل از ایجاد این دو قابلیت برای ریکاوری کردن ابجکتهای که بوصورت تصادفی حذف می شدند مجبور بودیم DC را Restart کنیم و از authoritative restore استفاده کنیم که منجر به Offline شدن DC می شد. این دو قابلیت برای رفع این مشکل مطرح گردید که بصورت کاملا Online ابجکتها را بازیابی می کنیم.

The drawback to the authoritative restore solution was that it had to be performed in Directory Services Restore Mode (DSRM). During DSRM, the domain controller being restored had to remain offline.


تفاوت این دو در احیا یا Reanimation اشیاء در چیست؟


یکی از اشکالات authoritative restore و Tombstone Reanimation عدم ریستور کردن بعضی از Attribute Link ها می باشد سناریو: من کاربر دومینی Ahmad را عضو چندین گروه کردم و در این بازه زمانی چندین کامپیوتر دومین machine account password آنها نیز هم بصورت اتوماتیک عوض شده. یک Backup از کل DC می گیرم، الان توسط یکی از همکارنم بصورت غیر عمد کاربر Ahmad و Computer Accountها پاک شده. خب برای ریکاوری این ابجکتها من از Tombstone Reanimation یا authoritative restore استفاده می کنم. بعد از بازیابی با کمال تعجب می بینم group membership این کاربر همراه پروسه بازیابی ریکاور نشده و همچینی می بینم نمی تونم با ان کامپیوترها وارد دومین بشم علاوه بر آن پسورد کاربرها هم باید عوض بشه.به نظرتون چرا این اتفاق افتاده؟ درست حدس زدید!!!! وقتی برای ریکاوری ابجکتها از Tombstone Reanimation یا authoritative restore استفاده می کنم این دو قابلیت همه Attributeهای آن شیء را بازیابی نمی کنند و بعضی از آنها را پاک می کند.

most of the object’s non-link-valued attributes were cleared, all of the object’s link-valued attributes were physically removed

درضمن با ریکاوری کردن کاربر بصورت فوق اطلاعات Mailbox و غیره... را هم کاربر از دست می دهد.گرچه راه حلهای برای این دو قابلیت و غلبه بر این مشکل وجود دارد مانند Search-Flags Attribute و LDIF File ولی پیچیدگی های خودشون را دارند.ولی وقتی ما Active Directory Recycle Bin را فعال می کنیم و ابجکتی را بوسیله این قابلیت ریکاوری می کنیم همراه ریکاوری ابجت تمام Attribute های آن ابجت ریکاوری میشود و ما مشکل قبلی را به هیچ وجه نخواهیم داشت.

When you enable Active Directory Recycle Bin, all link-valued and non-link-valued attributes of the deleted Active Directory objects are preserved and the objects are restored in their entirety to the same consistent logical state that they were in immediately before deletion.

شما با قابلیت بالا حتی می توانید تنظیمات Exchange برای کاربران و Group Policy را بازیابی کنید ولی مایکروسافت توصیه کرده از Backup and Restore خود Group Policy استفاده شود. و اگر تعقیری یا پاک شدن تنظیمی از طریق Exchange administrative tools ایجاد شده این تعقیرات را دوباره دستی ایجاد کنید ولی اگر ناخواسته این تنظیمات پاک شدند می توانید از Active Directory Recycle Bin استفاده کنید ولی بعد از بازیابی این بجکتها وتنظیمها آنها را چک کنید تا از صحت عملکرد آن مطمئن بشید.

We do not recommend that you use Active Directory Recycle Bin to restore Exchange configuration objects that were accidentally deleted with Exchange administrative tools. Instead, the recommended approach is to re-create these objects by using the supported Exchange administrative tools. If you accidentally delete an Exchange configuration object without using Exchange administrative tools, try to restore this object with Active Directory Recycle Bin as quickly as possible. However, any configuration changes that occurred in the environment between this object’s deletion and its restoration will not be recovered, and they can result in Exchange configuration problems. For example, if you use Active Directory Recycle Bin to recover accidentally deleted Exchange recipients, such as contacts, users or distribution groups, be sure to reapply current Exchange policies or other configuration data to them. This data could have been modified since these objects were deleted.

