Active Directory 포리스트 복구 - 초기 복구 수행

• 적용 대상:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

이 섹션에는 다음 단계가 포함됩니다.

• 각 도메인에서 첫 번째 쓰기 가능한 도메인 컨트롤러 복원
• 복원된 각 쓰기 가능한 도메인 컨트롤러를 네트워크에 다시 연결
• 포리스트 루트 도메인의 도메인 컨트롤러에 글로벌 카탈로그 추가

각 도메인에서 첫 번째 쓰기 가능한 도메인 컨트롤러 복원

포리스트 루트 도메인에서 쓰기 가능한 DC부터 시작하여 첫 번째 DC를 복원하기 위해 이 섹션의 단계를 완료합니다. 포리스트 루트 도메인은 스키마 관리자 및 엔터프라이즈 관리자 그룹을 저장하기 때문에 중요합니다. 또한 포리스트에서 신뢰 계층 구조를 유지하는 데 도움이 됩니다. 또한 포리스트 루트 도메인은 일반적으로 포리스트의 DNS 네임스페이스에 대한 DNS 루트 서버를 보유합니다. 따라서 해당 도메인에 대한 Active Directory 통합 DNS 영역에는 포리스트의 다른 모든 DC(복제에 필요한) 및 글로벌 카탈로그 DNS 리소스 레코드에 대한 별칭(CNAME) 리소스 레코드가 포함됩니다.

포리스트 루트 도메인을 복구한 후 동일한 단계를 반복하여 포리스트의 나머지 도메인을 복구합니다. 둘 이상의 도메인을 동시에 복구할 수 있습니다. 그러나 트러스트 계층 또는 DNS 이름 확인의 중단을 방지하기 위해 자식 복구 전에 항상 부모 도메인을 복구합니다.

복구하는 각 도메인에 대해 백업에서 쓰기 가능한 DC 하나를 복원합니다. 이는 DC에 포리스트 실패의 영향을 받지 않은 데이터베이스가 있어야 하기 때문에 복구의 가장 중요한 부분입니다. 프로덕션 환경에 도입되기 전에 철저히 테스트되는 신뢰할 수 있는 백업 보유가 중요합니다.

그런 다음, 다음 단계를 수행합니다. 특정 단계를 수행하기 위한 절차는 AD 포리스트 복구 - 프로시저에 있습니다.

1. 물리적 서버를 복원하려는 경우 대상 DC의 네트워크 케이블이 연결되지 않았는지, 따라서 프로덕션 네트워크에 연결되지 않았는지 확인합니다. 가상 머신의 경우 네트워크 어댑터를 제거하거나 다른 네트워크에 연결된 네트워크 어댑터를 사용하여 프로덕션 네트워크에서 격리된 상태에서 복구 프로세스를 테스트할 수 있습니다.

2. 이는 도메인의 첫 번째 쓰기 가능한 DC이므로 AD DS의 인증되지 않는 복원 및 SYSVOL의 신뢰할 수 있는 복원을 수행해야 합니다. Windows Server 백업(권장)과 같은 Active Directory 인식 백업 및 복원 애플리케이션을 사용하여 복원 작업을 완료해야 합니다. 호스트에서 Hyper-Vistor 생성 ID가 지원되는 경우 VM 스냅샷을 사용하여 인증되지 않은 복원을 수행할 수도 있습니다.

   • 재해에서 복구한 후 새 인스턴스를 사용하여 SYSVOL 폴더의 복제를 다시 시작해야 하므로 복구된 첫 번째 DC에서는 SYSVOL의 신뢰할 수 있는 복원이 필요합니다. 도메인에 추가된 모든 후속 DC는 신뢰할 수 있도록 선택된 폴더의 복사본을 사용하여 해당 SYSVOL 폴더를 다시 동기화해야 합니다.

