احمد جهلولی
متخصص سرویس های مایکروسافت

تفاوت Tombstone Reanimation و Reanimate a Recycled Object چیست؟

در این مطلب میخواهیم درباره تفاوت Tombstone Reanimation و Reanimate a Recycled Object صحبت کنیم.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران

چرخه پاک شدن Object قبل از فعال کردن AD Recycle Bin چگونه می باشد؟


وقتی ما Objectی از Active Directory پاک می کنیم این شی بصورت کامل پاک نمی شود بلکه بعضی از Attribute های آن پاک می شود که در نتیجه در کنسول AD Users and Computers , search results و.. مخفی و غیرقابل روئیت می شود.با حذف این ابجت AD مقدار isDeleted attribute این ابجت را true می کند که نشانگر پاک شدن به زودی این ابجت می باشد. این Object از این به بعد در کانتینری به نام Deleted Objects در زیر مجموعه Directory Partitions متعلق به آن ابجت ذخیره می شود. ( این برای Schema Partition صدق نمی کند زیرا ابجتهای Schema (تا جائی که می دونم)قابل خدف نیست)

  • نکته :وقتی Object ی در این کانتینر ذخیره شود به آن tombstone گفته می شود.
تفاوت بین Tombstone Reanimation و Reanimate a Recycled Object در چیست؟


ابجت مدت زمانی در این کانتینر باقی می ماند که به آن tombstone lifetime گفته می شود. مدت زمان TSL بستگی به OS نخستن DC ی می باشد که Forest را ایجاد می کند.

The default tombstone lifetime for forests is based on the OS of the first DC in the forest

تفاوت بین Tombstone Reanimation و Reanimate a Recycled Object در چیست؟


  • نکته : قصد مایکروسافت از این مدت زمان Replication شدن این ابجت به عنوان ابجت حذف شده به تمام DC های دومین و فارست می باشد.

بعد از سپری شدن این مدت زمان AD بوسیله پروسه Garbage collection ابجکتهای که TSL آن سپری شده را پاک سازی می کند.

  • نکته : پروسه Garbage collection بصورت دیفالت هر 12 ساعت بر روی DC اجرا می شود.

برای اطلاع بیشتر درباره Garbage collection لینک زیر را مطالعه کنید :

https://support.microsoft.com/en-us/kb/198793
تفاوت بین Tombstone Reanimation و Reanimate a Recycled Object در چیست؟


نکته : شما فقط در مدت زمان TSL می توانید یک ابجت را بازیابی یا reanimation کنید. و Good Practice بازیابی اطلاعات بوسیله Backup در این مدت زمان می باشد.

چرخه پاک شدن Object بعد از فعال کردن AD Recycle Bin چگونه می باشد؟


بعد از فعال کردن قابلیت Active Directory Recycle Bin بر روی DC های ساختار وقتی ابجکتی را پاک می کنید ابجکت بصورت کامل پاک نمی شود و مثل مرحله قبلی در کانتینری به نام deleted object نگهداری می شود (isDeleted attribute set to=true). ابجکت زمانی در این کانتینر سپری می کند (default TSL=180 days) ( در این مرحله شما می توانید Reanimate a Recycled Object را انجام دهید).بعد از Expire شدن deleted object TSL ابجت وارد کانتینر جدیدی به نام recycled object می شود (isRecycled attrbute set to=true) و مدت زمانی در آن سپری می کند. بعد از Expire شدن Recycled TSL که (default TSL=180 days) می باشد ابجکت توسطه پروسه Garbage collection بصورت کامل حذف می شود.

تفاوت بین Tombstone Reanimation و Reanimate a Recycled Object در چیست؟


ولی یک فرق اساسی با مرحله قبلی دارد: وقتی ابجکتی وارد کانتینر recycled object می شود شما با Reanimating Active Directory Tombstone یا Restore کردن ابجکت توسط Backup نمی توانید آن را بازیابی کنید.

تفاوت بین Tombstone Reanimation و Reanimate a Recycled Object در چیست؟


After the deleted object lifetime expires, the garbage collector moves the object into the recycled object phase. A recycled object is the functional equivalent of a tombstone, with one important difference: You can’t reanimate a recycled object or restore it from a backup.

مایکروسافت توصیه می کنه برای بازیابی این ابجکتا از authoritative restore استفاده نشود و به جای آن از قابلیت Active Directory Recycle Bin در زمان Deleted object lifetime استفاده شود.

Do not attempt to recover a recycled object through an authoritative restore from a backup of AD DS. Instead, we recommend that you recover deleted objects with Active Directory Recycle Bin during the deleted object lifetime.

سوال : وقتی قابلیت Active Directory Recycle Bin را فعال می کنم چه بالائی سر tombstone objects های در مرحله قبلی می افتد؟ همه ابجکتها تبدیل به recycled objects و به recycled objects منتقل می شوند و در Deleted Objects container قابل روئت نمی باشند. و شما نمی توانید این بجکتها را بوسیله Active Directory Recycle Bin ریکاوری کنید و تنها راه حل این مشکل استفاده از authoritative restore می باشد.

