Windows Server 2025 Active Directory’nin backup’ı 2 ayrı backup yazılımı kullanılarak, 2 ayrı Domain Controller’dan alınması önerilmektedir. Bu backup’ında BMR (Bare Metal Recovery) olması önerilmektedir. Bu makalede Windows Server Backup üzerilen alınan BMR backup-restore işlemi anlatılacaktır.
Bare Metal Recovery (BMR), problem yaşanan sunucu için veri kurtarma ve hızlı yeniden restore sağlayan bir yedekleme ve geri dönüş tekniğidir. BMR‘nin en önemli karakteristik özelliği Restore yapılacak hedef sunucu üzerinde herhangi bir yazılım veya işletim sistemi ön gereksinimine ihtiyaç duymamasıdır. Windows Server tabanlı sunucunuz için zamanında almış olduğunuz BMR yedeğini, o an hızlıca temin edebildiğiniz ve farklı donanım özelliklerine sahip bir fiziksel sunucu üzerine dönebilirsiniz.
Active Directory Forest Recovery aşağıdaki durumlarda yapılmalıdır.
Tüm Domain Controller’ların Kaybedilmesi
Donanım arızaları
Felaket (yangın, sel, deprem)
Sanal platform çökmesi
Depolama altyapısının tamamen bozulması
Ransomware / Security Insident AD’nin Compromise Olması
AD Database (NTDS.dit) Forest Genelinde Bozulmuşsa
Bir DC’de oluşup
Replikasyonla tüm DC’lere yayılmışsa
Admin Hataları
Policy
Script vs.
Active Directory Disaster Recovery süreci domain de aktif olarak çalışan DC kalmadığı zaman uygulanmalıdır. Tüm çalışmalar izole bir network’de yapılmalıdır.
Restore yapılacak sunucu hazırlandıktan sonra Windows Server ISO ile reboot edilmelidir.
Time and Currency format seçilir (Ornek Turkish)
Next ile devam edilir.
Select keyboard settings seçilir (örnek Turkish Q)
Next ile devam edilir.
Select setup option – repair my PC seçilir
Next ile devam edilir.
Choose an option – Troubleshoot seçilir
System Image Recovery seçilir
Windows Server seçilir
Select a system image backup – location bölümünde backup bilgisi var ise
Next ile devam edilir.
Yoksa select a system image dan backup lokasyonu belirlenir.
Next ile devam edilir.
Next ile devam edilir.
Finish ile restore başlatılır.
Yes seçilir
Restore işlemi tamamlandıktan sonra restart now seçilir.
RID-500 accountu olan Administrator ile logon olunur. ( Rid-500 rename edilmiş ise rename edilmiş olan user name’I ile logon olunur).
Not: Eğer Administrator accountunun passwordu bilinmiyorsa passwordu bilinen Domain admin accountu ile logon olunur. Ardından Administrator accountun passwordu resetlenir ve ardından Administrator accountu ile oturum açılır ve diğer aşamalara geçilir.
Servislerden Active Directory Domain Services ve bağımlı olan servislerin çalıştığı kontrol edilir.
Automatic ve Running olmalıdır.
IP yapılandırılması kontrol edilir.
Net share komutu ile sysvol ve netlogon’un shared durumda olduğu kontrol edilir.
Active Directory Users and Computers açılır
View menüsünden;
- Users,contacts, groups and computers as containers
- Advanced Features seçilir.
Sysvol Subscription – properties seçilir.
msDFSR-Enabled True — False yapılır.
msDFSR – Options 1 yapılır.
OK – OK seçilir
msDFSR-Enabled False — True yapılır.
DFSR servisi restart edilir
Net stop dfsr – net sart dfsr
DFSRDIAG Pollad çalıştırmak için ilgili feature aşağıdaki gibi yüklenir.
Dfsrdiag pollad komutu çalıştırılır.
Hostname ve netdom query fsmo ile fsmo rollerin ownerı kontrol edilir. Restore yapılan makina owner değilse roller seize edilir.
Metadata cleanup ile domain controllers OU’sundan, AD Site and Services’dan ve DNS’den ortamda mevcut olmayan tüm DC’ler kaldırılır.
Rid pool manager’dan ridavailablepool değeri 100.000 artırılır.
Dcdiag /test:ridmanager /v komutu ile available pool değeri kontrol edilir.
Yeni bir object oluşturulur ve sid değeri kontrol edilir. Yeni pool’dan sid aldığından emin olunur.
Regedit Time Server konfigürasyonu için açılır.
Type NTP ve NtpServer bilgileri girilir.
Timse server servisi restart edilir
W32tm /resync komutu ile time server’a erişim kontrol edilir. Eğer sorun var ise UDP port 123 açık olmalıdır.
NOT: Backup’larınızın düzenli alındığınından emin olunuz ve düzenli olarak restore testi yapmanızı öneriririz.
Active Directory - Cyber Security 