AD 포리스트 복구 - FAQ

복구 속도가 이 가이드의 주요 목표는 아니지만 다음을 통해 복구 시간을 단축할 수 있습니다.

• 자세한 포리스트 복구 계획을 만들고, 정기적으로 업데이트하고, 최소 1년에 한 번 적절한 크기의 시뮬레이트된 테스트 환경에서 연습합니다.
• BMR(완전 복구) 또는 시스템 상태 복구를 모두 제공하는 Windows Server Backup FULL 백업 을 수행합니다.
• 가상화된 DC(도메인 컨트롤러) 복제 사용 가상화된 DC 복제는 도메인 서비스의 원래 대역폭을 복원하기 위해 배포된 추가 도메인 컨트롤러를 가져오는 프로세스를 신속하게 처리합니다. 한 DC가 각 도메인의 백업에서 복원된 후 실행되는 DC는 인증되지 않는 복원이므로 복제 작업 중에도 PDC 에뮬레이터를 사용할 수 있어야 합니다. 추가 가상화된 DC는 잠재적으로 긴 AD DS 설치가 완료될 때까지 기다리지 않고 복제할 수 있으며 설치 후 비임계 복제가 완료될 때까지 대기할 수 있습니다. 가상 DC가 비교적 적은 수의 잘 연결된 데이터 센터에서 호스팅되는 포리스트는 복구 중에 복제를 통해 가장 많은 이점을 얻을 수 있습니다. 그러나 동일한 도메인에 대한 여러 가상화된 DC가 동일한 하이퍼바이저 호스트에 공동 배치되는 모든 환경이 도움이 됩니다.
• Media IFM 에서 설치를 사용하면 델타만 복제되므로 복제 트래픽을 줄여 전체 복제에 필요한 시간을 줄일 수 있습니다. 또한 여러 DC를 빠르게 설치할 수 있습니다.
• 복잡한 원격 사이트 시나리오를 사용하는 경우(드문 경우): -** 허브 또는 준비 사이트의 하나 또는 여러 서버에 AD DS를 설치하고 원격 사이트로 배송합니다.
  • 기본 데이터 센터 위치에서 BDR(기본 백업 및 재해 복구) 시스템으로 지정된 DC 외에도 연결이 좋지 않은 DC에 대한 백업/복원 절차를 구현합니다. 복원된 DC를 다른 위치에 기본 데이터 센터 DC와 동기화하는 단계를 추가해야 합니다. 이렇게 하려면 하나의 DC를 컴퓨터 계정 참조로 지정하고 여기서만 KDCSVC를 실행할 수 있도록 합니다. 복원한 다른 DC에서 Netdom.exe를 사용하여 도메인 컨트롤러 암호 재설정의 단계를 수행합니다.
• RODC(읽기 전용 도메인 컨트롤러) RODC를 배포하면 쓰기 가능한 DC처럼 네트워크에서 연결을 끊을 필요가 없으므로 복구 프로세스 중에 비즈니스 연속성을 제공할 수 있습니다. RODC는 아웃바운드 복제를 수행하지 않습니다. 따라서 쓰기 가능한 DC가 손상된 데이터를 복구된 환경으로 다시 복제하기 위해 제기하는 것과 동일한 위험을 제시하지는 않습니다.

포리스트 복구 프로세스의 기간에 영향을 주는 다른 요인은 다음과 같습니다.

• 도메인 컨트롤러가 가상 머신인 경우 스냅샷 복원을 활용하여 DC를 알려진 정상 상태로 롤백할 수 있습니다. 백업에 사용되는 스냅샷에는 사용 가능한 백업 기록을 갖기 위해 VM 서버의 스냅샷에 대한 디스크 공간 가용성과 같은 여러 가지 주의 사항이 함께 제공될 때 권장되는 방법은 아닙니다. 복구를 위한 주요 수단으로 일반 백업을 사용하는 것이 좋습니다. VM 스냅샷은 도메인 이름 바꾸기 또는 대규모 스키마 업데이트와 같은 포리스트 전체 업데이트와 같은 중요한 변경 후 문제에서 복구하는 데 도움이 될 수 있습니다. 참고: 필요한 경우 SYSVOL을 DFSR에 대한 신뢰할 수 있는 권한으로 수동으로 표시해야 합니다. 가상화된 도메인 컨트롤러에 대한 자세한 내용은 가상화된 도메인 컨트롤러 아키텍처를 참조 하세요.

• 백업에서 DC를 복원하는 경우 복구 시나리오에 따라 테이프와 같은 물리적 백업 미디어를 찾아서 검색하고, 운영 체제를 다시 설치하고, 백업 미디어에서 데이터를 복원하는 데 시간이 걸립니다.

