ক্ষতিগ্রস্ত স্থানীয় ডোমেইন কন্ট্রোলার পুনরুদ্ধার এবং উদ্ধার করা

যখন কোনো ডোমেইন কন্ট্রোলার ত্রুটিপূর্ণ হয়ে যায় বা ভুলভাবে পুনরুদ্ধার করা হয়, তখন আতঙ্কটা ব্যাপক হয়: লগইন ব্যর্থ হয়, GPO প্রয়োগ হওয়া বন্ধ হয়ে যায় এবং প্রায় কোনো সূত্র ছাড়াই রেপ্লিকেশন ভেঙে পড়ে।সুখবরটি হলো যে, একটি ফিজিক্যাল বা ভার্চুয়াল ডিসি পুনরুদ্ধার করার জন্য সুস্পষ্ট কার্যপ্রণালী রয়েছে, তবে শর্ত হলো স্বীকৃত ব্যাকআপ এবং রিস্টোর পদ্ধতিগুলো অবশ্যই অনুসরণ করতে হবে।

আধুনিক উইন্ডোজ সার্ভার পরিবেশে, একটি ডোমেইন কন্ট্রোলার পুনরুদ্ধার করার জন্য নিম্নলিখিত ধারণাগুলি সম্পর্কে ভালো ধারণা থাকা প্রয়োজন, যেমন সিস্টেম স্ট্যাটাস, অথরিটেটিভ/নন-অথরিটেটিভ রিস্টোর, SYSVOL, DFSR/FRS এবং USN রোলব্যাকএই সমস্যাগুলো যদি তাড়াহুড়ো করে বা অসামঞ্জস্যপূর্ণ ইমেজিং সরঞ্জাম দিয়ে সমাধান করা হয়, তবে এর ফলে এমন অসংখ্য নীরব অসঙ্গতি তৈরি হতে পারে যা নির্ণয় করা অত্যন্ত কঠিন।

কেন একটি ডোমেইন কন্ট্রোলারকে সঠিকভাবে সুরক্ষিত ও পুনরুদ্ধার করা অত্যন্ত গুরুত্বপূর্ণ

একটি উইন্ডোজ ডোমেইনে প্রমাণীকরণ এবং অনুমোদনের কেন্দ্রবিন্দু হলো অ্যাক্টিভ ডিরেক্টরি।এটি ব্যবহারকারী, কম্পিউটার, গ্রুপ, বিশ্বস্ততার সম্পর্ক, গ্রুপ পলিসি, সার্টিফিকেট এবং অন্যান্য গুরুত্বপূর্ণ উপাদান সংরক্ষণ করে। এই তথ্য প্রধানত ডেটাবেসে থাকে। এনটিডিএস.ডিআইটি, সংশ্লিষ্ট লগ ফাইল এবং ফোল্ডার SYSVOLঅন্যান্য উপাদানগুলোর মধ্যে, যা তথাকথিত “সিস্টেমের অবস্থা” গঠন করে।

সিস্টেমের স্থিতিতে অন্যান্য বিষয়ের মধ্যে অন্তর্ভুক্ত রয়েছে, অ্যাক্টিভ ডিরেক্টরি লগ ফাইল ও ডেটা, উইন্ডোজ রেজিস্ট্রি, সিস্টেম ভলিউম (SYSVOL), সার্টিফিকেট ডেটাবেস (যদি কোনো CA থাকে), IIS মেটাবেস, বুট ফাইল এবং সুরক্ষিত অপারেটিং সিস্টেমের উপাদানসমূহ।সুতরাং, যেকোনো কার্যকর ব্যবসায়িক ধারাবাহিকতা কৌশলে প্রতিটি ডেটা সেন্টারের সিস্টেম স্টেটের নিয়মিত ব্যাকআপ অবশ্যই অন্তর্ভুক্ত থাকতে হবে।

যখন অ্যাক্টিভ ডিরেক্টরি ডাটাবেসের প্রকৃত ত্রুটি ঘটে, একটি গুরুতর রেপ্লিকেশন ব্যর্থতা, বা কোনো সমস্যা অনুমতিসমূহ SYSVOLডোমেইন কন্ট্রোলার কোয়েরি প্রসেসিং বন্ধ করে দিতে পারে, অ্যাক্টিভ ডিরেক্টরি সার্ভিস চালু করতে ব্যর্থ হতে পারে, অথবা পুরো ফরেস্ট জুড়ে ধারাবাহিক ত্রুটি ঘটাতে পারে। এইসব ক্ষেত্রে, দ্রুত ও যথাযথ পুনরুদ্ধার একটি গুরুতর ঘটনা এবং দীর্ঘস্থায়ী বিপর্যয়ের মধ্যে পার্থক্য গড়ে দেয়।.

রিস্টোর করার চেষ্টা করার আগে, ডাটাবেসের আসল সমস্যা এবং সাধারণ ত্রুটির মধ্যে পার্থক্য করা অত্যন্ত গুরুত্বপূর্ণ। প্রায়শই, এর কারণ হলো ডিএনএস, নেটওয়ার্ক পরিবর্তন, ফায়ারওয়াল, অথবা বিভিন্ন টুল দিয়ে পরিবর্তিত রাউট। netsh কমান্ডঅতএব, AD ডেটাবেসে হাত দেওয়ার আগে এই বিষয়গুলো প্রথমে বাদ দিয়ে নেওয়া বাঞ্ছনীয়।

