كيفية استعادة Domain Controller من نسخة احتياطية باستخدام Veeam

 

🧩 الجزء الثاني: كيفية استعادة Domain Controller من نسخة احتياطية

هذه هي المقالة الثانية من سلسلة الحماية الشاملة لخدمة Active Directory (AD) باستخدام أداة Veeam.
في الجزء السابق، تحدثنا بالتفصيل عن كيفية أخذ نسخة احتياطية لخوادم Domain Controller (DC) سواء كانت فعلية أو افتراضية.

الجزء الأول : كيفية أخذ نسخة احتياطية من Domain Controller: دليل شامل للخوادم الفعلية والافتراضية – إفهم دوت أون لاين
أما اليوم، فسنتناول جانب الاستعادة (Recovery)، وكيفية التعامل مع سيناريوهات مختلفة لاسترجاع AD أو أحد خوادم DC المتضررة.

---

⚠️ تنويه مهم:

هذه المقالة ليست دليلًا شاملاً لاستعادة خدمات AD، بل تُركّز على أهم النقاط التي يجب أخذها في الاعتبار أثناء عملية الاستعادة، مع شرح كيفية تنفيذ الاستعادة باستخدام Veeam Backup & Replication.

📌 أما إذا كنت مهتمًا باسترجاع كائنات مفردة (مثل حساب مستخدم أو جهاز) تم حذفها من AD، فانتقل إلى المقال التالي الذي يغطي الاستعادة التفصيلية.

---

🧠 افهم بيئتك أولاً: مفاتيح التخطيط للاستعادة

قبل أن تبدأ عملية الاستعادة، يجب أن تكون على دراية كاملة ببيئة Active Directory لديك:

• هل تعمل في بيئة تحتوي على DC واحد فقط (Single-DC) أم عدة خوادم DC (Multi-DC Environment)؟
• هل الخادم الذي فقدته من نوع Read/Write DC (RWDC) أم Read-Only DC (RODC)؟
• هل الخسارة مقتصرة على خادم واحد، أم أن البنية التحتية بالكامل لـ AD قد تضررت أو تعرضت للفساد؟
• هل لا تزال تستخدم نظام File Replication Service (FRS)، أم أنك قمت بالترقية إلى DFS Replication (DFSR) لتكرار التغييرات بين الخوادم؟

💡 هذه الأسئلة ضرورية للتخطيط الناجح لعملية الاستعادة.

---

🔁 ملاحظة تقنية: الفرق بين FRS و DFSR

• FRS: خدمة توزيع الملفات والسياسات في أنظمة Windows Server 2000 و 2003.
• DFSR: الخدمة الأحدث والتي أصبحت الخيار الافتراضي منذ Windows Server 2008، وتُستخدم لتكرار مجلد SYSVOL.

📎 إذا كان أول Domain Controller في نطاقك قد تم إنشاؤه على مستوى وظيفي (Functional Level) لـ Windows Server 2008 أو أعلى، فأنت غالبًا تستخدم DFSR.

📝 لمعرفة ما إذا كنت تستخدم FRS أو DFSR، راجع المقالات الفنية من مايكروسوفت — فـ DFSR أكثر أمانًا وكفاءة.

---

🔄 استعادة Domain Controller في وضع غير تسلطي (Non-Authoritative Restore)

عند استعادة خادم DC، يجب أن تُقرر أولًا:
هل تحتاج إلى استعادة غير تسلطية (Non-Authoritative Restore)؟
أم أن هناك حاجة إلى استعادة تسلطية (Authoritative Restore)؟

✅ الاستعادة غير التسلطية:

هذا هو الوضع الأكثر أمانًا وشيوعًا، خصوصًا في بيئة تحتوي على أكثر من DC.
في هذا السيناريو، عند استعادة الـ DC، فإنه “يعرف” أنه كان خارج الخدمة لبعض الوقت، ويقوم بتحديث قاعدة بياناته تلقائيًا من خلال الاتصال ببقية الخوادم في نفس الموقع واستلام التغييرات التي حدثت أثناء توقفه.

☑️ Veeam Backup & Replication مصمم تلقائيًا لاستخدام هذا الوضع الافتراضي — مما يجعل الاستعادة أكثر أمانًا وأقل مخاطرة.

---

⚠️ الاستعادة التسلطية:

يتم استخدامها فقط في الحالات الخاصة جدًا، مثل حذف كائنات مهمة من AD وترغب في فرض نسخة معينة على باقي الخوادم.

في هذا النوع، يُعلن الخادم المُستعاد نفسه على أنه المصدر الوحيد الصحيح، ويقوم بتحديث باقي خوادم DC بقاعدته الخاصة — وهنا تأتي الخطورة إن لم تكن متأكدًا مما تفعله.

📌 يتطلب هذا النوع من الاستعادة خطوات إضافية داخل Veeam — وسنغطيها لاحقًا.

