Active Directory 포리스트 복구 - 초기 복구 수행

적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 및 2012

이 섹션에는 다음 단계가 포함됩니다.

• 각 할 일에서 첫 번째 쓰기 가능한 do기본 컨트롤러를 복원합니다기본
• 복원된 각 쓰기 가능한 do기본 컨트롤러를 네트워크에 다시 연결
• 포리스트 루트의 do기본 컨트롤러에 전역 카탈로그를 추가합니다기본

각 할 일에서 첫 번째 쓰기 가능한 do기본 컨트롤러를 복원합니다기본

포리스트 루트 do기본 쓰기 가능한 DC부터 시작하여 첫 번째 DC를 복원하기 위해 이 섹션의 단계를 완료합니다. 포리스트 루트는 스키마 관리 및 엔터프라이즈 관리 그룹을 저장하기 때문에 기본 중요합니다. 또한 기본 포리스트의 신뢰 계층 구조를 파악하는 데 도움이 됩니다. 또한 포리스트 루트는 일반적으로 포리스트의 DNS 네임스페이스에 대한 DNS 루트 서버를 보유합니다기본. 따라서 해당 작업에 대한 Active Directory 통합 DNS 영역기본 포리스트의 다른 모든 DC에 대한 별칭(CNAME) 리소스 레코드(복제본(replica)tion에 필요)와 전역 카탈로그 DNS 리소스 레코드가 포함됩니다.

포리스트 루트 do기본 복구한 후 동일한 단계를 반복하여 포리스트에서 다시 기본 do기본 복구합니다. 둘 이상의 작업을 동시에 복구할 수 있습니다기본 그러나 트러스트 계층 또는 DNS 이름 확인의 중단을 방지하기 위해 자식이 복구되기 전에 항상 부모 do기본 복구합니다.

복구할 각 기본 백업에서 쓰기 가능한 DC 하나를 복원합니다. 이는 DC에 포리스트 실패의 영향을 받지 않은 데이터베이스가 있어야 하기 때문에 복구의 가장 중요한 부분입니다. 프로덕션 환경에 도입되기 전에 철저히 테스트되는 신뢰할 수 있는 백업을 갖는 것이 중요합니다.

그런 다음, 다음 단계를 수행합니다. 특정 단계를 수행하기 위한 절차는 AD 포리스트 복구 - 프로시저에 있습니다.

1. 물리적 서버를 복원하려는 경우 대상 DC의 네트워크 케이블이 연결되지 않았으므로 프로덕션 네트워크에 연결되지 않았는지 확인합니다. 가상 머신의 경우 네트워크 어댑터를 제거하거나 다른 네트워크에 연결된 네트워크 어댑터를 사용하여 프로덕션 네트워크에서 격리된 상태에서 복구 프로세스를 테스트할 수 있습니다.

2. 이는 do기본 첫 번째 쓰기 가능한 DC이므로 AD DS의 신뢰할 수 없는 복원 및 SYSVOL의 신뢰할 수 있는 복원을 수행해야 합니다. Windows Server 백업(권장)과 같은 Active Directory 인식 백업 및 복원 애플리케이션을 사용하여 복원 작업을 완료해야 합니다. 호스트에서 Hyper-Vistor 생성 ID가 지원되는 경우 VM 스냅샷 사용하여 인증되지 않은 복원을 수행할 수도 있습니다.

   • 재해에서 복구한 후 SYSVOL 폴더의 복제본(replica)를 새 인스턴스로 다시 시작해야 하므로 복구된 첫 번째 DC에서는 SYSVOL의 신뢰할 수 있는 복원이 필요합니다. do기본 추가된 모든 후속 DC는 신뢰할 수 있도록 선택된 폴더의 복사본을 사용하여 SYSVOL 폴더를 다시 동기화해야 합니다.