মৌলিক রোগ নির্ণয় এবং প্রতিলিপি নিয়ন্ত্রণ সরঞ্জাম

ডেটা করাপশন বা রেপ্লিকেশন ব্যর্থতার লক্ষণ দেখা দিলে, প্রথম বিচক্ষণ পদক্ষেপ হলো নেটিভ টুল ব্যবহার করে এনভায়রনমেন্টের অবস্থা পরীক্ষা করা। DCDiag, Repadmin, ReplMon (পুরানো সংস্করণগুলিতে) এবং ইভেন্ট ভিউয়ার বড় ধরনের পুনর্গঠনমূলক চিকিৎসার কথা ভাবার আগে তারাই আপনার সেরা সহযোগী।

বিরূদ্ধে ডিসিডায়াগ সমস্ত ডোমেইন কন্ট্রোলারের একটি সাধারণ যাচাই করা হয়, যার মাধ্যমে রেপ্লিকেশন, ডিএনএস, এডি ডিএস সার্ভিস ইত্যাদির সমস্যা শনাক্ত করা হয়। রিপঅ্যাডমিন এর মাধ্যমে আপনি রেপ্লিকেশন স্ট্যাটাস, রেপ্লিকেশন পার্টনার, ইউএসএন ওয়াটারমার্ক দেখতে এবং পারসিস্টেন্ট অবজেক্ট শনাক্ত করতে পারেন। উইন্ডোজের পুরোনো সংস্করণগুলোতে, রিপ্লমন এটি ডোমেইনের মধ্যে প্রতিলিপি ত্রুটিগুলির একটি গ্রাফিক্যাল চিত্র প্রদান করেছিল।

এই টুলগুলো ছাড়াও, ইভেন্ট ভিউয়ারে “ডিরেক্টরি সার্ভিসেস” এবং “ডিএফএস রেপ্লিকেশন” পর্যালোচনা করা অপরিহার্য। ৪৬৭ এবং ১০১৮-এর মতো ঘটনাগুলো ডেটাবেসের প্রকৃত ত্রুটির দিকে ইঙ্গিত করে।অন্যদিকে, ইভেন্ট ১১১৩/১১১৫/১১১৪/১১১৬ ইনপুট/আউটপুট রেপ্লিকেশন চালু বা বন্ধ করার সাথে সম্পর্কিত।

দুর্নীতি ছড়ানো রোধ করার জন্য যদি কোনো সন্দেহভাজন ডিসি-কে সাময়িকভাবে বিচ্ছিন্ন করার প্রয়োজন হয়, আমরা পারি Repadmin ব্যবহার করে ইনবাউন্ড এবং আউটবাউন্ড রেপ্লিকেশন নিষ্ক্রিয় করুন।:

repadmin /options DCNAME +DISABLE_INBOUND_REPL
repadmin /options DCNAME +DISABLE_OUTBOUND_REPL

এবং রেপ্লিকেশনকে স্বাভাবিক অবস্থায় ফিরিয়ে আনতে, কেবল এই অপশনগুলো সরিয়ে দিন:

repadmin /options DCNAME -DISABLE_INBOUND_REPL
repadmin /options DCNAME -DISABLE_OUTBOUND_REPL

ডোমেইন কন্ট্রোলারগুলিতে সমর্থিত সিস্টেম স্টেট ব্যাকআপ

নিশ্চয়তাসহ একটি ডিসি পুনরুদ্ধার করতে সক্ষম হওয়ার জন্য, থাকা অপরিহার্য। অ্যাক্টিভ ডিরেক্টরি সামঞ্জস্যপূর্ণ টুল ব্যবহার করে সিস্টেম স্টেট ব্যাকআপ নেওয়া হয়।এই টুলগুলো মাইক্রোসফটের ব্যাকআপ ও রিস্টোর এপিআই এবং ভলিউম শ্যাডো কপি সার্ভিস (ভিএসএস) সমর্থিত পদ্ধতিতে ব্যবহার করে।

সবচেয়ে সাধারণ সমাধানগুলির মধ্যে রয়েছে উইন্ডোজ সার্ভার ব্যাকআপ, ভিএসএস-এর সাথে সমন্বিত তৃতীয় পক্ষের সমাধানসমূহ (যেমন NAKIVO, Backup Exec, এবং অন্যান্য)অথবা পুরানো ইউটিলিটি যেমন এনটিব্যাকআপ উইন্ডোজ ২০০০/২০০৩-এ। সকল ক্ষেত্রে, পুনরুদ্ধারের পর ডাটাবেস এবং এর রেপ্লিকাগুলোর সামঞ্জস্যতা নিশ্চিত করতে তাদের অবশ্যই AD API-গুলো মেনে চলতে হবে।

Windows Server 2012 এবং এর পরবর্তী সংস্করণগুলোতে একটি গুরুত্বপূর্ণ নতুন সংযোজন রয়েছে: হাইপার-ভি জেনারেশন আইডি (জেনআইডি)এই শনাক্তকারীটি একটি ভার্চুয়াল ডোমেইন কন্ট্রোলারকে শনাক্ত করতে সাহায্য করে যে তার ডিস্ক পূর্ববর্তী কোনো সময়ে রোলব্যাক করা হয়েছে। যখন এটি ঘটে, AD DS একটি নতুন InvocationID তৈরি করে এবং পরিস্থিতিটিকে এমনভাবে বিবেচনা করে যেন এটি একটি সফল ব্যাকআপ থেকে পুনরুদ্ধার করা হয়েছে।এর প্রতিলিপি অংশীদারদের অবহিত করার মাধ্যমে, USN রোলব্যাক না ঘটিয়েই নিরাপদে পুনর্লিখন করা সম্ভব হয়।

