손상된 로컬 도메인 컨트롤러 복원 및 복구

도메인 컨트롤러가 손상되거나 잘못 복원될 경우, 그 충격은 엄청납니다. 로그인 실패, GPO 적용 중단, 복제 오류 발생 등 여러 문제가 거의 아무런 단서 없이 발생합니다.다행히도, 일반적으로 인정되는 백업 및 복원 방법을 준수한다면 물리적 또는 가상 도메인 컨트롤러(DC)를 복구할 수 있는 명확한 절차가 있습니다.

최신 Windows Server 환경에서 도메인 컨트롤러를 복원하려면 다음과 같은 개념에 대한 충분한 이해가 필요합니다. 시스템 상태, 권한 있는/권한 없는 복원, SYSVOL, DFSR/FRS 및 USN 롤백이러한 문제를 서둘러 처리하거나 호환되지 않는 영상 진단 도구를 사용하면 진단하기 매우 어려운 수많은 숨겨진 불일치가 발생할 수 있습니다.

도메인 컨트롤러를 제대로 보호하고 복구하는 것이 왜 중요한가

Active Directory는 Windows 도메인에서 인증 및 권한 부여의 핵심입니다.사용자, 컴퓨터, 그룹, 신뢰 관계, 그룹 정책, 인증서 및 기타 중요한 요소들을 저장합니다. 이러한 정보는 주로 데이터베이스에 저장됩니다. Ntds.dit관련 로그 파일 및 폴더 시스볼이는 소위 "시스템 상태"를 구성하는 다른 구성 요소들 중 하나입니다.

시스템 상태에는 다른 여러 사항 외에도 다음이 포함됩니다. Active Directory 로그 파일 및 데이터, Windows 레지스트리, 시스템 볼륨(SYSVOL), 인증서 데이터베이스(CA가 있는 경우), IIS 메타베이스, 부팅 파일 및 보호된 운영 체제 구성 요소가 포함됩니다.따라서, 진정한 비즈니스 연속성 전략에는 각 데이터 센터의 시스템 상태를 정기적으로 백업하는 것이 반드시 포함되어야 합니다.

Active Directory 데이터베이스가 실제로 손상되거나, 심각한 복제 오류가 발생하거나, 문제가 발생할 경우 권한 시스볼도메인 컨트롤러가 쿼리 처리를 중단하거나, Active Directory 서비스를 시작하지 못하거나, 포리스트 전체에 연쇄 오류를 발생시킬 수 있습니다. 이러한 경우, 신속하고 적절한 복구는 심각한 사고와 장기적인 재난 사이의 차이를 결정짓습니다..

복원을 시도하기 전에 실제 데이터베이스 문제와 보다 흔한 오류를 구분하는 것이 중요합니다. 대부분의 경우, 원인은 DNS, 네트워크 변경, 방화벽 또는 특정 도구를 사용하여 수정된 경로에 있을 수 있습니다. netsh 명령따라서 AD 데이터베이스를 건드리기 전에 이러한 요인들을 먼저 배제하는 것이 좋습니다.

기본 진단 및 복제 제어 도구

데이터 손상이나 복제 실패 증상이 나타날 경우, 가장 먼저 해야 할 일은 기본 도구를 사용하여 환경 상태를 확인하는 것입니다. DCDiag, Repadmin, ReplMon(이전 버전) 및 이벤트 뷰어 공격적인 복원을 고려하기 전에 그들이 가장 든든한 아군입니다.

와 DCDiag 모든 도메인 컨트롤러에 대한 전반적인 점검을 수행하여 복제, DNS, AD DS 서비스 등의 문제를 식별합니다. Repadmin 이 기능을 사용하면 복제 상태, 복제 파트너, USN 워터마크를 확인하고 영구 개체를 감지할 수 있습니다. 이전 버전의 Windows에서는 리플몬 이 기능은 도메인 내 복제 오류를 그래픽으로 보여주는 기능을 제공했습니다.

