Чому б вам не відновити постійний струм, який був резервний файл 6 місяців тому?

Коли я навчаюсь доменних служб Active Directory, я натрапив на це питання в одному з блогів, але детальної відповіді мені не вдалося знайти. Тож будь-хто може мені пояснити цю концепцію.

active-directory domain-controller azure-active-directory

— користувач416535
джерело

Тому що у вас повинні бути новіші резервні копії?

— Крейг Уотсон

Якщо тільки ... всі новіші резервні копії були на одній і тій же зоні осадження ядер, що зробило це єдине резервне копіювання за межі місця єдиним корисним резервним пристроєм останнього ДК. У випадках непереборної сили ніхто не звинувачуватиме вас у тому, що у вас немає резервної копії за несподіване. Для нічого менше у вас повинні бути регулярні та автоматизовані резервні копії.

— Еса Йокінен

регулярні, автоматизовані, відстежувані та перевірені . Ви дійсно не хочете усвідомлювати, що ваша резервна копія виходить з ладу протягом 3 місяців або не може бути відновлена в той самий момент, коли вона вам абсолютно потрібна.

— JFL

Багато років тому я відновив стародавній сервер NT4 AD до якогось запасного комплекту, скинув потрібні частини AD, а потім масажував їх у текстовому редакторі. Можливо, імпортували ці масажовані дані на живий сервер, але це було не потрібно. Пам'ять затухає після ~ 17 років, не можу придумати назву програмного забезпечення.

— Criggie

Відповіді:

Існує річ, яка називається tombstone lifetimeв Active Directory. Коли ви видаляєте об'єкт в Active Directory, він одразу не зникає, він перетворюється на надгробний камінь, і ця інформація реплікується в інші постійні токи. Після досягнення терміну експлуатації надгробного каменю об'єкт буде очищений. Якщо ви відновите до стану перед видаленням, а томсбтон не реплікується до відновленого постійного струму до його закінчення, об'єкт залишиться присутній у вашому відновленому постійному струмі, але не в інших постійних токах. Тепер у вас є суперечливі дані. Термін служби tomsbtone для Server 2008 і далі становить 180 днів (= 6 місяців).

— duenni
джерело

Його можна відновити, якщо це єдиний контролер домену в домені. Якщо це не єдиний DC, відновлення не має значення, оскільки інші контролери домену не будуть реплікуватись із відновленим постійним струмом, старшим за TSL. Також не існує жодних практичних випадків відновлення постійного струму, якщо є інші ДК, якщо тільки не паліть весь домен / ліс. У такому випадку вони не зберігатимуть жодного з існуючих постійного струму, але відновлять стару резервну копію до одного постійного струму та просувають усі нові постійні копії.

— Грег Аскеу

Так, відновлення такої старої резервної копії доставить вам більше проблем, оскільки термін дії паролів захищеного каналу також закінчився, тому жоден клієнт не буде спілкуватися з цим постійним клієнтом, і вам доведеться знову приєднати всіх клієнтів до AD. В цілому це не дуже гарна ідея.

— duenni

Я не думаю, що хтось каже, що це гарна ідея. Якщо є лише резервна копія, старша за TSL, її можна відновити.

— Грег Аскеу

Гаразд, я видалю останнє речення зі своєї відповіді, оскільки воно може ввести в оману.

— дуєнні

Не тільки видалені об’єкти.

Припустимо на деякий час припустити, що на деяких серверах було налаштовано IIS, сервер сертифікатів (PKI), застосовано політику щодо OU, делегуванню було надано деяким користувачам, аутентифікацію було зроблено для деяких користувачів AD, наприклад, доступ до VPN тощо.

Усі ці зміни будуть замінені на старий Active Directory. Ця дія зовсім не прийнятна.

— Сайрам
джерело

Не обов'язково. Неавторитетне відновлення буде повторювати наявні дані з іншого постійного струму, але це призведе до непослідовних даних, якщо термін експлуатації надгробної пам’яті закінчився (окрім того, що він не дозволить вам відновити резервну копію, старшу за термін життя надгробної пам’яті в першу чергу ).

— дуєнні