     Warning

     포리스트 루트 도메인에서 복원할 첫 번째 DC에 대해서만 SYSVOL의 신뢰할 수 있는(또는 기본) 복원 작업을 수행합니다. 다른 DC에서 SYSVOL의 기본 복원 작업을 잘못 수행 시 SYSVOL 데이터 복제 충돌이 발생합니다. AD DS의 인증되지 않는 복원과 SYSVOL의 신뢰할 수 있는 복원을 수행하는 두 가지 옵션이 있습니다:

   • 전체 서버 복구를 수행한 다음 SYSVOL의 신뢰할 수 있는 동기화를 강제로 수행합니다. 자세한 절차는 전체 서버 복구 수행 및 DFSR 복제 SYSVOL의 신뢰할 수 있는 동기화 수행을 참조하세요.

   • 전체 서버 복구를 수행한 후 시스템 상태 복원을 수행합니다. 이 옵션을 사용하려면 두 가지 유형의 백업(전체 서버 백업 및 시스템 상태 백업)을 미리 만들어야 합니다. 자세한 절차는 전체 서버 복구 수행 및 Active Directory Domain Services의 신뢰할 수 없는 복원 수행을 참조하세요.

3. 쓰기 가능한 DC를 복원하고 다시 시작한 후 오류가 DC의 데이터에 영향을 주지 않았는지 확인합니다. DC 데이터가 손상된 경우 다른 백업으로 2단계를 다시 수행합니다.

   • 복원된 도메인 컨트롤러가 작업 마스터 역할을 호스트하는 경우 쓰기 가능한 디렉터리 파티션의 복제를 완료할 때까지 AD DS를 사용할 수 없도록 다음 레지스트리 항목을 추가해야 할 수 있습니다.

     HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Repl
     Perform Initial Synchronizations
     

     데이터 형식 REG_DWORD 값이 0인 항목을 만듭니다. 포리스트가 완전히 복구된 후에는 이 항목의 값을 1로 다시 설정할 수 있습니다. 이 경우 도메인 컨트롤러가 도메인 컨트롤러로 보급되고 클라이언트에 서비스 제공을 시작하기 전에 작업 마스터 역할을 다시 시작하고 보유하는 도메인 컨트롤러가 알려진 복제본 파트너와 성공적으로 AD DS 인바운드 및 아웃바운드 복제를 수행해야 합니다. 초기 동기화 요구 사항에 대한 자세한 내용은 Active Directory FSMO 역할을 참조하세요.

4. 데이터를 복원하고 확인한 후 프로덕션 네트워크에 이 컴퓨터를 조인하기 전에 다음 단계로 계속 진행합니다.

5. 포리스트 전체의 오류가 네트워크 침입 또는 악의적인 공격과 관련이 있다고 의심되는 경우 엔터프라이즈 관리자, 도메인 관리자, 스키마 관리자, 서버 운영자, 계정 운영자 그룹 등을 비롯한 모든 관리 계정의 계정 암호를 다시 설정합니다. krbtgt 계정 전체 암호 재설정 절차도 필요합니다. 포리스트 복구의 다음 단계에서 추가 도메인 컨트롤러를 설치하기 전에 관리 계정 암호 재설정을 완료해야 합니다.

   또한 이 경우 관리 계정이 인수된 것처럼 모든 GMSA 암호를 교체하는 작업을 수행합니다. 공격자가 GMSA로 인증할 수 있는 정보를 검색했을 수 있습니다. 자세한 내용은 골든 GMSA 공격에 대한 문서를 참조하세요.

6. 사용자 계정이 손상되었다고 의심되는 경우 도메인의 모든 사용자에 대해 사용자 암호 재설정을 계획해야 합니다.

7. 포리스트 루트 도메인의 첫 번째 복원된 DC에서 모든 도메인 전체 및 포리스트 전체 작업 마스터 역할을 포착합니다. 필요에 따라 포리스트 전체 작업 마스터 역할을 포착하려면 엔터프라이즈 관리자 및 스키마 관리자 자격 증명이 필요합니다.