সম্মান করা অপরিহার্য সমাধিফলক আজীবনএটি নির্দেশ করে যে, অনেক আগে মুছে ফেলা অবজেক্টগুলো পুনরায় ফিরে আসার ঝুঁকি ছাড়াই একটি সিস্টেম স্টেট ব্যাকআপ কতদিন ব্যবহার করা যেতে পারে। আধুনিক সংস্করণগুলিতে এটি সাধারণত ১৮০ দিন, এবং পর্যাপ্ত সুরক্ষা নিশ্চিত করতে অন্তত প্রতি ৯০ দিনে ব্যাকআপ নেওয়ার পরামর্শ দেওয়া হয়।

অননুমোদিত পদ্ধতি যা USN বিপরীতমুখী করে

অ্যাক্টিভ ডিরেক্টরিতে নীরব অসঙ্গতির সবচেয়ে বিপজ্জনক কারণগুলোর মধ্যে একটি হলো ইউএসএন রোলব্যাকএই পরিস্থিতি তখন ঘটে যখন ইনভোকেশনআইডি পুনরুদ্ধার না করে বা রেপ্লিকেশন পার্টনারদের অবহিত না করে, কোনো অসমর্থিত পদ্ধতি ব্যবহার করে এডি (AD) ডাটাবেসের বিষয়বস্তু রোলব্যাক করা হয়।

সাধারণ দৃশ্যকল্প হল একটি ডিসি থেকে বুট করা ডিস্ক চিত্র অথবা অতীতে নেওয়া একটি ভার্চুয়াল মেশিনের স্ন্যাপশটএকটি সামঞ্জস্যপূর্ণ সিস্টেম রিস্টোর ব্যবহার না করে। অথবা সরাসরি Ntds.dit ফাইলটি কপি করুন, Ghost-এর মতো ইমেজিং প্রোগ্রাম ব্যবহার করুন, একটি ব্রোকেন ডিস্ক মিরর থেকে বুট করুন, অথবা অ্যারে লেভেলে একটি স্টোরেজ স্ন্যাপশট পুনরায় প্রয়োগ করুন।

এই ক্ষেত্রে, ডোমেইন কন্ট্রোলার আগের মতোই একই InvocationID ব্যবহার করতে থাকে, কিন্তু এর স্থানীয় ইউএসএন কাউন্টারটি উল্টো দিকে চলেঅন্যান্য ডিসিগুলো একটি উচ্চ USN পর্যন্ত পরিবর্তন গ্রহণ করার কথা মনে রাখে, তাই যখন পূর্বাবস্থায় ফেরানো ডিসিটি ইতিমধ্যে স্বীকৃত USN-গুলো ফেরত পাঠানোর চেষ্টা করে, তাদের সঙ্গীরা মনে করে যে তারা যুগোপযোগী এবং সুনির্দিষ্ট পরিবর্তন গ্রহণ করা বন্ধ করে দেয়।.

এর ফলে কিছু পরিবর্তন (উদাহরণস্বরূপ, ব্যবহারকারী তৈরি, পাসওয়ার্ড পরিবর্তন, ডিভাইস নিবন্ধন, গ্রুপ সদস্যপদ পরিবর্তন, নতুন ডিএনএস রেকর্ডএই ত্রুটিগুলি পুনরুদ্ধার করা ডিসি থেকে নেটওয়ার্কের বাকি অংশে কখনও প্রতিলিপি হয় না, কিন্তু মনিটরিং টুলগুলি স্পষ্ট ত্রুটি নাও দেখাতে পারে। এটি একটি অত্যন্ত বিপজ্জনক নীরব ব্যর্থতা।

এই পরিস্থিতিগুলো শনাক্ত করতে, Windows Server 2003 SP1 এবং পরবর্তী সংস্করণের ড্রাইভারগুলো লগ তৈরি করে। ডিরেক্টরি সার্ভিসেস ইভেন্ট ২০৯৫ যখন কোনো রিমোট ডিসি-কে ইনভোকেশনআইডি পরিবর্তন না করেই ইতিমধ্যে অ্যাকনলেজড ইউএসএন পাঠাতে দেখা যায়, তখন সিস্টেমটি এটি প্রভাবিত ডিসি-কে কোয়ারেন্টাইন করে, নেটলগঅন থামিয়ে দেয় এবং পরবর্তী পরিবর্তন হওয়া প্রতিরোধ করে। যেটি সঠিকভাবে প্রতিলিপি করা সম্ভব হয়নি।

অতিরিক্ত ফরেনসিক প্রমাণ হিসেবে, এটি হতে পারে রেজিস্ট্রিতে পরামর্শের জন্য চাবি HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters এবং মান ডিএসএ লেখার অযোগ্যযদি এই মানটি সেট করা থাকে (যেমন, 0x4), তবে এটি নির্দেশ করে যে USN রিভার্সাল ডিটেকশনের মাধ্যমে DC-কে একটি নো-রাইট স্টেটে রাখা হয়েছে। এই মানটিকে 'ঠিক' করার জন্য ম্যানুয়ালি পরিবর্তন করা সম্পূর্ণরূপে অসমর্থিত। এবং ডেটাবেসকে স্থায়ীভাবে অসামঞ্জস্যপূর্ণ অবস্থায় রেখে দেয়।

ডোমেইন কন্ট্রোলারের বিকৃতি বা পূর্বাবস্থার ক্ষেত্রে সাধারণ কৌশলসমূহ

ত্রুটিপূর্ণ বা ভুলভাবে পুনরুদ্ধার করা ডিসি (DC) নিয়ে কাজ করার ক্ষেত্রে অনুসরণীয় পদ্ধতিটি বিভিন্ন বিষয়ের উপর নির্ভর করে: ডোমেইন/ফরেস্টে ডোমেইন কন্ট্রোলারের সংখ্যা, সিস্টেম স্টেটের বৈধ কপির প্রাপ্যতা, অন্যান্য রোলের (FSMO, CA, গ্লোবাল ক্যাটালগ) উপস্থিতি এবং সমস্যাটির সময়গত পরিধি।.

