Почему вы не должны восстанавливать DC, который был зарезервирован 6 месяцев назад?

12

Почему вы не должны восстанавливать DC, который был зарезервирован 6 месяцев назад?

Когда я изучал доменные службы Active Directory, я столкнулся с этим вопросом в одном из блогов, но не смог найти подробного ответа. Поэтому, пожалуйста, кто-нибудь может объяснить мне эту концепцию.

active-directory domain-controller azure-active-directory user416535
источник
5
Потому что у вас должны быть более свежие резервные копии?
Крейг Уотсон,
Если только ... все последние резервные копии не были в той же области ядерного осаждения, что делает эту единственную резервную копию за пределами площадки единственной полезной резервной копией последнего DC. В форс-мажорных случаях никто не будет обвинять вас в том, что у вас нет резервной копии для неожиданного. Для чего-то меньшего вы должны иметь регулярные и автоматические резервные копии.
Эса Йокинен
2
регулярный, автоматизированный, контролируемый и проверенный . Вы действительно не хотите понимать, что ваша резервная копия не работает в течение 3 месяцев или не может быть восстановлена ​​в тот самый момент, когда она вам абсолютно необходима.
JFL
Много лет назад я восстановил старый NT-сервер AD в какой-то запасной комплект, сбросил необходимые части AD и затем массировал их в текстовом редакторе. Можно было импортировать эти массированные данные на живой сервер, но это было не нужно. Через 17 лет память становится неясной, не могу вспомнить название программы.
Criggie

Ответы:

17

В tombstone lifetimeActive Directory есть такая вещь . Когда вы удаляете объект в Active Directory, он сразу не исчезает, он преобразуется в надгробную плиту, и эта информация реплицируется на другие контроллеры домена. Когда время жизни захоронения достигнуто, объект будет очищен. Если вы восстановите состояние до удаления до удаления, а томбтон не будет реплицирован на восстановленный DC до истечения срока его действия, объект останется в восстановленном DC, но не в других DC. Теперь у вас есть противоречивые данные. Время жизни tomsbtone по умолчанию для Server 2008 и выше составляет 180 дней (= 6 месяцев).

duenni
источник
7
Его можно восстановить, если это единственный контроллер домена в домене. Если это не единственный DC, восстановление не имеет значения, потому что другие контроллеры домена не будут реплицироваться с восстановленным DC, который старше TSL. Также нет практических случаев для восстановления контроллера домена, если доступны другие контроллеры домена, если не курить весь домен / лес. В этом случае они не сохранят ни одного из существующих контроллеров домена, но восстановят старую резервную копию до одного контроллера домена и будут продвигать все новые контроллеры домена.
Грег Аскью
Да, восстановление такой старой резервной копии доставит вам больше хлопот, так как срок действия паролей безопасного канала тоже истек, поэтому ни один клиент не будет общаться с этим DC, и вам придется присоединять всех клиентов к AD. В общем, это не очень хорошая идея.
Дуэнни
Я не думаю, что кто-то говорит, что это хорошая идея. Если единственная доступная резервная копия старше TSL, ее можно восстановить.
Грег Аскью
Хорошо, я удалю последнее предложение из своего ответа, потому что оно может вводить в заблуждение.
Дуэнни
0

Не только удаленные объекты.

Предположим на некоторое время, что на некоторых серверах настроены IIS, сервер сертификатов (PKI), политики были применены к OU, делегирование было предоставлено некоторым пользователям, проверка подлинности была выполнена для некоторых пользователей AD, таких как доступ VPN и т. Д.

Все эти изменения будут заменены старым Active Directory. Это действие вообще не приемлемо.

Сайрам
источник
4
Не обязательно. Неавторизованное восстановление будет реплицировать существующие данные с другого контроллера домена, но это приведет к противоречивым данным, если истек срок действия надгробной плиты (кроме того факта, что в первую очередь она не позволит восстановить резервную копию, которая старше, чем время жизни надгробной плиты). ).
Дуэнни