   각 자식 도메인에서 필요에 따라 도메인 전체 작업 마스터 역할을 포착합니다. 복원된 DC에서 작업 마스터 역할을 일시적으로만 유지할 수 있지만 이러한 역할을 압수하면 포리스트 복구 프로세스의 이 시점에서 호스트하는 DC에 대해 확인할 수 있습니다. 복구 후 프로세스의 일부로 필요에 따라 작업 마스터 역할을 재배포할 수 있습니다. 작업 마스터 역할 점유에 대한 자세한 내용은 작업 마스터 역할 점유를 참조하십시오. 작업 마스터 역할을 배치할 위치에 대한 권장 사항은 작업 마스터란?을 참조하세요. 또한 AD DC에서 FSMO(유연한 단일 마스터 작업) 배치 및 최적화를 참조 하세요.

8. 백업에서 복원하지 않는 포리스트 루트 도메인의 다른 모든 쓰기 가능한 DC의 메타데이터를 정리합니다(이 첫 번째 DC를 제외한 도메인의 모든 쓰기 가능한 DC). Windows Server 2012 이상 또는 Windows 10 이상용 RSAT에 포함된 Active Directory 사용자 및 컴퓨터 또는 Active Directory 사이트 및 서비스의 버전을 사용하는 경우 DC 개체를 삭제하면 메타데이터 정리가 자동으로 수행됩니다. 또한 삭제된 DC의 서버 개체와 컴퓨터 개체도 자동으로 삭제됩니다. 자세한 내용은 제거된 쓰기 가능한 DC의 메타데이터 정리 및 AD DS 서버 메타데이터 정리를 참조하세요.

   메타데이터를 정리하면 AD DS가 다른 사이트의 DC에 설치된 경우 NTDS 설정 개체가 복제되지 않습니다. 이로 인해 DC 자체가 없을 때 복제 링크를 만드는 프로세스인 KCC(정보 일관성 검사기)가 저장될 수도 있습니다. 또한 메타데이터 정리의 일환으로 도메인의 다른 모든 DC에 대한 DC 로케이터 DNS 리소스 레코드가 DNS에서 삭제됩니다.

   도메인에 있는 다른 모든 DC의 메타데이터가 제거될 때까지 이 DC는 복구 전에 RID 마스터인 경우 RID 마스터 역할을 가정하지 않으므로 새 RID를 발급할 수 없습니다. 시스템 로그에 이 실패를 나타내는 이벤트 ID 16650이 이벤트 뷰어에 표시될 수 있지만 메타데이터를 정리한 잠시 후 성공을 나타내는 이벤트 ID 16648이 표시됩니다.

9. AD DS에 저장된 DNS 영역이 있는 경우 로컬 DNS 서버 서비스가 설치되어 복원한 DC에서 실행되고 있는지 확인합니다. 이 DC가 포리스트 오류 이전에 DNS 서버가 아닌 경우 DC에 DNS 서버 역할을 설치하고 구성해야 합니다. 또는 복원 환경에서 DNS 서버를 사용할 수 있어야 합니다.

   포리스트 루트 도메인에서 자체 IP 주소를 사용하여 복원된 DC를 기본 DNS 서버로 구성합니다. LAN(로컬 영역 네트워크) 어댑터의 TCP/IP 속성에서 이 설정을 구성할 수 있습니다. 포리스트의 첫 번째 DNS 서버입니다. 자세한 내용은 DNS(도메인 이름 시스템) 클라이언트 설정에 대한 권장 사항을 참조 하세요.

   각 자식 도메인에서 포리스트 루트 도메인에 있는 첫 번째 DNS 서버의 IP 주소를 기본 DNS 서버로 사용하여 복원된 DC를 구성합니다. LAN 어댑터의 TCP/IP 속성에서 이 설정을 구성할 수 있습니다. 자세한 내용은 DNS(도메인 이름 시스템) 클라이언트 설정에 대한 권장 사항을 참조 하세요.

