6 개월 전에 백업 한 DC를 복원하지 않아야하는 이유는 무엇입니까?

Active Directory 도메인 서비스를 배우면서 블로그 중 하나에서이 질문을 발견했지만 자세한 답변을 찾을 수 없었습니다. 누구든지이 개념을 저에게 설명 할 수 있습니다.

active-directory domain-controller azure-active-directory

— 사용자 416535
소스

최신 백업이 더 필요하기 때문에?

— Craig Watson

가장 최근의 모든 백업이 동일한 핵 증착 영역에 있었기 때문에이 단일 오프 사이트 백업은 마지막 DC의 유일한 사용 가능한 백업이되었습니다. 에 불가항력의 경우는 아무도 예상치 못한 대한 백업을 가지고 있지 당신을 비난하지 않을 것이다. 적은 비용으로도 정기적 인 자동 백업이 필요합니다.

— Esa Jokinen

정기적, 자동화, 모니터링 및 테스트 . 백업이 3 개월 동안 실패하거나 절대적으로 필요한 순간에 복원 할 수 없다는 것을 알고 싶지 않습니다.

— JFL

몇 년 전, 고대 NT4 AD 서버를 예비 키트로 복원하고 필요한 AD 부분을 덤프 한 다음 텍스트 편집기로 마사지했습니다. 마사지 된 데이터를 라이브 서버로 가져올 수 있었지만 필요하지 않았습니다. ~ 17 년이 지난 후 메모리가 엉망이되어 소프트웨어 이름을 알 수 없습니다.

— Criggie

답변:

tombstone lifetimeActive Directory에 있는 것이 있습니다 . Active Directory에서 개체를 삭제하면 즉시 사라지지 않고 삭제 표시로 변환되고이 정보는 다른 DC로 복제됩니다. 삭제 표시 수명에 도달하면 개체가 제거됩니다. 삭제하기 전 상태 이전에 복원하고 tomsbtone이 만료되기 전에 복원 된 DC에 복제되지 않으면 오브젝트는 복원 된 DC에 존재하지만 다른 DC에는 존재하지 않습니다. 이제 데이터가 일치하지 않습니다. Server 2008 이상의 기본 tomsbtone 수명은 180 일 (= 6 개월)입니다.

— 듀엔
소스

도메인에서 유일한 도메인 컨트롤러 인 경우 복원 할 수 있습니다. 유일한 DC가 아닌 경우 다른 도메인 컨트롤러가 TSL보다 오래된 복원 된 DC로 복제하지 않기 때문에 복원은 관련이 없습니다. 전체 도메인 / 포리스트가 훈제되지 않는 한 다른 DC를 사용할 수있는 경우 DC를 복원하는 실제 사례도 없습니다. 이 경우 기존 DC를 유지하지 않고 기존 백업을 하나의 DC로 복원하고 모든 새 DC를 승격시킵니다.

— Greg Askew

예, 이전 백업을 복원하면 보안 채널 암호도 만료되어 더 많은 문제가 발생하므로 클라이언트는이 DC와 통신하지 않으므로 모든 클라이언트를 AD에 다시 가입시켜야합니다. 이 모든 것이 좋은 생각은 아닙니다.

— duenni

나는 그것이 좋은 생각이라고 말하는 사람이 없다고 생각합니다. 사용 가능한 유일한 백업이 TSL보다 오래된 경우 복원 할 수 있습니다.

— Greg Askew

좋아, 오해의 소지가 있으므로 답변에서 마지막 문장을 제거합니다.

— duenni

삭제 된 개체뿐만 아니라

잠시 동안 일부 서버는 IIS, 인증서 서버 (PKI), 정책은 OU에 적용, 위임은 일부 사용자, VPN 액세스와 같은 일부 AD 사용자는 인증을 받았다고 가정합니다.

이러한 모든 변경 사항은 이전 Active Directory로 대체됩니다. 이 조치는 허용되지 않습니다.

— 사이 람
소스

반드시 그런 것은 아닙니다. 비 정식 복원은 다른 DC에서 기존 데이터를 복제하지만 삭제 표시 수명이 만료 된 경우 데이터가 일관되지 않습니다 (먼저 삭제 표시 수명보다 오래된 백업을 복원 할 수 없다는 사실 외에도) ).

— duenni