AD 백업 및 복구 핵심 Q&A 20

Q1: Windows Server 백업이 파일 서버 백업보다 AD 백업에 더 적합한 이유는 무엇인가요?
A: Windows Server 백업은 VSS(볼륨 섀도 복사본 서비스)를 사용하여 AD 데이터베이스(ntds.dit)가 사용 중인 상태에서도 데이터의 일관성을 유지하며 백업할 수 있습니다. 또한 블록 수준(Block-level) 백업으로 변경된 부분만 백업하여 효율적입니다.

---

Q2: '시스템 상태', '베어메탈 복구(BMR)', '전체 백업'의 차이점은 무엇인가요?
A:

• 시스템 상태: 레지스트리, AD 데이터베이스, SYSVOL 등 OS의 설정과 역할만 백업합니다.
• BMR: 시스템 상태를 포함하여 OS를 부팅하는 데 필요한 모든 것을 백업합니다. OS가 없는 서버에 시스템을 통째로 복원할 수 있습니다.
• 전체 백업: BMR을 포함하여 서버의 모든 로컬 디스크(데이터 드라이브 포함)에 있는 모든 것을 백업하는 가장 포괄적인 방식입니다.

---

Q3: AD 백업 시 어떤 도메인 컨트롤러(DC)를 선택해야 하나요?
A: GC(글로벌 카탈로그)이면서 DNS 서버 역할을 하는 DC를 선택해야 합니다. 또한 안정적인 복구를 위해 각 도메인에서 최소 2대 이상의 DC를 백업하는 것이 좋습니다.

---

Q4: 백업 대상 DC로 피해야 할 서버의 유형은 무엇인가요?
A: FSMO 역할을 보유한 DC나 DHCP, ADCS 등 다른 중요 서비스가 함께 설치된 DC는 복구 과정이 복잡해지므로 피하는 것이 좋습니다. 또한 응용 프로그램이 IP나 이름을 하드코딩하여 사용하는 DC도 피해야 합니다.

---

Q5: 가상화 환경에서 DC의 스냅샷(체크포인트)을 백업으로 사용하면 왜 절대 안 되나요?
A: 스냅샷으로 DC를 되돌리면 USN 롤백(USN Rollback)이라는 심각한 복제 불일치 문제가 발생하여 AD 데이터베이스 전체가 손상될 수 있습니다. 반드시 AD를 인식하는(AD-Aware) 전문 백업 솔루션을 사용해야 합니다.

---

복구 모드 및 방법론

Q6: DSRM(디렉터리 서비스 복원 모드)은 무엇이며, 왜 필요한가요?
A: DSRM은 AD를 위한 특수한 안전 모드입니다. 이 모드로 부팅하면 AD 서비스가 시작되지 않아 데이터베이스 파일(ntds.dit)이 오프라인 상태가 됩니다. 이를 통해 데이터베이스 복원이나 오프라인 조각 모음 같은 직접적인 유지 보수 작업을 안전하게 수행할 수 있습니다.

---

Q7: '비권한 복원'과 '권한 있는 복원'의 근본적인 차이는 무엇인가요?
A:

• 비권한 복원 (Non-authoritative): 단일 DC 고장 시 사용합니다. 복원된 DC는 다른 정상 DC로부터 최신 정보를 복제받아 동기화하는 방식입니다.
• 권한 있는 복원 (Authoritative): 특정 개체 삭제 시 사용합니다. 복원된 개체의 버전 번호를 조작하여 다른 모든 DC에게 이 개체가 정답이라고 강제로 덮어씌우는 방식입니다.

---

Q8: '권한 있는 복원'은 내부적으로 어떤 원리로 작동하나요? A: ntdsutil 도구를 사용하여 복원하려는 개체의 버전 번호(Version Number)를 비정상적으로 큰 숫자로(보통 100,000 이상) 인위적으로 증가시킵니다. AD 복제 시 버전 번호가 높은 쪽이 항상 우선하므로, 버전이 높아진 복원 개체가 다른 DC에 있는 '삭제됨' 상태를 덮어쓰게 되어 삭제가 취소됩니다.

---

Q9: DSRM으로 부팅하는 대표적인 방법 3가지는 무엇인가요?
A:

1. 부팅 시 F8 키를 눌러 수동으로 진입 (레거시 방식)
2. msconfig.exe 유틸리티의 부팅 탭에서 '안전 부팅(Active Directory 복구)' 옵션 체크
3. 명령 프롬프트에서 bcdedit /set safeboot dsrepair 명령어 사용

---

Q10: 실수로 인한 OU 삭제를 방지하는 가장 효과적인 방법은 무엇인가요?
A: OU 속성의 '개체' 탭에 있는 '실수로 인한 삭제로부터 개체 보호' 옵션을 활성화하는 것입니다. 이 옵션은 관리자를 포함한 누구도 해당 OU를 삭제할 수 없도록 '삭제 거부' 권한을 설정하여 치명적인 실수를 예방합니다.