যদি ডোমেইনে অন্যান্য সুস্থ ডিসি থাকে এবং ক্ষতিগ্রস্ত ডোমেইন কন্ট্রোলারে কোনো স্বতন্ত্র গুরুত্বপূর্ণ ডেটা নেই।সাধারণত সবচেয়ে দ্রুত এবং পরিষ্কার উপায় হলো সেই ডোমেইন কন্ট্রোলারটি সরিয়ে দিয়ে পুনরায় তৈরি করা। তবে, যদি এটিই একমাত্র ডোমেইন কন্ট্রোলার হয়, অথবা যদি এতে সংবেদনশীল রোল এবং ডেটা থাকে, তাহলে আরও সতর্কতার সাথে পুনরুদ্ধার (অথরিটেটিভ বা নন-অথরিটেটিভ) করা প্রয়োজন হবে।

সাধারণভাবে, বিকল্পগুলো হলো:

• ত্রুটিপূর্ণ ডিসি-টিকে জোরপূর্বক ডিমোট করুন এবং ডোমেইন থেকে সরিয়ে দিন।এরপর মেটাডেটা পরিষ্করণ এবং, প্রযোজ্য ক্ষেত্রে, নতুন পদোন্নতি।
• একটি বৈধ সিস্টেম স্টেট ব্যাকআপ থেকে পুনরুদ্ধার করুনকর্তৃত্বপূর্ণ বা অনধিকারপ্রয়োজনীয় উভয় অবস্থাতেই।
• IFM (Install From Media) ব্যবহার করে অন্য একটি থেকে DC পুনর্নির্মাণ করুন।যখন কোনো সাম্প্রতিক কপি থাকে না কিন্তু অন্যান্য সঠিক ডিসি (DC) থাকে।
• একটি ভার্চুয়াল ডিসি-র VHD স্ন্যাপশট ব্যবহার করেডাটাবেসটিকে ব্যাকআপ থেকে পুনরুদ্ধার করা হয়েছে হিসেবে চিহ্নিত করতে (ব্যাকআপ থেকে পুনরুদ্ধার করা ডাটাবেস = 1) এবং একটি নতুন InvocationID তৈরি করা নিশ্চিত করতে অতিরিক্ত পদক্ষেপগুলো প্রয়োগ করুন।

যদি USN রোলব্যাকের সুস্পষ্ট সন্দেহ হয় (উদাহরণস্বরূপ, সর্বোত্তম অনুশীলন অনুসরণ না করে একটি স্ন্যাপশট থেকে VM পুনরুদ্ধার করার পরে) এবং ইভেন্ট 2095 দেখা দেয়, তাহলে সাধারণত সবচেয়ে বিচক্ষণ পদক্ষেপ হলো... ওই ডিসি-টিকে পরিষেবা থেকে সরিয়ে দিন এবং ঘটনাস্থলে গিয়ে এটি "ঠিক" করার চেষ্টা করবেন না।যদি না রোলব্যাকের আগে নেওয়া সমর্থিত সিস্টেম অবস্থার কোনো ব্যাকআপে ফিরে যাওয়া সম্ভব হয়।

বাধ্যতামূলক পদাবনতি এবং মেটাডেটা পরিষ্করণ

যখন কোনো ডোমেইন কন্ট্রোলার এতটাই ক্ষতিগ্রস্ত হয় যে সেটিকে স্বাভাবিকভাবে ডিমোট করা যায় না, অথবা ভুলভাবে রিস্টোর করা হয়েছে এবং আপনি এর মাধ্যমে সমস্যা ছড়ানো আটকাতে চান, তখন আপনি একটি পদ্ধতি অবলম্বন করতে পারেন। জোরপূর্বক পদাবনতি.

পুরানো সংস্করণগুলিতে, এই অপারেশনটি সম্পাদন করা হতো এর মাধ্যমে dcpromo /forceremoval, কি ফরেস্টের বাকি অংশে পরিবর্তনগুলো প্রতিলিপি করার চেষ্টা না করে AD DS রোলটি সরিয়ে ফেলুন।আধুনিক পরিবেশে উইজার্ডটি পরিবর্তিত হয়েছে, কিন্তু মূল ধারণাটি একই: সমস্যাযুক্ত ডিসি-কে পরবর্তী রেপ্লিকেশনে অংশগ্রহণ না করিয়ে এডি টপোলজি থেকে অপসারণ করা।

জোরপূর্বক ডাউনগ্রেডের পরে, একটি সুস্থ ডিসি (DC) থেকে কমান্ড কার্যকর করা বাধ্যতামূলক। মেটাডেটা পরিষ্কার করা সরঞ্জাম ব্যবহার করে Ntdsutilএই প্রক্রিয়াটি AD ডাটাবেস থেকে মুছে ফেলা DC-এর সমস্ত রেফারেন্স (NTDS সেটিংস অবজেক্ট, DNS রেফারেন্স, ইত্যাদি) সরিয়ে দেয়, যাতে প্রতিলিপি তৈরিতে বিভ্রান্ত করার মতো কোনো 'অদৃশ্য' অবশেষ অবশিষ্ট নেই।.