     Warning

     포리스트 루트에서 복원할 첫 번째 DC에 대해서만 SYSVOL의 신뢰할 수 있는(또는 기본) 복원 작업을 수행합니다기본. 다른 DC에서 SYSVOL의 기본 복원 작업을 잘못 수행하면 SYSVOL 데이터의 복제본(replica) 충돌합니다. AD DS의 인증되지 않는 복원과 SYSVOL의 신뢰할 수 있는 복원을 수행하는 두 가지 옵션이 있습니다.

   • 전체 서버 복구를 수행한 다음 SYSVOL의 신뢰할 수 있는 동기화를 강제로 수행합니다. 자세한 절차는 전체 서버 복구 수행 및 DFSR 복제본(replica)ted SYSVOL의 신뢰할 수 있는 동기화 수행을 참조하세요.

   • 전체 서버 복구를 수행한 다음 시스템 상태 복원을 수행합니다. 이 옵션을 사용하려면 두 가지 유형의 백업(전체 서버 백업 및 시스템 상태 백업)을 미리 만들어야 합니다. 자세한 절차는 전체 서버 복구 수행 및 Active Directory 도메인 Services의 신뢰할 수 없는 복원 수행을 참조하세요.

3. 쓰기 가능한 DC를 복원하고 다시 시작한 후 오류가 DC의 데이터에 영향을 주지 않았는지 확인합니다. DC 데이터가 손상된 경우 다른 백업으로 2단계를 반복합니다.

   • 복원된 do기본 컨트롤러가 작업 마스터 역할을 호스트하는 경우 쓰기 가능한 디렉터리 파티션의 복제본(replica) 완료될 때까지 AD DS를 사용할 수 없도록 다음 레지스트리 항목을 추가해야 할 수 있습니다.

     HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Repl
     Perform Initial Synchronizations
     

     데이터 형식 REG_DWORD 값이 0인 항목을 만듭니다. 포리스트가 완전히 복구된 후에는 이 항목의 값을 1로 다시 설정할 수 있습니다. 이렇게 하려면 작업 마스터 역할을 다시 시작하고 보유하는 do기본 컨트롤러가 알려진 복제본(replica) 파트너와 성공적으로 AD DS 인바운드 및 아웃바운드 복제본(replica)tion을 수행한 후기본 컨트롤러로 보급하고 클라이언트에 서비스 제공을 시작해야 합니다. 초기 동기화 요구 사항에 대한 자세한 내용은 Active Directory FSMO 역할을 참조 하세요.

4. 데이터를 복원하고 확인한 후 프로덕션 네트워크에 이 컴퓨터를 조인하기 전에 다음 단계로 계속 진행합니다.

5. 포리스트 전체 오류가 네트워크 침입 또는 악의적인 공격과 관련이 있다고 의심되는 경우 엔터프라이즈 관리, Do기본 관리s, 스키마 관리, 서버 운영자, 계정 운영자 그룹 등을 비롯한 모든 관리 계정의 계정 암호를 다시 설정합니다. krbtgt 계정 전체 암호 재설정 절차도 필요합니다. 포리스트 복구의 다음 단계에서 추가 작업을 수행기본 컨트롤러가 설치되기 전에 관리 계정 암호 재설정을 완료해야 합니다.

   또한 이 경우 관리 계정이 인수된 것처럼 모든 GMSA 암호를 교체하는 작업을 수행합니다. 공격자가 GMSA로 인증할 수 있는 정보를 검색했을 수 있습니다. 자세한 내용은 골든 GMSA 공격에 대한 문서를 참조하세요.

6. 사용자 계정이 손상되었다고 의심되는 경우 do기본의 모든 사용자에 대한 사용자 암호 재설정도 계획해야 합니다.

7. 포리스트 루트 do기본 복원된 첫 번째 DC에서 모든 do기본 및 포리스트 전체 작업 마스터 역할을 포착합니다. 필요에 따라 포리스트 전체 작업 마스터 역할을 포착하려면 엔터프라이즈 관리 및 스키마 관리 자격 증명이 필요합니다.

