Por que você não deve restaurar um controlador de domínio com backup feito seis meses atrás?

12

Por que você não deve restaurar um controlador de domínio com backup feito seis meses atrás?

Enquanto estou aprendendo os Serviços de Domínio Active Directory, me deparei com essa pergunta em um dos blogs, mas não consegui encontrar uma resposta detalhada. Então, por favor, alguém pode me explicar esse conceito.

active-directory domain-controller azure-active-directory user416535
fonte
5
Porque você deve ter backups mais recentes?
Craig Watson
A menos que ... todos os backups mais recentes estivessem na mesma área de deposição nuclear, tornando esse backup externo único o único backup utilizável do último controlador de domínio. Em casos de força maior , ninguém o culparia por não ter um backup para o inesperado. Por menos, você deve ter backups regulares e automatizados.
Esa Jokinen
2
regular, automatizado, monitorado e testado . Você realmente não quer perceber que seu backup está falhando por três meses ou não pode ser restaurado no momento em que você absolutamente precisa.
JFL
Muitos anos atrás, restaurei um antigo servidor NT4 AD para algum kit sobressalente, joguei as partes necessárias no AD e as massageei em um editor de texto. Poderia ter importado esses dados massageados para o servidor ativo, mas isso não era necessário. A memória está ficando confusa após ~ 17 anos, não consigo pensar no nome do software.
Criggie

Respostas:

17

Existe uma coisa chamada tombstone lifetimeno Active Directory. Quando você exclui um objeto no Active Directory, ele não desaparece imediatamente, é convertido em uma marca de exclusão e essas informações são replicadas para os outros controladores de domínio. Quando a vida útil da lápide for atingida, o objeto será removido. Se você restaurar antes de um estado anterior à exclusão e o tomsbtone não for replicado no controlador de domínio restaurado antes de expirar, o objeto permanecerá presente no controlador de domínio restaurado, mas não nos outros controladores de domínio. Agora você tem dados inconsistentes. A duração padrão do tomsbtone para o Server 2008 e posterior é de 180 dias (= 6 meses).

Duenni
fonte
7
Ele pode ser restaurado se for o único controlador de domínio no domínio. Se esse não for o único controlador de domínio, a restauração é irrelevante porque os outros controladores de domínio não serão replicados com um controlador de domínio restaurado mais antigo que o TSL. Também não há casos práticos para restaurar um controlador de domínio, se outros estiverem disponíveis, a menos que todo o domínio / floresta seja fumado. Nesse caso, eles não manteriam nenhum dos controladores de domínio existentes, mas restaurariam o backup antigo em um controlador de domínio e promoveriam todos os novos controladores de domínio.
precisa
Sim, a restauração de um backup tão antigo causará mais problemas porque as senhas do canal seguro também expiraram; portanto, nenhum cliente conversará com esse controlador de domínio e você precisará se unir novamente a todos os clientes no AD. Tudo isso não é uma boa ideia.
Duenni 22/05
Não acho que alguém esteja dizendo que é uma boa ideia. Se o único backup disponível for mais antigo que o TSL, ele poderá ser restaurado.
precisa
Ok, vou remover a última frase da minha resposta, pois pode ser enganosa.
Duenni 22/05
0

Não apenas objetos excluídos.

Vamos supor por algum tempo que alguns servidores foram configurados no IIS, PKI (Certificate Server), políticas foram aplicadas na OU, delegação foi dada a alguns usuários, autenticação foi feita em alguns usuários do AD, como acesso VPN, etc.

Todas essas alterações serão substituídas pelo antigo Active Directory. Esta ação não é aceitável.

Sairam
fonte
4
Não necessariamente. A restauração não autoritativa replicará os dados existentes de outro controlador de domínio, mas levará a dados inconsistentes se o tempo de vida da marca para exclusão expirar (além do fato de não permitir que você restaure um backup mais antigo que a vida da marca para exclusão. )
Duenni 22/05/19