초기 복구 수행

적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 및 2012 R2, Windows Server 2008 및 2008 R2

이 섹션에는 다음 단계가 포함됩니다.

각 도메인에서 쓰기 가능한 첫 번째 도메인 컨트롤러 복원

포리스트 루트 도메인에서 쓰기 가능한 DC부터 첫 번째 DC를 복원하려면 이 섹션의 단계를 완료합니다. 포리스트 루트 도메인은 Schema Admins 및 Enterprise Admins 그룹을 저장하기 때문에 중요합니다. 또한 포리스트에서 트러스트 계층 구조를 유지 관리하는 데 도움이 됩니다. 또한 포리스트 루트 도메인은 일반적으로 포리스트의 DNS 네임스페이스에 대한 DNS 루트 서버를 보유합니다. 따라서 해당 도메인에 대한 Active Directory – 통합 DNS 영역에는 포리스트의 다른 모든 DC(복제에 필요)에 대한 별칭(CNAME) 리소스 레코드 및 글로벌 카탈로그 DNS 리소스 레코드가 포함됩니다.

포리스트 루트 도메인을 복구한 후 동일한 단계를 반복하여 포리스트의 나머지 도메인을 복구합니다. 두 개 이상의 도메인을 동시에 복구할 수 있습니다. 그러나 트러스트 계층 또는 DNS 이름 확인의 중단을 방지하기 위해 자식 을 복구하기 전에 항상 부모 도메인을 복구합니다.

복구하는 각 도메인에 대해 백업에서 쓰기 가능한 DC를 하나만 복원합니다. 이는 DC에 포리스트가 실패하게 된 원인의 영향을 받지 않은 데이터베이스가 있어야 하기 때문에 복구에서 가장 중요한 부분입니다. 프로덕션 환경에 도입되기 전에 철저히 테스트된 신뢰할 수 있는 백업이 있어야 합니다.

그런 후에 다음 단계를 수행합니다. 특정 단계를 수행하는 절차는 AD 포리스트 복구 - 프로시저 에 있습니다.

  1. 물리적 서버를 복원하려는 경우 대상 DC의 네트워크 케이블이 연결되지 않았으므로 프로덕션 네트워크에 연결되어 있지 않은지 확인합니다. 가상 머신의 경우 네트워크 어댑터를 제거하거나 프로덕션 네트워크에서 격리된 상태에서 복구 프로세스를 테스트할 수 있는 다른 네트워크에 연결된 네트워크 어댑터를 사용할 수 있습니다.

  2. 이는 도메인에서 쓰기 가능한 첫 번째 DC이므로 AD DS 신뢰할 수 없는 복원 및 SYSVOL의 신뢰할 수 있는 복원을 수행해야 합니다. 복원 작업은 Windows 서버 백업과 같은 Active Directory 인식 백업 및 복원 애플리케이션을 사용하여 완료해야 합니다. 즉, VM 스냅샷 복원과 같은 지원되지 않는 방법을 사용하여 DC를 복원하면 안 됩니다.

    • 재해로부터 복구한 후 SYSVOL 복제 폴더의 복제를 시작해야 하므로 SYSVOL의 신뢰할 수 있는 복원이 필요합니다. 도메인에 추가된 모든 후속 DC는 해당 SYSVOL 폴더를 신뢰할 수 있도록 선택한 폴더의 복사본과 다시 동기화해야 폴더를 보급할 수 있습니다.

    주의

    포리스트 루트 도메인에서 복원할 첫 번째 DC에 대해서만 SYSVOL의 신뢰할 수 있는(또는 기본) 복원 작업을 수행합니다. 다른 DC에서 SYSVOL의 기본 복원 작업을 잘못 수행하면 SYSVOL 데이터의 복제 충돌이 발생합니다.

