Tại sao bạn không nên khôi phục một DC đã được sao lưu 6 tháng trước?

Khi tôi đang học Dịch vụ miền Active Directory, tôi đã bắt gặp câu hỏi này trong một trong những blog nhưng tôi không thể tìm thấy câu trả lời chi tiết. Vì vậy, xin vui lòng bất cứ ai có thể giải thích khái niệm này cho tôi.

active-directory domain-controller azure-active-directory

— người dùng416535
nguồn

Bởi vì bạn nên có nhiều bản sao lưu gần đây?

— Craig Watson

Trừ khi ... tất cả các bản sao lưu gần đây đều nằm trên cùng một khu vực lắng đọng hạt nhân, làm cho bản sao lưu ngoài trang web duy nhất này trở thành bản sao lưu duy nhất có thể sử dụng được của DC cuối cùng. Trong trường hợp bất khả kháng, không ai có thể trách bạn vì không có bản sao lưu bất ngờ. Đối với bất cứ điều gì ít hơn, bạn nên có bản sao lưu thường xuyên và tự động.

— Esa Jokinen

thường xuyên, tự động, theo dõi và thử nghiệm . Bạn thực sự không muốn nhận ra rằng bản sao lưu của bạn bị lỗi trong 3 tháng hoặc không thể khôi phục vào đúng thời điểm bạn thực sự cần nó.

— JFL

Nhiều năm trước tôi đã khôi phục một máy chủ NT4 AD cổ xưa cho một số bộ phụ tùng, bỏ các phần của AD cần thiết, và sau đó mát xa chúng trong một trình soạn thảo văn bản. Có thể đã nhập dữ liệu được mát xa đó vào máy chủ trực tiếp, nhưng điều đó là không cần thiết. Bộ nhớ trở nên tồi tệ sau ~ 17 năm, không thể nghĩ ra tên của phần mềm.

— Criggie

Câu trả lời:

Có một thứ được gọi tombstone lifetimetrong Active Directory. Khi bạn xóa một đối tượng trong Active Directory, nó sẽ không biến mất ngay lập tức, nó được chuyển đổi thành bia mộ và thông tin này được sao chép sang các DC khác. Khi đạt đến tuổi thọ bia mộ, đối tượng sẽ bị thanh trừng. Nếu bạn khôi phục trước trạng thái trước khi xóa và nhạc chuông không được sao chép sang DC được khôi phục trước khi hết hạn, đối tượng sẽ vẫn hiện diện trong DC được khôi phục của bạn chứ không phải trong các DC khác. Bây giờ bạn có dữ liệu không nhất quán. Tuổi thọ tomsb âm mặc định cho Server 2008 trở đi là 180 ngày (= 6 tháng).

— duenni
nguồn

Nó có thể được khôi phục nếu nó là bộ điều khiển miền duy nhất trong miền. Nếu đó không phải là DC duy nhất thì việc khôi phục là không liên quan vì các bộ điều khiển miền khác sẽ không sao chép với một DC được khôi phục cũ hơn TSL. Cũng không có trường hợp thực tế nào để khôi phục DC nếu các DC khác có sẵn, trừ khi toàn bộ miền / rừng bị hút thuốc. Trong trường hợp đó, họ sẽ không giữ bất kỳ DC nào hiện có, nhưng sẽ khôi phục bản sao lưu cũ thành một DC và quảng bá tất cả các DC mới.

— Greg Askew

Vâng, khôi phục bản sao lưu cũ như vậy sẽ khiến bạn gặp nhiều rắc rối hơn vì mật khẩu kênh an toàn cũng hết hạn, vì vậy không có khách hàng nào sẽ nói chuyện với DC này và bạn sẽ phải tham gia lại tất cả các khách hàng với AD. Tất cả trong tất cả điều này không phải là một ý tưởng tốt.

— duenni

Tôi không nghĩ ai đó nói rằng đó là một ý tưởng tốt. Nếu bản sao lưu duy nhất có sẵn cũ hơn TSL, nó có thể được khôi phục.

— Greg Askew

Ok, tôi sẽ xóa câu cuối cùng khỏi câu trả lời của tôi vì nó có thể gây hiểu nhầm.

— duenni

Không chỉ xóa các đối tượng.

Chúng ta hãy giả sử rằng một số máy chủ đã được cấu hình IIS, Máy chủ chứng chỉ (PKI), các chính sách đã được áp dụng trên OU, ủy quyền đã được trao cho một số người dùng, Xác thực đã được thực hiện trên một số người dùng AD như truy cập VPN, v.v.

Tất cả những thay đổi này sẽ được thay thế bằng Active Directory cũ. Hành động này không được chấp nhận ở tất cả.

— Sairam
nguồn

Không cần thiết. Khôi phục không có thẩm quyền sẽ sao chép dữ liệu hiện có từ một DC khác nhưng nó sẽ dẫn đến dữ liệu không nhất quán nếu hết thời gian sử dụng bia mộ (bên cạnh thực tế là nó sẽ không cho phép bạn khôi phục bản sao lưu cũ hơn thời gian tồn tại của bia mộ ).

— duenni