포리스트를 복구하는 방법 결정

적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 및 2012 R2, Windows Server 2008 및 2008 R2

전체 Active Directory 포리스트를 복구하려면 백업에서 복원하거나 포리스트의 모든 DC(도메인 컨트롤러)에 AD DS(Active Directory Domain Services)를 다시 설치해야 합니다. 포리스트를 복구하면 마지막으로 신뢰할 수 있는 백업 시 포리스트의 각 도메인이 해당 상태로 복원됩니다. 따라서 복원 작업을 수행하면 다음 Active Directory 데이터 이상이 손실됩니다.

  • 마지막으로 신뢰할 수 있는 백업 후에 추가된 모든 개체(예: 사용자 및 컴퓨터)
  • 마지막으로 신뢰할 수 있는 백업 이후 기존 개체에 대한 모든 업데이트
  • 마지막으로 신뢰할 수 있는 백업 이후 AD DS의 구성 파티션 또는 스키마 파티션에 적용된 모든 변경 내용(예: 스키마 변경)

포리스트의 각 도메인에 대해 도메인 관리자 계정의 암호를 알고 있어야 합니다. 기본 제공 관리자 계정의 암호인 것이 좋습니다. DC의 시스템 상태 복원을 수행하려면 DSRM 암호도 알고 있어야 합니다. 일반적으로 백업이 유효한 한, 즉 삭제 표시 수명 기간 내에 또는 Active Directory 휴지통을 사용하는 경우 삭제된 개체 수명 기간 내에 관리자 계정 및 DSRM 암호 기록을 안전한 위치에 보관하는 것이 좋습니다. 기억하기 쉽도록 DSRM 암호를 도메인 사용자 계정과 동기화할 수도 있습니다. 자세한 내용은 KB 문서 961320을 참조하세요. DSRM 계정 동기화는 준비의 일환으로 포리스트 복구 전에 수행해야 합니다.

참고

관리자 계정은 도메인 관리자 및 Enterprise Admins 그룹과 마찬가지로 기본적으로 기본 제공 Administrators 그룹의 구성원입니다. 이 그룹은 도메인의 모든 DC를 완전히 제어할 수 있습니다.

사용할 백업 결정

각 도메인에 대해 두 개 이상의 쓰기 가능한 DC를 정기적으로 백업하므로 여러 백업 중에서 선택할 수 있습니다. RODC(읽기 전용 도메인 컨트롤러)의 백업을 사용하여 쓰기 가능한 DC를 복원할 수 없습니다. 오류가 발생하기 며칠 전에 수행된 백업을 사용하여 DC를 복원하는 것이 좋습니다. 일반적으로 복원된 데이터의 최근성과 안전성 간의 절충을 결정해야 합니다. 최신 백업을 선택하면 더 유용한 데이터가 복구되지만 복원된 포리스트에 위험한 데이터를 다시 도입할 위험이 높아질 수 있습니다.

시스템 상태 백업 복원은 백업의 원래 운영 체제 및 서버에 따라 달라집니다. 예를 들어 시스템 상태 백업을 다른 서버로 복원해서는 안 됩니다. 이 경우 다음과 같은 경고가 표시 될 수 있습니다.

"지정된 백업이 현재 서버와 다른 서버입니다. 서버를 사용할 수 없게 될 수 있으므로 대체 서버에 백업하여 시스템 상태 복구를 수행하지 않는 것이 좋습니다. 현재 서버를 복구하는 데 이 백업을 사용하시겠습니까?"

Active Directory를 다른 하드웨어로 복원해야 하는 경우 전체 서버 백업을 만들고 전체 서버 복구를 수행할 계획입니다.

중요

Windows Server 2008부터는 시스템 상태 백업을 새 하드웨어 또는 동일한 하드웨어에 Windows Server의 새 설치로 복원하는 것이 지원되지 않습니다. 이 가이드의 뒷부분에서 권장한 대로 Windows Server가 동일한 하드웨어에 다시 설치되는 경우 다음 순서대로 도메인 컨트롤러를 복원할 수 있습니다.

  1. 운영 체제 및 모든 파일 및 애플리케이션을 복원하기 위해 전체 서버 복원을 수행합니다.
  2. SYSVOL을 신뢰할 수 있는 것으로 표시하려면 wbadmin.exe 사용하여 시스템 상태 복원을 수행합니다.

자세한 내용은 Microsoft KB 문서 249694 참조하세요.