이러한 도구 외에도 이벤트 뷰어에서 "디렉터리 서비스" 및 "DFS 복제"를 검토하는 것이 필수적입니다. 467번과 1018번 같은 이벤트는 데이터베이스가 실제로 손상되었음을 나타냅니다.반면 이벤트 1113/1115/1114/1116은 입력/출력 복제 활성화 또는 비활성화와 관련이 있습니다.

만약 악성코드 확산을 막기 위해 의심되는 데이터센터를 일시적으로 격리해야 할 필요가 있다면, 저희는 그렇게 할 수 있습니다. Repadmin을 사용하여 인바운드 및 아웃바운드 복제를 비활성화합니다.:

repadmin /options DCNAME +DISABLE_INBOUND_REPL
repadmin /options DCNAME +DISABLE_OUTBOUND_REPL

복제를 정상으로 복원하려면 해당 옵션을 제거하기만 하면 됩니다.

repadmin /options DCNAME -DISABLE_INBOUND_REPL
repadmin /options DCNAME -DISABLE_OUTBOUND_REPL

도메인 컨트롤러에서 지원되는 시스템 상태 백업

보장된 방식으로 데이터센터를 복구하려면 다음 사항을 갖추는 것이 필수적입니다. Active Directory 호환 도구를 사용하여 시스템 상태 백업을 수행했습니다.이러한 도구는 Microsoft의 백업 및 복원 API와 볼륨 섀도 복사 서비스(VSS)를 지원되는 방식으로 사용합니다.

가장 일반적인 해결책은 다음과 같습니다. Windows Server Backup, VSS와 통합된 타사 솔루션(NAKIVO, Backup Exec 등)또는 다음과 같은 기존 유틸리티 엔티백업 Windows 2000/2003 환경에서는 어떤 경우에도 복원 후 데이터베이스와 복제본의 일관성을 보장하기 위해 AD API를 준수해야 합니다.

Windows Server 2012 이상 버전에는 중요한 새 기능이 추가되었습니다. Hyper-V 세대 ID(GenID)이 식별자를 통해 가상 도메인 컨트롤러는 디스크가 이전 시점으로 롤백되었는지 감지할 수 있습니다. 이러한 상황이 발생하면 AD DS는 새로운 InvocationID를 생성하고 마치 백업이 성공적으로 복원된 것처럼 상황을 처리합니다.복제 파트너에게 알림을 보내 USN 롤백 없이 안전하게 다시 쓸 수 있도록 합니다.

존중하는 것이 필수적입니다. 묘비의 생애이는 시스템 상태 백업을 사용하여 오래전에 삭제된 객체가 다시 복원될 위험 없이 사용할 수 있는 기간을 나타냅니다. 최신 버전에서는 일반적으로 180일이며, 충분한 안전 여유를 유지하기 위해 최소 90일마다 백업을 수행하는 것이 좋습니다.

미 해군의 작전 역전을 초래하는 무단 방법

Active Directory에서 눈에 띄지 않는 불일치를 야기하는 가장 위험한 원인 중 하나는 다음과 같습니다. 미 해군 롤백이 상황은 지원되지 않는 기술을 사용하여 AD 데이터베이스의 내용을 롤백할 때 발생하며, 이 경우 InvocationID가 복원되지 않거나 복제 파트너에게 알림이 전송되지 않습니다.

일반적인 시나리오는 DC를 부팅하는 것입니다. 디스크 이미지 또는 과거에 촬영한 가상 머신 스냅샷호환되는 시스템 복원을 사용하지 않고 복구할 수도 있습니다. 또는 Ntds.dit 파일을 직접 복사하거나, Ghost와 같은 이미징 프로그램을 사용하거나, 손상된 디스크 미러에서 부팅하거나, 어레이 수준에서 스토리지 스냅샷을 다시 적용할 수도 있습니다.