    • AD DS 신뢰할 수 없는 복원과 SYSVOL의 신뢰할 수 있는 복원을 수행하는 두 가지 옵션이 있습니다.
    • 전체 서버 복구를 수행한 다음 SYSVOL의 신뢰할 수 있는 동기화를 강제로 수행합니다. 자세한 절차는 전체 서버 복구 수행DFSR 복제 SYSVOL의 신뢰할 수 있는 동기화 수행을참조하세요.
    • 전체 서버 복구를 수행한 다음 시스템 상태 복원을 수행합니다. 이 옵션을 사용하려면 전체 서버 백업과 시스템 상태 백업의 두 가지 백업 유형을 모두 미리 만들어야 합니다. 자세한 절차는 전체 서버 복구 수행 및 Active Directory Domain Services 신뢰할 수 없는 복원 수행을참조하세요.
  3. 쓰기 가능한 DC를 복원하고 다시 시작한 후 오류가 DC의 데이터에 영향을 미치지 않았는지 확인합니다. DC 데이터가 손상된 경우 다른 백업으로 2단계를 반복합니다.

    • 복원된 도메인 컨트롤러가 작업 마스터 역할을 호스트하는 경우 쓰기 가능한 디렉터리 파티션의 복제를 완료할 때까지 AD DS 사용할 수 없도록 다음 레지스트리 항목을 추가해야 할 수 있습니다.

      HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Repl 초기 동기화 수행

      데이터 형식이 REG_DWORD 값이 0인항목을 만듭니다. 포리스트가 완전히 복구된 후 이 항목의 값을 1로다시 설정할 수 있습니다. 이 경우 도메인 컨트롤러가 도메인 컨트롤러로 보급되고 클라이언트에 서비스를 제공하기 전에 알려진 복제본 파트너와 인바운드 및 아웃바운드 복제를 성공적으로 AD DS 위해 작업 마스터 역할을 다시 시작하고 보유하는 도메인 컨트롤러가 필요합니다. 초기 동기화 요구 사항에 대한 자세한 내용은 305476KB 문서를 참조하세요.

      데이터를 복원하고 확인한 후 프로덕션 네트워크에 이 컴퓨터를 연결하기 전에 다음 단계를 계속합니다.

  4. 포리스트 전체의 오류가 네트워크 침입 또는 악의적인 공격과 관련이 있다고 의심되는 경우 Enterprise 관리자, 도메인 관리자, 스키마 관리자, 서버 운영자, 계정 운영자 그룹 등의 구성원을 포함하여 모든 관리 계정의 계정 암호를 다시 설정합니다. 포리스트 복구의 다음 단계에서 추가 도메인 컨트롤러를 설치하기 전에 관리 계정 암호 재설정을 완료해야 합니다.

  5. 포리스트 루트 도메인의 첫 번째 복원된 DC에서 모든 도메인 전체 및 포리스트 차원의 작업 마스터 역할을 점유합니다. Enterprise 관리자 및 스키마 관리자 자격 증명은 포리스트 전체 작업 마스터 역할을 점유하는 데 필요합니다.

    각 자식 도메인에서 도메인 전체 작업 마스터 역할을 점유합니다. 복원된 DC에서 작업 마스터 역할을 일시적으로만 유지할 수 있지만 이러한 역할을 변경하면 포리스트 복구 프로세스의 이 시점에서 해당 역할을 호스트하는 DC가 보장됩니다. 복구 후 프로세스의 일부로 필요에 따라 작업 마스터 역할을 재배포할 수 있습니다. 작업 마스터 역할의 비정상화에 대한 자세한 내용은 Operations 마스터 역할 표시를 참조하세요. 작업 마스터 역할을 배치할 위치에 대한 권장 사항은 Operations Master란?을참조하세요.

  6. 백업에서 복원하지 않는 포리스트 루트 도메인에 있는 다른 모든 쓰기 가능한 DC의 메타데이터를 정리합니다(이 첫 번째 DC를 제외한 도메인의 모든 쓰기 가능한 DC). Windows Vista 이상에 Windows Server 2008 이상 또는 RSAT에 포함된 Active Directory 사용자 및 컴퓨터 또는 Active Directory 사이트 및 서비스의 버전을 사용하는 경우 DC 개체를 삭제하면 메타데이터 정리가 자동으로 수행됩니다. 또한 삭제된 DC에 대한 서버 개체 및 컴퓨터 개체도 자동으로 삭제됩니다. 자세한 내용은 제거된 쓰기 가능한 DC의 메타데이터 정리를 참조하세요.