یقینا تفاوتهای دیگری هم وجود دارد که برای طولانی نشدن مطلب از اونها خودداری می کنم. و به شما واگذار می کنم.
منابع :
https://technet.microsoft.com/nl-nl/library/dd379542(v=ws.10).aspx
http://windowsitpro.com/active-directory/recovering-active-directory-disasters
http://windowsitpro.com/windows-server-2008/revive-deleted-ad-objects-active-directory-recycle-bin
امیدوارم به اون چیزی که می خواستیم رسیده باشیم. سربلند و پیروز باشید.
نویسنده :احمد جهلولی
منبع:انجمن تخصصی فناوری اطلاعات ایران
هرگونه نشر و کپی برداری بدون ذکر نام نویسنده و منبع دارای اشکال اخلاقی و شرعی می باشد.

#بازیابی_اشیا_در_ad #فعال_کردن_recycle_bin #Snapshot_در_اکتیودایرکتوری #tombstone_lifetime_در_اکتیودایرکتوری #استفاده_از_active_directory_recycle_bin #کاربرد_tombstone_lifetime #tombstone_lifetime_چیست #نحوه_بازیابی_object_ها_در_ad #ایجاد_Snapshot_از_اکتیودایرکتوری #تفاوت_Authoritative_و_Non-Authoritative
5 نظر
میلاد اسحاقی

دوست عزیز خسته نباشید و ممنون بابت مقاله جالتون ، فقط اینکه من توی چند مورد از توضیحات شما نتونستم منظور شما از مطلب گفته شده را به درستی درک کنم ، گفتم شاید بتونی به من کمک کنید :

1- وقتی که ما از Recycle در functional level 2008 r2 استفاده میکنیم در واقع صرفا باز هم در 180 روز اول از مدت زمان پاک شدن Object امکان باز گردانی آن را داریم و نه بیشتر ! درسته؟ یا اینکه طبق این توضیح شما می شه 180 روز دیگه هم از قابلیت Recycle Bin هم استفاده کرد>؟ ( البته من از توضیحات اینطوری برداشت کردم و شما شاید منظور دیگه ای داشته اید !!)

"وقتی ابجکتی وارد کانتینر recycled object می شود شما با Reanimating Active Directory Tombstone یا Restore کردن ابجکت توسط Backup نمی توانید آن را بازیابی کنید"

و در ادامه توضیحاتتون :

" مایکروسافت توصیه می کنه برای بازیابی این ابجکتا از authoritative restore استفاده نشود و به جای آن از Active Directory Recycle Bin استفاده شود. "

خب تا جایی که من میدونم بعد از ورود Object به دنیای recycle ( یعنی طی شدن 180 روز !) امکان باز گردانی آبجکت نیست و خب اگر توضیحات شما را متوجه شده باشم با این توضیحات حالا تازه میشه از Active directory Recycle استفاده کرد ؟!!!

و خب مسلما استفاده از Active Directory recycle مهم ترین کاری که انجام میده بازگرداندن Object با تمامی Attribute های آن هست که در recycle قابل انجام ولی در tombstone با اختلال در لینک ها مثل group Membership همراه است !

1

2

The AD recycle bin

ممنون میشم دقیق تر مطرح بفرمایید تا رفع ابهام بشه

احمد جهلولی

سوال اول شما :

وقتی که ما از Recycle در functional level 2008 r2 استفاده میکنیم در واقع صرفا باز هم در 180 روز اول از مدت زمان پاک شدن Object امکان باز گردانی آن را داریم و نه بیشتر ! درسته؟

با فعال کردن AD Recycle bin شما 360 "180+180" روز سال می توانید ابجکتها را در دو کانتینر ریکاور کنید (ولی یکسری تبصره وجود دارد)

سوال دوم شما :

خب تا جایی که من میدونم بعد از ورود Object به دنیای recycle ( یعنی طی شدن 180 روز !) امکان باز گردانی آبجکت نیست و خب اگر توضیحات شما را متوجه شده باشم با این توضیحات حالا تازه میشه از Active directory Recycle استفاده کرد ؟!