실패 발생 시간을 알 수 없는 경우 추가로 조사하여 포리스트의 마지막 안전 상태를 유지하는 백업을 식별합니다. 이 방법은 덜 바람직합니다. 따라서 포리스트 전체 오류가 있는 경우 대략적인 실패 시간을 식별할 수 있도록 AD DS의 상태에 대한 자세한 로그를 매일 유지하는 것이 좋습니다. 또한 더 빠른 복구를 위해 백업의 로컬 복사본을 유지해야 합니다.

Active Directory 휴지통을 사용하는 경우 백업 수명은 deletedObjectLifetime 값 또는 tombstoneLifetime 값 중 더 적은 값과 같습니다. 자세한 내용은 Active Directory 휴지통 단계별 가이드 ()를 참조하세요.

또는 Dsamain.exe(Active Directory 데이터베이스 탑재 도구) 및 LDAP(Lightweight Directory Access Protocol) 도구(예: Ldp.exe 또는 Active Directory 사용자 및 컴퓨터)를 사용하여 포리스트의 마지막 안전 상태를 가진 백업을 식별할 수도 있습니다. Windows Server 2008 이상 Windows Server 운영 체제에 포함된 Active Directory 데이터베이스 탑재 도구는 백업 또는 스냅샷에 저장된 Active Directory 데이터를 LDAP 서버로 노출합니다. 그런 다음 LDAP 도구를 사용하여 데이터를 찾아볼 수 있습니다. 이 방법은 DSRM(Directory Services 복원 모드)에서 DC를 다시 시작하여 AD DS 백업의 내용을 검사할 필요가 없다는 장점이 있습니다.

Active Directory 데이터베이스 탑재 도구를 사용하는 방법에 대한 자세한 내용은 Active Directory 데이터베이스 탑재 도구 단계별 가이드를 참조하세요.

ntdsutil 스냅샷 명령을 사용하여 Active Directory 데이터베이스의 스냅샷을 만들 수도 있습니다. 정기적으로 스냅샷을 만들도록 작업을 예약하면 시간이 지남에 따라 Active Directory 데이터베이스의 추가 복사본을 가져올 수 있습니다. 이러한 복사본을 사용하여 포리스트 전체의 오류가 발생한 시기를 더 잘 식별한 다음 복원할 최상의 백업을 선택할 수 있습니다. 스냅샷을 만들려면 Windows Server 2008 또는 Windows Vista 이상용 RSAT(원격 서버 관리 도구)와 함께 제공되는 ntdsutil 버전을 사용합니다. 대상 DC는 모든 버전의 Windows Server를 실행할 수 있습니다. ntdsutil 스냅샷 명령을 사용하는 방법에 대한 자세한 내용은 스냅샷을 참조하세요.

복원할 도메인 컨트롤러 결정

복원 프로세스의 용이성은 복원할 도메인 컨트롤러를 결정할 때 중요한 요소입니다. 복원에 선호되는 DC인 각 도메인에 대한 전용 DC를 사용하는 것이 좋습니다. 전용 복원 DC를 사용하면 복원 테스트를 수행하는 데 사용된 것과 동일한 원본 구성을 사용하므로 포리스트 복구를 안정적으로 계획하고 실행할 수 있습니다. DC가 작업 마스터 역할을 보유하는지 여부 또는 GC 또는 DNS 서버인지 여부와 같은 다른 구성과 경합하지 않고 복구를 스크립토리할 수 있습니다.

참고

단순성을 위해 운영 마스터 역할 소유자를 복원하지 않는 것이 좋지만 일부 조직에서는 다른 이점을 위해 복원하도록 선택할 수 있습니다. 예를 들어 RID 마스터를 복원하면 복구 중에 RID를 관리하는 문제를 방지하는 데 도움이 될 수 있습니다.

다음 조건을 가장 잘 충족하는 DC를 선택합니다.

  • 쓰기 가능한 DC입니다. 필수 항목입니다.

  • VM-GenerationID를 지원하는 하이퍼바이저에서 가상 머신으로 Windows Server 2012 실행하는 DC입니다. 이 DC는 복제를 위한 원본으로 사용할 수 있습니다.

  • 물리적으로 또는 가상 네트워크에서 액세스할 수 있고 데이터 센터에 있는 것이 좋습니다. 이렇게 하면 포리스트 복구 중에 네트워크에서 쉽게 격리할 수 있습니다.

  • 전체 서버 백업이 좋은 DC입니다. 좋은 백업은 성공적으로 복원할 수 있고, 실패하기 며칠 전에 수행되었으며, 가능한 한 많은 유용한 데이터를 포함하는 백업입니다.

  • 오류가 발생하기 전에 DNS(Domain Name System) 서버였던 DC입니다. 이렇게 하면 DNS를 다시 설치하는 데 필요한 시간이 절약됩니다.