   _msdcs 및 도메인 DNS 영역에서 메타데이터 정리 후 더 이상 존재하지 않는 DC의 NS 레코드를 삭제합니다. 정리된 DC의 SRV 레코드가 제거되었는지 확인합니다. DNS SRV 레코드 제거 속도를 향상하려면 다음을 실행합니다:

   nltest.exe /dsderegdns:server.domain.tld

10. 사용 가능한 RID 풀 값을 100,000만큼 올립니다. 자세한 내용은 사용 가능한 RID 풀의 값 올리기를 참조 하세요. RID 풀을 100,000으로 높이는 것이 특정 상황에 충분하지 않다고 판단할 만한 이유가 있는 경우 사용자 환경의 평균 RID 사용량을 고려하여 여전히 사용하기에 안전한 가장 낮은 증가량을 고려해야 합니다. RID는 불필요하게 사용해서는 안 되는 유한한 리소스입니다.

    복원에 사용하는 백업 시간 이후에 도메인에 새 보안 주체를 만든 경우 이러한 보안 주체는 특정 개체에 대한 액세스 권한을 가질 수 있습니다. 복구가 백업으로 되돌아갔기 때문에 이러한 보안 주체는 복구 후 더 이상 존재하지 않습니다. 그러나 해당 액세스 권한은 여전히 존재할 수 있습니다. 복원 후에 사용 가능한 RID 풀이 발생하지 않는 경우 포리스트 복구 후에 만들어진 새 사용자 개체는 동일한 SID(보안 ID)를 얻을 수 있으며 원래 의도한 것이 아닌 해당 개체에 액세스할 수 있습니다.

    예를 들어 새 직원이 있을 수 있습니다. 사용자 개체는 도메인을 복원하는 데 사용된 백업 후에 만들어졌기 때문에 복원 작업 후에 더 이상 존재하지 않습니다. 그러나 해당 사용자 개체에 할당된 액세스 권한은 복원 작업 후에 유지될 수 있습니다. 복원 작업 후 해당 사용자 개체의 SID를 새 개체에 다시 할당하면 새 개체가 해당 액세스 권한을 얻습니다.

11. 현재 RID 풀을 무효화 합니다. 시스템 상태 복원 후 현재 RID 풀이 무효화됩니다. 그러나 시스템 상태 복원이 수행되지 않은 경우 복원된 DC가 백업 생성 시 할당된 RID 풀에서 RID를 다시 발급하지 않도록 현재 RID 풀을 무효화해야 합니다. 자세한 내용은 현재 RID 풀 무효화를 참조 하세요.

    참고 항목

    RID 풀을 무효화한 후 SID를 사용하여 개체를 처음 만들려고 하면 오류가 발생합니다. 개체를 만들려는 시도는 새 RID 풀에 대한 요청을 트리거합니다. 새 RID 풀이 할당되므로 작업을 다시 시도하면 성공합니다.

12. 이 DC의 컴퓨터 계정 암호를 두 번 다시 설정합니다. 자세한 내용은 도메인 컨트롤러의 컴퓨터 계정 암호 재설정을 참조하세요.

13. krbtgt 암호를 두 번 다시 설정합니다. 자세한 내용은 krbtgt 암호 재설정을 참조하세요 . krbtgt 암호 기록은 두 개의 암호이므로 암호를 두 번 재설정하여 암호 기록에서 원래(오류 전) 암호를 제거합니다.

    참고 항목

    포리스트 복구가 보안 위반에 대응하는 경우 트러스트 암호를 다시 설정할 수도 있습니다. 자세한 내용은 트러스트의 한쪽에서 트러스트 암호 재설정을 참조하세요.

14. 포리스트에 여러 도메인이 있고 복원된 DC가 실패하기 전에 전역 카탈로그 서버인 경우 NTDS 설정 속성에서 글로벌 카탈로그 확인란의 선택을 취소하여 DC에서 글로벌 카탈로그를 제거합니다. 이 규칙의 예외는 일반적인 도메인이 하나뿐인 포리스트의 경우입니다. 이 경우 글로벌 카탈로그를 제거할 필요가 없습니다. 자세한 내용은 글로벌 카탈로그 제거를 참조하세요.

