¿Por qué no debería restaurar un DC del que se realizó una copia de seguridad hace 6 meses?

Cuando estoy aprendiendo los Servicios de dominio de Active Directory, me encontré con esta pregunta en uno de los blogs, pero no pude encontrar una respuesta detallada. Entonces, ¿alguien puede explicarme este concepto?

active-directory domain-controller azure-active-directory

— usuario416535
fuente

¿Porque debería tener copias de seguridad más recientes?

— Craig Watson

A menos que ... todas las copias de seguridad más recientes estuvieran en la misma área de deposición nuclear, haciendo que esta copia de seguridad fuera del sitio sea la única copia de seguridad utilizable del último DC. En casos de fuerza mayor , nadie lo culparía por no tener un respaldo para lo inesperado. Por lo menos, debe tener copias de seguridad periódicas y automatizadas.

— Esa Jokinen

regular, automatizado, monitoreado y probado . Realmente no desea darse cuenta de que su copia de seguridad falla durante 3 meses o no se puede restaurar en el momento en que la necesita.

— JFL

Hace muchos años, restauré un antiguo servidor NT4 AD en un kit de repuesto, descargué las partes de AD necesarias y luego las masajeé en un editor de texto. Podría haber importado esos datos masajeados en el servidor en vivo, pero eso no era necesario. La memoria se está volviendo loca después de ~ 17 años, no puedo pensar en el nombre del software, lo siento.

— Criggie

Respuestas:

Hay una cosa llamada tombstone lifetimeen Active Directory. Cuando elimina un objeto en Active Directory, no desaparece de inmediato, se convierte en una lápida y esta información se replica en los otros DC. Cuando se alcanza la vida útil de la lápida, el objeto será purgado. Si restaura antes de un estado anterior a la eliminación y el tomsbtone no se replica en el DC restaurado antes de que expire, el objeto permanecerá presente en su DC restaurado pero no en los otros DC. Ahora tienes datos inconsistentes. La duración predeterminada de tomsbtone para Server 2008 y posteriores es de 180 días (= 6 meses).

— duenni
fuente

Se puede restaurar si es el único controlador de dominio en el dominio. Si no es el único DC, la restauración es irrelevante porque los otros controladores de dominio no se replicarán con un DC restaurado que sea anterior a TSL. Tampoco hay casos prácticos para restaurar un DC si hay otros DC disponibles, a menos que todo el dominio / bosque esté fumado. En ese caso, no conservarían ninguno de los DC existentes, sino que restaurarían la copia de seguridad anterior a un DC y promoverían todos los DC nuevos.

— Greg Askew

Sí, restaurar una copia de seguridad tan antigua le causará más problemas porque las contraseñas del canal seguro también caducaron, por lo que ningún cliente hablará con este DC y tendrá que volver a unir a todos los clientes al AD. En general, esto no es una buena idea.

— duenni

No creo que nadie diga que es una buena idea. Si la única copia de seguridad disponible es anterior a TSL, se puede restaurar.

— Greg Askew

Ok, eliminaré la última oración de mi respuesta porque puede ser engañosa.

— duenni

No solo objetos eliminados.

Supongamos por un tiempo que algunos servidores se han configurado IIS, el servidor de certificados (PKI), las políticas se han aplicado en OU, la delegación se ha otorgado a algunos usuarios, la autenticación se ha realizado en algunos usuarios de AD, como el acceso VPN, etc.

Todos estos cambios serán reemplazados por el antiguo Active Directory. Esta acción no es aceptable en absoluto.

— Sairam
fuente

No necesariamente. La restauración no autorizada replicará los datos existentes de otro DC, pero conducirá a datos inconsistentes si la vida útil de la lápida ha expirado (además del hecho de que, en primer lugar, no le permitirá restaurar una copia de seguridad que sea anterior a la vida útil de la lápida) )

— duenni