이러한 경우 도메인 컨트롤러는 이전과 동일한 InvocationID를 계속 사용하지만, 그 값은 변경됩니다. 현지 미 해군 카운터가 거꾸로 움직입니다다른 DC들은 높은 USN까지 변경 사항을 수신한 것을 기억하고 있으므로, 되돌려진 DC가 이미 인식된 USN을 다시 보내려고 할 때, 그들의 파트너들은 그들이 최신 정보를 알고 있다고 믿고 구체적인 변화를 받아들이지 않습니다..

그 결과 특정 수정 사항(예: 사용자 생성, 비밀번호 변경, 장치 등록, 그룹 멤버십 변경, 새 DNS 레코드 등록이러한 오류는 복구된 도메인 컨트롤러에서 네트워크의 나머지 부분으로 복제되지 않지만, 모니터링 도구에는 명확한 오류가 표시되지 않을 수 있습니다. 이는 매우 위험한 '조용한 장애'입니다.

이러한 상황을 감지하기 위해 Windows Server 2003 SP1 이상 버전의 드라이버는 로그를 기록합니다. 디렉터리 서비스 이벤트 2095 원격 데이터센터에서 호출 ID를 변경하지 않고 이미 승인된 USN을 전송하는 것이 감지되면 시스템은 해당 DC를 격리하고 Netlogon을 일시 중지하며 추가 변경이 발생하지 않도록 방지합니다. 정확하게 재현할 수 없었습니다.

추가적인 법의학적 증거로서, 이는 등기소에서 상담할 수 있습니다. 열쇠 HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters 그리고 가치 Dsa 쓰기 불가이 값이 설정되면(예: 0x4), USN 반전 감지에 의해 DC가 쓰기 금지 상태로 전환되었음을 나타냅니다. 이 값을 수동으로 수정하여 "해결"하는 것은 절대 지원되지 않습니다. 그리고 데이터베이스를 영구적으로 일관성이 없는 상태로 만듭니다.

도메인 컨트롤러의 손상 또는 복원 실패 시 일반적인 전략

손상되었거나 잘못 복원된 DC를 처리할 때 따라야 할 절차는 여러 요인에 따라 달라집니다. 도메인/포리스트 내 도메인 컨트롤러 수, 시스템 상태의 유효한 복사본 가용성, 기타 역할(FSMO, CA, 글로벌 카탈로그) 존재 여부, 문제 발생 시간 범위.

만약 해당 영역에 다른 건강한 DC가 있다면 손상된 도메인 컨트롤러에는 고유한 중요 데이터가 없습니다.가장 빠르고 깔끔한 방법은 일반적으로 해당 도메인 컨트롤러를 제거하고 다시 구축하는 것입니다. 그러나 해당 도메인 컨트롤러가 하나뿐이거나 중요한 역할 및 데이터를 호스팅하는 경우, 보다 신중한 복원(권한 있는 복원 또는 권한 없는 복원)이 필요할 수 있습니다.

일반적으로 선택지는 다음과 같습니다.

• 손상된 DC를 강제로 강등시키고 도메인에서 제거합니다.이어서 메타데이터 정리가 진행되고, 필요한 경우 새로운 프로모션이 수행됩니다.
• 유효한 시스템 상태 백업에서 복원권위적인 모드이든 비권위적인 모드이든 상관없이.
• IFM(Install From Media)을 사용하여 다른 DC에서 DC를 재구축합니다.최근 복사본이 없지만 다른 올바른 DC가 있는 경우입니다.
• 가상 DC의 VHD 스냅샷 사용데이터베이스를 백업에서 복원된 것으로 표시하는 추가 단계(백업에서 복원된 데이터베이스 = 1)를 적용하고 새 InvocationID가 생성되도록 합니다.