---

🧹 ملاحظة إضافية:

إذا كان هناك DC معطوب بشكل دائم ولا يتوقع عودته، فمن الأفضل استبعاده من النظام (Exclude it)، و:

• نقل أدواره (FSMO Roles) إلى DC آخر
• تنفيذ تنظيف بيانات التعريف (Metadata Cleanup)

---

🧰 خطوات استعادة Domain Controller باستخدام Veeam Backup & Replication

افترض الآن أنك قمت بأخذ نسخة احتياطية في المقال السابق، وتريد استعادتها. إليك الخطوات:

1. افتح Restore Wizard من واجهة Veeam
2. اختر خادم DC الذي تريد استعادته
3. حدد خيار Restore Entire VM (استعادة الجهاز الافتراضي بالكامل)
4. اختر نقطة الاستعادة (Recovery Point) المناسبة
5. حدد ما إذا كنت تريد استعادته في نفس الموقع أو في موقع جديد
6. أكمل الإجراءات

---

🔄 ماذا يحدث بعد ذلك تلقائيًا داخل Veeam؟

بفضل استخدام تقنية Application-Aware Image Processing (AAIP) أثناء النسخ، تقوم Veeam باستعادة الخادم بذكاء:

1. تسترجع ملفات الـ VM والأقراص الصلبة
2. تُقلع الخادم في وضع Directory Services Restore Mode (DSRM)
3. تطبّق الإعدادات الخاصة بـ Active Directory
4. تعيد تشغيل الخادم بشكل طبيعي

🧠 وبمجرد الإقلاع، يعرف الخادم أنه تم استعادته من نسخة احتياطية، فيقوم بإلغاء قاعدة البيانات الحالية واستقبال التحديثات من بقية خوادم DC لاستعادة كامل البيانات.

---

 

🖥️ استعادة كاملة (Bare-metal Restore) باستخدام Veeam Endpoint Backup

في هذا الجزء، سنتناول كيفية تنفيذ الاستعادة الكاملة للنظام (Bare-metal Restore) باستخدام أداة Veeam Endpoint Backup، والتي تُستخدم غالبًا مع الخوادم الفعلية (Physical Servers) مثل Domain Controller غير الافتراضي.

---

🧰 ما الذي تحتاجه؟

لكي تتمكن من تنفيذ هذا النوع من الاستعادة، ستحتاج إلى:

1. وسيط استعادة (Veeam Recovery Media) تم إنشاؤه مسبقًا — عادةً يكون على USB قابل للإقلاع.
2. إمكانية الوصول إلى ملف النسخة الاحتياطية نفسه — سواء من قرص خارجي (USB) أو مجلد مشترك على الشبكة (Network Share).

---

⚠️ تنبيه مهم:

عند استخدام Veeam Endpoint Backup، لن يتم تطبيق المنطق الذكي المخصص (Special Logic) الذي توفره أداة Veeam Backup & Replication، مثل الدخول التلقائي في وضع DSRM أو معالجة الـ SYSVOL تلقائيًا.

---

🔄 ماذا سيحدث بعد الاستعادة؟

• بعد تنفيذ الاستعادة، سيُقلع خادم Domain Controller في وضع الاستعادة (Recovery Mode).
• في هذه المرحلة، سيكون عليك اختيار أحد أمرين:
  • إما إعادة ضبط مفاتيح الريجستري يدويًا (Reconfigure Registry Keys) بما يناسب بيئة AD
  • أو إعادة تشغيل الخادم إلى الوضع الطبيعي مباشرة (Normal Mode)

🧠 هذه الخطوة تتطلب بعض الخبرة، ولفهمها أكثر يُوصى بقراءة [مقالة قاعدة المعرفة (KB Article)] الخاصة بـ Veeam التي تشرح هذا السيناريو خطوة بخطوة.

---

---

🔐 استعادة Domain Controller بوضع تسلّطي (Authoritative Restore)

⚠️ تنبيه أولي:

في أغلب الحالات، لن تحتاج إلى هذا النوع من الاستعادة.
لكن دعنا نستعرضه لتفهم متى ولماذا يُستخدم.

🧨 متى نلجأ للاستعادة التسلطية؟
يُستخدم هذا النوع من الاستعادة إذا كنت تعمل في بيئة تحتوي على أكثر من Domain Controller، وحدث تلف كبير أو اختراق في بنية Active Directory بالكامل — مثل:

• إصابة بفيروس أو برمجيات فدية (Ransomware)
• تعديل أو حذف واسع النطاق لكائنات AD

في هذه الحالة، تريد أن تُجبر باقي خوادم DC على اعتماد النسخة التي قمت باستعادتها باعتبارها المرجع الصحيح الوحيد.

