Perché non dovresti ripristinare un controller di dominio di cui è stato eseguito il backup 6 mesi fa?

Mentre sto imparando i servizi di dominio Active Directory ho trovato questa domanda in uno dei blog ma non sono riuscito a trovare una risposta dettagliata. Quindi, per favore, qualcuno può spiegarmi questo concetto.

active-directory domain-controller azure-active-directory

— user416535
fonte

Perché dovresti avere backup più recenti?

— Craig Watson

A meno che ... tutti i backup più recenti si trovassero nella stessa area di deposizione nucleare, rendendo questo singolare backup off-site l'unico backup utilizzabile dell'ultimo DC. In casi di forza maggiore nessuno ti biasimerebbe per non avere un backup per l'imprevisto. Per qualcosa di meno dovresti avere backup regolari e automatizzati.

— Esa Jokinen,

regolare, automatizzato, monitorato e testato . Non vuoi davvero capire che il tuo backup non riesce da 3 mesi o non può essere ripristinato nel momento in cui ne hai assolutamente bisogno.

— JFL,

Molti anni fa ho ripristinato un vecchio server NT4 AD su alcuni kit di riserva, ho scaricato le parti dell'AD necessarie e poi le ho massaggiate in un editor di testo. Avrebbe potuto importare quei dati massaggiati nel server live, ma non era necessario. La memoria sta diventando lanosa dopo ~ 17 anni, non riesco a pensare al nome del software che mi dispiace.

— Criggie,

Risposte:

C'è una cosa chiamata tombstone lifetimein Active Directory. Quando si elimina un oggetto in Active Directory, questo non viene immediatamente eliminato, viene convertito in una lapide e queste informazioni vengono replicate negli altri controller di dominio. Quando viene raggiunta la durata della lapide, l'oggetto verrà eliminato. Se ripristini prima di uno stato prima dell'eliminazione e tomsbtone non viene replicato nel controller di dominio ripristinato prima della scadenza, l'oggetto rimarrà presente nel controller di dominio ripristinato ma non negli altri controller di dominio. Ora hai dati incoerenti. La durata predefinita di tomsbtone per Server 2008 e successivi è di 180 giorni (= 6 mesi).

— duenni
fonte

Può essere ripristinato se è l'unico controller di dominio nel dominio. Se non è l'unico controller di dominio, il ripristino è irrilevante perché gli altri controller di dominio non si replicheranno con un controller di dominio ripristinato precedente a TSL. Inoltre, non esistono casi pratici per ripristinare un controller di dominio se sono disponibili altri controller di dominio, a meno che non venga fumato l'intero dominio / foresta. In tal caso, non conserverebbero alcun controller di dominio esistente, ma ripristinerebbero il vecchio backup su un controller di dominio e promuoveranno tutti i nuovi controller di dominio.

— Greg Askew,

Sì, il ripristino di un backup così vecchio ti darà più problemi perché anche le password del canale sicuro sono scadute, quindi nessun client parlerà con questo controller di dominio e dovrai ricongiungere tutti i client all'AD. Tutto sommato, questa non è una buona idea.

— duenni,

Non penso che nessuno stia dicendo che sia una buona idea. Se l'unico backup disponibile è più vecchio di TSL, può essere ripristinato.

— Greg Askew,

Ok, rimuoverò l'ultima frase dalla mia risposta perché può essere fuorviante.

— duenni,

Non solo oggetti eliminati.

Supponiamo per un po 'che alcuni server siano stati configurati IIS, Certificate server (PKI), i criteri siano stati applicati su OU, la delega è stata data ad alcuni utenti, l'autenticazione è stata fatta su alcuni utenti AD come l'accesso VPN, ecc.

Tutte queste modifiche verranno sostituite con Active Directory precedente. Questa azione non è affatto accettabile.

— Sairam
fonte

Non necessariamente. Il ripristino non autorevole replicherà i dati esistenti da un altro controller di dominio ma porterà a dati incoerenti se la durata della lapide è scaduta (oltre al fatto che non ti consentirà di ripristinare un backup che è più vecchio della durata della lapide in primo luogo ).

— duenni,