Mengapa Anda tidak mengembalikan DC yang didukung 6 bulan lalu?

12

Mengapa Anda tidak mengembalikan DC yang didukung 6 bulan lalu?

Ketika saya belajar Layanan Domain Direktori Aktif, saya menemukan pertanyaan ini di salah satu blog tetapi saya tidak dapat menemukan jawaban yang terperinci. Jadi tolong adakah yang bisa menjelaskan konsep ini kepada saya.

active-directory domain-controller azure-active-directory pengguna416535
sumber
5
Karena Anda harus memiliki cadangan yang lebih baru?
Craig Watson
Kecuali ... semua cadangan yang lebih baru berada di area pengendapan nuklir yang sama, menjadikan cadangan di luar lokasi ini satu-satunya cadangan yang dapat digunakan dari DC terakhir. Pada kasus force majeure, tidak ada yang akan menyalahkan Anda karena tidak memiliki cadangan untuk hal yang tidak terduga. Untuk apa pun yang kurang, Anda harus memiliki cadangan reguler dan otomatis.
Esa Jokinen
2
teratur, otomatis, dimonitor dan diuji . Anda benar-benar tidak ingin menyadari bahwa cadangan Anda gagal selama 3 bulan atau tidak dapat dipulihkan pada saat Anda benar-benar membutuhkannya.
JFL
Beberapa tahun yang lalu saya mengembalikan server AD NT4 kuno ke beberapa kit cadangan, membuang bagian-bagian yang diperlukan AD, dan kemudian memijat mereka dalam editor teks. Bisa mengimpor data yang dipijat itu ke server langsung, tetapi itu tidak diperlukan. Memori menjadi semakin kabur setelah ~ 17 tahun, tidak bisa memikirkan nama perangkat lunaknya maaf.
Criggie

Jawaban:

17

Ada sesuatu yang disebut tombstone lifetimedi Active Directory. Ketika Anda menghapus objek di Active Directory itu tidak segera hilang, itu dikonversi ke batu nisan dan informasi ini direplikasi ke DC lain. Ketika umur batu nisan tercapai, objek akan dibersihkan. Jika Anda memulihkan sebelum keadaan sebelum penghapusan dan tomsbtone tidak direplikasi ke DC yang dipulihkan sebelum berakhir, objek akan tetap ada di DC Anda yang dipulihkan tetapi tidak di DC lain. Sekarang Anda memiliki data yang tidak konsisten. Masa hidup tomsbtone default untuk Server 2008 dan seterusnya adalah 180 hari (= 6 bulan).

duenni
sumber
7
Itu dapat dipulihkan jika itu adalah satu-satunya pengontrol domain di domain. Jika bukan satu-satunya DC, pemulihan tidak relevan karena pengontrol domain lainnya tidak akan mereplikasi dengan DC yang dipulihkan yang lebih tua dari TSL. Juga tidak ada kasus praktis untuk memulihkan DC jika DC lain tersedia, kecuali seluruh domain / hutan dihisap. Dalam hal ini, mereka tidak akan menyimpan DC yang ada, tetapi akan mengembalikan cadangan lama ke satu DC, dan mempromosikan semua DC baru.
Greg Askew
Ya, mengembalikan cadangan yang lama akan membuat Anda lebih banyak masalah karena kata sandi saluran aman berakhir juga, jadi tidak ada klien yang akan berbicara dengan DC ini dan Anda harus bergabung kembali dengan semua klien ke AD. Semua ini bukan ide yang bagus.
duenni
Saya tidak berpikir ada yang mengatakan itu adalah ide yang bagus. Jika satu-satunya cadangan yang tersedia lebih tua dari TSL, dapat dipulihkan.
Greg Askew
Oke, saya akan menghapus kalimat terakhir dari jawaban saya karena bisa menyesatkan.
duenni
0

Bukan hanya objek yang dihapus.

Mari kita asumsikan untuk sementara waktu bahwa beberapa server telah dikonfigurasi IIS, Server sertifikat (PKI), kebijakan telah diterapkan pada OU, delegasi telah diberikan kepada beberapa pengguna, Otentikasi telah dilakukan pada beberapa pengguna AD seperti akses VPN, dll.

Semua perubahan ini akan diganti dengan Active Directory lama. Tindakan ini sama sekali tidak dapat diterima.

Sairam
sumber
4
Belum tentu. Pemulihan non-otoritatif akan mereplikasi data yang ada dari DC lain tetapi itu akan menyebabkan data yang tidak konsisten jika masa hidup batu nisan telah kedaluwarsa (selain fakta bahwa itu tidak akan membiarkan Anda mengembalikan cadangan yang lebih tua dari masa hidup batu nisan di tempat pertama) ).
duenni