AD 백업 권장사항 (AD Backup Recommendations)

Active Directory는 기업 IT 인프라의 핵심이므로, 안정적인 백업 및 복구 전략을 수립하는 것이 매우 중요합니다. 이때 어떤 도메인 컨트롤러(DC)를 백업 대상으로 선택하느냐에 따라 복구의 성공 여부와 복잡성이 크게 달라질 수 있습니다.

다음은 백업 및 복구에 사용할 DC를 선택할 때의 주요 권장사항입니다.

• 도메인 당 최소 2대의 DC를 백업하십시오 (이중화).
  • 하나의 DC만 백업할 경우, 해당 백업 파일이 손상되거나 복구 중인 DC 하드웨어에 문제가 생기면 AD를 복구할 수 없게 됩니다. 장애 조치 및 이중화를 위해 각 도메인에서 최소 2대 이상의 DC를 정기적으로 백업하여 단일 실패 지점(SPOF)을 방지해야 합니다.
• 운영 마스터(FSMO) 역할 보유 DC는 피하십시오.
  • FSMO(Flexible Single Master Operations) 역할을 가진 DC는 AD에서 특별하고 중요한 작업을 수행합니다. 이 DC를 직접 복원하는 것은 과정이 매우 복잡하고 위험 부담이 큽니다. 일반 DC를 먼저 복원한 후, 필요에 따라 안정성이 확인된 서버로 FSMO 역할을 이전(Seize/Transfer)하는 것이 훨씬 안전하고 권장되는 방법입니다.
• DHCP, WINS, ADCS 등 다른 중요 서비스가 설치된 DC는 피하십시오.
  • 도메인 컨트롤러는 AD DS와 DNS 역할만 수행하도록 최대한 전용으로 유지하는 것이 좋습니다. 만약 DHCP, 인증서 서비스(ADCS), 원격 데스크톱 라이선싱 같은 다른 중요한 서비스가 함께 설치된 DC를 복원하면, 해당 서비스들의 데이터까지 과거 시점으로 되돌아가 예상치 못한 문제를 일으킬 수 있습니다. 복구 과정을 단순화하기 위해 역할이 혼합된 DC는 백업 대상에서 피하는 것이 좋습니다.
• 타사 앱이 하드코딩으로 사용하는 DC는 피하십시오.
  • 일부 오래된 응용 프로그램은 특정 DC의 IP 주소나 서버 이름을 코드에 고정(하드코딩)하여 인증을 요청하는 경우가 있습니다. 만약 이 DC를 복구하느라 서비스를 중단하면 해당 응용 프로그램은 즉시 장애를 일으킵니다. 특정 서버에 대한 의존성을 만들어 복구를 어렵게 하므로 이런 DC는 백업 대상으로 적합하지 않습니다.
• 백업 대상 DC는 반드시 GC 및 DNS 서버인지 확인하십시오.
  • GC (글로벌 카탈로그): GC는 포리스트 내 모든 개체에 대한 정보를 담고 있어 사용자 로그인 및 검색에 필수적입니다. GC가 아닌 DC를 복원하면 기능이 매우 제한적입니다.
  • DNS 서버: AD는 DNS 없이는 작동이 불가능합니다. AD 통합 DNS 영역을 사용하는 환경에서는 DC와 DNS 데이터가 함께 백업되어야 완벽한 복구가 가능합니다.
• 가상화 체크포인트(스냅샷)를 백업 계획으로 사용하지 마십시오.
  • (매우 중요) 가상 머신(VM)의 체크포인트나 스냅샷 기능으로 DC를 이전 시점으로 되돌리는 것은 절대 금물입니다. 이 경우 USN 롤백(USN Rollback)이라는 심각한 복제 불일치 문제가 발생하여 Active Directory 전체를 영구적으로 손상시킬 수 있습니다. 반드시 Windows Server 백업과 같이 AD를 인식하는 전문 백업 솔루션을 사용해야 합니다.