যদি ত্রুটিপূর্ণ কন্ট্রোলারটির FSMO রোল (যেমন PDC Emulator, RID Master, Schema Master ইত্যাদি) থেকে থাকে, তাহলে এটি করা আবশ্যক হবে। সেই ভূমিকাগুলো হস্তান্তর বা দখল করে পরিস্থিতি অনুযায়ী, ডিমোশনের আগে বা পরে অন্য একটি ডিসি-তে স্থানান্তর করা যেতে পারে। পরবর্তীতে, সেই সার্ভারে অপারেটিং সিস্টেম পুনরায় ইনস্টল করে সেটিকে আবার একটি ক্লিন ডিসি হিসেবে প্রমোট করা যেতে পারে।

অ্যাক্টিভ ডিরেক্টরিতে অননুমোদিত বনাম অনুমোদিত পুনরুদ্ধার

সিস্টেম স্টেটের একটি বৈধ কপি উপলব্ধ থাকলে, AD রিকভারি দুটি উপায়ে করা যেতে পারে: অ-কর্তৃত্বপূর্ণ এবং কর্তৃত্বপূর্ণসাম্প্রতিক পরিবর্তনগুলো যাতে বাদ না যায় বা পুরোনো তথ্যের পুনরাবৃত্তি না ঘটে, তার জন্য পার্থক্যটি বোঝা অত্যন্ত গুরুত্বপূর্ণ।

একটি মধ্যে অ-কর্তৃত্বপূর্ণ পুনরুদ্ধারডিসি পূর্ববর্তী একটি বিন্দুতে ফিরে আসে, কিন্তু একবার শুরু হলে, অন্যান্য ডোমেইন কন্ট্রোলারগুলোকে রেফারেন্স হিসেবে বিবেচনা করা হয়।অন্য কথায়, স্টার্টআপের পরে, পুনরুদ্ধার করা ডিসি ইনবাউন্ড রেপ্লিকেশনের জন্য অনুরোধ করে এবং অন্যান্য ডিসিগুলো থেকে কোনো অনুপস্থিত পরিবর্তন দিয়ে তার ডেটাবেস আপডেট করে। এই বিকল্পটি আদর্শ যখন আরও অন্যান্য সুস্থ কন্ট্রোলার আছে, এবং আমরা চাই পুনরুদ্ধার করা কন্ট্রোলারটি যেন তাদের সমকক্ষ হয়ে ওঠে।.

একটি মধ্যে কর্তৃত্ববাদী পুনরুদ্ধারতবে, এটি স্পষ্টভাবে বলা হয়েছে যে পুনরুদ্ধার করা তথ্যই প্রাধান্য পাওয়া উচিত। অন্যান্য ডিসি-গুলোর যা আছে তার চেয়ে উচ্চতর। এর মানে হলো, রিস্টোরের পরে, পুনরুদ্ধার করা অবজেক্টগুলোর একটি উচ্চতর ভার্সন নম্বর থাকবে, যাতে সেগুলোকে সেই ডিসি থেকে ডোমেইনের বাকি অংশে রেপ্লিকেট হতে বাধ্য করা যায়। এটিই উপযুক্ত পছন্দ যখন আমরা ভুলবশত অবজেক্ট বা ওইউ (OU) মুছে ফেলেছি, অথবা আমরা SYSVOL এবং GPO-এর বিষয়বস্তুকে পূর্ববর্তী অবস্থায় ফিরিয়ে এনে সেটির প্রতিলিপি তৈরি করতে চাই।.

একটি গুরুত্বপূর্ণ বিষয় হলো, প্রামাণিক পুনরুদ্ধার পুরো ডেটাবেসের জন্য হতে হবে এমন কোনো বাধ্যবাধকতা নেই। ইউটিলিটিটির সাহায্যে Ntdsutil স্বতন্ত্র অবজেক্ট, সাবট্রি (যেমন, একটি OU), বা সম্পূর্ণ ডোমেইনকে অথরিটেটিভ হিসেবে চিহ্নিত করা যেতে পারে। এটি, উদাহরণস্বরূপ, বিভিন্ন ক্ষেত্রে যথেষ্ট নমনীয়তা প্রদান করে। শুধুমাত্র একজন ব্যবহারকারী, একটি গ্রুপ, একটি OU অথবা সাবট্রি dc=mycompany,dc=local পুনরুদ্ধার করুন.

একটি ডিসি-তে সিস্টেমের অবস্থা পুনরুদ্ধার করার সাধারণ পদ্ধতি

সামঞ্জস্যপূর্ণ টুল ব্যবহার করে একটি ডিসি-র (ভৌত বা ভার্চুয়াল) সিস্টেম স্টেট পুনরুদ্ধার করার মৌলিক পদ্ধতিটি সর্বদা একই রকম: ডিরেক্টরি সার্ভিসেস রিস্টোর মোডে (DSRM) বুট করুন, ব্যাকআপ টুল ব্যবহার করে রিস্টোর করুন এবং রিস্টার্ট করুন।.

সংক্ষেপে, একটি ভার্চুয়াল ডোমেইন কন্ট্রোলারের জন্য সাধারণ ধাপগুলো হলো:

1. উইন্ডোজ বুট ম্যানেজারে ভার্চুয়াল মেশিনটি চালু করুন। (সাধারণত স্টার্টআপের সময় F5/F8 চেপে)। যদি ভিএমটি কোনো হাইপারভাইজর দ্বারা পরিচালিত হয়, তাহলে কীস্ট্রোকটি ক্যাপচার করার জন্য মেশিনটি পজ করার প্রয়োজন হতে পারে।
2. উন্নত বুট বিকল্পগুলিতে, নির্বাচন করুন ডিরেক্টরি পরিষেবা পুনরুদ্ধার মোড (ডিরেক্টরি সার্ভিসেস রিস্টোর মোড)। এই মোডটি অ্যাক্টিভ ডিরেক্টরি ডাটাবেসকে কার্যকরীভাবে মাউন্ট না করেই সার্ভার চালু করে।
3. DSRM অ্যাডমিনিস্ট্রেটর অ্যাকাউন্ট দিয়ে লগ ইন করুন ডিসি-র মূল প্রমোশনের সময় সংজ্ঞায়িত করা হয় (কোনো সাধারণ ডোমেইন অ্যাডমিনিস্ট্রেটর অ্যাকাউন্ট দিয়ে নয়)।
4. ব্যাকআপ টুলটি চালান ব্যবহৃত (Windows Server Backup, NAKIVO বা অন্য কোনো সামঞ্জস্যপূর্ণ) এবং সিস্টেমের অবস্থা কাঙ্ক্ষিত ব্যাকআপ পয়েন্টে পুনরুদ্ধার করার জন্য নির্বাচন করুন।
5. পুনরুদ্ধার উইজার্ডটি সম্পূর্ণ করুন এবং ডিসি-কে সাধারণ মোডে রিস্টার্ট করুন।একটি নন-অথরিটেটিভ রিস্টোরের ক্ষেত্রে, সার্ভারটি অন্যান্য ডিসি-গুলোর সাথে তাল মেলাতে রেপ্লিকেশন শুরু করবে।

