Dlaczego nie należy przywracać kontrolera domeny, którego kopię zapasową utworzono 6 miesięcy temu?

Podczas nauki usług domenowych w usłudze Active Directory natrafiłem na to pytanie na jednym z blogów, ale nie byłem w stanie znaleźć szczegółowej odpowiedzi. Więc proszę, czy ktoś może mi wyjaśnić tę koncepcję.

active-directory domain-controller azure-active-directory użytkownik416535
źródło

Ponieważ powinieneś mieć nowsze kopie zapasowe?

Craig Watson

Chyba że ... wszystkie nowsze kopie zapasowe znajdowały się w tym samym obszarze składowania nuklearnego, co czyni tę wyjątkową kopię zapasową poza siedzibą jedyną użyteczną kopią zapasową ostatniego kontrolera domeny. W przypadkach siły wyższej nikt nie będzie cię winił za to, że nie masz kopii zapasowej nieoczekiwanego. Aby cokolwiek mniej, powinieneś mieć regularne i automatyczne kopie zapasowe.

Esa Jokinen

regularne, zautomatyzowane, monitorowane i testowane . Naprawdę nie chcesz zdawać sobie sprawy, że tworzenie kopii zapasowej kończy się niepowodzeniem przez 3 miesiące lub nie można jej przywrócić w momencie, gdy jest to absolutnie potrzebne.

JFL

Wiele lat temu przywróciłem stary serwer NT4 AD do jakiegoś zestawu zapasowego, zrzuciłem potrzebne części AD, a następnie masowałem je w edytorze tekstu. Mogłem zaimportować te masowane dane do serwera na żywo, ale nie było to potrzebne. Pamięć staje się wełniana po ~ 17 latach, nie mogę przepraszać za nazwę oprogramowania.

Criggie

Odpowiedzi:

Istnieje coś takiego jak tombstone lifetimeActive Directory. Po usunięciu obiektu w usłudze Active Directory nie jest on natychmiast usuwany, jest konwertowany na nagrobek, a informacje te są replikowane na inne kontrolery domeny. Po osiągnięciu żywotności nagrobka obiekt zostanie oczyszczony. Jeśli przywrócisz stan sprzed usunięcia, a tomsbtone nie zostanie zreplikowany do przywróconego kontrolera domeny przed wygaśnięciem, obiekt pozostanie obecny w przywróconym kontrolerze domeny, ale nie w pozostałych kontrolerach domeny. Teraz masz niespójne dane. Domyślny czas życia tomsbtone dla Server 2008 i później wynosi 180 dni (= 6 miesięcy).

duenni
źródło

Można go przywrócić, jeśli jest to jedyny kontroler domeny w domenie. Jeśli nie jest to jedyny kontroler domeny, przywracanie nie ma znaczenia, ponieważ inne kontrolery domeny nie będą replikować z przywróconym kontrolerem domeny starszym niż TSL. Nie ma też żadnych praktycznych przypadków przywracania kontrolera domeny, jeśli dostępne są inne kontrolery domeny, chyba że cała domena / las jest wędzony. W takim przypadku nie zachowaliby żadnego z istniejących kontrolerów domeny, ale przywracali dawną kopię zapasową do jednego kontrolera domeny i promowali wszystkie nowe kontrolery domeny.

Greg Askew

Tak, przywrócenie takiej starej kopii zapasowej sprawi ci więcej problemów, ponieważ wygasły również hasła bezpiecznego kanału, więc żaden klient nie będzie rozmawiać z tym kontrolerem domeny i będziesz musiał ponownie dołączyć wszystkich klientów do AD. W sumie to nie jest dobry pomysł.

duenni

Nie sądzę, żeby ktokolwiek powiedział, że to dobry pomysł. Jeśli jedyna dostępna kopia zapasowa jest starsza niż TSL, można ją przywrócić.

Greg Askew

Ok, usunę ostatnie zdanie z mojej odpowiedzi, ponieważ może to być mylące.

duenni

Nie tylko usunięte obiekty.

Załóżmy przez chwilę, że niektóre serwery zostały skonfigurowane IIS, serwer certyfikatów (PKI), zasady zostały zastosowane w jednostce organizacyjnej, delegacja została przekazana niektórym użytkownikom, uwierzytelnienie zostało wykonane dla niektórych użytkowników AD, takich jak dostęp VPN, itp.

Wszystkie te zmiany zostaną zastąpione starą usługą Active Directory. To działanie jest w ogóle nie do przyjęcia.

Sairam
źródło

Niekoniecznie. Przywracanie nieautorytatywne spowoduje replikację istniejących danych z innego kontrolera domeny, ale doprowadzi do niespójności danych, jeśli upłynie okres istnienia nagrobka (poza tym, że nie pozwoli on przywrócić kopii zapasowej starszej niż żywotność nagrobka ).

duenni