Active Directory 포리스트 복구 - 문제 식별
적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 및 2012
이벤트 로그 또는 기타 모니터링 솔루션과 같이 포리스트 전체 오류의 증상이 나타나면 Microsoft 지원 사용하여 오류의 원인을 확인하고 가능한 해결 방법을 평가합니다.
[! MPORTANT] 이 가이드에서는 해킹되거나 손상된 포리스트를 복구하는 방법에 대한 보안 권장 사항을 다루지 않습니다. 일반적으로 Active Directory 보안 및 Pass-the-Hash 완화 기술에 대한 모범 사례를 따라 환경을 강화하는 것이 좋습니다. 자세한 내용은 PtH(Pass-the-Hash) 공격 및 기타 자격 증명 도난 기술 완화를 참조 하세요.
포리스트 전체 오류의 예
- 모든 DC는 논리적으로 손상되었거나 물리적으로 손상되어 비즈니스 연속성이 불가능합니다. 예를 들어 AD DS에 의존하는 모든 비즈니스 애플리케이션이 작동하지 않습니다.
- 악의적인 관리자가 Active Directory 환경을 손상했습니다.
- 공격자가 의도적으로 또는 관리자가 실수로 포리스트에 데이터 손상을 분산하는 스크립트를 실행합니다.
- 공격자가 의도적으로 또는 관리자가 실수로 악의적이거나 충돌하는 변경 내용으로 Active Directory 스키마를 확장합니다.
- 콘텐츠 또는 Do기본 컨트롤러의 백업이 외부 당사자에게 노출되었지만 유출된 자격 증명은 AD 데이터를 수정하는 데 사용되지 않았습니다. 이 경우 백업에서 AD 데이터베이스를 복원하고 모든 DC를 다시 설치할 필요가 없습니다. 사용자, 컴퓨터, 트러스트 및 (g)MSA 계정의 모든 암호를 재설정해야 할 수 있습니다.
- 공격자가 DC에 악성 소프트웨어를 설치했으며 Microsoft 지원 백업에서 포리스트를 복구하라는 권고를 받았습니다.
- 어떤 DC도 복제본(replica) 파트너와 복제본(replica) 수 없습니다.
- 어떤 기본 컨트롤러에서 AD DS를 변경할 수 없습니다.
- 새 DC는 어떤 기본 설치할 수 없습니다.