যখন আমরা তৃতীয় পক্ষের ব্যাকআপ পণ্য নিয়ে কথা বলি, যেমন NAKIVO ব্যাকআপ এবং প্রতিলিপিএর "অ্যাপ-অ্যাওয়্যার" মোডটি শনাক্ত করতে পারে যে পুনরুদ্ধার করা মেশিনটি একটি ডিসি (DC) এবং AD সামঞ্জস্যতা বজায় রাখতে প্রক্রিয়াটি স্বয়ংক্রিয়ভাবে সমন্বয় করুন।একাধিক কন্ট্রোলারযুক্ত বেশিরভাগ পরিস্থিতিতে, নন-অথরিটেটিভ মোডে একটি সম্পূর্ণ পুনরুদ্ধারই যথেষ্ট।

Ntdsutil দিয়ে প্রামাণিক পুনরুদ্ধার

আপনি যদি চান যে পুনরুদ্ধার করা ডোমেইন কন্ট্রোলারের পরিবর্তনগুলো বাকিগুলোর চেয়ে অগ্রাধিকার পাক, তাহলে নন-অথরিটেটিভ রিস্টোরের পরে আপনাকে একটি অতিরিক্ত ধাপ যোগ করতে হবে: অবজেক্টগুলোকে প্রামাণিক হিসেবে চিহ্নিত করতে Ntdsutil ব্যবহার করুন।.

সরলীকৃত প্রবাহটি হবে:

1. প্রমিত পদ্ধতিতে সিস্টেমের অবস্থা পুনরুদ্ধার করুন এবং সার্ভারটিকে অপরিবর্তিত রাখুন। DSRM মোড (এখনও সাধারণ মোডে পুনরায় চালু করবেন না)।
2. একটি খুলুন উচ্চতর বিশেষাধিকার সহ কমান্ড প্রম্পট এবং চালান ntdsutil.
3. AD ইনস্ট্যান্সটি সক্রিয় করুন ইনস্ট্যান্স এনটিডিএস সক্রিয় করুন.
4. কর্তৃত্বপূর্ণ পুনরুদ্ধারের প্রেক্ষাপটে প্রবেশ করা কর্তৃত্বপূর্ণ পুনরুদ্ধার.
5. এর মতো কমান্ড ব্যবহার করুন restore object <DN_objeto> o restore subtree <DN_subarbol>যেখানে DN হলো সেই অবজেক্ট বা সাবট্রি-র ডিস্টিংগুইশড নেম, যাকে প্রামাণিকভাবে পুনরুদ্ধার করা হবে।
6. লেনদেনটি নিশ্চিত করুন এবং, একবার সম্পন্ন হলে, ডিসি-কে সাধারণ মোডে রিস্টার্ট করুন। যাতে চিহ্নিত বস্তুগুলো ডোমেইনের বাকি অংশের চেয়ে অগ্রাধিকার ভিত্তিতে প্রতিলিপিত হয়।

এই ধরনের পুনরুদ্ধারের জন্য অত্যন্ত সতর্কতা প্রয়োজন। যদি সম্পূর্ণ ডোমেইনটি কর্তৃত্বপূর্ণভাবে পুনরুদ্ধার করা হয় এবং ব্যাকআপটি পুরানো হয়ব্যাকআপের পরে করা বৈধ পরিবর্তনগুলো (যেমন, ব্যবহারকারী তৈরি, পাসওয়ার্ড পরিবর্তন বা গ্রুপ পরিবর্তন) হারিয়ে যাওয়ার ঝুঁকি থাকে। তাই, শুধুমাত্র একান্ত প্রয়োজনীয় অবজেক্ট বা ট্রি-গুলোর মধ্যেই অথরিটেটিভ রিস্টোর সীমাবদ্ধ রাখা একটি প্রচলিত রীতি।

সিস্টেম ভলিউম পুনরুদ্ধার এবং আরোগ্য (FRS বনাম DFSR)

SYSVOL হলো ডোমেইন কন্ট্রোলারের একটি মূল উপাদান: এটিতে স্টার্টআপ স্ক্রিপ্ট, গ্রুপ পলিসি, সিকিউরিটি টেমপ্লেট এবং অন্যান্য অপরিহার্য শেয়ার্ড রিসোর্স সংরক্ষিত থাকে।আপনার পারমিশনের ত্রুটি, ফাইল নষ্ট হয়ে যাওয়া, বা রেপ্লিকেশনের সমস্যার কারণে GPO-গুলো ব্যবহার অনুপযোগী হয়ে যেতে পারে অথবা ক্লায়েন্টগুলোতে অস্বাভাবিক আচরণ দেখা দিতে পারে।