  • 또한 Windows Deployment Services를 사용하는 경우 BitLocker 네트워크 잠금 해제를 사용하도록 구성되지 않은 DC를 선택합니다. 이 경우 BitLocker 네트워크 잠금 해제는 포리스트 복구 중에 백업에서 복원하는 첫 번째 DC에 사용할 수 없습니다.

    BitLocker Network Unlock는 WDS(Windows Deployment Services)를 배포한 DC에서 유일한 키 보호기로 사용할 수 없습니다. 이렇게 하면 첫 번째 DC에서 잠금을 해제하기 위해 Active Directory 및 WDS가 작동해야 하는 시나리오가 발생하기 때문입니다. 그러나 첫 번째 DC를 복원하기 전에 WDS에 Active Directory를 아직 사용할 수 없으므로 잠금을 해제할 수 없습니다.

    DC가 BitLocker 네트워크 잠금 해제를 사용하도록 구성되어 있는지 확인하려면 다음 레지스트리 키에서 네트워크 잠금 해제 인증서가 식별되었는지 확인합니다.

    HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftSystemCertificatesFVE_NKP

Active Directory를 포함하는 백업 파일을 처리하거나 복원할 때 보안 절차를 유지 관리합니다. 포리스트 복구에 수반되는 긴급성은 의도치 않게 보안 모범 사례를 간과할 수 있습니다. 자세한 내용은 Active Directory 설치 및 일상적인 작업 보안을 위한 모범 사례 가이드의 "도메인 컨트롤러 백업 및 복원 전략 설정" 섹션을 참조하세요. 파트 II.

현재 포리스트 구조 및 DC 함수 식별

포리스트의 모든 도메인을 식별하여 현재 포리스트 구조를 확인합니다. 각 도메인의 모든 DC, 특히 백업이 있는 DC 및 복제 원본이 될 수 있는 가상화된 DC 목록을 만듭니다. 먼저 이 도메인을 복구하므로 포리스트 루트 도메인에 대한 DC 목록이 가장 중요합니다. 포리스트 루트 도메인을 복원한 후 Active Directory 스냅인을 사용하여 다른 도메인, DC 및 포리스트의 사이트 목록을 가져올 수 있습니다.

다음 예제와 같이 도메인에 있는 각 DC의 함수를 보여 주는 테이블을 준비합니다. 이렇게 하면 복구 후 포리스트의 사전 실패 구성으로 되돌릴 수 있습니다.

DC 이름 운영 체제 FSMO GC RODC Backup DNS Server Core VM VM-GenID
DC_1 Windows Server 2012 스키마 마스터, 도메인 명명 마스터
DC_2 Windows Server 2012 없음
DC_3 Windows Server 2012 인프라 마스터
DC_4 Windows Server 2012 PDC 에뮬레이터, RID 마스터
DC_5 Windows Server 2012 없음 아니요
RODC_1 Windows Server 2008 R2 없음
RODC_2 Windows Server 2008 없음

포리스트의 각 도메인에 대해 해당 도메인에 대한 Active Directory 데이터베이스의 신뢰할 수 있는 백업이 있는 단일 쓰기 가능한 DC를 식별합니다. DC를 복원할 백업을 선택할 때는 주의해야 합니다. 오류의 날짜와 원인을 대략적으로 알고 있는 경우 일반적으로 해당 날짜 며칠 전에 만든 백업을 사용하는 것이 좋습니다.

이 예제에는 DC_1, DC_2, DC_4 및 DC_5 네 가지 백업 후보가 있습니다. 이러한 백업 후보 중 하나만 복원합니다. 권장 DC는 다음과 같은 이유로 DC_5.

  • 가상화된 DC 복제를 위한 원본으로 사용하기 위한 요구 사항을 충족합니다. 즉, VM-GenerationID를 지원하는 하이퍼바이저에서 가상 DC로 Windows Server 2012 실행하거나, 복제할 수 있는 소프트웨어를 실행합니다(또는 복제할 수 없는 경우 제거할 수 있는 소프트웨어). 복원 후에는 PDC 에뮬레이터 역할이 해당 서버로 압수되고 도메인에 대한 복제 가능한 도메인 컨트롤러 그룹에 추가할 수 있습니다.
  • Windows Server 2012 전체 설치를 실행합니다. Server Core 설치를 실행하는 DC는 복구 대상으로 덜 편리할 수 있습니다.
  • DNS 서버입니다. 따라서 DNS를 다시 설치할 필요가 없습니다.

