ACTIVE DIRECTORY BACKUP & RESTORE VE AUTORITATIVE RESTORE

Active Directory Felaket Kurtarma Stratejileri: Sistem Durumu (System State) yedeklemesi, DSRM modunda geri yükleme ve yanlışlıkla silinen veya değiştirilen AD objelerini geri getirmek için Yetkili Geri Yükleme (Authoritative Restore) süreci.

Giriş: Active Directory, çoklu-master (Multi-Master) bir sistem olduğu için, basit bir geri yükleme işlemi, silinen objelerin diğer çalışan DC'ler tarafından yeniden silinmesine (tombstone süresi dolmadan) neden olabilir. Bu durumu çözmek için **Authoritative Restore** (Yetkili Geri Yükleme) gereklidir.

Bölüm 1: Active Directory Yedeklemesi (System State)

Active Directory veritabanı (NTDS.DIT) ve ilgili tüm kritik bileşenler, Windows Server Backup veya üçüncü taraf araçlar kullanılarak **System State** (Sistem Durumu) yedeği alınarak korunur.

Adım Adım Windows Server Backup (WSB) Kurulumu ve Yedekleme

  1. **WSB Kurulumu (PowerShell):** Windows Server Backup özelliğini Domain Controller'a yükleyin: 
    Install-WindowsFeature Windows-Server-Backup
  2. **System State Yedeklemesi:** WSB konsolunda (veya CLI'da), yalnızca AD'yi içeren Sistem Durumu yedeğini alın. 
    # Hedef: E:\ diski
wbadmin start systemstatebackup -backupTarget:E:
    **Önemi:** System State, NTDS.DIT (AD Veritabanı), SYSVOL (GPO ve Logon scriptleri) ve DNS Zone verilerini içerir.
  3. **Yedeklemeyi Doğrulama:** Yedeklemenin başarıyla tamamlandığını ve yedekleme dizininin (Örn: `E:\WindowsImageBackup\`) mevcut olduğunu kontrol edin.

Bölüm 2: Dizin Hizmetleri Geri Yükleme Modu (DSRM)

Bir DC'yi geri yüklemek için, veritabanının kapalı olması gerekir. Bunun için sunucu **DSRM (Directory Services Restore Mode)** modunda başlatılmalıdır.

DSRM Moduna Geçiş

  1. **Sunucuyu Başlatma:** Domain Controller'ı yeniden başlatın.
  2. **Modu Seçme:** Yeniden başlatma sırasında, sunucu açılmadan önce **F8** veya **Shift + F8** (Modern Windows Server) tuş kombinasyonlarını kullanarak kurtarma seçeneklerine ulaşın. **Alternatif (Bölüm 3 İçin):** En hızlı yol, sunucuyu normal modda çalıştırırken, yeniden başlatmayı DSRM modunda zorlamaktır: 
    # Sunucuyu bir sonraki başlatmada DSRM moduna geçirir (Yeniden başlatma gereklidir)
bcdedit /set safeboot dsrepair
  3. **Giriş:** Sunucu DSRM modunda açıldığında, **DSRM Parolası** (DC yükseltme sırasında belirlediğiniz parola) ile oturum açın.

Sistem Durumunu Geri Yükleme (Non-Authoritative Restore)

  1. **Geri Yüklemeyi Başlatma:** Komut İstemi'nde (DSRM modunda) aşağıdaki komutla yedeklemeyi başlatın: 
    wbadmin start systemstaterecovery -version:MM/DD/YYYY-HH:MM
    **Açıklama:** `-version` parametresi ile kullanmak istediğiniz yedeklemenin zaman damgasını girin. Bu işlem, AD'yi yedek aldığınız andaki duruma geri getirir.
  2. **Yeniden Başlatma:** Geri yükleme bittikten sonra sunucuyu normal modda başlatın (Eğer bcdedit kullandıysanız, `bcdedit /deletevalue safeboot` komutuyla DSRM modunu kaldırın).
ÖNEMLİ: Bu geri yükleme (Non-Authoritative Restore), DC'yi yedek alındığı zamana geri getirir, ancak objeler (kullanıcılar, gruplar) için **replikasyon önceliği** (Update Sequence Number - USN) değişmez. Bu nedenle, diğer çalışan DC'ler, geri yüklenen objeleri "eski" olarak algılar ve onları yeniden siler (Tombstone). Bu, tek bir objeyi kurtarmak için yetersizdir.

Bölüm 3: Yetkili Geri Yükleme (Authoritative Restore)

Active Directory'deki bir objeyi geri yüklediğinizde, bu objenin diğer DC'ler tarafından silinmesini engellemek için **Yetkili** olarak işaretlenmesi gerekir. Bu işlem için **Ntdsutil** aracı kullanılır.

Adım Adım Authoritative Restore Süreci

  1. **DSRM'de Olma:** DC, DSRM modunda çalışıyor olmalıdır (Bölüm 2'deki adımları izleyin).
  2. **Non-Authoritative Restore Uygulama:** Öncelikle System State yedeklemesini gerçekleştirin (Bölüm 2, Adım 7).
  3. **Ntdsutil'i Başlatma:** Geri yüklenen DC'nin Komut İstemi'nde Ntdsutil aracını çalıştırın: 
    Ntdsutil
authoritative restore
  4. **Tekil Objeyi Yetkili İşaretleme:** Yanlışlıkla silinen tek bir kullanıcı hesabını geri getirmek için (Bu, objenin USN'sini artırır ve onu diğer DC'ler için "en güncel" yapar): 
    # Tek bir kullanıcı hesabını yetkili işaretle
restore object "CN=Mert Sengul,OU=IT,OU=Users,DC=prod,DC=local"
  5. **OU'yu Yetkili İşaretleme:** Yanlışlıkla silinen bir OU'yu ve içerisindeki tüm objeleri geri getirmek için: 
    # OU'yu ve altındaki tüm objeleri yetkili işaretle
restore subtree "OU=Muhasebe,OU=Users,DC=prod,DC=local"
    **Kritik Sonuç:** Ntdsutil, geri yüklediğiniz objelerin USN (Update Sequence Number) değerini 10 kat artırır. Böylece, objeler normal moda geçildiğinde diğer DC'lere "Bu objeler en günceldir, silmeyin!" mesajını göndermiş olur.
  6. **Çıkış ve Normal Başlatma:** Ntdsutil'den `quit` komutlarıyla çıkın ve sunucuyu normal moda yeniden başlatın. Objeleriniz artık diğer DC'lere replike edilmeye başlayacaktır.
ALTERNARİF (AD Geri Dönüşüm Kutusu): Modern Active Directory (Server 2008 R2 sonrası) kullanıyorsanız ve **Recycle Bin (Geri Dönüşüm Kutusu)** özelliği aktifse, silinen objeleri Authoritative Restore yapmadan kurtarabilirsiniz. Bu, en hızlı ve tercih edilen yöntemdir. Ancak System State/Authoritative Restore, tüm Forest/Domain yapısı çöktüğünde kullanılan tek yöntemdir.

ACTIVE DIRECTORY VE EXCHANGE SERİSİ TAMAMLANDI! >>