    다른 도메인의 DC를 복원하는 데 사용되는 다른 백업보다 최근 백업에서 글로벌 카탈로그를 복원하면 잔류 개체를 도입할 수 있습니다. 아래 예제를 고려해 보세요. 도메인 A에서 DC1은 T1 시간에 수행된 백업에서 복원됩니다. 도메인 B에서 DC2는 T2 시간에 수행된 글로벌 카탈로그 백업에서 복원됩니다. `T2가 T1보다 최근이고 T1과 T2 사이에 일부 개체가 생성되었다고 가정합니다. 이러한 DC가 복원된 후 글로벌 카탈로그인 DC2는 도메인 A가 자체 보유하는 것보다 도메인 A의 부분 복제본에 대한 최신 데이터를 보유합니다. 이 경우 DC2는 DC1에 이러한 개체가 없기 때문에 잔류 개체를 보유합니다.

    잔류 개체가 있으면 문제가 발생할 수 있습니다. 예를 들어 사용자 개체가 도메인 간에 이동된 사용자에게 전자 메일 메시지가 전송되지 않을 수 있습니다. 오래된 DC 또는 글로벌 카탈로그 서버를 다시 온라인 상태로 설정하면 사용자 개체의 두 인스턴스가 모두 글로벌 카탈로그에 표시됩니다. 두 개체의 전자 메일 주소는 동일합니다. 따라서 전자 메일 메시지를 배달할 수 없습니다.

    또 다른 문제는 더 이상 존재하지 않는 사용자 계정이 여전히 전역 주소 목록에 나타날 수 있다는 것입니다.

    추가적으로 더 이상 존재하지 않는 범용 그룹이 사용자의 액세스 토큰에 계속 표시될 수 있습니다.

    실수로 또는 신뢰할 수 있는 단독 백업이었기 때문에 전역 카탈로그였던 DC를 복원한 경우 복원 작업이 완료된 직후 글로벌 카탈로그를 사용하지 않도록 설정하여 느린 개체가 발생하지 않도록 하는 것이 좋습니다. 글로벌 카탈로그 플래그를 사용하지 않도록 설정하면 컴퓨터에서 부분 복제본(파티션)이 모두 손실되고 일반 DC 상태로 강등됩니다.

15. gMSA 계정을 사용하는 경우 암호 생성 세부 정보가 공격자에게 노출될 수 있으므로 계정을 다시 만들어야 할 수 있습니다. 다음을 참조하세요.
    골든 gMSA 공격으로부터 복구하는 방법

    gMSA를 교체하고 보안 키 자료를 사용하는 방법에 대한 단계는 AD 포리스트 복구 - 다중 도메인 포리스트 내에서 단일 도메인 복구를 참조하세요.

16. Windows Time Service.를 구성합니다. 포리스트 루트 도메인에서 외부 시간 원본에서 시간을 동기화하도록 PDC 에뮬레이터를 구성합니다. 자세한 내용은 포리스트 루트 도메인의 PDC 에뮬레이터에서 Windows 시간 서비스 구성을 참조하세요.

복원된 각 쓰기 가능한 도메인 컨트롤러를 공통 네트워크에 다시 연결합니다.

이 단계에서는 포리스트 루트 도메인 및 나머지 각 도메인에서 하나의 DC 복원(및 복구 단계 수행)을 수행해야 합니다. 이러한 DC를 환경의 나머지 부분과 격리된 공통 네트워크에 조인하고 포리스트 상태 및 복제의 유효성을 검사하기 위해 다음 단계를 완료합니다.