USN 롤백이 명백히 의심되는 경우(예: 모범 사례를 따르지 않고 스냅샷에서 VM을 복원한 후) 이벤트 2095가 발생하면 가장 합리적인 조치는 일반적으로 다음과 같습니다. 해당 DC를 서비스에서 제거하고 현장에서 "수리"하려고 시도하지 마십시오.롤백 전에 생성된 지원되는 시스템 상태의 백업으로 되돌릴 수 있는 경우가 아니라면 말입니다.

강제 강등 및 메타데이터 정리

도메인 컨트롤러가 심하게 손상되어 정상적으로 강등할 수 없거나, 잘못 복원되어 문제가 확산되는 것을 방지하려는 경우, 다음과 같은 방법을 사용할 수 있습니다. 강제 강등.

이전 버전에서는 이 작업이 다음과 같이 수행되었습니다. dcpromo /forceremoval, 뭐 포리스트의 나머지 부분에 변경 사항을 복제하지 않고 AD DS 역할을 제거합니다.최신 환경에서는 마법사가 변경되었지만 개념은 동일합니다. 즉, 문제가 있는 도메인 컨트롤러(DC)를 추가 복제에 참여하지 않도록 AD 토폴로지에서 제거하는 것입니다.

강제 다운그레이드 후에는 정상적인 도메인 컨트롤러(DC)에서 명령을 실행해야 합니다. 메타데이터 정리 도구 사용 Ntdsutil이 프로세스는 AD 데이터베이스에서 삭제된 DC에 대한 모든 참조(NTDS 설정 개체, DNS 참조 등)를 제거합니다. 복제를 혼란스럽게 할 "유령" 잔여물이 남아 있지 않습니다..

만약 성능 저하된 컨트롤러에 FSMO 역할(PDC 에뮬레이터, RID 마스터, 스키마 마스터 등)이 있었다면, 다음 조치가 필요합니다. 그 역할을 이전하거나 차지합니다. 상황에 따라 강등 전이나 후에 다른 도메인 컨트롤러(DC)로 이동합니다. 나중에 해당 서버에 운영 체제를 다시 설치하고 깨끗한 DC로 다시 승격시킬 수 있습니다.

Active Directory에서 비권한적 복원과 권한적 복원의 차이점

유효한 시스템 상태 사본이 있는 경우 AD 복구는 두 가지 방법으로 수행할 수 있습니다. 비권위적 및 권위적차이점을 이해하는 것은 최근 변경 사항을 놓치지 않거나 오래된 데이터를 그대로 복제하지 않는 데 핵심입니다.

한 곳에서 비권위적 복원DC는 이전 지점으로 돌아가지만, 일단 시작되면, 다른 도메인 컨트롤러는 참조용으로 간주됩니다.즉, 복원된 DC는 시작 후 인바운드 복제를 요청하고 다른 DC에서 누락된 변경 사항을 가져와 데이터베이스를 업데이트합니다. 이 옵션은 다음과 같은 경우에 이상적입니다. 다른 정상적인 컨트롤러들이 있고, 우리는 복원된 컨트롤러가 그들과 보조를 맞추기를 바랍니다..

한 곳에서 권위주의적 복원하지만 명시적으로 다음과 같이 명시되어 있습니다. 복원된 데이터가 우선시되어야 합니다. 다른 DC들이 가진 버전보다 높은 버전을 갖게 됩니다. 즉, 복원 후 복구된 개체는 더 높은 버전 번호를 갖게 되어 해당 DC에서 도메인의 나머지 부분으로 복제되도록 강제합니다. 이는 다음과 같은 경우에 적절한 선택입니다. 실수로 개체나 OU를 삭제했거나, SYSVOL 및 GPO의 내용을 이전 상태로 되돌리고 복제하려는 경우입니다..

중요한 점은 권한 있는 복원이 반드시 전체 데이터베이스를 대상으로 할 필요는 없다는 것입니다. 유틸리티를 사용하면 Ntdsutil 개별 객체, 하위 트리(예: OU) 또는 전체 도메인을 권한 있는 객체로 표시할 수 있습니다. 이는 예를 들어 다음과 같은 경우에 상당한 유연성을 제공합니다. 사용자, 그룹, OU 또는 하위 트리 dc=mycompany,dc=local만 검색합니다..