با فعال کردن AD Recycle bin شما 360 "180+180" روز سال می توانید ابجکتها را در دو کانتینر ریکاور کنید. (ولی یکسری تبصره وجود دارد)

نکات مبهم :

وقتی ابجکتی وارد کانتینر recycled object می شود شما با Reanimating Active Directory Tombstone یا Restore کردن ابجکت توسط Backup نمی توانید آن را بازیابی کنید

شما می توانید ابجکتی که وارد Recycled object شده را بوسیله authoritative restores ریکاوری کنید ولی اینکار باعت ایجاد تناقضاتی در دیتابیس AD می شود و به همین علت مایکروسافت توصیه کرده از authoritative restores تا حدالامکان استفاده نشود.

Microsoft still supports authoritative restores to revive deleted objects. You could still use them to move the object from the recycled to the live state. But Microsoft strongly advises against the use of authoritative restores because of their complexity and because they create opportunities for introducing inconsistencies in the AD database.

در بعضی از فارومها آموزشی وقتی تعقیری جدیدی یا چیز جدیدی ایجاد می شود (با اینکه امکان تعقیر و ایجاد وجود دارد) که باعث صدمه دیدن ساختار و... شود آن تعقیر یا ... را به کلی نفی می کنند تا اینکار را به هیچ وجه انجام ندهند. مثل لینک زیر :

http://forum.ciscoinpersian.com/showthread.php?t=1953&page=2

<left>

به همین علت گفتم شما نمی توانید با بازیابی Backup اطلاعات Recycled object را Recover کنید.

برای اینکه ثابت کنم می توانید اشیاء Recycled Object را ریکاوری کنید باید قانون بالا را نقض و از authoritative restores به همراه فلگ Toggle recycled objects flag استفاده کنید.

https://technet.microsoft.com/en-us/library/cc732211.aspx

<left>

به این نکته هم اشاره کنم که وقتی ابجکتی وارد recycled object می شود بعضی از Attributeهای ابجکت سلب یا حذف می شود. و شما بصورت کامل نمی توانید آن را ریکاور کنید.

مایکروسافت توصیه می کنه برای بازیابی این ابجکتا از authoritative restore استفاده نشود و به جای آن از Active Directory Recycle Bin استفاده شود.

این قسمت در مقاله اصلاح شد.

در حال جمع اوری اطلاعات در مورد دوتا قابلیت بالا بودم که بحثی در مورد این دو قابلیت در انجمن ایجاد کردم که همه نظراتشون را بدن تا چنین اشتباهاتی رخ ندهد. در کل ممنون از Feedback شما مهندس جان

میلاد اسحاقی

ممنون از دقت نظر شما ، من این مقاله را به دقت بررسی کردم ، فکر کنم مرجع اصلی شما هم این لینک باشه ، با این اوصاف با توجه به ایجاد مشکل در صورت بازگرداندن آبجکت در زمان Recycle و این جمله :

1

بهتره از امکان باز گرداندن فایل ها برای بازه 360 روز به همان 180 روز مربوط به deleted Object اتکا کنیم و به گفته مایکروسافت "Do Not Attempt" را به عنوان راهکار برای 180 روز دوم در نظر بگیریم و خب صرفا زمان deleted را آن هم به کمک AD Recycle به عنوان راه حل انتخاب کنیم ؟!

Scenario Overview for Restoring Deleted Active Directory Objects

جالب که مایکروسافت هم به شدت لقمه را پیچونده و با عبارتی مثل Null برای بازه های msDS-deletedObjectLifetime و سپس tombstoneLifetime و سپس تعبیر Null به 180 روز پیشفرض باعث ایجاد ابهام بیشتری شده بود !!

در کل من استفاده از عبارت 360 را برای آموزش این نکته مناسب ندیدم و ممنونم از دقت ، توجه، زمان و هنر شما .

احمد جهلولی

فکوس شما بیشتر درباره بازیابی ابجکتها در کانتینر recycled object بود که در پست قبلی به ان اشاره شد. در نتیجه شما می توانید در دو کانتینر عمل بازیابی ابجکتها را انجام دهید. برای بازیابی ابجکتها در recycled object ادمین شبکه باید ریسک کند و این عمل را انجام دهد و خود مایکروسافت هم توصیه کرده که اینکار را حدالامکان انجام نشود در نتیجه دست ادمین می باشد که بازیابی را انجام دهد یا ندهد.

محمد نصیری

ممنونم از هر دوی عزیزان که اینقدر زیبا بحث می کنید .. به شخصه لذت بردم ..

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره تابستانه می تونی امروز ارزونتر از فردا خرید کنی ....