Active Directory 포리스트 복구 - 멀티도메인 포리스트에서 단일 도메인 복구

• 적용 대상:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

특정 시나리오에서는 전체 포리스트 복구가 아니라 여러 도메인이 있는 포리스트 내에서 단일 도메인만 복구해야 할 수도 있습니다. 이 주제에서는 단일 도메인을 복구할 때 고려해야 할 사항과 가능한 전략에 대해 설명합니다.

포리스트 복구 프로세스와 유사하게, 도메인의 백업에서 하나 이상의 DC를 복원하고 나머지 DC의 메타데이터 정리를 수행합니다. 그런 다음 새 구성원을 가입시키고 ADDS 역할을 설치하고 승격하여 새 도메인 컨트롤러를 추가합니다. DC 복제 또는 미디어에서 설치를 사용하여 작업을 수행할 수도 있습니다.

단일 도메인 복구는 GC(글로벌 카탈로그) 서버를 다시 빌드하기 위한 고유한 과제를 제시합니다. 예를 들어 도메인에 대한 첫 번째 DC(도메인 컨트롤러)가 1주일 전에 만든 백업에서 복원된 경우 포리스트의 다른 모든 GC는 복원된 DC보다 해당 도메인에 대한 최신 데이터를 더 많이 갖게 됩니다. GC 데이터 일관성을 다시 설정하려면 다음과 같은 몇 가지 옵션이 있습니다.

• 복구된 도메인의 파티션을 제외한 포리스트의 모든 GC에서 복구된 도메인 파티션을 동시에 호스팅 해제하고 완료되면 포리스트의 모든 GC를 다시 호스팅합니다. 또한 나머지 GC에 과부하가 걸리지 않도록 주의하세요. 대규모 환경에서는 이러한 활동을 조정하는 것이 매우 복잡할 수 있습니다.

• 포리스트 복구 프로세스에 따라 도메인을 복구한 다음 다른 도메인의 GC에서 느린 개체를 제거합니다.

다음 섹션에서는 각 옵션에 대한 일반적인 고려 사항을 제공합니다. 복구를 위해 수행해야 하는 전체 단계 집합은 다양한 Active Directory 환경에 따라 달라집니다.

모든 GC 다시 호스팅

Warning

모든 도메인에 대한 기본 도메인 관리자 사용자 계정(“RID-500”)의 로그인 이름과 비밀번호를 사용할 수 있어야 하며, 로그온을 위한 GC에 액세스할 수 없는 문제가 발생할 경우 사용할 수 있도록 활성화된 계정이어야 합니다.

참고 항목

GC 인증 없이 로그온을 허용하려면 HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\IgnoreGCFailures 값을 1로 구성할 수도 있습니다.

알 수 없는 경우 각 도메인의 다른 계정에 대해 whoami /all을 사용하여 도메인 ID 를 얻거나 다음 명령을 실행하여 RID 500.\$DomainSID = (Get-ADDomain).DomainSID.Value\$ObjSID = New-ObjectSystem.Security.Principal.SecurityIdentifier("\$DomainSID-500")\$RID500 = \$ObjSID.Translate([System.Security.Principal.NTAccount])\$RID500.Value을 식별합니다.

repadmin /unhost 및 repadmin /rehost 명령(repadmin /experthelp의 일부)을 사용하여 모든 GC를 리호스팅할 수 있습니다. 복구되지 않은 각 도메인의 모든 GC에서 repadmin 명령을 실행합니다. 모든 DC가 복구된 도메인의 복사본을 더 이상 보유하지 않도록 해야 합니다. 이렇게 하려면 먼저 포리스트의 복구되지 않은 모든 도메인에서 모든 도메인 컨트롤러에서 도메인 파티션을 호스팅 해제합니다. GC에는 더 이상 파티션이 포함되어 있지 않으므로 다시 호스팅할 수 있습니다. 리호스팅할 때는 포리스트의 사이트와 복제 구조를 고려하세요. 예를 들어, 사이트당 하나의 DC 리호스팅을 완료한 후 해당 사이트의 다른 DC를 리호스팅하세요.

이 옵션은 각 도메인에 대해 몇 개의 도메인 컨트롤러만 있는 소규모 조직에 유리할 수 있습니다. 모든 GC는 금요일 밤에 다시 빌드될 수 있으며 필요한 경우 월요일 아침 전에 모든 읽기 전용 도메인 파티션에 대한 전체 복제를 완료할 수 있습니다. 그러나 전 세계 사이트를 포괄하는 대규모 도메인을 복구해야 하는 경우 다른 도메인의 모든 GC에서 읽기 전용 도메인 파티션을 리호스팅하면 운영에 상당한 영향을 미치고 잠재적으로 다운타임이 발생할 수 있습니다.

남아있는 물체 확인 및 제거

포리스트의 다른 모든 도메인의 GC에서 복구된 도메인의 읽기 전용 파티션에 대해 잠재적으로 남아 있을 수 있는 개체를 확인하고 제거합니다.

느린 개체 정리의 원본은 복구된 도메인의 DC여야 합니다. 소스 DC에 도메인 파티션에 대한 잔여 개체가 없는지 확인하려면 글로벌 카탈로그를 제거하면 됩니다.

잔여 개체를 제거하는 것은 도메인 네임 컨텍스트를 다시 호스팅하는 데 따른 가동 중단 시간을 감수할 수 없는 대규모 조직에 유리합니다.

자세한 내용은 잔여 객체를 제거하려면 repadmin을 사용을 참조하세요.

다음 단계

• AD 포리스트 복구 - 필수 조건
• AD Forest Recovery - Devise 사용자 정의 포리스트 복구 계획
• AD Forest Recovery - 포리스트 복원 단계
• AD Forest Recovery - 문제 식별
• AD 포리스트 복구 - 복구 방법 결정
• AD 포리스트 복구 - 초기 복구 수행
• AD 포리스트 복구 - 절차
• AD Forest Recovery - 자주 묻는 질문(FAQ)
• AD Forest Recovery - 멀티 도메인 포리스트 내에서 단일 도메인 복구하기
• AD Forest Recovery - 나머지 DC 다시 배포
• AD 포리스트 복구 - 가상화
• AD Forest Recovery - 정리