    메타데이터를 정리하면 AD DS 다른 사이트의 DC에 설치된 경우 NTDS 설정 개체가 중복되지 않습니다. 잠재적으로 DC 자체가 없을 경우 복제 링크를 만드는 프로세스를 KCC(기술 일관성 검사기)에 저장할 수도 있습니다. 또한 메타데이터 정리의 일부로 도메인의 다른 모든 DC에 대한 DC 로케이터 DNS 리소스 레코드가 DNS에서 삭제됩니다.

    도메인에 있는 다른 모든 DC의 메타데이터가 제거될 때까지 이 DC는 복구 전에 RID 마스터인 경우 RID 마스터 역할을 가정하지 않으므로 새 RID를 발급할 수 없습니다. 이 오류를 나타내는 이벤트 뷰어 시스템 로그에 이벤트 ID 16650이 표시될 수 있지만 메타데이터를 정리한 후 잠시 성공을 나타내는 이벤트 ID 16648이 표시됩니다.

  7. AD DS 저장된 DNS 영역이 있는 경우 로컬 DNS 서버 서비스가 복원된 DC에 설치되어 실행되고 있는지 확인합니다. 포리스트 오류가 발생하기 전에 이 DC가 DNS 서버가 아닌 경우 DNS 서버를 설치하고 구성해야 합니다.

    참고

    복원된 DC가 Windows Server 2008을 실행하는 경우 DNS 서버를 설치하려면 KB 문서 975654 핫픽스를 설치하거나 서버를 격리된 네트워크에 일시적으로 연결해야 합니다. 다른 버전의 Windows Server에는 핫픽스가 필요하지 않습니다.

    포리스트 루트 도메인에서 자체 IP 주소(또는 루프백 주소(예: 127.0.0.1)를 기본 설정 DNS 서버로 사용하여 복원된 DC를 구성합니다. LAN(로컬 영역 네트워크) 어댑터의 TCP/IP 속성에서 이 설정을 구성할 수 있습니다. 포리스트의 첫 번째 DNS 서버입니다. 자세한 내용은 DNS를 사용하도록 TCP/IP 구성을참조하세요.

    각 자식 도메인에서 포리스트 루트 도메인에 있는 첫 번째 DNS 서버의 IP 주소를 사용하여 복원된 DC를 기본 설정 DNS 서버로 구성합니다. LAN 어댑터의 TCP/IP 속성에서 이 설정을 구성할 수 있습니다. 자세한 내용은 DNS를 사용하도록 TCP/IP 구성을참조하세요.

    _msdcs 및 도메인 DNS 영역에서 메타데이터 정리 후 더 이상 존재하지 않는 DC의 NS 레코드를 삭제합니다. 정리된 DC의 SRV 레코드가 제거되었는지 확인합니다. DNS SRV 레코드 제거 속도를 향상하려면 다음을 실행합니다.

    nltest.exe /dsderegdns:server.domain.tld
    
  8. 사용 가능한 RID 풀의 값을 100,000씩 올립니다. 자세한 내용은 사용 가능한 RID 풀 값 올리기 를 참조하세요. RID 풀을 100,000으로 늘리는 것이 특정 상황에 충분하지 않다고 생각되는 경우 여전히 사용하기에 안전한 가장 낮은 증가를 결정해야 합니다. RID는 불필요하게 사용해서는 안 되는 한정된 리소스입니다.

    복원에 사용하는 백업 시간 이후에 도메인에 새 보안 주체가 만들어진 경우 이러한 보안 주체는 특정 개체에 대한 액세스 권한을 가질 수 있습니다. 복구가 백업으로 되돌아갔기 때문에 복구 후에는 이러한 보안 주체가 더 이상 존재하지 않습니다. 그러나 해당 액세스 권한은 여전히 존재할 수 있습니다. 복원 후에 사용 가능한 RID 풀이 발생하지 않는 경우 포리스트 복구 후에 만든 새 사용자 개체는 동일한 SID(보안 ID)를 얻을 수 있으며 원래 의도하지 않은 개체에 액세스할 수 있습니다.

    이를 설명하기 위해 소개에서 언급된 새 직원의 예인 을 생각해 보십시오. 도메인을 복원하는 데 사용된 백업 후에 만들어지므로 복원 작업 후에는 더 이상 사용자 개체가 존재하지 않습니다. 그러나 해당 사용자 개체에 할당된 액세스 권한은 복원 작업 후에 유지될 수 있습니다. 복원 작업 후 해당 사용자 개체의 SID를 새 개체에 다시 할당하면 새 개체는 해당 액세스 권한을 얻습니다.

