为什么不恢复六个月前备份的DC?

12

为什么不恢复六个月前备份的DC?

当我学习Active Directory域服务时,我在一个博客中遇到了这个问题,但是我找不到详细的答案。因此,请任何人向我解释这个概念。

active-directory  domain-controller  azure-active-directory 
用户名
source
5
因为您应该有更多的最新备份?
克雷格·沃森
除非……所有最近的备份都位于同一核沉积区域,否则,使这种单一的异地备份成为最后一个DC的唯一可用备份。在不可抗力的情况下,没有人会怪你没有为意外提供支持。对于更少的东西,您应该具有常规和自动备份。
艾萨·乔金宁
2
定期,自动化,监控 测试。您真的不想意识到您的备份失败了3个月,或者在您绝对需要时无法恢复。
JFL
许多年前,我将一台古老的NT4 AD服务器恢复为一些备用套件,丢弃了所需的AD部件,然后在文本编辑器中对其进行了按摩。可以将经过整理的数据导入实时服务器,但这不是必需的。大约17年后,内存变得越来越笨拙,想不到该软件的名称对不起。
Criggie

Answers:

17

tombstone lifetimeActive Directory中有一个叫做“东西”的东西。当您在Active Directory中删除对象时,该对象不会立即消失,而是将其转换为逻辑删除,并将此信息复制到其他DC。达到逻辑删除寿命后,将清除对象。如果您在删除之前的状态之前进行还原,并且tomsbtone在过期之前没有复制到还原的DC,则该对象将保留在还原的DC中,但在其他DC中不存在。现在您的数据不一致。Server 2008及更高版本的默认tomsbtone生存期为180天(= 6个月)。

Duenni
source
7
如果它是域中唯一的域控制器,则可以将其还原。如果不是唯一的DC,则还原是无关紧要的,因为其他域控制器将不会使用早于TSL的还原的DC复制。如果还有其他可用的DC,也没有任何实际的情况可以恢复DC,除非整个域/林都被抽走了。在那种情况下,他们不会保留任何现有的DC,而是会将旧备份还原到一个DC,并升级所有新的DC。
Greg Askew
是的,还原这样的旧备份将给您带来更多麻烦,因为安全通道密码也已过期,因此,没有客户端会与此DC通信,您将不得不重新将所有客户端重新加入AD。总而言之,这不是一个好主意。
Duenni
我认为没有人说这是个好主意。如果唯一可用的备份早于TSL,则可以将其还原。
Greg Askew
好的,我将从答案中删除最后一句话,因为这可能会引起误解。
Duenni '17
0

不仅删除了对象。

让我们假设一会儿,一些服务器已经配置了IIS,证书服务器(PKI),策略已经应用到OU,委派了一些用户,身份验证已经在某些AD用户上完成,例如VPN访问等。

所有这些更改将替换为旧的Active Directory。此操作根本不可接受。

赛拉姆
source
4
不必要。非授权还原将复制另一个DC的现有数据,但是如果逻辑删除的生存期已过期,则会导致数据不一致(此外,事实是它不允许您还原比逻辑删除的生存期更早的备份) )。
Duenni '17
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.