Pourquoi ne pas restaurer un DC sauvegardé il y a 6 mois?

Comme j'apprends les services de domaine Active Directory, je suis tombé sur cette question dans l'un des blogs mais je n'ai pas pu trouver de réponse détaillée. Alors s'il vous plaît, quelqu'un peut-il m'expliquer ce concept.

active-directory domain-controller azure-active-directory user416535
la source

Parce que vous devriez avoir des sauvegardes plus récentes?

Craig Watson

À moins que ... toutes les sauvegardes les plus récentes se trouvent sur la même zone de dépôt nucléaire, ce qui fait de cette sauvegarde hors site unique la seule sauvegarde utilisable du dernier DC. En cas de force majeure , personne ne vous reprocherait de ne pas avoir de sauvegarde pour l'inattendu. Pour rien de moins, vous devriez avoir des sauvegardes régulières et automatisées.

Esa Jokinen

régulier, automatisé, surveillé et testé . Vous ne voulez vraiment pas réaliser que votre sauvegarde échoue pendant 3 mois ou ne peut pas être restaurée au moment même où vous en avez absolument besoin.

JFL

Il y a de nombreuses années, j'ai restauré un ancien serveur NT4 AD dans un kit de rechange, j'ai vidé les pièces de l'AD nécessaires, puis les ai massées dans un éditeur de texte. Aurait pu importer ces données massées dans le serveur en direct, mais cela n'était pas nécessaire. La mémoire devient laineuse après environ 17 ans, je ne peux pas penser au nom du logiciel désolé.

Criggie

Réponses:

Il y a une chose appelée tombstone lifetimedans Active Directory. Lorsque vous supprimez un objet dans Active Directory, il n'est pas immédiatement parti, il est converti en pierre tombale et ces informations sont répliquées sur les autres contrôleurs de domaine. Lorsque la durée de vie de la pierre tombale est atteinte, l'objet est purgé. Si vous restaurez avant un état avant la suppression et que le tomsbtone n'est pas répliqué sur le DC restauré avant son expiration, l'objet restera présent dans votre DC restauré mais pas dans les autres DC. Vous disposez maintenant de données incohérentes. La durée de vie par défaut de tomsbtone pour Server 2008 et versions ultérieures est de 180 jours (= 6 mois).

duenni
la source

Il peut être restauré s'il s'agit du seul contrôleur de domaine du domaine. S'il ne s'agit pas du seul contrôleur de domaine, la restauration n'est pas pertinente car les autres contrôleurs de domaine ne se répliqueront pas avec un contrôleur de domaine restauré plus ancien que TSL. Il n'y a pas non plus de cas pratiques pour restaurer un contrôleur de domaine si d'autres contrôleurs de domaine sont disponibles, à moins que l'intégralité du domaine / forêt soit fumé. Dans ce cas, ils ne conserveraient aucun des contrôleurs de domaine existants, mais restaureraient l'ancienne sauvegarde sur un contrôleur de domaine et feraient la promotion de tous les nouveaux contrôleurs de domaine.

Greg Askew

Oui, la restauration d'une telle sauvegarde ancienne vous posera plus de problèmes car les mots de passe des canaux sécurisés ont également expiré, donc aucun client ne parlera à ce contrôleur de domaine et vous devrez rejoindre tous les clients sur l'AD. Dans l'ensemble, ce n'est pas une bonne idée.

duenni

Je pense que personne ne dit que c'est une bonne idée. Si la seule sauvegarde disponible est antérieure à TSL, elle peut être restaurée.

Greg Askew

D'accord, je vais supprimer la dernière phrase de ma réponse car elle peut être trompeuse.

duenni

Non seulement les objets supprimés.

Supposons pendant un certain temps que certains serveurs ont été configurés IIS, serveur de certificats (PKI), des politiques ont été appliquées sur l'unité d'organisation, une délégation a été donnée à certains utilisateurs, l'authentification a été effectuée sur certains utilisateurs AD comme l'accès VPN, etc.

Toutes ces modifications seront remplacées par l'ancien Active Directory. Cette action n'est pas acceptable du tout.

Sairam
la source

Pas nécessairement. La restauration sans autorité répliquera les données existantes d'un autre contrôleur de domaine, mais elle entraînera des données incohérentes si la durée de vie de désactivation a expiré (outre le fait qu'elle ne vous permettra pas de restaurer une sauvegarde qui est plus ancienne que la durée de vie de désactivation en premier lieu ).

duenni