본문 바로가기
IT

AD 복구 옵션 (Recovery Options)

씨오디이abc 2025. 7. 18. 11:38
반응형

일반적인 재해 복구 방법

시나리오 1: 단일 도메인 컨트롤러(DC)의 장애 (예: 하드웨어 고장)

  • 비권한 복원 (Non-authoritative restore): 백업을 사용하여 DC를 복원하는 가장 표준적인 방법입니다. 복원된 DC는 자신을 '최신이 아닌 상태'로 인지하고, 다른 정상적인 DC들로부터 최신 변경 사항을 모두 복제해 와서 데이터를 동기화합니다.
  • DC 재설치 (Reinstall a DC): 서버를 포맷하고 OS부터 새로 설치한 후, 다시 DC로 승격시키는 방법입니다. 비권한 복원과 마찬가지로 다른 DC로부터 최신 데이터를 복제해 옵니다. 절차가 더 단순하고 깨끗하여 종종 선호되는 방식입니다.

시나리오 2: 특정 AD 개체(사용자, 그룹, OU 등)의 실수로 인한 삭제

  • AD 휴지통 사용 (Use AD Recycle Bin): 가장 권장되는 최신 방법입니다. 사전에 AD 휴지통 기능을 활성화해 두었다면, 삭제된 개체는 모든 특성(그룹 멤버십, 속성 등)을 그대로 유지한 채 휴지통으로 이동합니다. PowerShell이나 'Active Directory 관리 센터'를 통해 매우 간단하게 원상 복구할 수 있습니다.
  • 권한 복원 (Authoritatively restore AD DS objects): 휴지통을 사용하지 않을 때의 전통적인 방법입니다. DC를 DSRM(디렉터리 서비스 복원 모드)으로 부팅하여 백업을 복원한 뒤, 복구하려는 특정 개체를 '권한 있음'으로 표시합니다. 이렇게 하면 해당 DC가 다른 모든 DC에게 이 개체를 다시 만들라고 강제하여 삭제를 취소시킬 수 있습니다. 과정이 매우 복잡합니다.
  • 삭제 표시(Tombstone) 되살리기: 휴지통 기능 이전의 수동 복구 방식으로, LDP.exe와 같은 도구를 사용합니다. 기술적으로 어렵고 일부 속성이 유실될 수 있습니다.
  • 타사 도구 사용: AD 개체 단위의 세분화된 복구를 편리하게 제공하는 전문 3rd Party 솔루션을 사용할 수도 있습니다.

시나리오 3: DNS 영역(Zone) 손상 또는 삭제

  • DNSCMD를 이용한 내보내기/가져오기: dnscmd 명령어로 평소에 DNS 영역을 파일로 백업(export)해 두었다가, 문제 발생 시 해당 파일을 다시 가져와(import) 신속하게 복구하는 방법입니다.
  • 권한 복원 (Authoritatively restore DNS): AD 통합 영역의 경우, 시스템 상태(System State)를 권한 복원하여 DNS 데이터를 되살릴 수 있습니다.

시나리오 4: 그룹 정책 개체(GPO) 손상 또는 삭제

  • GPO 백업 사용: 가장 권장되는 방법입니다. GPMC(그룹 정책 관리 콘솔)에서 제공하는 백업 기능을 사용하여 개별 GPO 또는 모든 GPO를 백업해 두었다가, 문제 발생 시 손쉽게 복원할 수 있습니다.
  • 권한 복원 (Authoritatively restore GPOs): GPO 데이터가 저장되는 SYSVOL 볼륨을 권한 복원하여 되살리는 방법도 있으나, GPMC 백업을 사용하는 것이 훨씬 간단합니다.

AD 백업 보존 기간 설정 시 고려사항

  • 삭제 표시 수명 (Tombstone Lifetime, TSL):
    • TSL이란, AD에서 개체가 삭제되었을 때 즉시 완전히 제거되지 않고 '삭제됨' 표시만 남긴 채 보존되는 기간을 의미합니다. 이 기간이 지나면 데이터베이스에서 영구적으로 사라집니다.
    • TSL은 Windows Server 2003 SP1 이후 환경에서 기본 180일입니다. (그 이전 버전은 60일)
  • 중요 원칙: 절대로 TSL(180일)보다 오래된 백업을 사용하여 DC를 복원해서는 안 됩니다. 만약 180일이 넘은 백업을 복원하면, 이미 다른 DC들에서는 영구 삭제된 개체가 복원된 DC에만 되살아나는 '잔류 개체(Lingering Objects)' 문제가 발생합니다. 이는 AD 복제 시스템에 심각한 오류를 일으켜 전체 AD 환경을 손상시킬 수 있습니다.

 

  • 결론: 회사의 규정상 백업 데이터를 수년간 보관해야 하더라도, AD 재해 복구용으로 사용할 수 있는 백업은 반드시 TSL(180일) 이내의 최신 버전이어야 합니다.
반응형

'IT' 카테고리의 다른 글

DSRM (Directory Services Restore Mode) 이란?  (0) 2025.07.18
복구 필요성 완화: 실수로 인한 삭제로부터 개체 보호  (0) 2025.07.18
AD 백업 권장사항 (AD Backup Recommendations)  (3) 2025.07.18
백업 보안 고려사항 (Backup Security Considerations)  (1) 2025.07.18
전체 백업(Full Backup) vs 시스템 상태(System State)  (1) 2025.07.18

'IT' Related Articles

티스토리툴바