  9. 현재 RID 풀을 무효화합니다. 시스템 상태 복원 후 현재 RID 풀이 무효화됩니다. 그러나 시스템 상태 복원이 수행되지 않은 경우 복원된 DC가 백업을 만들 때 할당된 RID 풀에서 RID를 다시 발급하지 못하도록 현재 RID 풀을 무효화해야 합니다. 자세한 내용은 현재 RID 풀 무효화를 참조하세요.

    참고

    RID 풀을 무효화한 후 SID가 있는 개체를 처음으로 만들려고 하면 오류가 발생합니다. 개체를 만들려는 시도는 새 RID 풀에 대한 요청을 트리거합니다. 새 RID 풀이 할당되므로 작업을 다시 시도하면 됩니다.

  10. 이 DC의 컴퓨터 계정 암호를 두 번 다시 설정합니다. 자세한 내용은 도메인 컨트롤러의 컴퓨터 계정 암호 재설정을 참조하세요.

  11. krbtgt 암호를 두 번 다시 설정합니다. 자세한 내용은 krbtgt 암호 다시 설정을 참조하세요.

    krbtgt 암호 기록은 두 개의 암호이므로 암호를 두 번 다시 설정하여 암호 기록에서 원래(프리파일레) 암호를 제거합니다.

    참고

    포리스트 복구가 보안 위반에 대응하는 경우 트러스트 암호를 재설정할 수도 있습니다. 자세한 내용은 트러스트의 한쪽에서 트러스트 암호 재설정을 참조하세요.

  12. 포리스트에 여러 도메인이 있고 복원된 DC가 실패하기 전에 글로벌 카탈로그 서버인 경우 NTDS 설정 속성에서 글로벌 카탈로그 확인란의 선택 취소를 취소하여 DC에서 글로벌 카탈로그를 제거합니다. 이 규칙의 예외는 하나의 도메인만 있는 포리스트의 일반적인 경우입니다. 이 경우 글로벌 카탈로그를 제거할 필요가 없습니다. 자세한 내용은 글로벌 카탈로그 제거를 참조하세요.

    다른 도메인에서 DC를 복원하는 데 사용되는 다른 백업보다 최신 백업에서 글로벌 카탈로그를 복원하면 느린 개체가 발생할 수 있습니다. 다음 예제를 살펴보십시오. 도메인 A에서 DC1은 T1 시간에 수행된 백업에서 복원됩니다. 도메인 B에서 DC2는 T2 시간에 수행된 글로벌 카탈로그 백업에서 복원됩니다. T2가 T1보다 최신이고 일부 개체가 T1과 T2 사이에 생성되었다고 가정합니다. 이러한 DC가 복원된 후 글로벌 카탈로그인 DC2는 도메인 A가 자체적으로 보유하는 것보다 도메인 A의 부분 복제본에 대한 최신 데이터를 보유합니다. 이 경우 DC2는 이러한 개체가 DC1에 없으므로 느린 개체를 보유합니다.

    느린 개체가 있으면 문제가 발생할 수 있습니다. 예를 들어 도메인 간에 사용자 개체가 이동된 사용자에게 전자 메일 메시지가 배달되지 않을 수 있습니다. 오래된 DC 또는 글로벌 카탈로그 서버를 다시 온라인으로 설정하면 사용자 개체의 두 인스턴스가 모두 글로벌 카탈로그에 표시됩니다. 두 개체의 전자 메일 주소는 동일합니다. 따라서 전자 메일 메시지를 배달할 수 없습니다.

    두 번째 문제는 더 이상 존재하지 않는 사용자 계정이 여전히 전역 주소 목록에 나타날 수 있다는 것입니다. 세 번째 문제는 더 이상 존재하지 않는 유니버설 그룹이 여전히 사용자의 액세스 토큰에 나타날 수 있다는 것입니다.

    실수로 또는 신뢰할 수 있는 백업이므로 글로벌 카탈로그인 DC를 복원한 경우 —— 복원 작업이 완료된 직후 글로벌 카탈로그를 사용하지 않도록 하여 느린 개체가 발생하지 않도록 하는 것이 좋습니다. 글로벌 카탈로그 플래그를 사용하지 않도록 하면 컴퓨터의 모든 부분 복제본(파티션)이 손실되고 일반 DC 상태가 됩니다.

