Tombstone Lifetime چیست؟ کاربرد طول عمر سنگ قبر اکتیودایرکتوری !
حتما تا به حال با این قضیه برخورد داشته اید که کامپیوتری را از شبکه Disjoin میکنید، ولی Object مربوط به آن همچنان در Active Directory باقی میماند! تا به حال فکر کرده اید که چرا و چگونه این مسئله ممکن است؟ جواب این سوال در یک ویژگی (Attribute) به نام tombstoneLifetime نهفته است.
دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
سرفصل های این مطلب
Tombstone Lifetime چیست؟
Tombstone Lifetime که ترجمه آن طول عمر سنگ قبر می باشد در واقع تاریخ انقضای یک شیء حذف شده یا بهتر بگوییم یک Object حذف شده در ساختار اکتیودایرکتوری را تعیین می کند ، زمانی که شما یک Object را از ساختار اکتیودایرکتوری حذف می کنید ، این Object بلافاصله از این ساختار حذف نخواهد شد و در واقع در یک Recycle Bin در اکتیودایرکتوری قرار می گیرد ، مدت زمانی که این Object در این Recycle Bin قرار دارد تا زمانی که بصورت کامل از اکتیودایرکتوری حذف شود را به اصطلاح فنی Tombstone Lifetime می گوییم . به شیء حذف شده در این حالت Tombstone یا سنگ قبر گفته می شود .
همانطور که می دانید همه اشیاء در اکتیودایرکتوری دارای یک سری خواص یا Attribute هستند ، یکی از این Attribute ها به نام isDeleted می باشد که با True شدن این Attribute در اکتیودایرکتوری برای هر شیء ، آن شیء از نظر کاربر حذف شده تلقی می شود و این در حالی است که شیء مورد نظر همچنان در ساختار باقی است اما از دید کاربر مخفی مانده است . پس از اینکه هر شئی در اکتیودایرکتوری حذف شد بصورت نامحصوص در یک container به نام tombstone قرار می گیرد که در حقیقت به نوعی همان Recycle Bin در ویندوز می شود .
این اشیاء تا مدتی در این Container باقی می مانند ، مزیت اینکار این است که ممکن است شما شیئی را ناخواسته حذف کرده باشید و بخواهد آن را بازگردانی کنید که این ساختار بسیار به شما کمک خواهد کرد . در ویندوز سرور 2003 مدت زمانی که اشیاء حذف شده در ساختار اکتیودایرکتوری باقی می ماندند 60 روز بود اما در سرویس پک 1 به بعد و همچنین در ویندوز سرور 2008 این زمان به 180 روز افزایش یافت . این اشیاء حذف شده نیز در قالب Replication بین دامین کنترلرها با آنها یکپارچه می شوند و به محض اینکه در یکی از آنها این اشیاء حذف کامل شوند از سایر دامین کنترلرها نیز حذف خواهند شد . برای مشاهده این مقدار پیشفرض در اکتیودایرکتوری می توانید از مراحل زیر استفاده کنید :
روش اول : استفاده از کنسول ADSI EDIT
ابتدا توجه کنید که شما حداقل بایستی عضو گروه Domain Admins باشید تا بتوانید تغییری در این Attribute اعمال کنید اما برای قهمیدن این مقدار و تغییر آن توسط ADSIEdit، مراحل زیر را باید انجام داد:
- به Start رفته، Administrative Tools و سپس ADSI Edit را اجرا کنید.
- در ADSI Edit، روی ADSI Edit راست کلیک کرده و Connect to را انتخاب کنید.
- برای Connection Point، گزینه Select a well known Naming Context را انتخاب کنید و سپس روی Configuration کلیک کنید.
- اگر میخواهید به Domain Controller دیگری وصل شوید، برای Computer، گزینه Select or type a domain or server: (Server | Domain [:port] را انخاب کنید. سپس Server Name و یا Domain Name را به همراه پورت مربوط به LDAP که 389 میباشد را وارد کرده و سپس روی OK کلیک کنید.
- روی Cnfiguration, CN=Configuration,DC=forestRootDomainName, CN=Services و سپس روی CN=Windows NT دو بار کلیک کنید.
- روی CN=Directory Service, و سپس روی Properties، راست کلیک کنید.
- در ستون Attribute، گزینه tombstonelifetime را انتخاب کنید.
- توجه کنید که اگر مقدار Value در ستون Value به صورت <not set> است، یعنی پیش فرض 60 روز میباشد.
روش دوم : استفاده از دستور DSquery
برای فهمیدن این مقدار توسط Dsquery، مراحل زیر را باید انجام داد:
1 - Command Prompt را باز کنید.
2 - در Command Prompt، مقادیر زیر را وارد کرده و سپس Enter را فشار ذهید:
dsquery * “cn=directory service,cn=windows nt,cn=services,cn=configuration,dc=<forestDN>” –scope base –attr tombstonelifetime
اطمینان حاصل کنید که <forestDN> را با اسم اصلی Forest خود جایگزین کنید. برای مثال اگر اسم Forest شما، corp.proseware.com است، مقادیر زیر را وارد کرده و Enter را فشار دهید:
dsquery * “cn=directory service,cn=windows nt,cn=services,cn=configuration,dc=corp,dc=proseware,dc=com” –scope base –attr tombstonelifetime