উইন্ডোজ সার্ভার সংস্করণ এবং মাইগ্রেশন অবস্থার উপর নির্ভর করে, SYSVOL প্রতিলিপি করা হতে পারে FRS (ফাইল প্রতিলিপি পরিষেবা) বা জন্য DFSR (ডিস্ট্রিবিউটেড ফাইল সিস্টেম রেপ্লিকেশন)SYSVOL-এর প্রামাণিক পুনরুদ্ধারের পদ্ধতি, দুটির মধ্যে কোনটি ব্যবহৃত হচ্ছে তার উপর নির্ভর করে ভিন্ন হয়।

এটি নির্ধারণ করতে, আপনি রেজিস্ট্রি-তে কী-টি পরীক্ষা করতে পারেন। HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\SysVols\Migrating Sysvols\LocalStateযদি এই সাব-কি-টি বিদ্যমান থাকে এবং এর মান ৩ (ডিলিটেড) হয়, তাহলে DFSR ব্যবহৃত হচ্ছে। যদি এটি বিদ্যমান না থাকে বা এর মান ভিন্ন হয়, তাহলে আমরা এমন একটি পরিবেশ নিয়ে কাজ করছি যা এখনও FRS ব্যবহার করে।

FRS যুক্ত পরিবেশে, SYSVOL-এর নির্ভরযোগ্য পুনরুদ্ধারের জন্য সাধারণত মানটি সমন্বয় করতে হয়। বারফ্ল্যাগস en HKLM\System\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process এই ডিসি যে প্রামাণিক উৎস, তা বোঝানোর জন্য একটি নির্দিষ্ট মানে (যেমন, 212 ডেসিমাল / 0xD4 হেক্স)।

যদি DFSR দ্বারা SYSVOL প্রতিলিপিত হয়, তবে প্রক্রিয়াটি কিছুটা বেশি বিস্তৃত: এর জন্য ব্যবহার করতে হয় ADSIEdit SYSVOL সাবস্ক্রিপশন অবজেক্ট (অ্যাট্রিবিউট) পরিবর্তন করতে msDFSR-সক্ষম y msDFSR-বিকল্পকর্তৃত্বপূর্ণ ডিসি-তে এবং অন্যগুলোতে, এডি রেপ্লিকেশন জোরপূর্বক প্রয়োগ করুন, সম্পাদন করুন dfsrdiag pollad এবং ইভেন্ট লগে এর উপস্থিতি নিশ্চিত করুন ইভেন্ট ৪১১৪, ৪৬০২, ৪৬১৪ এবং ৪৬০৪ যা প্রত্যয়ন করে যে SYSVOL সঠিকভাবে প্রারম্ভিকীকরণ এবং প্রতিলিপিকরণ করা হয়েছে।

VHD থেকে ভার্চুয়াল ডোমেইন কন্ট্রোলার পুনরুদ্ধার করা

ভার্চুয়ালাইজড পরিবেশে থাকাটা খুবই সাধারণ ডোমেইন কন্ট্রোলারগুলির VHD/VHDX ফাইলযদি আপনার কাছে সিস্টেম স্টেট ব্যাকআপ না থাকে কিন্তু একটি সচল “পুরানো” VHD থাকে, তবে আপনি সেই ডিস্ক থেকে একটি নতুন DC মাউন্ট করতে পারেন, যদিও USN রোলব্যাক এড়াতে আপনাকে অবশ্যই খুব সাবধানে তা করতে হবে।

সুপারিশটি হ'ল ওই ভিএমটি সরাসরি নরমাল মোডে চালু করবেন না।পরিবর্তে, আপনার আগের VHD থেকে বুট করা উচিত ডিএসআরএমরেজিস্ট্রি এডিটর খুলুন এবং এখানে যান HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parametersসেখানে, মানটি যাচাই করে নেওয়া বাঞ্ছনীয়। পূর্ববর্তী ডিএসএ পুনরুদ্ধারের সংখ্যা (যদি এটি বিদ্যমান থাকে) এবং সর্বোপরি, একটি নতুন DWORD (32-বিট) মান তৈরি করুন যার নাম ব্যাকআপ থেকে ডাটাবেস পুনরুদ্ধার করা হয়েছে মান ৫ সহ।

এই মানটি নির্বাচন করার মাধ্যমে, অ্যাক্টিভ ডিরেক্টরিকে জানানো হয় যে ডাটাবেসটি একটি ব্যাকআপ থেকে পুনরুদ্ধার করা হয়েছে, যা বাধ্য করে সাধারণ মোডে বুট করার সময় একটি নতুন ইনভোকেশনআইডি তৈরি করা হচ্ছেএইভাবে, অন্যান্য ডিসিগুলো এটিকে একটি নতুন ইনস্ট্যান্স হিসেবে শনাক্ত করে এবং তাদের রেপ্লিকেশন ওয়াটারমার্ক সঠিকভাবে সমন্বয় করে, যা ইউএসএন রোলব্যাক প্রতিরোধ করে।

সাধারণ মোডে ডিসি (DC) রিস্টার্ট করার পর, ইভেন্ট ভিউয়ার (Event Viewer) পরীক্ষা করে দেখা বাঞ্ছনীয়, বিশেষ করে লগটি। ডিরেক্টরি পরিষেবা, খুঁজছে ঘটনা 1109এই ইভেন্টটি নিশ্চিত করে যে সার্ভারের InvocationID অ্যাট্রিবিউট পরিবর্তিত হয়েছে এবং ব্যাকআপের সময়কার পুরোনো ও নতুন মানের পাশাপাশি সর্বোচ্চ USN প্রদর্শন করে। এছাড়াও, এর মান পূর্ববর্তী ডিএসএ পুনরুদ্ধারের সংখ্যা এটা এক বাড়ানো উচিত ছিল।