When Active Directory Recycle Bin is enabled, all objects that were deleted before Active Directory Recycle Bin was enabled (that is, all tombstone objects) become recycled objects. These objects are no longer visible in the Deleted Objects container, and they cannot be recovered with Active Directory Recycle Bin. The only way to restore these objects is through an authoritative restore from a backup of AD DS that was taken of the environment before Active Directory Recycle Bin was enabled.

سوال : استفاده از Tombstone Reanimation و Reanimate a Recycled Object چه مزیتی به ما می دهد؟ قبل از ایجاد این دو قابلیت برای ریکاوری کردن ابجکتهای که بوصورت تصادفی حذف می شدند مجبور بودیم DC را Restart کنیم و از authoritative restore استفاده کنیم که منجر به Offline شدن DC می شد. این دو قابلیت برای رفع این مشکل مطرح گردید که بصورت کاملا Online ابجکتها را بازیابی می کنیم.

The drawback to the authoritative restore solution was that it had to be performed in Directory Services Restore Mode (DSRM). During DSRM, the domain controller being restored had to remain offline.


تفاوت این دو در احیا یا Reanimation اشیاء در چیست؟


یکی از اشکالات authoritative restore و Tombstone Reanimation عدم ریستور کردن بعضی از Attribute Link ها می باشد سناریو: من کاربر دومینی Ahmad را عضو چندین گروه کردم و در این بازه زمانی چندین کامپیوتر دومین machine account password آنها نیز هم بصورت اتوماتیک عوض شده. یک Backup از کل DC می گیرم، الان توسط یکی از همکارنم بصورت غیر عمد کاربر Ahmad و Computer Accountها پاک شده. خب برای ریکاوری این ابجکتها من از Tombstone Reanimation یا authoritative restore استفاده می کنم. بعد از بازیابی با کمال تعجب می بینم group membership این کاربر همراه پروسه بازیابی ریکاور نشده و همچینی می بینم نمی تونم با ان کامپیوترها وارد دومین بشم علاوه بر آن پسورد کاربرها هم باید عوض بشه.به نظرتون چرا این اتفاق افتاده؟ درست حدس زدید!!!! وقتی برای ریکاوری ابجکتها از Tombstone Reanimation یا authoritative restore استفاده می کنم این دو قابلیت همه Attributeهای آن شیء را بازیابی نمی کنند و بعضی از آنها را پاک می کند.

most of the object’s non-link-valued attributes were cleared, all of the object’s link-valued attributes were physically removed

درضمن با ریکاوری کردن کاربر بصورت فوق اطلاعات Mailbox و غیره... را هم کاربر از دست می دهد.گرچه راه حلهای برای این دو قابلیت و غلبه بر این مشکل وجود دارد مانند Search-Flags Attribute و LDIF File ولی پیچیدگی های خودشون را دارند.ولی وقتی ما Active Directory Recycle Bin را فعال می کنیم و ابجکتی را بوسیله این قابلیت ریکاوری می کنیم همراه ریکاوری ابجت تمام Attribute های آن ابجت ریکاوری میشود و ما مشکل قبلی را به هیچ وجه نخواهیم داشت.

When you enable Active Directory Recycle Bin, all link-valued and non-link-valued attributes of the deleted Active Directory objects are preserved and the objects are restored in their entirety to the same consistent logical state that they were in immediately before deletion.

شما با قابلیت بالا حتی می توانید تنظیمات Exchange برای کاربران و Group Policy را بازیابی کنید ولی مایکروسافت توصیه کرده از Backup and Restore خود Group Policy استفاده شود. و اگر تعقیری یا پاک شدن تنظیمی از طریق Exchange administrative tools ایجاد شده این تعقیرات را دوباره دستی ایجاد کنید ولی اگر ناخواسته این تنظیمات پاک شدند می توانید از Active Directory Recycle Bin استفاده کنید ولی بعد از بازیابی این بجکتها وتنظیمها آنها را چک کنید تا از صحت عملکرد آن مطمئن بشید.

We do not recommend that you use Active Directory Recycle Bin to restore Exchange configuration objects that were accidentally deleted with Exchange administrative tools. Instead, the recommended approach is to re-create these objects by using the supported Exchange administrative tools. If you accidentally delete an Exchange configuration object without using Exchange administrative tools, try to restore this object with Active Directory Recycle Bin as quickly as possible. However, any configuration changes that occurred in the environment between this object’s deletion and its restoration will not be recovered, and they can result in Exchange configuration problems. For example, if you use Active Directory Recycle Bin to recover accidentally deleted Exchange recipients, such as contacts, users or distribution groups, be sure to reapply current Exchange policies or other configuration data to them. This data could have been modified since these objects were deleted.

یقینا تفاوتهای دیگری هم وجود دارد که برای طولانی نشدن مطلب از اونها خودداری می کنم. و به شما واگذار می کنم.
منابع :

https://technet.microsoft.com/nl-nl/library/dd379542(v=ws.10).aspx
http://windowsitpro.com/active-directory/recovering-active-directory-disasters
http://windowsitpro.com/windows-server-2008/revive-deleted-ad-objects-active-directory-recycle-bin

امیدوارم به اون چیزی که می خواستیم رسیده باشیم. سربلند و پیروز باشید.


احمد جهلولی
احمد جهلولی

متخصص سرویس های مایکروسافت

سایت شخصی من: https://msdeeplearn.net

نظرات