Neden 6 ay önce yedeklenmiş bir DC'yi geri yüklemesiniz?

Active Directory Etki Alanı Hizmetlerini öğrenirken, bloglardan birinde bu soruya rastladım, ancak ayrıntılı bir cevap bulamadım. Bu yüzden lütfen bana kimse bu kavramı açıklayabilir.

active-directory domain-controller azure-active-directory

— user416535
kaynak

Daha yeni yedeklemeleriniz olması gerektiği için mi?

— Craig Watson

Tabii ... daha yeni yedeklemeler aynı nükleer biriktirme alanında bulunuyordu ve bu tekil site dışı yedeklemeyi son DC'nin kullanılabilir tek yedeği haline getirdi. Açık kuvvet sebep vakalar kimse beklenmedik bir yedeğini olmaması için seni suçlamaz. Daha az bir şey için düzenli ve otomatik yedeklemeleriniz olmalıdır.

— Esa Jokinen

düzenli, otomatikleştirilmiş, izlenmiş ve test edilmiş . Yedeklemenizin 3 ay boyunca başarısız olduğunu veya kesinlikle ihtiyacınız olduğu anda geri yüklenemeyeceğini anlamak istemezsiniz.

— JFL

Yıllar önce eski bir NT4 AD sunucusunu bazı yedek kitlere geri yükledim, AD'nin ihtiyaç duyduğu parçaları döktüm ve sonra bir metin düzenleyicisine masaj yaptım. Bu masaj verisini canlı sunucuya aktarmış olabilirdi, ancak buna gerek yoktu. Hafıza ~ 17 yıl sonra yünlü hale geliyor, yazılımın adını özür dilerim.

— Criggie

Yanıtlar:

tombstone lifetimeActive Directory'de bir şey var . Active Directory'deki bir nesneyi sildiğinizde hemen gitmez, bir kaldırıldı olarak işaretlenir ve bu bilgiler diğer DC'lere çoğaltılır. Kaldırıldı olarak işaretleme süresi dolduğunda nesne temizlenir. Silme işleminden önceki bir durumdan önce geri yüklerseniz ve tomsbtone geri yüklenen DC'ye süresi dolmadan çoğaltılmazsa, nesne geri yüklenen DC'nizde kalır, ancak diğer DC'lerde kalmaz. Şimdi tutarsız verileriniz var. Server 2008 ve sonrası için varsayılan tomsbtone ömrü 180 gündür (= 6 ay).

— duenni
kaynak

Etki alanındaki tek etki alanı denetleyicisi ise geri yüklenebilir. Tek DC değilse, diğer etki alanı denetleyicileri TSL'den daha eski bir geri yüklenen DC ile çoğaltılmayacağından geri yükleme önemsizdir. Tüm etki alanı / orman tütsülenmediği sürece, başka DC'ler varsa DC'yi geri yüklemek için pratik durumlar da yoktur. Bu durumda, mevcut DC'lerin hiçbirini tutmazlar, ancak eski yedeklemeyi bir DC'ye geri yükler ve tüm yeni DC'leri tanıtırlar.

— Greg Askew

Evet, böyle eski bir yedeklemeyi geri yüklemek size daha fazla sorun getirecektir, çünkü güvenli kanal şifrelerinin de süresi doldu, bu nedenle hiçbir müşteri bu DC ile konuşmayacak ve tüm istemcileri AD'ye yeniden eklemeniz gerekecek. Sonuçta bu iyi bir fikir değil.

— duenni

Kimsenin bunun iyi bir fikir olduğunu söylediğini sanmıyorum. Kullanılabilir tek yedekleme TSL'den daha eskiyse geri yüklenebilir.

— Greg Askew

Tamam, son cümleyi cevabımdan kaldıracağım çünkü yanıltıcı olabilir.

— duenni

Sadece silinmiş nesneler değil.

Bir süredir bazı sunucuların IIS, Sertifika sunucusu (PKI) yapılandırıldığını, kuruluş birimine politikalar uygulandığını, bazı kullanıcılara temsilci seçildiğini, VPN erişimi gibi bazı AD kullanıcılarında kimlik doğrulama yapıldığını varsayalım.

Tüm bu değişiklikler eski Active Directory ile değiştirilecektir. Bu eylem kabul edilemez.

— Sairam
kaynak

Şart değil. Yetkili olmayan geri yükleme, mevcut verileri başka bir DC'den çoğaltır, ancak kaldırıldı olarak işaretleme süresi dolduğunda tutarsız verilere neden olur (bunun yanı sıra, kaldırıldı olarak işaretleme süresi ömründen daha eski bir yedeği geri yüklemenize izin vermez ).

— duenni