6か月前にバックアップされたDCを復元しないのはなぜですか？

Active Directoryドメインサービスを学習しているときに、ブログの1つでこの質問に出会いましたが、詳細な回答を見つけることができませんでした。だからこのコンセプトを誰にでも説明してください。

active-directory domain-controller azure-active-directory

— user416535
ソース

より新しいバックアップが必要なためですか？

— クレイグワトソン

限り...最近のバックアップはすべて同じ核沈着領域にあり、この特異なオフサイトバックアップが最後のDCの唯一の使用可能なバックアップになります。上の不可抗力の場合誰が予想外のバックアップを持っていないためにあなたを責めないであろう。それ以下の場合は、定期的な自動バックアップが必要です。

— エサヨキネン

定期的、自動化、監視 、および テスト。バックアップが3か月間失敗することや、絶対に必要な瞬間に復元できないことを本当に知りたくありません。

— JFL

何年も前に、古代のNT4 ADサーバーをスペアキットに復元し、必要なADの部分をダンプし、テキストエディターでマッサージしました。そのマッサージされたデータをライブサーバーにインポートできたかもしれませんが、それは必要ありませんでした。メモリーは〜17年後に毛並みを帯びてきており、ソフトウェアの名前が残念であるとは考えられません。

— クリギー

回答:

tombstone lifetimeActive Directory と呼ばれるものがあります。Active Directoryでオブジェクトを削除しても、すぐには消えず、廃棄オブジェクトに変換され、この情報は他のDCに複製されます。廃棄標識の寿命に達すると、オブジェクトは削除されます。削除前の状態より前に復元し、tomsbtoneが期限切れになる前に復元されたDCに複製されない場合、オブジェクトは復元されたDCに存在しますが、他のDCには存在しません。これで、一貫性のないデータができました。Server 2008以降のデフォルトのtomsbtoneの有効期間は180日（= 6か月）です。

— ドゥエンニ
ソース

ドメイン内の唯一のドメインコントローラである場合、復元できます。それが唯一のDCではない場合、他のドメインコントローラーはTSLより古い復元されたDCで複製されないため、復元は無関係です。ドメイン/フォレスト全体がスモークされない限り、他のDCが利用可能な場合、DCを復元する実際的なケースもありません。その場合、既存のDCは保持されず、古いバックアップが1つのDCに復元され、すべての新しいDCが昇格されます。

— グレッグアスキュー

ええ、そのような古いバックアップを復元すると、セキュリティで保護されたチャネルのパスワードの有効期限が切れるため、より多くのトラブルが発生します。全体として、これは良いアイデアではありません。

— duenni

誰もがそれが良いアイデアだと言っているとは思わない。使用可能な唯一のバックアップがTSLより古い場合、復元できます。

— グレッグアスキュー

わかりました。誤解を招く可能性があるため、最後の文を回答から削除します。

— duenni

削除されたオブジェクトだけではありません。

しばらくの間、一部のサーバーがIIS、証明書サーバー（PKI）、ポリシーがOUに適用され、委任が一部のユーザーに与えられ、認証がVPNアクセスなどの一部のADユーザーに対して行われたと仮定しましょう。

これらの変更はすべて、古いActive Directoryに置き換えられます。このアクションはまったく受け入れられません。

— サイラム
ソース

必ずしも。非Authoritative Restoreは、別のDCから既存のデータを複製しますが、廃棄標識の有効期限が切れると、一貫性のないデータになります（そもそも廃棄標識の寿命より古いバックアップを復元できないという事実に加えて））。

— duenni