যদি এই ইভেন্টগুলি দেখা না যায়, অথবা সংখ্যা না বাড়ে, তাহলে আপনার অপারেটিং সিস্টেমের সংস্করণ এবং সার্ভিস প্যাকগুলি পরীক্ষা করা উচিত, কারণ নির্দিষ্ট পুনরুদ্ধার আচরণ নির্দিষ্ট প্যাচের উপর নির্ভর করে।যাই হোক, মূল VHD-র একটি অনুলিপিতে কাজ করা সর্বদা বাঞ্ছনীয়, যাতে প্রক্রিয়াটি পুনরায় করার প্রয়োজন হলে একটি অক্ষত সংস্করণ সংরক্ষণ করা যায়।

বাস্তব পরিস্থিতি এবং অতিরিক্ত সুপারিশ

বাস্তবে, দুর্নীতি বা অনুপযুক্ত পুনরুদ্ধারের সমস্যা প্রায়শই দৈনন্দিন পরিস্থিতিতে দেখা যায়: SYSVOL-এ অনুমতির ম্যানুয়াল পরিবর্তন, ADMX/ADML টেমপ্লেট আপডেট করার প্রচেষ্টা, GPO পরিবর্তন যা প্রতিলিপি হয় নাইত্যাদি। শেয়ার করা ফোল্ডারগুলো ম্যানুয়ালি পরিবর্তন করলে অসঙ্গতি তৈরি হওয়া তুলনামূলকভাবে সহজ, যেমন SYSVOL\Policies প্রতিলিপিকে সম্মান না করে।

যদি কোনো প্রাইমারি ডিসি-তে রেপ্লিকেশন (AD ডেটা এবং SYSVOL উভয় ক্ষেত্রেই) ত্রুটিপূর্ণ থাকে এবং “একটি অসমর্থিত পদ্ধতি ব্যবহার করে ডাটাবেসটি পুনরুদ্ধার করা হয়েছিল। সম্ভাব্য কারণ: USN রোলব্যাকবিচক্ষণ কাজটি হলো:

• পরিক্ষা কর dcdiag y repadmin ত্রুটিগুলোর মাত্রা এবং কোনো “স্থায়ী বস্তু” আছে কিনা।
• ইভেন্ট ২০৯৫ এবং মানটি যাচাই করুন ডিএসএ লেখার অযোগ্য রেজিস্ট্রিতে।
• এটি সম্ভব কিনা মূল্যায়ন করুন ওই ডিসিটি সরিয়ে ফেলুন এবং এটি পুনর্নির্মাণ করুন। (যদি আরও তিনজন বা তার বেশি সুস্থ ডিসি থাকে, তবে সাধারণত এটিই সর্বোত্তম বিকল্প)।
• যদি সে একমাত্র ডিসি বা সমালোচক হয়, তাহলে একটি উত্থাপন করুন। সিস্টেমের অবস্থা পুনরুদ্ধার একটি সামঞ্জস্যপূর্ণ ব্যাকআপ থেকে, যা আদর্শগতভাবে সাম্প্রতিক এবং টুম্বস্টোন মেয়াদের মধ্যেকার হতে হবে।

একাধিক কন্ট্রোলারযুক্ত ডোমেইনগুলিতে, ডিসি-গুলিকে যতটা সম্ভব "পিওর" বা বিশুদ্ধ রাখার জন্য দৃঢ়ভাবে সুপারিশ করা হয়: অতিরিক্ত ভূমিকা বা স্থানীয় ব্যবহারকারীর ডেটা ছাড়াএইভাবে, যদি কোনো একটি ব্যর্থ হয় বা ক্ষতিগ্রস্ত হয়, তবে অন্য কোনো ডিসি-র উপর ভিত্তি করে অথবা আইএফএম-এর মাধ্যমে একটি নতুন ডিসি ফরম্যাট ও প্রমোট করা যেতে পারে, যা পুনরুদ্ধারের জটিলতা ব্যাপকভাবে হ্রাস করে।

তদুপরি, এই ধরনের সীমাবদ্ধতাগুলো মনে রাখাও সুলভ। সিস্টেম স্টেট কপিগুলো শুধুমাত্র টুম্বস্টোন পিরিয়ড চলাকালীন বৈধ থাকে। মুছে ফেলা অবজেক্টগুলো পুনরুদ্ধার হওয়া এড়ানোর জন্য (কনফিগারেশন অনুযায়ী ৬০, ৯০, ১৮০ দিন), এবং এনটিএলএম মেশিন কীগুলো প্রতি ৭ দিন পর পর পরিবর্তিত হয়। খুব পুরোনো রিস্টোরের ক্ষেত্রে, এটি প্রয়োজনীয় হতে পারে টিম অ্যাকাউন্ট রিসেট করুন “অ্যাক্টিভ ডিরেক্টরি ইউজার্স অ্যান্ড কম্পিউটার্স” থেকে আসা সমস্যা, এমনকি সেগুলোকে ডোমেইন থেকে সরিয়ে দিয়ে আবার যুক্ত করা।

সিস্টেমের অবস্থা নিয়মিত ব্যাকআপ করার জন্য পদ্ধতি থাকা, FSMO রোল, গ্লোবাল ক্যাটালগ এবং রেপ্লিকেশন টপোলজি স্পষ্টভাবে নথিভুক্ত করুন।এবং ল্যাব পরিবেশে পুনরুদ্ধারের ধাপগুলো পরীক্ষা করা হলো এমন এক সময়সাপেক্ষ বিনিয়োগ, যা অনেক ঝামেলা থেকে বাঁচায়, বিশেষ করে যখন কোনো ডোমেইন কন্ট্রোলার ক্ষতিগ্রস্ত হয় বা কেউ অবিবেচনা করে একটি স্ন্যাপশট প্রয়োগ করে ফেলে।