NtdsUtil ile Authoritative Restore

[Chaos™]

NtdsUtil ile Authoritative Restore

Merhaba arkadaşlar bu yazıda NTDSUTIL yardımcı programını kullanarak Active Directory Database i üzerinde bir şekilde silinen bir objenin Authoritative olarak Restore edilmesi anlatılacaktır.
Öncelikle NTDSUTILITY nin ne olduğundan ve ne şekilde kullanıldığından bahsetmek gerekirse;
Ntdsutil.exe : Active Directory için bazı yönetim olanakları sağlayan bir komut satırı aracıdır, Active Directory database inin bakımını yapmak, yönetimsel işlemlerini gerçekleştirmek ve denetlemek, düzgün olarak network ten çıkartılmayan Domain Controller ların geride bıraktığı metadata larının temizlenmesi ve birşekilde silinen objelerin Authoritative olarak Restore edilmesi gibi görevleri gerçekleştirmek için kullanılır, bu araç farklı yönetim görevleri arasında hareket olanağı sağlayan bir menü gurubu sunar, default olarak Ntdsutil systemroot\system32 klasörüne yüklenir ve run komut satırından erişilebilir.
AUTHORITATIVE RESTORE
Öncelikle Authoritative Restore işleminin normal bir restore işleminden ne farkı olduğuna değinmek gerekirse; normal şartlar altında birşekilde database den silinen bir objenin geri getirilmesi için daha önceden alınmış bir system state backup ın orijinal location da açılması yetecektir, ama ortamda birden fazla Domain Controller varsa artık sadece backup ı geri getirmek yetmeyecektir, çünkü backup ı geri getirip Domain Controller u restart ettiğimizde başlayacak olan replikasyon sonucunda objenin silinmesi nedeniyle değişen versiyon seriali geri getirilen backup tan sonra Domain Controller un diğer Domain Controller larla replike olması esnasında yüksek versiyon numarası olan versiyonunla replike olmasını sağlayacaktır, sonuç olarak backup ta bulunan ve bizim geri getirmek istediğimiz objenin replikasyon sonucu silinmesine neden olacaktır, işte bu noktada NTDS utility işimize yarayacak olan tool dur. Normal olarak orijinal location da backup ımızı açtıktan sonra Domain Controller u restart etmeden, daha öncede bahsettiğimiz gibi run komut satırından cmd prompt u çalıştırıp NTDSUTIL yardımcı programının restore subtree komutu ile geri getirmek istediğimiz obje bilgilerini girip daha sonra restart ederek Authoritative Restore işlemini gerçekleştirmiş oluruz, NtdsUtil açtığımız backup taki geri getirmek istediğimiz objenin versiyon serialini 100.000 artıracak ve replikasyonda geri getirdiğimiz objenin versiyon seriali, diğer Domain Controller lardaki versiyon serialinden daha yüksek olacağı için replikasyon esnasında geri getirilen obje bilgisi diğer Domain Controller lara replike olarak restore işlemi tamamlanacaktır.
Şimdi bu işlemi bir örnekle açıklayalım ve Authoritative Restore işlemini beraber yapalım.

İlk olarak daha önce oluşturduğumuz ARTEST isimli OU yu silelim ve bu OU yu Authoritative Restore işlemi yaparak geri getirelim.

Görüldüğü gibi ARTEST isim li OU artık yok şimdi yapmamız gereken işlem daha önceden aldığımız system state backup ı orijinal location ında açmak. Bu işlemi yapmamız için Domain Controller u Active Directory Restore modda başlatmamız gerekmektedir.

Domain Controller safe modda başlattıktan sonra system state backup ı orijinal location da açarız, bu işlem bittikten sonra karşımıza Domain Controller u restart etmemiz ile ilgili bir uyarı çıkacaktır, bizim için önemli olan bu noktada HAYIR deyip Domain Controller u restart etmememiz gerekmektedir, daha önce de anlattığımız gibi bu noktada restart tan önce Authoritative Restore işlemini yapmamız gerekmektedir, eğer burada makineyi restart edersek restart tan sonra başlayacak replikasyon işlemi esnasında diğer Domain Controller da olmayan ve geri getirmek istediğimiz obje bilgisi replike olup silinecek ve system state backup ı yüklemeden önceki haline döneceği için Authoritative Restore işlemi amacına ulaşmayacaktır.
Daha sonra cmd prompt tan Authoritative Restore işlemini başlatırız.

İlk olarak NtdsUtil komutunu yazıp enter a basarız daha sonra yapmak istediğimiz işlem için
Authoritative restore komutunu yazarız ve enter a basarız.

Şimdi sıra bu işlemi yaparken kullanacağımız parametreye geldi bunun için sırasıyla

Restore subtree parametresini yapmak istediğimiz geri getirme işlemi için
ou=artest geri getirmek istediğimiz ou ( obje ) ismi
dc=test,dc=com geri getirilecek ou nun yerini belirtmek için
Restore subtree ou=artest,dc=test,dc =com
Şeklinde yazarız ve enter a basarız

Bu işlemi yapmak istediğimizi onaylamak için çıkan uyarıya yes deriz ve işlemi tamamlarız.

İşlemin tamamladığını belirten bilgi yazısını gördükten sonra artık Domain Controller u restart edebiliriz ve işlemi doğrulamak için Active Directory Users and Computers yönetim konsolunu açarız

Artık bir şekilde silinen OU yu geri getirme işlemimiz tamamlanmış oldu bunun haricinde eğer geri getirmek istediğimiz bir user accountu ise yazdığımız komut satırına bir iki ekleme yaparak bu işlemi de gerçekleştirebiliriz
Bir user accountu nu geri getireceksek:
restore subtree cn=user_name,ou=arte st,dc=test,dc=com
cn=username parametresini satırın başına eklememiz yetecektir.

Yayınlanış Tarihi 30 Ağustos 2007 Perşembe 01:37 Yayınlayan: Akın KARAAKIN