다음을 통해 공유


Active Directory 포리스트 복구 - 포리스트를 복구하는 방법 결정

전체 Active Directory 포리스트를 복구하려면 사용 가능한 백업에서 모든 도메인에 있는 하나 이상의 DC(도메인 컨트롤러)를 복원해야 합니다. 포리스트를 복구하면 마지막으로 신뢰할 수 있는 백업 시 포리스트의 각 도메인이 해당 상태로 복원됩니다.

손실되는 내용

복원 작업으로 인해 최소한 다음과 같은 Active Directory 데이터가 손실됩니다:

  • 마지막으로 신뢰할 수 있는 백업 후에 추가된 모든 개체(예: 사용자 및 컴퓨터)
  • 마지막으로 신뢰할 수 있는 백업 이후 기존 개체에 대한 모든 업데이트
  • 마지막으로 신뢰할 수 있는 백업 이후 AD DS의 구성 파티션 또는 스키마 파티션(예: 스키마 변경)에 대한 모든 변경 내용

암호 지식

  1. 포리스트의 각 도메인에 대한 도메인 관리자 계정의 암호를 알고 있어야 합니다. 가급적이면 이 암호는 기본 제공 관리자 계정의 암호입니다.
  2. DC의 시스템 상태 복원을 수행하려면 DSRM 암호도 알고 있어야 합니다.

백업이 유효한 한 관리자 계정 및 DSRM 암호 기록을 안전한 장소에 보관하는 것이 좋습니다. 즉, 삭제 표시 수명 기간 내에서 또는 Active Directory 휴지통을 사용하는 경우 삭제된 개체 수명 기간 내에 있습니다.

기억하기 쉽도록 DSRM 암호를 도메인 사용자 계정과 동기화할 수도 있습니다. 자세한 내용은 문서를 참조하십시오. DSRM 계정 동기화는 준비의 일환으로 포리스트 복구 전에 수행해야 합니다.

참고 항목

관리자 계정은 도메인 관리자 및 엔터프라이즈 관리자 그룹과 마찬가지로 기본적으로 기본 제공 관리자 그룹의 구성원입니다. 이 그룹은 도메인의 모든 DC를 완전히 제어할 수 있습니다.

사용할 백업 결정

여러 백업 중에서 선택할 수 있도록 각 도메인에 대해 쓰기 가능한 DC를 두 개 이상 정기적으로 백업합니다. 필요에 따라 하나 이상의 DC를 선택하고 SYSVOL 데이터 복구를 위한 PDC 에뮬레이터 작업 마스터를 선택합니다.

참고 항목

RODC(읽기 전용 도메인 컨트롤러)의 백업을 사용하여 쓰기 가능한 DC를 복원할 수 없습니다. 오류가 발생하기 며칠 전에 수행된 백업을 사용하여 DC를 복원하는 것이 좋습니다. 일반적으로 복원된 데이터의 최신성과 안전성 간의 절충을 결정해야 합니다. 최신 백업을 선택하면 더 유용한 데이터가 복구되지만 복원된 포리스트에 위험한 데이터를 다시 도입할 위험이 높아질 수 있습니다.

시스템 상태 백업 복원은 백업의 원래 운영 체제 및 서버에 따라 달라집니다. 예를 들어 시스템 상태 백업을 다른 서버로 복원해서는 안 됩니다. 이 경우 다음과 같은 경고가 표시될 수 있습니다:

Warning

지정된 백업이 현재 서버와 다른 서버입니다. 서버를 사용할 수 없게 될 수 있으므로 대체 서버에 백업하여 시스템 상태 복구를 수행하지 않는 것이 좋습니다. 현재 서버를 복구하기 위해 이 백업을 사용하시겠습니까?

Active Directory를 다른 하드웨어로 복원해야 하는 경우 전체 서버 백업을 만들고 전체 서버 복구를 수행하도록 계획합니다.

Important

시스템 상태 백업을 새 하드웨어 또는 동일한 하드웨어에 새로 설치한 Windows Server로 복원하는 것은 지원되지 않습니다. Windows Server가 동일한 하드웨어에 다시 설치되어 있는 경우(권장) 다음 순서대로 도메인 컨트롤러를 복원할 수 있습니다.

  1. 운영 체제 및 모든 파일 및 애플리케이션을 복원하기 위해 전체 서버 복원을 수행합니다.
  2. SYSVOL을 신뢰할 수 있는 것으로 표시하기 위해 wbadmin.exe 사용하여 시스템 상태 복원을 수행합니다.

자세한 내용은 Windows 7 설치를 복원하는 방법을 참조하십시오.

실패 시간을 알 수 없는 경우 추가로 조사하여 포리스트의 마지막 안전 상태를 유지하는 백업을 식별합니다.