   각 자식 do기본 필요에 따라 do기본 전체 작업 마스터 역할을 포착합니다. 복원된 DC에서 작업 마스터 역할을 일시적으로만 유지할 수 있지만 이러한 역할을 압수하면 포리스트 복구 프로세스의 이 시점에서 호스트하는 DC에 대해 확인할 수 있습니다. 복구 후 프로세스의 일부로 필요에 따라 작업 마스터 역할을 재배포할 수 있습니다. 작업 마스터 역할을 압수하는 방법에 대한 자세한 내용은 작업 마스터 역할 압수를 참조 하세요. 작업 마스터 역할을 배치할 위치에 대한 권장 사항은 작업 마스터란?을 참조하세요. 또한 AD DC에서 FSMO(유연한 단일 마스터 작업) 배치 및 최적화를 참조 하세요.

8. 포리스트 루트에 있는 다른 모든 쓰기 가능한 DC의 메타데이터를 정리합니다기본 이 첫 번째 DC를 제외하고 백업에서 복원하지 않습니다(이 첫 번째 DC를 제외한 모든 쓰기 가능한 DC기본). Windows Server 2012 이상 또는 Windows 10 이상용 RSAT에 포함된 Active Directory 사용자 및 컴퓨터 또는 Active Directory 사이트 및 서비스의 버전을 사용하는 경우 DC 개체를 삭제하면 메타데이터 클린up이 자동으로 수행됩니다. 또한 삭제된 DC의 서버 개체와 컴퓨터 개체도 자동으로 삭제됩니다. 자세한 내용은 제거된 쓰기 가능한 DC의 메타데이터 정리 및 AD DS 서버 메타데이터 정리를 참조하세요.

   메타데이터를 정리하면 AD DS가 다른 사이트의 DC에 설치된 경우 NTDS 설정 개체가 복제되지 않습니다. 잠재적으로 이렇게 하면 DC 자체가 없을 때 KCC(Knowledge Consistency Checker)에서 복제본(replica)tion 링크를 만드는 프로세스를 저장할 수도 있습니다. 또한 메타데이터 클린의 일부로 할 일기본 있는 다른 모든 DC에 대한 DC 로케이터 DNS 리소스 레코드가 DNS에서 삭제됩니다.

   do기본 다른 모든 DC의 메타데이터가 제거될 때까지 이 DC는 복구 전에 RID 마스터인 경우 RID 마스터 역할을 가정하지 않으므로 새 RID를 발급할 수 없습니다. 시스템 로그에 이 오류를 나타내는 이벤트 ID 16650이 이벤트 뷰어 표시될 수 있지만, 메타데이터를 클린 후 성공을 나타내는 이벤트 ID 16648이 표시됩니다.

9. AD DS에 저장된 DNS 영역이 있는 경우 로컬 DNS 서버 서비스가 설치되어 복원한 DC에서 실행되고 있는지 확인합니다. 이 DC가 포리스트 오류 이전에 DNS 서버가 아닌 경우 DC에 DNS 서버 역할을 설치하고 구성해야 합니다. 또는 복원 환경에서 DNS 서버를 사용할 수 있어야 합니다.

   포리스트 루트 do기본 자체 IP 주소를 사용하여 복원된 DC를 기본 DNS 서버로 구성합니다. LAN(로컬 영역 네트워크) 어댑터의 TCP/IP 속성에서 이 설정을 구성할 수 있습니다. 포리스트의 첫 번째 DNS 서버입니다. 자세한 내용은 DNS(Do기본 Name System) 클라이언트 설정에 대한 권장 사항 참조하세요.

   각 자식 do기본 포리스트 루트에서 첫 번째 DNS 서버의 IP 주소를 사용하여 복원된 DC를 기본 DNS 서버로 구성합니다기본. LAN 어댑터의 TCP/IP 속성에서 이 설정을 구성할 수 있습니다. 자세한 내용은 DNS(Do기본 Name System) 클라이언트 설정에 대한 권장 사항 참조하세요.