참고 항목

물리적 DC를 격리된 네트워크에 조인하는 경우 해당 IP 주소를 변경해야 할 수 있습니다. 따라서 DNS 레코드의 IP 주소가 잘못되었습니다. 글로벌 카탈로그 서버를 사용할 수 없으므로 DNS에 대한 보안 동적 업데이트가 실패합니다. 이 경우 가상 DC는 IP 주소를 변경하지 않고 새 가상 네트워크에 조인할 수 있으므로 더 유리합니다. 이는 포리스트 복구 중에 복원할 첫 번째 도메인 컨트롤러로 가상 DC를 권장하는 이유 중 하나입니다.

포리스트 복제 상태 확인

유효성 검사 후 DC를 프로덕션 네트워크에 조인하고 포리스트 복제 상태를 확인하는 단계를 완료합니다.

• 이름 확인을 수정하려면 DNS 위임 레코드를 만들고 필요에 따라 DNS 전달 및 루트 힌트를 구성합니다.
• 실행 repadmin /replsum 하여 DC 간의 복제를 확인합니다.
• 복원된 DC가 직접 복제 파트너가 아닌 경우 복제 복구는 둘 사이에 임시 연결 개체를 만들어 훨씬 더 빠릅니다.
• 메타데이터 정리의 유효성을 검사하려면 포리스트의 모든 DC 목록을 실행 Repadmin /viewlist \* 합니다. 도메인의 모든 DC 목록을 실행 Nltest /DCList:***\<domain\>* 합니다.
• DC 및 DNS 상태를 확인하려면 실행 DCDiag /v 하여 포리스트의 모든 DC에 대한 오류를 보고합니다.

포리스트 루트 도메인의 도메인 컨트롤러에 글로벌 카탈로그 추가

다음과 같은 이유로 글로벌 카탈로그가 필요합니다.

• 사용자에 대해 로그온을 활성화 하려면.
• 각 자식 도메인의 DC에서 실행되는 Net Logon 서비스를 사용하여 루트 도메인의 DNS 서버에서 레코드를 등록하고 제거할 수 있도록 합니다.

포리스트 루트 DC가 글로벌 카탈로그인 것이 선호되지만 일반적으로 모든 DC를 글로벌 카탈로그로 결정하는 것이 좋습니다.

참고 항목

DC는 포리스트에 있는 모든 디렉터리 파티션의 전체 동기화가 완료될 때까지 글로벌 카탈로그 서버로 보급되지 않습니다. 따라서 DC는 포리스트에서 복원된 각 DC와 함께 복제해야 합니다.

이 DC가 글로벌 카탈로그 서버임을 나타내는 이벤트 ID 1119에 대한 이벤트 뷰어 디렉터리 서비스 이벤트 로그를 모니터링하거나 다음 레지스트리 키의 값이 1인지 확인합니다.

**HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Global Catalog
Promotion Complete**

자세한 내용은 글로벌 카탈로그 추가를 참조하세요.

이 단계에서는 각 도메인에 대해 하나의 DC와 포리스트에 하나의 글로벌 카탈로그가 있는 안정적인 포리스트가 있어야 합니다. 방금 복원한 각 DC의 새 백업을 만들어야 합니다. 이제 AD DS를 설치하고 추가 글로벌 카탈로그 서버를 구성하여 포리스트의 다른 DC를 다시 배포할 수 있습니다.

다음 단계

• AD 포리스트 복구 - 필수 조건
• AD Forest Recovery - Devise 사용자 정의 포리스트 복구 계획
• AD Forest Recovery - 포리스트 복원 단계
• AD Forest Recovery - 문제 식별
• AD 포리스트 복구 - 복구 방법 결정
• AD 포리스트 복구 - 초기 복구 수행
• AD 포리스트 복구 - 절차
• AD Forest Recovery - 자주 묻는 질문(FAQ)
• AD Forest Recovery - 멀티 도메인 포리스트 내에서 단일 도메인 복구하기
• AD Forest Recovery - 나머지 DC 다시 배포
• AD 포리스트 복구 - 가상화
• AD Forest Recovery - 정리