데이터센터에서 시스템 상태를 복원하는 일반적인 절차

호환 가능한 도구를 사용하여 데이터 센터(물리적이든 가상이든)의 시스템 상태를 복원하는 기본 방식은 항상 유사합니다. 디렉터리 서비스 복원 모드(DSRM)로 부팅한 다음 백업 도구를 사용하여 복원하고 다시 시작하십시오..

요약하자면, 가상 도메인 컨트롤러를 설정하는 일반적인 단계는 다음과 같습니다.

1. Windows 부팅 관리자에서 가상 머신을 시작하세요. (일반적으로 시작 중에 F5/F8 키를 누릅니다.) 가상 머신이 하이퍼바이저에 의해 관리되는 경우 키 입력을 캡처하려면 가상 머신을 일시 중지해야 할 수 있습니다.
2. 고급 부팅 옵션에서 선택하세요 디렉터리 서비스 복원 모드 (디렉터리 서비스 복원 모드). 이 모드는 Active Directory 데이터베이스를 기능적으로 마운트하지 않고 서버를 시작합니다.
3. DSRM 관리자 계정으로 로그인하세요. DC를 처음 승격시킬 때 정의되었습니다(표준 도메인 관리자 계정이 아님).
4. 백업 도구를 실행하세요 (Windows Server Backup, NAKIVO 또는 기타 호환 가능한) 백업 프로그램을 사용하여 원하는 백업 지점으로 시스템 상태를 복원하도록 선택하십시오.
5. 복원 마법사를 완료하세요. DC를 정상 모드로 재시작하십시오.권한 없는 복원의 경우 서버는 다른 도메인 컨트롤러와 동기화하기 위해 복제를 시작합니다.

타사 백업 제품에 대해 이야기할 때, 예를 들어 다음과 같은 제품들이 있습니다. NAKIVO 백업 및 복제이 시스템의 "앱 인식" 모드는 복구 중인 기기가 데이터센터(DC)임을 인식할 수 있습니다. AD 일관성을 유지하기 위해 프로세스를 자동으로 조정합니다.컨트롤러가 여러 개인 대부분의 시나리오에서는 권한 없는 모드에서의 전체 복구로 충분합니다.

Ntdsutil을 사용한 권위 있는 복원

복원된 도메인 컨트롤러의 변경 사항이 나머지 변경 사항보다 우선 적용되도록 하려면 비권한 복원 후에 추가 단계를 수행해야 합니다. Ntdsutil을 사용하여 객체를 권한 있는 객체로 표시합니다..

간략화된 절차는 다음과 같습니다.

1. 표준 방식으로 시스템 상태를 복원하고 서버는 그대로 두십시오. DSRM 모드 (아직 일반 모드로 재시작하지 마십시오.)
2. 를 엽니다 관리자 권한으로 명령 프롬프트 실행 그리고 실행 ntdsutil.
3. AD 인스턴스를 활성화하려면 다음을 사용하십시오. 인스턴스 ntds 활성화.
4. 권위 있는 복원의 맥락에 진입하면서 권위 있는 복원.
5. 다음과 같은 명령을 사용하세요 restore object <DN_objeto> o restore subtree <DN_subarbol>여기서 DN은 권한 있는 방식으로 복원될 객체 또는 하위 트리의 고유 이름입니다.
6. 거래를 확인하고 완료되면, DC를 정상 모드로 재시작하십시오. 이렇게 하면 표시된 객체가 도메인의 나머지 부분에 우선적으로 복제됩니다.

이러한 유형의 복원에는 상당한 주의가 필요합니다. 전체 도메인을 권한 있는 방식으로 복원했는데 백업 파일이 오래된 경우백업 후 이루어진 정당한 변경 사항(예: 사용자 생성, 암호 변경 또는 그룹 수정)이 손실될 위험이 있습니다. 따라서 권한 있는 복원은 반드시 필요한 객체 또는 트리로만 제한하는 것이 일반적입니다.

