از /

نقش حیاتی بکاپ و ریکاوری در Active Directory

بکاپ تست شده، تنها قهرمان واقعی در بحران

نقش حیاتی بکاپ و ریکاوری در AD

در دنیای تهدیدات مدرن مثل باج‌افزارها، نفوذها و اشتباهات انسانی، تنها چیزی که می‌تونه واقعاً به داد زیرساخت IT برسه، بکاپ تست‌شده و برنامه‌ریزی‌شده است — مخصوصاً در مورد Domain Controller‌ها.

 

⚠️ چی بکاپ بگیریم؟ چی تمرین کنیم؟

✅  System State Backup

بکاپ System State شامل بخش‌های حیاتی سرور DC است:

  • دیتابیس Active Directory (ntds.dit)

  • رجیستری ویندوز

  • فایل‌های بوت

  • SYSVOL

  • Certificate Services (در صورت نصب)

⌨️ دستور:

wbadmin start systemstatebackup -backuptarget:E: -quiet

📌 نکته: درایو مقصد (مثل E:) نباید همون درایوی باشه که ویندوز نصب شده.

✅ بکاپ کامل Volume یا Image-Based Backup

علاوه بر System State، بکاپ کامل از کل Volume یا Disk که DC روی اون نصب شده (با ابزارهایی مثل Veeam, Altaro, Windows Server Backup) برای بازیابی سریع‌تر و دقیق‌تر ضروریه.

✅ تمرین بازیابی (Recovery Drill)

صرف داشتن بکاپ کافی نیست. باید Recovery Drill داشته باشید:

  • آیا می‌تونی از بکاپ، DC رو روی VM جدید بازیابی کنی؟

  • آیا تست کردی که AD سالم بالا میاد؟

  • آیا Objectهای حذف‌شده قابل برگشت هستن؟

  • آیا کل Forest برمی‌گرده یا فقط Domain؟

💡 چرا بکاپ اهمیت داره؟

“وقتی باج‌افزار حمله کنه، آنتی‌ویروس، فایروال، SIEM، همه تماشاچی می‌شن؛ اما بکاپ سالم می‌تونه بازی رو برگردونه.”

  • حذف اتفاقی User، Group، OU یا GPO

  • خرابی سخت‌افزاری یا VM

  • Sync اشتباه بین DCها

  • تغییرات عمدی یا خرابکارانه توسط insider

  • آلوده شدن DC به باج‌افزار

♻️ فعال‌سازی AD Recycle Bin

AD Recycle Bin بهت اجازه می‌ده Objectهای حذف‌شده رو بدون Restore کامل برگردونی.

⌨️ دستور:

Enable-ADOptionalFeature ‘Recycle Bin Feature’ -Scope ForestOrConfigurationSet -Target yourdomain.com

⚠️ نکته:

  • نیاز به Forest Functional Level = Windows Server 2008 R2 یا بالاتر داره.

  • یک‌بار که فعال شد، غیرقابل بازگشت هست (No undo).

  • بعد از فعال‌سازی، از طریق PowerShell یا کنسول AD Administrative Center می‌تونی Object حذف‌شده رو Restore کنی.

🔄 آیا وقتی چند DC دارم، هنوزم باید بکاپ بگیرم؟

بله! و این یکی از سوءبرداشت‌های رایج هست. توضیح فنی:

🟢 داشتن چند Domain Controller = Redundancy

اما:

🔴 چند DC = بکاپ نیست!

  • اگه تغییر اشتباه یا حذف Object انجام بشه، بلافاصله به بقیه DCها Replication میشه.

  • اگه Ransomware روی یکی بیاد، تغییرات آلوده روی بقیه DCها هم پخش می‌شه.

  • اگه Forest تخریب بشه، هیچ Redundancy بین DCها کمک نمی‌کنه.

🔚 پس:

بکاپ = نقطه بازگشت (Rollback Point)
Replication = تکرارِ همون مشکل

دیدگاه‌ خود را بنویسید

پیمایش به بالا