이 방법은 덜 바람직합니다. 따라서 포리스트 전체 오류가 있는 경우 대략적인 실패 시간을 식별할 수 있도록 AD DS의 상태에 대한 자세한 로그를 매일 유지하는 것이 좋습니다. 또한 더 빠른 복구를 위해 백업의 로컬 복사본을 유지해야 합니다.

Active Directory 휴지통을 사용하는 경우 백업 수명은 deletedObjectLifetime 값 또는 tombstoneLifetime 값 중 더 작은 값과 같습니다. 자세한 내용은 Active Directory 휴지통 단계별 가이드를 참조 하세요.

또는 Active Directory 데이터베이스 탑재 도구 Dsamain.exe 와 LDAP(Lightweight Directory Access Protocol) 도구(예: Ldp.exe Active Directory 사용자 및 컴퓨터)를 사용하여 포리스트의 마지막 안전 상태를 가진 백업을 식별할 수 있습니다. Windows Server 운영 체제에 포함된 Active Directory 데이터베이스 탑재 도구는 백업 또는 스냅샷에 저장된 Active Directory 데이터를 LDAP 서버로 노출합니다. LDAP 도구를 사용하여 데이터를 찾아볼 수 있습니다. 이 방법은 DSRM(Directory Services 복원 모드)에서 DC를 다시 시작하여 AD DS 백업의 내용을 검사할 필요가 없다는 장점이 있습니다.

Active Directory 데이터베이스 탑재 도구를 사용하는 방법에 대한 자세한 내용은 Active Directory 데이터베이스 탑재 도구 단계별 가이드를 참조 하세요.

이 명령을 사용하여 ntdsutil snapshot Active Directory 데이터베이스의 스냅샷을 만들 수도 있습니다. 정기적으로 스냅샷을 만들도록 작업을 예약하면 시간이 지남에 따라 Active Directory 데이터베이스의 추가 복사본을 가져올 수 있습니다. 이러한 복사본을 사용하여 포리스트 전체 오류가 발생한 시기를 더 잘 식별한 다음 복원할 최상의 백업을 선택할 수 있습니다. 스냅샷을 만들려면 RSAT(원격 서버 관리 도구)를 사용 ntdsutil 하거나 사용합니다.

대상 DC는 모든 버전의 Windows Server를 실행할 수 있습니다. ntdsutil snapshot명령 사용에 대한 자세한 내용은 스냅샷을 참조하세요.

복원할 도메인 컨트롤러 결정

복원 프로세스의 용이성은 복원할 도메인 컨트롤러를 결정할 때 중요한 요소입니다. 복원을 위해 기본 DC인 각 도메인에 전용 DC를 사용하는 것이 좋습니다. 전용 복원 DC를 사용하면 복원 테스트를 수행하는 데 사용된 것과 동일한 원본 구성을 사용하므로 포리스트 복구를 안정적으로 계획하고 실행할 수 있습니다. 복구를 스크립팅하고 DC가 작업 마스터 역할을 보유하는지 또는 GC 또는 DNS 서버인지 여부와 같은 다양한 구성과의 충돌을 방지할 수 있습니다.

참고 항목

모든 역할을 항상 점유하므로 단순성을 위해 운영 마스터 역할 소유자를 복원하는 것은 권장되지 않습니다. 일반적으로 PDC에는 SYSVOL 데이터의 최상의 복사본이 있으므로 PDC 에뮬레이터 작업 마스터에서 가져온 백업을 사용하여 SYSVOL 복구가 수행되는 경우가 있습니다.

좋은 백업은 성공적으로 복원할 수 있고, 실패하기 며칠 전에 수행되었으며, 가능한 한 많은 유용한 데이터를 포함하는 백업입니다. 다음 조건을 가장 잘 충족하는 DC를 선택합니다.

  • 쓸 수 있는 DC. 필수 항목입니다.

  • VM-GenerationID를 지원하는 하이퍼바이저에서 Windows Server 2012 이상을 가상 머신으로 실행하는 DC입니다. 이 DC는 복제를 위한 원본으로 사용할 수 있습니다. 일반적으로 최신 OS가 있는 좋은 백업이 있는 DC를 사용합니다.

  • 물리적으로 또는 가상 네트워크에서 액세스할 수 있고 데이터 센터에 있는 DC입니다. 이렇게 하면 포리스트 복구 중에 네트워크에서 쉽게 격리할 수 있습니다.

  • 전체 서버 백업이 좋은 DC입니다.

  • DNS(도메인 이름 시스템) 역할을 실행하고 포리스트 및 도메인 영역을 호스팅하는 DC입니다.

  • GC(글로벌 카탈로그)로 구성된 DC입니다.