SYSVOL 복원 및 복구(FRS vs DFSR)

SYSVOL은 도메인 컨트롤러의 핵심 구성 요소입니다. 시작 스크립트, 그룹 정책, 보안 템플릿 및 기타 필수 공유 리소스를 저장합니다.권한 오류, 파일 손상 또는 복제 문제로 인해 GPO를 사용할 수 없게 되거나 클라이언트에서 오작동이 발생할 수 있습니다.

Windows Server 버전 및 마이그레이션 상태에 따라 SYSVOL은 다음과 같은 방법으로 복제될 수 있습니다. FRS(파일 복제 서비스) 이유 DFSR(분산 파일 시스템 복제)SYSVOL의 권한 있는 복원 절차는 두 가지 방법 중 어느 것이 사용 중인지에 따라 다릅니다.

이를 확인하려면 레지스트리에서 해당 키를 확인하면 됩니다. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\SysVols\Migrating Sysvols\LocalState이 하위 키가 존재하고 값이 3(삭제됨)이면 DFSR이 사용되고 있는 것입니다. 하위 키가 존재하지 않거나 값이 다르면 FRS를 여전히 사용하는 환경입니다.

FRS가 있는 환경에서 SYSVOL의 권한 있는 복구는 일반적으로 값 조정을 포함합니다. 버플래그스 en HKLM\System\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process 특정 값(예: 212 십진수 / 0xD4 16진수)으로 지정하여 이 DC가 권위 있는 소스임을 나타냅니다.

SYSVOL이 DFSR을 통해 복제되는 경우, 그 과정은 다소 복잡합니다. 여기에는 다음이 포함됩니다. ADSI 편집 SYSVOL 구독 객체(속성)를 수정하려면 msDFSR 활성화됨 y msDFSR 옵션권한 있는 DC와 다른 DC에서 AD 복제를 강제로 실행하고 dfsrdiag pollad 이벤트 로그에서 해당 현상이 나타나는 것을 확인하십시오. 이벤트 4114, 4602, 4614 및 4604 SYSVOL이 올바르게 초기화되고 복제되었음을 인증합니다.

VHD에서 가상 도메인 컨트롤러 복구

가상화 환경에서는 흔히 발생하는 일입니다. 도메인 컨트롤러의 VHD/VHDX 파일시스템 상태 백업이 없지만 작동하는 "이전" VHD가 있는 경우 해당 디스크에서 새 DC를 마운트할 수 있습니다. 단, USN 롤백이 발생하지 않도록 매우 주의해서 진행해야 합니다.

추천은 해당 가상 머신을 일반 모드로 직접 시작하지 마십시오.대신 이전 VHD 파일에서 부팅해야 합니다. DSRM레지스트리 편집기를 열고 다음 경로로 이동하십시오. HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters그곳에서는 값을 확인하는 것이 좋습니다. 이전 DSA 복원 횟수 (존재한다면) 그리고 무엇보다도, 라는 이름의 새로운 DWORD(32비트) 값을 생성합니다. 백업에서 복원된 데이터베이스 값은 1입니다.

이 값을 선택하면 Active Directory는 데이터베이스가 백업에서 복원되었음을 알게 되며, 이로 인해 강제로 복원 작업이 수행됩니다. 일반 모드로 부팅할 때 새로운 InvocationID 생성이러한 방식으로 다른 DC는 이를 새로운 인스턴스로 해석하고 복제 워터마크를 올바르게 조정하여 USN 롤백을 방지합니다.