---

개체 삭제 및 복구

Q11: AD 휴지통 도입 전(Tombstone)과 후(Recycle Bin)의 개체 삭제 방식의 가장 큰 차이점은 무엇인가요?
A: 속성(Attribute) 보존 여부입니다. Tombstone은 삭제 시 그룹 멤버십 등 대부분의 속성이 제거되어 불완전한 복구만 가능했습니다. 반면 AD 휴지통은 '삭제된 개체(Deleted Object)' 상태 동안 모든 속성을 그대로 보존하므로 완벽한 복원이 가능합니다.

---

Q12: TSL(Tombstone Lifetime)이란 무엇이며, 백업 정책에 왜 중요한가요?
A: TSL은 삭제된 개체의 흔적(Tombstone)이 데이터베이스에 남아있는 기간으로, 기본 180일입니다. 절대로 TSL보다 오래된 백업을 복원해서는 안 됩니다. 복원 시 '잔류 개체(Lingering Objects)' 문제가 발생하여 AD 복제 시스템 전체를 손상시킬 수 있기 때문입니다.

---

Q13: AD 휴지통이 활성화된 환경에서 사용자를 실수로 삭제했을 때 가장 먼저 해야 할 일은 무엇인가요?
A: ADAC(Active Directory 관리 센터)를 열고 'Deleted Objects' 컨테이너로 이동합니다. 필터 기능을 사용해 삭제된 사용자를 찾은 뒤, 마우스 우클릭 또는 작업 창의 '복원' 버튼을 눌러 즉시 복원합니다.

---

Q14: ADAC를 이용한 휴지통 복원의 제약 사항은 무엇인가요?
A: ADAC는 도메인 파티션의 개체만 복원할 수 있으며, Configuration이나 DNS 파티션의 개체는 복원할 수 없습니다. 또한 OU와 그 안의 개체를 한번에 복원하는 하위 트리 복원은 지원하지 않습니다.

---

Q15: '다시 시작 가능한 AD DS' 기능은 무엇이며, 이때 로그온은 어떻게 하나요?
A: 서버를 재부팅하지 않고 일반 모드에서 AD DS 서비스만 중지/시작하는 기능입니다. 서비스가 중지되면 도메인 로그온이 안되므로, DSRMAdminLogonBehavior 레지스트리 값을 1로 설정하여 DSRM 관리자 계정으로 로그온해야 합니다.

---

보안 및 기타

Q16: 백업 데이터 자체의 보안을 위해 고려해야 할 사항은 무엇인가요?
A:

1. 백업 매체를 물리적으로 안전한 장소(잠금장치가 있는 서버실, 금고 등)에 보관하여 접근을 통제합니다.
2. 백업/복원 권한이 있는 Administrators, Backup Operators 그룹의 구성원을 최소화합니다.
3. 네트워크 공유 폴더에 백업 시 폴더 접근 권한을 엄격하게 제어합니다.

---

Q17: GPO(그룹 정책 개체)가 손상되었을 때 가장 좋은 복구 방법은 무엇인가요?
A: GPMC(그룹 정책 관리 콘솔)에 내장된 백업/복원 기능을 사용하는 것이 가장 좋습니다. 평소에 GPO를 백업해두었다가, 문제 발생 시 GPMC를 통해 손상된 GPO만 선택하여 손쉽게 복원할 수 있습니다.

---

Q18: DSRM 계정의 암호를 잊어버렸을 때는 어떻게 해야 하나요?
A: 정상 부팅 상태에서 관리자 권한으로 명령 프롬프트를 열고, ntdsutil을 실행한 뒤 set dsrm password 명령을 사용하여 암호를 재설정할 수 있습니다.

---

Q19: ADAC에서 삭제된 개체가 너무 많아 원하는 개체를 찾기 어려울 때 어떻게 해야 하나요?
A: ADAC의 필터(Filter) 기능을 사용합니다. '삭제된 시점(When Deleted)', '이름(Name)', '유형(Type)' 등 여러 조건을 조합하여 검색 범위를 좁혀 원하는 개체를 효율적으로 찾을 수 있습니다.

---

Q20: AD 휴지통 기능은 한번 활성화하면 비활성화할 수 있나요?
A: 아니요, AD 휴지통 기능은 한번 활성화하면 다시는 비활성화할 수 없습니다. 이는 AD 스키마를 변경하는 되돌릴 수 없는 작업이므로, 활성화하기 전에 조직의 정책과 요구사항을 충분히 검토해야 합니다.