이 문서에서는 이전에 만든 시스템 상태 백업에서 Active Directory 도메인 컨트롤러를 복원하는 방법을 보여주고(Active Directory 백업 문서 참조) AD DC 복구의 유형과 원칙에 대해 설명합니다.
AD 도메인 컨트롤러에 오류가 발생하여 백업 복사본에서 복원하려고 한다고 가정합니다. DC 복원을 시작하기 전에 사용할 시나리오를 이해해야 합니다. 네트워크에 다른 도메인 컨트롤러가 있는지 여부와 해당 컨트롤러의 Active Directory 데이터베이스 상태에 따라 다릅니다.
복제를 사용하여 도메인 컨트롤러를 복원하는 방법
표준 AD 복제를 통한 DC 복구는 백업에서 DC를 복원하는 것이 아닙니다. 엔터프라이즈 네트워크에 여러 도메인 컨트롤러가 있고 모두 작동 가능한 경우 이 시나리오를 사용할 수 있습니다. 이 시나리오에는 동일한 사이트의 새 ADDS 도메인 컨트롤러로 추가 승격과 함께 새 서버 설치가 포함됩니다. 기존 DC는 단순히 AD에서 제거됩니다.
돌이킬 수 없는 AD 변경과 관련이 없는 가장 쉬운 방법입니다. 이 시나리오에서 ntds.dit 데이터베이스, GPO 파일 및 SYSVOL 폴더의 내용은 온라인 상태를 유지한 DC에서 새 도메인 컨트롤러로 자동 복제됩니다.
ADDS 데이터베이스가 작고 고속 네트워크 링크를 통해 다른 DC를 사용할 수 있는 경우 위에서 설명한 방법이 백업 복사본에서 DC를 복원하는 것보다 빠릅니다.
Active Directory 복원 유형:신뢰할 수 있는 및 비권한
백업에서 Active Directory DC 복원을 시도하기 전에 분명히 이해해야 하는 두 가지 유형이 있습니다.
- 정식 복원 — AD 개체를 복원한 후 복원된 DC에서 다른 모든 도메인 컨트롤러로 복제가 수행됩니다. 이 복원 유형은 단일 DC 또는 모든 DC가 동시에 실패하거나(예:랜섬웨어 또는 바이러스 공격 후) 손상된 NTDS.DIT 데이터베이스가 도메인 전체에 복제된 시나리오에서 사용됩니다. 이 모드에서는 USN 복원된 모든 AD 개체의 (업데이트 시퀀스 번호) 값이 100,000 증가합니다. 따라서 DC는 복원된 모든 개체를 최신 개체로 보고 도메인에서 복제됩니다. 신뢰할 수 있는 복원을 매우 신중하게 사용하십시오!!! Authoritative Restore에서는 백업을 생성한 후 이루어진 대부분의 AD 변경 사항(AD 그룹 구성원 자격, Exchange 속성 등)을 잃게 됩니다.
- 비공식 복원 — AD 데이터베이스를 복원한 후 컨트롤러는 백업에서 복원되었으며 최신 AD 변경 사항이 필요하다고 다른 DC에 알립니다(DC에 대해 새 DSA 호출 ID가 생성됨). 느린 WAN 채널을 통해 대규모 AD 데이터베이스를 빠르게 복제하기 어렵거나 서버에 중요한 데이터나 앱이 있는 경우 원격 사이트에서 이 복구 방법을 사용할 수 있습니다.
시스템 상태 백업에서 Active Directory 도메인 컨트롤러 복원
도메인에 하나의 DC만 있다고 가정합니다. 어떤 이유로 실행 중인 물리적 서버에 오류가 발생했습니다.
비교적 최근에 도메인 컨트롤러의 시스템 상태를 가지고 있고 Authoritative Restore를 사용하여 새로운 서버에서 Active Directory를 복원하려고 합니다.
DC 복원을 시작하려면 실패한 DC에 동일한 Windows Server 버전을 설치해야 합니다. ADDS 설치 역할(구성하지 않음) 및 Windows Server 백업 방금 설치한 Windows Server의 기능입니다.