  13. Windows 시간 서비스를 구성합니다. 포리스트 루트 도메인에서 외부 시간 원본의 시간을 동기화하도록 PDC 에뮬레이터를 구성합니다. 자세한 내용은 포리스트 루트 도메인의 PDC 에뮬레이터에서 Windows 시간 서비스 구성을 참조하세요.

복원된 쓰기 가능한 각 도메인 컨트롤러를 공용 네트워크에 다시 연결

이 단계에서는 포리스트 루트 도메인 및 나머지 각 도메인에서 하나의 DC 복원(및 복구 단계 수행)이 있어야 합니다. 이러한 DC를 환경의 나머지 부분과 격리된 공용 네트워크에 조인하고 포리스트 상태 및 복제의 유효성을 검사하기 위해 다음 단계를 완료합니다.

참고

물리적 DC를 격리된 네트워크에 조인하는 경우 해당 IP 주소를 변경해야 할 수 있습니다. 따라서 DNS 레코드의 IP 주소가 잘못됩니다. 글로벌 카탈로그 서버를 사용할 수 없으므로 DNS에 대한 보안 동적 업데이트가 실패합니다. 이 경우 가상 DC는 IP 주소를 변경하지 않고 새 가상 네트워크에 조인할 수 있으므로 더 유리합니다. 이는 포리스트 복구 중에 복원할 첫 번째 도메인 컨트롤러로 가상 DC를 권장하는 이유 중 하나입니다.

유효성 검사 후 DC를 프로덕션 네트워크에 조인하고 포리스트 복제 상태를 확인하는 단계를 완료합니다.

  • 이름 확인 문제를 해결하려면 DNS 위임 레코드를 만들고 필요에 따라 DNS 전달 및 루트 힌트를 구성합니다. repadmin /replsum을 실행하여 DC 간의 복제를 확인합니다.
  • 복원된 DC가 직접 복제 파트너가 아닌 경우 복제 복구는 이들 간에 임시 연결 개체를 만들어 훨씬 더 빠릅니다.
  • 메타데이터 정리의 유효성을 검사하려면 포리스트의 모든 DC 목록에 대해 Repadmin /viewlist \* 를 실행합니다. 도메인의 모든 DC 목록에 대해Nltest /DCList:도메인을 실행합니다.
  • DC 및 DNS 상태를 확인하려면 DCDiag /v를 실행하여 포리스트의 모든 DC에서 오류를 보고합니다.

포리스트 루트 도메인의 도메인 컨트롤러에 글로벌 카탈로그 추가

글로벌 카탈로그는 다음과 같은 이유로 필요합니다.

  • 사용자에 대해 로그온을 사용하도록 설정합니다.
  • 각 자식 도메인의 DC에서 실행되는 Net Logon 서비스를 사용하여 루트 도메인의 DNS 서버에서 레코드를 등록하고 제거할 수 있도록 합니다.

포리스트 루트 DC가 글로벌 카탈로그가 되는 것이 선호되지만 복원된 DC를 글로벌 카탈로그로 선택해도 됩니다.

참고

DC는 포리스트에 있는 모든 디렉터리 파티션의 전체 동기화를 완료할 때까지 글로벌 카탈로그 서버로 보급되지 않습니다. 따라서 DC는 포리스트에서 복원된 각 DC와 함께 복제하도록 강제해야 합니다.

이벤트 뷰어 디렉터리 서비스 이벤트 로그에서 이 DC가 글로벌 카탈로그 서버임을 나타내는 이벤트 ID 1119를 모니터링하거나 다음 레지스트리 키의 값이 1인지 확인합니다.

HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Global Catalog Promotion Complete

자세한 내용은 글로벌 카탈로그 추가를 참조하세요.

이 단계에서는 각 도메인에 대해 하나의 DC와 포리스트에 하나의 글로벌 카탈로그가 있는 안정적인 포리스트가 있어야 합니다. 방금 복원한 각 DC의 새 백업을 만들어야 합니다. 이제 AD DS 설치하여 포리스트의 다른 DC를 다시 배포할 수 있습니다.

다음 단계