  참고 항목

  시스템 상태 복원 대신 BMR 복구를 수행하여 운영 체제를 다시 설치하고 백업에서 데이터를 복원하는 데 필요한 시간을 줄일 수 있습니다. 완전 복구는 이진 기반이므로 시스템 상태 복원보다 훨씬 빠르게 완료됩니다. 그러나 서버에 복원하지 않으려는 시스템 상태 데이터에서 제외된 데이터가 포함된 경우 완전 복구는 시스템 상태 복원에 대한 실행 가능한 대안이 아닐 수 있습니다. 서버에 대한 시스템 상태 복원 대신 전체 서버 복구를 수행하는 장점을 고려하고 나중에 복원하려는 적절한 유형의 백업을 수행하여 적절하게 준비합니다. 일반적인 모범 사례에서는 BMR 또는 시스템 상태 복원 유형 모두에 대해 제공하는 FULL 백업을 수행하는 것이 좋습니다.

  • 복제를 통해 DC를 다시 빌드하는 경우 네트워크 기반 승격을 위해 데이터를 복제하는 데 시간이 걸립니다. 승격할 파트너와 동일한 서브넷에 새 도메인 컨트롤러를 배치하여 DC를 복원하는 데 필요한 시간을 줄일 수 있습니다. 이렇게 하면 네트워크 왕복 및 처리량으로 인한 지연이 최소화됩니다.

• 다음을 통해 백업 미디어를 검색하는 시간을 줄입니다.

  • Dsamain.exe(Active Directory 데이터베이스 탑재 도구) 를 사용하여 복원 작업에 사용할 최상의 백업을 식별합니다. Active Directory 데이터베이스 탑재 도구를 사용하는 방법에 대한 자세한 내용은 Active Directory 데이터베이스 탑재 도구 단계별 가이드를 참조 하세요.
  • 백업 미디어에 명확하게 레이블을 지정하고 빠른 검색을 허용하는 편리하면서도 안전한 위치에 구성된 방식으로 미디어를 저장합니다. 백업에 따라 유효한 자격 증명이 있는지 확인합니다.

• 운영 체제를 다시 설치하는 대신 DC 에서 AD DS를 강제로 제거합니다. 포리스트 전체 오류의 원인이 순전히 AD DS 범위 내에 있는 것으로 확인된 경우 DC에 운영 체제를 다시 설치할 필요가 없습니다. DC에서 AD DS를 강제로 제거하는 방법에 대한 자세한 내용은 Windows Server 2008 도메인 컨트롤러 강제 제거(https://go.microsoft.com/fwlink/?LinkId=132627)를 참조하세요.

• 더 빠른 테이프 디바이스 또는 디스크 백업을 사용하여 복원 작업에 필요한 시간을 줄입니다. 보다 적극적인 SLA(서비스 수준 계약)가 있는 기업은 복구 속도를 높이기 위해 포리스트 복구 절차를 변경하는 것을 고려할 수 있습니다.

포리스트 복구 프로세스의 복잡하고 중요한 특성으로 인해 현재 엔드 투 엔드 자동화가 없습니다. 포리스트 복구 프로세스는 프로세스 자동화의 기술적 문제보다 비즈니스 연속성을 복원하는 물류 및 조직의 과제입니다. 따라서 환경을 관리하는 개인은 해당 환경과 관련된 포리스트 복구 계획을 만든 다음 성공적으로 자동화할 수 있는 섹션을 자동화해야 합니다.

명령줄 도구를 사용하여 대부분의 포리스트 복구 단계를 수행할 수 있습니다. 따라서 대부분의 단계를 스크립처할 수 있습니다. 예를 들어 포리스트 Ntdsutil.exe 복구 프로세스에서 가장 자주 사용되는 도구 중 하나입니다.

스크립트는 복구 속도를 높일 수 있지만 실제 환경에서 적용하기 전에 이러한 스크립트를 철저히 테스트해야 합니다. 또한 새 도메인 또는 DC 추가 또는 새 버전의 Active Directory와 같은 Active Directory 환경의 변경 내용에 따라 업데이트해야 합니다.

다음 단계

• AD 포리스트 복구 - 필수 조건
• AD 포리스트 복구 - 사용자 지정 포리스트 복구 계획 고안
• AD 포리스트 복구 - 포리스트 복원 단계
• AD 포리스트 복구 - 문제 식별
• AD 포리스트 복구 - 복구 방법 결정
• AD 포리스트 복구 - 초기 복구 수행
• AD 포리스트 복구 - 절차
• AD 포리스트 복구 - FAQ(질문과 대답)
• AD 포리스트 복구 - 다중 도메인 포리스트 내에서 단일 도메인 복구
• AD 포리스트 복구 - 나머지 DC 다시 배포
• AD 포리스트 복구 - 가상화
• AD 포리스트 복구 - 정리