Warum sollten Sie einen DC, der vor 6 Monaten gesichert wurde, nicht wiederherstellen?

12

Warum sollten Sie einen DC, der vor 6 Monaten gesichert wurde, nicht wiederherstellen?

Beim Erlernen der Active Directory-Domänendienste bin ich auf diese Frage in einem der Blogs gestoßen, konnte jedoch keine detaillierte Antwort finden. Kann mir bitte jemand dieses Konzept erklären?

active-directory domain-controller azure-active-directory user416535
quelle
5
Weil Sie neuere Backups haben sollten?
Craig Watson
Es sei denn ... alle neueren Backups befanden sich im selben Bereich der nuklearen Ablagerung, sodass dieses einzelne Backup außerhalb des Standorts das einzige verwendbare Backup des letzten DC ist. In Fällen höherer Gewalt würde Sie niemand dafür verantwortlich machen, dass Sie kein Backup für das Unerwartete haben. Für alles andere sollten Sie regelmäßige und automatisierte Backups haben.
Esa Jokinen
2
regelmäßig, automatisiert, überwacht und getestet . Sie möchten wirklich nicht wissen, dass Ihr Backup 3 Monate lang nicht funktioniert oder nicht in dem Moment wiederhergestellt werden kann, in dem Sie es unbedingt benötigen.
JFL
Vor vielen Jahren habe ich einen alten NT4-AD-Server in ein Ersatzkit zurückgeschrieben, die benötigten Teile des AD gelöscht und sie dann in einem Texteditor massiert. Hätte die massierten Daten in den Live-Server importieren können, aber das wurde nicht benötigt. Der Speicher wird nach ca. 17 Jahren unübersichtlich, ich kann mir den Namen der Software nicht vorstellen.
Criggie

Antworten:

17

Es gibt eine Sache, die tombstone lifetimein Active Directory genannt wird. Wenn Sie ein Objekt in Active Directory löschen, wird es nicht sofort gelöscht, sondern in einen Tombstone konvertiert und diese Informationen werden auf die anderen Domänencontroller repliziert. Wenn die Lebensdauer des Grabsteins erreicht ist, wird das Objekt gelöscht. Wenn Sie vor dem Löschen einen Zustand wiederherstellen und der Tomsbtone vor Ablauf nicht auf den wiederhergestellten Domänencontroller repliziert wird, bleibt das Objekt in Ihrem wiederhergestellten Domänencontroller vorhanden, jedoch nicht in den anderen Domänencontrollern. Jetzt haben Sie inkonsistente Daten. Die Standard-Tomsbtone-Lebensdauer für Server 2008 und höher beträgt 180 Tage (= 6 Monate).

duenni
quelle
7
Es kann wiederhergestellt werden, wenn es der einzige Domänencontroller in der Domäne ist. Wenn dies nicht der einzige Domänencontroller ist, ist die Wiederherstellung irrelevant, da die anderen Domänencontroller nicht mit einem wiederhergestellten Domänencontroller repliziert werden, der älter als TSL ist. Es gibt auch keine praktischen Fälle, um einen Domänencontroller wiederherzustellen, wenn andere Domänencontroller verfügbar sind, es sei denn, die gesamte Domäne / Gesamtstruktur wird geraucht. In diesem Fall würden sie keinen der vorhandenen Domänencontroller behalten, sondern die alte Sicherung auf einem Domänencontroller wiederherstellen und alle neuen Domänencontroller hochstufen.
Greg Askew
Ja, das Wiederherstellen eines solchen alten Backups wird Ihnen mehr Probleme bereiten, da die Kennwörter für den sicheren Kanal ebenfalls abgelaufen sind. Daher wird kein Client mit diesem Domänencontroller sprechen und Sie müssen alle Clients wieder mit dem AD verbinden. Alles in allem ist das keine gute Idee.
Duenni
Ich denke nicht, dass jemand sagt, dass es eine gute Idee ist. Wenn das einzige verfügbare Backup älter als TSL ist, kann es wiederhergestellt werden.
Greg Askew
Ok, ich werde den letzten Satz aus meiner Antwort entfernen, weil er irreführend sein kann.
Duenni
0

Nicht nur gelöschte Objekte.

Nehmen wir für eine Weile an, dass einige Server für IIS konfiguriert wurden, Zertifikatsserver (PKI), Richtlinien für die Organisationseinheit angewendet wurden, einige Benutzer delegiert wurden, einige AD-Benutzer wie VPN-Zugriff authentifiziert wurden usw.

Alle diese Änderungen werden durch das alte Active Directory ersetzt. Diese Aktion ist überhaupt nicht akzeptabel.

Sairam
quelle
4
Nicht unbedingt. Eine nicht autorisierende Wiederherstellung repliziert die vorhandenen Daten von einem anderen Domänencontroller, führt jedoch zu inkonsistenten Daten, wenn die Tombstone-Lebensdauer abgelaufen ist (abgesehen von der Tatsache, dass Sie keine Sicherung wiederherstellen können, die älter als die Tombstone-Lebensdauer ist ).
Duenni