---

🛠️ الخطوات الأساسية لاستعادة كائن أو وحدة تنظيمية (OU) بوضع تسلطي:

1. قم أولًا بتنفيذ استعادة كاملة للـ VM (Full VM Restore) باستخدام Veeam — سيتم تنفيذ استعادة غير تسلطية تلقائيًا (كما شرحنا في القسم السابق).
2. عندما يُعاد تشغيل الخادم للمرة الثانية، اضغط على F8 أثناء الإقلاع للدخول إلى وضع استعادة خدمات الدليل (DSRM – Directory Services Restore Mode).
3. سجل الدخول باستخدام بيانات اعتماد DSRM — وهي تلك التي أدخلتها عند ترقية الجهاز ليكون DC.
4. افتح نافذة الأوامر (Command Line) واكتب:

   ntdsutil
   

5. داخل أداة ntdsutil، استخدم الأوامر التالية بالترتيب:

   activate instance ntds
   authoritative restore
   restore object "DistinguishedName"  
   أو  
   restore subtree "DistinguishedName"
   

   ✅ مثال:

   restore subtree "OU=Branch,DC=dc,DC=lab,DC=local"
   

6. أكد تنفيذ الاستعادة، ثم أعد تشغيل الخادم بعد الانتهاء.

---

📂 استعادة تسلطية لمجلد SYSVOL (عند استخدام DFSR):

إذا كنت تستخدم خدمة DFSR (Distributed File System Replication) لمزامنة SYSVOL (وهي الحالة الشائعة في Windows Server 2008 وأحدث)، فاتبِع الخطوات التالية:

1. نفّذ استعادة غير تسلطية للـ Domain Controller (مثل استعادة VM كاملة باستخدام Veeam).
2. بعد الإقلاع الثاني، انتقل إلى المسار التالي في الريجستري:

   HKLM\System\CurrentControlSet\Services\DFSR
   

3. أنشئ مفتاحًا باسم:

   Restore
   

   ثم أنشئ داخله قيمة من نوع string باسم:

   SYSVOL
   

   واجعل قيمتها:

   authoritative
   

📌 هذه القيمة تُخبر خدمة DFSR أن الاستعادة هذه تسلطية.
بدونها، سيتم تنفيذ استعادة SYSVOL بشكل غير تسلّطي (افتراضيًا).

4. انتقل إلى هذا المسار:

   HKLM\System\CurrentControlSet\Control\BackupRestore
   

   أنشئ مفتاحًا باسم:

   SystemStateRestore
   

   ثم أضف داخله قيمة string باسم:

   LastRestoreId
   

   واكتب فيها أي قيمة من نوع GUID.
   ✅ مثال:

   10000000-0000-0000-0000-000000000000
   

5. أخيرًا، أعد تشغيل خدمة DFSR ليتم تطبيق الاستعادة.

---

 

🗃️ إجراء استعادة تسلطية لمجلد SYSVOL (في حال استخدام خدمة FRS القديمة)

📌 الخلفية:

إذا كانت بيئة Active Directory لديك لا تزال تستخدم FRS (File Replication Service) — وهي الخدمة القديمة التي كانت تُستخدم لتكرار مجلد SYSVOL في إصدارات Windows Server 2003 وما قبل — فهناك طريقة محددة لإجبار DC على بدء التكرار في وضع تسلّطي.

---

🛠️ خطوات تنفيذ الاستعادة التسلطية لـ SYSVOL باستخدام FRS:

1. قم أولًا بتنفيذ استعادة غير تسلطية (Non-Authoritative Restore) للـ Domain Controller — مثل استعادة الجهاز الافتراضي بالكامل (Entire VM Restore) عبر Veeam Backup & Replication.
2. بعد الإقلاع الثاني للخادم، انتقل إلى الريجستري في المسار التالي:

   HKLM\System\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process at Startup
   

3. ابحث عن المفتاح المسمى:

   Burflag
   

   وقم بتغيير قيمته إلى:

   • 000000D4 (بالنظام الست عشري Hex)
     أو
   • 212 (بالنظام العشري Decimal)

💡 هذه القيمة تخبر خدمة FRS أن هذا الخادم يجب أن يبدأ عملية تكرار SYSVOL بوضع تسلّطي (Authoritative SYSVOL Restore)، أي أنه يعتبر نفسه المرجع الرئيسي لباقي خوادم DC.

4. بعد تعديل القيمة، قم بـ إعادة تشغيل خدمة NTFRS:

   net stop ntfrs
   net start ntfrs
   

---

ℹ️ ملاحظة هامة:

رغم أنه من الممكن تنفيذ استعادة كاملة لـ Domain Controller باتباع هذا الإجراء، إلا أنه ليس الأسلوب الأمثل إذا كنت تحاول فقط استعادة عنصر AD تم حذفه بالخطأ (مثل مستخدم أو وحدة تنظيمية).

📌 في هذه الحالة، يُفضل استخدام استعادة الكائنات الفردية (Granular Recovery) باستخدام أدوات مثل:

• Veeam Explorer for Microsoft Active Directory
• أو أدوات مايكروسوفت مثل AD Recycle Bin أو ntdsutil

---