  • Windows 배포 서비스를 사용하는 경우 BitLocker 네트워크 잠금 해제를 사용하도록 구성되지 않은 DC입니다. 포리스트 복구 중에 백업에서 복원하는 첫 번째 DC에 BitLocker 네트워크 잠금 해제를 사용하는 것은 지원되지 않습니다. WDS(Windows Deployement Services)를 배포한 DC에서는 첫 번째 DC에서 잠금을 해제하기 위해 Active Directory 및 WDS가 작동해야 하므로 BitLocker Network Unlock 를 유일한 키 보호기로 사용할 수 없습니다 . 첫 번째 DC를 복원하기 전에 WDS에 Active Directory를 아직 사용할 수 없으므로 잠금을 해제할 수 없습니다.

    DC가 BitLocker 네트워크 잠금 해제를 사용하도록 구성되어 있는지 확인하려면 다음 레지스트리 키에서 네트워크 잠금 해제 인증서가 식별되는지 확인합니다.

    HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftSystemCertificatesFVE_NKP

Important

Active Directory를 포함하는 백업 파일을 처리하거나 복원할 때 보안 절차를 유지 관리합니다. 포리스트 복구에 수반되는 긴급성은 의도치 않게 보안 모범 사례를 간과할 수 있습니다.

현재 포리스트 구조 및 DC 함수 식별

포리스트의 모든 도메인을 식별하여 현재 포리스트 구조를 확인합니다. 각 도메인의 모든 DC, 특히 백업이 있는 DC 및 복제 원본이 될 수 있는 가상화된 DC 목록을 만듭니다.

먼저 이 도메인을 복구하므로 포리스트 루트 도메인에 대한 DC 목록이 가장 중요합니다. 포리스트 루트 도메인을 복원한 후 Active Directory 스냅인을 사용하여 다른 도메인, DC 및 포리스트의 사이트 목록을 가져올 수 있습니다.

포리스트의 각 도메인에 대해 해당 도메인에 대한 Active Directory 데이터베이스의 신뢰할 수 있는 백업이 있는 쓰기 가능한 단일 DC를 식별합니다. DC를 복원할 백업을 선택할 때는 주의해야 합니다. 오류의 날짜와 원인을 알고 있는 경우 일반적인 권장 사항은 해당 날짜 며칠 전에 만들어진 안전한 백업을 식별하고 사용하는 것입니다.

다음 예제와 같이 도메인에 있는 각 DC의 함수를 보여 주는 테이블을 준비합니다. 이렇게 하면 복구 후 포리스트의 사전 실패 구성으로 되돌릴 수 있습니다.

DC 이름 운영 체제 FSMO GC RODC Backup DNS Server Core VM
DC_1 Windows Server 2019 스키마 마스터, 도메인 명명 마스터 아니요 아니요 아니요
DC_2 Windows Server 2019 None 아니요 아니요
DC_3 Windows Server 2022 인프라 마스터 아니요 아니요 아니요
DC_4 Windows Server 2022 PDC 에뮬레이터 RID 마스터 아니요 아니요 아니요 아니요
DC_5 Windows Server 2022 None 아니요 아니요 아니요
RODC_1 Windows Server 2016 None
RODC_2 Windows Server 2022 None 아니요

위의 예제에는 DC_1, DC_2, DC_4 및 DC_5 네 가지 백업 후보가 있습니다. 이러한 백업 후보 중 하나만 복원합니다. 권장 DC는 다음과 같은 이유로 DC_5입니다:

  • Windows Server 2022를 가상 DC로 실행하고 복제할 수 있는 소프트웨어(또는 복제할 수 없는 경우 제거할 수 있는)를 실행하기 때문에 가상화된 DC 복제에 적합한 소스입니다. 복원 후 PDC 에뮬레이터 역할이 해당 서버에 압수되고 도메인에 대한 복제 가능한 도메인 컨트롤러 그룹에 추가할 수 있습니다.
  • Windows Server 2022의 전체 설치를 실행합니다. Server Core 설치를 실행하는 DC는 복구 대상으로 덜 편리할 수 있습니다. 명령줄 인터페이스를 사용하여 Windows Server를 관리하는 데 능숙하다면 이는 요인이 아닐 수 있습니다.
  • DNS 서버입니다.

참고 항목

DC_5 글로벌 카탈로그 서버가 아니므로 복원 후에 글로벌 카탈로그를 제거할 필요가 없다는 점에서 약간의 이점이 있습니다. 그러나 Rid 500을 사용하여 기본 관리자 계정으로 복구를 시작하거나 레지스트리 값 ignoregcfailures를 사용해야 합니다.

Key: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
Value: IgnoreGCFailures
Type: REG_DWORD
Data: 0 – Require GlobalCatalog for logon (default)
1 – Allow logon without groups from GC

다른 요소는 일반적으로 GC 역할을 제거하는 추가 단계보다 더 중요합니다. DC_3 또는 DC_4 작업 마스터 역할도 문제가 되지 않으므로 좋은 선택입니다. 옵션을 고려하고 실제 복구 상황에 따라 선택합니다. 일반적으로 PDC Operations Master 백업을 복원하여 계획 및 테스트할 수 있지만, 이 백업이 작동하지 않는 경우(예: 잘못된 시간 때문) 동일한 도메인의 GC에서 백업을 선택합니다.