   DNS 영역의 _msdcs 기본 메타데이터 클린 후 더 이상 존재하지 않는 DC의 NS 레코드를 삭제합니다. 클린 설치된 DC의 SRV 레코드가 제거되었는지 확인합니다. DNS SRV 레코드 제거 속도를 향상하려면 다음을 실행합니다.

   nltest.exe /dsderegdns:server.domain.tld

10. 사용 가능한 RID 풀의 값을 100,000씩 올립니다. 자세한 내용은 사용 가능한 RID 풀의 값 올리기를 참조 하세요. RID 풀을 100,000으로 높이는 것이 특정 상황에 충분하지 않다고 판단할 만한 이유가 있는 경우 사용자 환경의 평균 RID 사용량을 고려하여 여전히 사용하기에 안전한 가장 낮은 증가량을 고려해야 합니다. RID는 불필요하게 사용해서는 안 되는 유한한 리소스입니다.

    복원에 사용하는 백업 시간 이후에 do기본에서 새 보안 주체를 만든 경우 이러한 보안 주체는 특정 개체에 대한 액세스 권한을 가질 수 있습니다. 복구가 백업에 되돌리기 때문에 복구 후에 이러한 보안 주체가 더 이상 존재하지 않습니다. 그러나 해당 액세스 권한은 여전히 존재할 수 있습니다. 복원 후에 사용 가능한 RID 풀이 발생하지 않는 경우 포리스트 복구 후에 만들어진 새 사용자 개체는 동일한 SID(보안 ID)를 얻을 수 있으며 원래 의도한 것이 아닌 해당 개체에 액세스할 수 있습니다.

    예를 들어 새 직원이 있을 수 있습니다. 사용자 개체는 do기본 복원하는 데 사용된 백업 후에 만들어졌기 때문에 복원 작업 후에 더 이상 존재하지 않습니다. 그러나 해당 사용자 개체에 할당된 액세스 권한은 복원 작업 후에 유지될 수 있습니다. 복원 작업 후 해당 사용자 개체의 SID를 새 개체에 다시 할당하면 새 개체가 해당 액세스 권한을 얻습니다.

11. 현재 RID 풀을 무효화합니다. 시스템 상태 복원 후 현재 RID 풀이 무효화됩니다. 그러나 시스템 상태 복원이 수행되지 않은 경우 복원된 DC가 백업을 만들 때 할당된 RID 풀에서 RID를 다시 발급하지 않도록 현재 RID 풀을 무효화해야 합니다. 자세한 내용은 현재 RID 풀 무효화를 참조 하세요.

    참고 항목

    RID 풀을 무효화한 후 SID를 사용하여 개체를 처음 만들려고 하면 오류가 발생합니다. 개체를 만들려는 시도는 새 RID 풀에 대한 요청을 트리거합니다. 새 RID 풀이 할당되므로 작업을 다시 시도하면 성공합니다.

12. 이 DC의 컴퓨터 계정 암호를 두 번 다시 설정합니다. 자세한 내용은 do기본 컨트롤러의 컴퓨터 계정 암호 재설정을 참조하세요.

13. krbtgt 암호를 두 번 다시 설정합니다. 자세한 내용은 krbtgt 암호 재설정을 참조 하세요. krbtgt 암호 기록은 두 개의 암호이므로 암호를 두 번 재설정하여 암호 기록에서 원래(프리페일루어) 암호를 제거합니다.

    참고 항목

    포리스트 복구가 보안 위반에 대응하는 경우 트러스트 암호를 다시 설정할 수도 있습니다. 자세한 내용은 트러스트의 한쪽에서 신뢰 암호 재설정을 참조하세요.

14. 포리스트에 할 일이 여러 기본 있고 복원된 DC가 실패하기 전에 전역 카탈로그 서버인 경우 NTDS 설정 속성에서 전역 카탈로그 검사 상자를 선택 취소하여 DC에서 글로벌 카탈로그를 제거합니다. 이 규칙의 예외는 포리스트의 일반적인 경우이며 한 가지 기본. 이 경우 글로벌 카탈로그를 제거할 필요가 없습니다. 자세한 내용은 글로벌 카탈로그 제거를 참조 하세요.

