ทำไมคุณไม่ควรคืนค่า DC ที่สำรองไว้เมื่อ 6 เดือนก่อน?

ในขณะที่ฉันกำลังเรียนรู้บริการโดเมน Active Directory ฉันเจอคำถามนี้ในหนึ่งในบล็อก แต่ฉันไม่สามารถหาคำตอบโดยละเอียดได้ ดังนั้นใครก็ได้โปรดอธิบายแนวคิดนี้ให้ฉันฟัง

active-directory domain-controller azure-active-directory

— user416535
แหล่งที่มา

เพราะคุณควรมีการสำรองข้อมูลล่าสุดมากกว่านี้?

— Craig Watson

ยกเว้นว่า ... การสำรองข้อมูลล่าสุดทั้งหมดอยู่ในพื้นที่การสะสมนิวเคลียร์เดียวกันทำให้การสำรองข้อมูลนอกสถานที่เป็นเอกเทศเป็นการสำรองข้อมูลที่ใช้งานได้ของ DC ครั้งสุดท้ายเท่านั้น ในกรณีที่เหตุสุดวิสัยไม่มีใครจะตำหนิคุณที่ไม่มีการสำรองข้อมูลสำหรับที่ไม่คาดคิด หากมีสิ่งใดน้อยคุณควรมีการสำรองข้อมูลปกติและอัตโนมัติ

— Esa Jokinen

ปกติอัตโนมัติตรวจสอบ และ ทดสอบ คุณไม่ต้องการตระหนักว่าการสำรองข้อมูลของคุณล้มเหลวเป็นเวลา 3 เดือนหรือไม่สามารถกู้คืนได้ในเวลาที่คุณต้องการจริงๆ

— JFL

หลายปีที่ผ่านมาฉันกู้คืนเซิร์ฟเวอร์โฆษณา NT4 โบราณไปยังชุดสำรองบางส่วนทิ้งส่วนของโฆษณาที่จำเป็นแล้วนวดพวกเขาในโปรแกรมแก้ไขข้อความ อาจนำเข้าข้อมูลที่มีการนวดนั้นไปยังเซิร์ฟเวอร์ที่ใช้งานอยู่ แต่ไม่จำเป็น หน่วยความจำเริ่มสั่นคลอนหลังจากผ่านไป 17 ปีไม่สามารถนึกชื่อซอฟต์แวร์ได้

— Criggie

คำตอบ:

มีสิ่งที่เรียกว่าtombstone lifetimeใน Active Directory เมื่อคุณลบวัตถุใน Active Directory มันจะไม่หายไปทันทีมันจะถูกแปลงเป็นหลุมฝังศพและข้อมูลนี้จะถูกจำลองแบบไปยัง DC อื่น ๆ เมื่อถึงอายุขัยของหลุมฝังศพวัตถุจะถูกกำจัด หากคุณกู้คืนก่อนถึงสถานะก่อนการลบและ tomsbtone จะไม่ถูกจำลองแบบไปยัง DC ที่ได้รับการกู้คืนก่อนที่มันจะหมดอายุวัตถุจะยังคงอยู่ใน DC ที่คุณกู้คืน แต่ไม่ใช่ใน DC อื่น ๆ ตอนนี้คุณมีข้อมูลที่ไม่สอดคล้องกัน อายุการใช้งาน tomsbtone เริ่มต้นสำหรับ Server 2008 เป็นต้นไปคือ 180 วัน (= 6 เดือน)

— duenni
แหล่งที่มา

สามารถเรียกคืนได้หากเป็นตัวควบคุมโดเมนเดียวในโดเมน ถ้าไม่ใช่ DC เพียงอย่างเดียวการกู้คืนจะไม่เกี่ยวข้องเนื่องจากตัวควบคุมโดเมนอื่นจะไม่ทำซ้ำกับ DC ที่กู้คืนซึ่งเก่ากว่า TSL นอกจากนี้ยังไม่มีกรณีในทางปฏิบัติใด ๆ ในการกู้คืน DC หาก DC อื่น ๆ พร้อมใช้งานยกเว้นว่าโดเมน / ฟอเรสต์ทั้งหมดถูกรมควัน ในกรณีดังกล่าวพวกเขาจะไม่เก็บ DC ที่มีอยู่เดิม แต่จะเรียกคืนการสำรองข้อมูลเก่าไปยัง DC หนึ่งอันและส่งเสริม DC ใหม่ทั้งหมด

— Greg Askew

ใช่การกู้คืนการสำรองข้อมูลเก่าจะทำให้คุณมีปัญหามากขึ้นเนื่องจากรหัสผ่านของช่องทางที่ปลอดภัยหมดอายุเช่นกันดังนั้นลูกค้าจะไม่พูดคุยกับ DC นี้และคุณจะต้องกลับไปที่โฆษณาทั้งหมดอีกครั้ง โดยรวมแล้วนี่ไม่ใช่ความคิดที่ดี

— duenni

ฉันไม่คิดว่าจะมีใครพูดว่ามันเป็นความคิดที่ดี หากการสำรองข้อมูลที่มีอยู่นั้นเก่ากว่า TSL เท่านั้นก็สามารถเรียกคืนได้

— Greg Askew

ตกลงฉันจะลบประโยคสุดท้ายออกจากคำตอบของฉันเพราะอาจทำให้เข้าใจผิด

— duenni

ไม่เพียง แต่ลบวัตถุ

ให้เราสมมติว่าเซิร์ฟเวอร์บางตัวได้รับการกำหนดค่า IIS, เซิร์ฟเวอร์ใบรับรอง (PKI), นโยบายถูกนำไปใช้กับ OU, การมอบสิทธิ์มอบให้กับผู้ใช้บางคน, การรับรองความถูกต้องได้กระทำกับผู้ใช้โฆษณาเช่นการเข้าถึง VPN เป็นต้น

การเปลี่ยนแปลงทั้งหมดเหล่านี้จะถูกแทนที่ด้วย Active Directory เก่า การกระทำนี้ไม่เป็นที่ยอมรับเลย

— Sairam
แหล่งที่มา

ไม่จำเป็น. การกู้คืนแบบไม่มีสิทธิ์จะทำซ้ำข้อมูลที่มีอยู่จาก DC อื่น แต่จะนำไปสู่ข้อมูลที่ไม่สอดคล้องกันหากอายุการใช้งานของ tombstone หมดอายุ (นอกเหนือจากความจริงที่ว่าจะไม่อนุญาตให้คุณกู้คืนข้อมูลสำรองที่เก่ากว่าอายุของ tombstone ในตอนแรก )

— duenni