격리된 포리스트 복구

첫 번째 복원된 DC를 프로덕션으로 다시 가져오기 전에 쓰기 가능한 모든 DC를 종료하는 것이 좋습니다. 이렇게 하면 위험한 데이터가 복구된 포리스트로 다시 복제되지 않습니다. 모든 작업 마스터 역할 보유자를 종료하는 것이 특히 중요합니다.

참고 항목

시스템 가동 중지 시간을 최소화하기 위해 다른 DC가 온라인 상태를 유지하도록 허용하면서 각 도메인에 대해 복구하려는 첫 번째 DC를 격리된 네트워크로 이동하는 경우가 있을 수 있습니다. 예를 들어 실패한 스키마 업그레이드에서 복구하는 경우 격리된 복구 단계를 수행하는 동안 프로덕션 네트워크에서 도메인 컨트롤러를 계속 실행하도록 선택할 수 있습니다.

가상화된 DCs

가상화된 DC를 실행하는 경우 복구를 수행할 프로덕션 네트워크에서 격리된 가상 네트워크로 이동할 수 있습니다. 가상화된 DC를 별도의 네트워크로 이동하면 다음 두 가지 이점이 있습니다.

  • 복구된 DC는 포리스트 복구를 발생시킨 문제를 재현할 수 없습니다.
  • 프로덕션 네트워크로 다시 가져오기 전에 중요한 수의 DC를 실행하고 테스트할 수 있도록 격리된 네트워크에서 가상화된 DC 복제를 수행할 수 있습니다.

실제 DCs

물리적 하드웨어에서 DC를 실행하는 경우 포리스트 루트 도메인에서 복원하려는 첫 번째 DC의 네트워크 케이블 연결을 끊습니다. 가능하면 다른 모든 DC의 네트워크 케이블 연결도 끊습니다. 이렇게 하면 포리스트 복구 프로세스 중에 실수로 시작된 경우 DC가 복제되지 않습니다.

큰 포리스트

여러 위치에 분산된 대형 포리스트에서는 쓰기 가능한 모든 DC가 종료되도록 보장하기 어려울 수 있습니다. 따라서 메타데이터 정리 외에도 컴퓨터 계정 및 krbtgt 계정 재설정과 같은 복구 단계는 복구된 쓰기 가능한 DC가 위험한 쓰기 가능한 DC로 복제되지 않도록 설계되었습니다(포리스트에서 여전히 온라인 상태가 되는 경우).

그러나 쓰기 가능한 DC를 오프라인으로 전환해야만 복제가 발생하지 않도록 보장할 수 있습니다. 따라서 가능하면 포리스트 복구 중에 쓰기 가능한 DC를 종료하고 물리적으로 격리하는 데 도움이 되는 원격 관리 기술을 배포해야 합니다.

RODC

쓰기 가능한 DC가 오프라인인 동안 RODC는 계속 작동할 수 있습니다. 다른 DC는 RODC의 변경 내용(특히 스키마 또는 구성 컨테이너 변경 없음)을 직접 복제하지 않으므로 복구하는 동안 쓰기 가능한 DC와 동일한 위험을 초래하지 않습니다. 쓰기 가능한 모든 DC가 복구되고 온라인 상태가 된 후에는 모든 RODC를 다시 빌드해야 합니다.

복구 작업이 동시에 진행되는 동안 RODC는 각 사이트에 캐시된 로컬 리소스에 대한 액세스를 계속 허용합니다. RODC에 캐시되지 않은 로컬 리소스에는 쓰기 가능한 DC로 전달되는 인증 요청이 있습니다. 쓰기 가능한 DC가 오프라인이므로 이러한 요청이 실패합니다. 쓰기 가능한 DC를 복구할 때까지 암호 변경과 같은 일부 작업도 동작하지 않습니다.

허브 및 스포크 네트워크 아키텍처를 사용하는 경우 먼저 허브 사이트에서 쓰기 가능한 DC를 복구하는 데 집중할 수 있습니다. 나중에 원격 사이트에서 RODC를 다시 빌드할 수 있습니다.

손상된 AD 데이터베이스

쓰기 가능한 DC의 AD 데이터베이스가 손상된 경우 복구 후에 새 KDS 루트 키를 만들어야 하며, 모든 gMSA(그룹 관리 서비스 계정)는 보상 시나리오에 따라 다시 만들어야 합니다. 세부 정보: 골든 gMSA 공격으로부터 복구하는 방법.

다음 단계