    다른 작업에서 DC를 복원하는 데 사용되는 다른 백업보다 최근 백업에서 글로벌 카탈로그를 복원하면 느린 개체를 도입기본할 수 있습니다. 아래 예제를 고려해 보세요. do기본 A에서 DC1은 T1 시간에 수행된 백업에서 복원됩니다. do기본 B에서 DC2는 T2 시간에 수행된 글로벌 카탈로그 백업에서 복원됩니다. T2가 T1보다 최근이고 T1과 T2 사이에 일부 개체가 생성되었다고 가정합니다. 이러한 DC가 복원된 후 글로벌 카탈로그인 DC2는 할 일기본 A의 부분 복제본(replica) 기본 A에 대한 최신 데이터를 보유합니다. 이 경우 DC2는 DC1에 이러한 개체가 없기 때문에 느린 개체를 보유합니다.

    느린 개체가 있으면 문제가 발생할 수 있습니다. 예를 들어 사용자 개체가 do기본 간에 이동된 사용자에게 전자 메일 메시지가 배달되지 않을 수 있습니다. 오래된 DC 또는 글로벌 카탈로그 서버를 다시 온라인 상태로 설정하면 사용자 개체의 두 인스턴스가 모두 글로벌 카탈로그에 표시됩니다. 두 개체의 전자 메일 주소는 동일합니다. 따라서 전자 메일 메시지를 배달할 수 없습니다.

    또 다른 문제는 더 이상 존재하지 않는 사용자 계정이 여전히 전역 주소 목록에 나타날 수 있다는 것입니다.

    추가적으로 더 이상 존재하지 않는 범용 그룹이 사용자의 액세스 토큰에 계속 표시될 수 있습니다.

    실수로 또는 신뢰할 수 있는 단독 백업이었기 때문에 전역 카탈로그였던 DC를 복원한 경우 복원 작업이 완료된 직후 글로벌 카탈로그를 사용하지 않도록 설정하여 느린 개체가 발생하지 않도록 하는 것이 좋습니다. 글로벌 카탈로그 플래그를 사용하지 않도록 설정하면 컴퓨터에서 부분 복제본(replica)(파티션)가 모두 손실되고 일반 DC 상태 강등됩니다.

15. gMSA 계정을 사용하는 경우 암호 생성 세부 정보가 공격자에게 노출될 수 있으므로 계정을 다시 만들어야 할 수 있습니다. 다음을 참조하세요.
    골든 gMSA 공격으로부터 복구하는 방법

    gMSA를 교체하고 보안 키 자료를 사용하는 방법에 대한 단계는 AD 포리스트 복구 - Multido기본 포리스트 내에서 Single Do기본 복구를 참조하세요.

16. Windows 시간 서비스를 구성합니다. 포리스트 루트 do기본 외부 시간 원본에서 시간을 동기화하도록 PDC 에뮬레이터를 구성합니다. 자세한 내용은 포리스트 루트 Do기본 PDC 에뮬레이터에서 Windows 시간 서비스 구성을 참조하세요.

복원된 각 쓰기 가능 do기본 컨트롤러를 공통 네트워크에 다시 연결

이 단계에서는 포리스트 루트에서 하나의 DC 복원(및 복구 단계 수행)을 수행해야 하며기본 각 다시 기본 수행해야 합니다기본. 이러한 DC를 환경의 나머지 부분과 격리된 공통 네트워크에 조인하고 포리스트 상태 및 복제본(replica) 유효성을 검사하기 위해 다음 단계를 완료합니다.