도메인 컨트롤러(DC)를 정상 모드로 재시작한 후에는 이벤트 뷰어, 특히 로그를 확인하는 것이 좋습니다. 디렉토리 서비스찾고 있는 것 이벤트 1109이 이벤트는 서버의 InvocationID 속성이 변경되었음을 확인하고 이전 값과 새 값, 그리고 백업 당시의 가장 높은 USN 값을 표시합니다. 또한, 값도 표시됩니다. 이전 DSA 복원 횟수 1만큼 증가했어야 했습니다.

이러한 이벤트가 나타나지 않거나 카운트가 증가하지 않으면 운영 체제 버전 및 서비스 팩을 확인해야 합니다. 특정 복원 행동은 특정 패치에 따라 달라집니다.어떤 경우든, 원본 VHD의 복사본을 사용하여 작업하는 것이 항상 권장되며, 나중에 작업을 반복해야 할 경우를 대비하여 원본 파일을 손상 없이 보관해 두는 것이 좋습니다.

실제 시나리오 및 추가 권장 사항

실제로 부패나 부적절한 복구 문제는 일상생활에서 흔히 발생합니다. SYSVOL에서 권한을 수동으로 수정하거나, ADMX/ADML 템플릿을 업데이트하려고 시도하거나, GPO 변경 사항이 복제되지 않는 경우공유 폴더를 수동으로 수정하는 경우, 예를 들어 다음과 같은 경우처럼, 불일치가 발생하기 비교적 쉽습니다. SYSVOL\Policies 복제를 존중하지 않고.

기본 DC에서 복제(AD 데이터 및 SYSVOL 모두)가 중단되고 " 유형의 모니터링 메시지가 표시되는 경우지원되지 않는 절차를 사용하여 데이터베이스를 복원했습니다. 가능한 원인: USN 롤백그러므로 현명한 조치는 다음과 같습니다.

• 확인 디씨디악 y repadmin 오류의 범위와 "지속적인 객체"가 있는지 여부.
• 이벤트 2095와 해당 값을 확인하세요. Dsa 쓰기 불가 등록부에서.
• 가능한지 평가해 보세요. 해당 DC를 제거하고 다시 구축하세요. (다른 건강한 DC가 세 개 이상 있는 경우, 이것이 일반적으로 가장 좋은 선택입니다.)
• 만약 DC나 비평가가 그것 하나뿐이라면, 문제를 제기하세요. 시스템 상태 복원 호환되는 백업 파일(가급적 최근 파일이며, 툼스톤 기간 내)에서 복원하십시오.

컨트롤러가 여러 개인 도메인에서는 DC를 가능한 한 "순수"하게 유지하는 것이 강력히 권장됩니다. 추가 역할이나 로컬 사용자 데이터 없이이러한 방식으로, 하나의 도메인 컨트롤러(DC)가 고장 나거나 손상될 경우, 다른 DC를 기반으로 또는 IFM을 통해 새 DC를 포맷하고 승격시킬 수 있으므로 복구의 복잡성을 크게 줄일 수 있습니다.

또한, 다음과 같은 한계점을 기억해 두는 것이 좋습니다. 시스템 상태 복사본은 툼스톤 기간 동안에만 유효합니다. 삭제된 개체가 복구되는 것을 방지하기 위해 (구성 설정에 따라 60일, 90일, 180일) 기간을 설정하고, NTLM 컴퓨터 키가 7일마다 변경되도록 해야 합니다. 매우 오래된 복원의 경우, 다음 조치가 필요할 수 있습니다. 팀 계정 초기화 Active Directory 사용자 및 컴퓨터 관련 문제 또는 해당 사용자를 도메인에서 제거한 후 다시 연결하는 문제.

시스템 상태를 정기적으로 백업하는 절차를 마련해 두는 것, FSMO 역할, 글로벌 카탈로그 및 복제 토폴로지를 명확하게 문서화하십시오.실험실 환경에서 복원 단계를 테스트하는 것은 도메인 컨트롤러가 손상되거나 누군가가 생각 없이 스냅샷을 적용하는 상황이 발생했을 때 많은 골칫거리를 예방하는 시간 투자입니다.