참고

DC_5 글로벌 카탈로그 서버가 아니므로 복원 후에 전역 카탈로그를 제거할 필요가 없다는 장점도 있습니다. 그러나 DC가 글로벌 카탈로그 서버인지 여부는 Windows Server 2012 시작부터 모든 DC가 기본적으로 글로벌 카탈로그 서버이며 복원 후 전역 카탈로그를 제거하고 추가하는 것이 어떤 경우에도 포리스트 복구 프로세스의 일부로 권장되기 때문에 결정적인 요인이 아닙니다.

격리된 포리스트 복구

첫 번째 복원된 DC를 프로덕션으로 다시 가져오기 전에 쓰기 가능한 모든 DC를 종료하는 것이 좋습니다. 이렇게 하면 위험한 데이터가 복구된 포리스트로 다시 복제되지 않습니다. 모든 운영 마스터 역할 소유자를 종료하는 것이 특히 중요합니다.

참고

시스템 가동 중지 시간을 최소화하기 위해 다른 DC가 온라인 상태를 유지하도록 허용하면서 각 도메인에 대해 복구하려는 첫 번째 DC를 격리된 네트워크로 이동하는 경우가 있을 수 있습니다. 예를 들어 실패한 스키마 업그레이드에서 복구하는 경우 격리된 복구 단계를 수행하는 동안 프로덕션 네트워크에서 도메인 컨트롤러를 계속 실행하도록 선택할 수 있습니다.

가상화된 DC를 실행하는 경우 복구를 수행할 프로덕션 네트워크에서 격리된 가상 네트워크로 이동할 수 있습니다. 가상화된 DC를 별도의 네트워크로 이동하면 다음과 같은 두 가지 이점이 있습니다.

  • 복구된 DC는 격리되어 포리스트 복구를 발생시킨 문제를 다시 발생시키는 것을 방지합니다.
  • 가상화된 DC 복제는 프로덕션 네트워크로 다시 가져오기 전에 중요한 수의 DC를 실행하고 테스트할 수 있도록 별도의 네트워크에서 수행할 수 있습니다.

물리적 하드웨어에서 DC를 실행하는 경우 포리스트 루트 도메인에서 복원하려는 첫 번째 DC의 네트워크 케이블 연결을 끊습니다. 가능하면 다른 모든 DC의 네트워크 케이블도 끊습니다. 이렇게 하면 포리스트 복구 프로세스 중에 실수로 시작된 경우 DC가 복제되지 않습니다.

여러 위치에 분산된 큰 포리스트에서는 쓰기 가능한 모든 DC가 종료되도록 보장하기 어려울 수 있습니다. 이러한 이유로 메타데이터 정리 외에도 컴퓨터 계정 및 krbtgt 계정 재설정과 같은 복구 단계는 복구된 쓰기 가능한 DC가 위험한 쓰기 가능 DC와 복제되지 않도록 설계되었습니다(일부는 포리스트에서 여전히 온라인인 경우).

그러나 쓰기 가능한 DC를 오프라인으로 설정해야만 복제가 발생하지 않도록 보장할 수 있습니다. 따라서 가능하면 포리스트 복구 중에 쓰기 가능한 DC를 종료하고 물리적으로 격리하는 데 도움이 되는 원격 관리 기술을 배포해야 합니다.

쓰기 가능한 DC가 오프라인인 동안 RODC는 계속 작동할 수 있습니다. 다른 DC는 RODC의 변경 내용( 특히 스키마 또는 구성 컨테이너 변경 없음)을 직접 복제하지 않으므로 복구 중에 쓰기 가능한 DC와 동일한 위험을 초래하지 않습니다. 쓰기 가능한 DC가 모두 복구되고 온라인 상태가 된 후에는 모든 RODC를 다시 빌드해야 합니다.

RODC는 복구 작업이 병렬로 진행되는 동안 해당 사이트에 캐시된 로컬 리소스에 대한 액세스를 계속 허용합니다. RODC에 캐시되지 않은 로컬 리소스에는 쓰기 가능한 DC로 전달된 인증 요청이 있습니다. 쓰기 가능한 DC가 오프라인 상태이므로 이러한 요청은 실패합니다. 쓰기 가능한 DC를 복구할 때까지 암호 변경과 같은 일부 작업도 작동하지 않습니다.

허브 및 스포크 네트워크 아키텍처를 사용하는 경우 먼저 허브 사이트에서 쓰기 가능한 DC를 복구하는 데 집중할 수 있습니다. 나중에 원격 사이트에서 RODC를 다시 빌드할 수 있습니다.

다음 단계