참고 항목

물리적 DC를 격리된 네트워크에 조인하는 경우 해당 IP 주소를 변경해야 할 수 있습니다. 따라서 DNS 레코드의 IP 주소가 잘못되었습니다. 글로벌 카탈로그 서버를 사용할 수 없으므로 DNS에 대한 보안 동적 업데이트가 실패합니다. 이 경우 가상 DC는 IP 주소를 변경하지 않고 새 가상 네트워크에 조인할 수 있으므로 더 유리합니다. 이것이 포리스트 복구 중에 복원할 첫 번째 기본 컨트롤러로 가상 DC를 권장하는 이유 중 하나입니다.

포리스트 복제본(replica) 상태 확인

유효성 검사 후 DC를 프로덕션 네트워크에 조인하고 포리스트 복제본(replica)tion 상태를 확인하는 단계를 완료합니다.

• 이름 확인을 수정하려면 DNS 위임 레코드를 만들고 필요에 따라 DNS 전달 및 루트 힌트를 구성합니다.
• repadmin /replsum DC 간에 검사 복제본(replica) 실행합니다.
• 복원된 DC가 직접 복제본(replica) 파트너가 아닌 경우 복제본(replica) 복구는 그 사이에 임시 연결 개체를 만들어 훨씬 더 빠릅니다.
• 메타데이터 클린 유효성을 검사하려면 포리스트의 모든 DC 목록에 대해 실행 Repadmin /viewlist \* 합니다. 할 일의 모든 DC 목록을 실행 Nltest /DCList:***\<domain\>* 합니다기본.
• DC 및 DNS 상태를 검사 포리스트의 모든 DC에서 오류를 보고하려면 실행 DCDiag /v 합니다.

포리스트 루트의 do기본 컨트롤러에 전역 카탈로그를 추가합니다기본

다음과 같은 이유로 글로벌 카탈로그가 필요합니다.

• 사용자에 대해 로그온을 사용하도록 설정하려면
• 각 자식의 DC에서 실행되는 Net Logon 서비스를 사용하도록 설정하려면기본 루트 do기본 DNS 서버에서 레코드를 등록하고 제거합니다.

포리스트 루트 DC가 글로벌 카탈로그인 것이 선호되지만 일반적으로 모든 DC를 글로벌 카탈로그로 결정하는 것이 좋습니다.

참고 항목

DC는 포리스트에 있는 모든 디렉터리 파티션의 전체 동기화를 완료할 때까지 글로벌 카탈로그 서버로 보급되지 않습니다. 따라서 DC는 포리스트에서 복원된 각 DC와 복제본(replica) 합니다.

이 DC가 글로벌 카탈로그 서버임을 나타내는 이벤트 ID 1119에 대한 이벤트 뷰어 디렉터리 서비스 이벤트 로그를 모니터링하거나 다음 레지스트리 키의 값이 1인지 확인합니다.

**HKLM\System\CurrentControlSet\Services\NTDS\Parameters\Global Catalog
Promotion Complete**

자세한 내용은 글로벌 카탈로그 추가를 참조 하세요.

이 단계에서는 포리스트에 각각 하나의 DC기본 및 하나의 글로벌 카탈로그가 있는 안정적인 포리스트가 있어야 합니다. 방금 복원한 각 DC의 새 백업을 만들어야 합니다. 이제 AD DS를 설치하고 추가 글로벌 카탈로그 서버를 구성하여 포리스트의 다른 DC를 다시 배포할 수 있습니다.

다음 단계

• AD 포리스트 복구 - 필수 조건
• AD 포리스트 복구 - 사용자 지정 포리스트 복구 계획 고안
• AD 포리스트 복구 - 포리스트 복원 단계
• AD 포리스트 복구 - 문제 식별
• AD 포리스트 복구 - 복구 방법 결정
• AD 포리스트 복구 - 초기 복구 수행
• AD 포리스트 복구 - 절차
• AD 포리스트 복구 - FAQ(질문과 대답)
• AD 포리스트 복구 - 다중 기본 포리스트 내에서 단일 do기본 복구
• AD 포리스트 복구 - DC 다시 배포기본
• AD 포리스트 복구 - 가상화
• AD 포리스트 복구 - 정리