Active Directory를 복원하려면 DSRM에서 서버를 부팅해야 합니다. (디렉토리 서비스 복원 모드). 이를 수행하려면 msconfig를 실행합니다. 안전 부팅 -> Active Directory 복구 옵션을 선택합니다. 부팅 탭.
서버를 다시 시작합니다. DSRM에서 부팅됩니다. Windows 서버 백업(wbadmin ) 복구를 선택합니다. 오른쪽 메뉴에서.
복구 마법사에서 '다른 위치에 백업 저장 .'
그런 다음 이전 AD 도메인 컨트롤러의 백업이 저장된 디스크를 선택하거나 지정합니다. UNC 경로입니다.
wbadmin get versions -backupTarget:D:
복구에 사용할 백업 날짜를 선택하십시오.
확인시스템 상태 복원합니다.
원래 위치 선택 Active Directory 파일의 정식 복원 수행을 확인합니다. .
다른 서버 백업이며 다른 서버에서 복구된 경우 시스템에 경고가 표시됩니다. 작동하지 않을 수 있습니다. 확인을 클릭하십시오.
다른 경고에도 동의:
Windows Server Backup Note: This recovery option will cause replicated content on the local server to re-synchronize after recovery. This may cause potential latency or outage issues.
그런 다음 새 서버에서 AD 도메인 컨트롤러 복구 프로세스가 시작됩니다. 완료되면 서버를 재부팅해야 합니다(새 서버의 이름은 백업에서 DC 호스트 이름으로 변경됨).
일반 모드에서 서버를 부팅합니다(msconfig를 사용하여 DSRM 비활성화).
도메인 관리자 권한이 있는 계정을 사용하여 서버에 로그인합니다.
Active Directory 사용자 및 컴퓨터(ADUC) 콘솔을 처음 실행했을 때 다음 오류가 발생했습니다.
Active Directory Domain Services Naming information cannot be located for the following reason: The server is not operational.
복원된 도메인 컨트롤러에 SYSVOL 및 NETLOGON 폴더가 없었습니다. 이 오류를 수정하려면:
- regedit.exe를 실행합니다.
- 레지스트리 키 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters로 이동합니다.;
- SysvolReady 변경 0에서 1 사이의 값;
- 그런 다음 NetLogon을 다시 시작합니다. 서비스:
net stop netlogon & net start netlogon
ADUC를 다시 열어보십시오. 도메인 구조가 표시됩니다.
그래서 권한 복원에서 AD 도메인 컨트롤러를 성공적으로 복구했습니다.> 방법. 그러면 Active Directory의 모든 개체가 자동으로 다른 도메인 컨트롤러에 복제됩니다.
DC만 남은 경우 DC가 5개의 FSMO 역할을 모두 소유하고 있는지 확인하고 필요한 경우 점유하십시오.
백업에서 개별 AD 개체를 복원하는 방법
특정 AD 개체를 복원하려면 Active Directory 휴지통을 사용하세요. . 삭제 표시 수명이 이미 만료되었거나 Active Directory 휴지통이 활성화되지 않은 경우 정식 복원 모드를 사용하여 별도의 AD 개체를 복구할 수 있습니다.
요약하면 절차는 다음과 같습니다.
- DSRM 모드에서 DC 부팅
- 사용 가능한 백업 목록 표시:
wbadmin get versions - 선택한 백업의 복구 시작:
wbadmin start systemstaterecovery –version:[your_version] - DC 복원 확인(비권한 모드에서)
- 재시작 후
ntdsutil실행 activate instance ntdsauthoritative restore
복원할 개체에 대한 전체 LDAPl 경로를 지정합니다. 전체 OU를 복원할 수 있습니다.
restore subtree ″OU=Users,DC=woshub,DC=com″
또는 단일 AD 개체:
restore object “cn=Test,OU=Users,DC=woshub,DC=com”
이 명령은 다른 도메인 컨트롤러에서 지정된 개체(경로)의 복제를 거부하고 개체 USN을 100,000만큼 늘립니다.
ntdsutil 종료:quit
DC를 일반 모드로 부팅하고 개체가 복원되었는지 확인합니다.