액티브 디렉토리 백업 전략 및 도구(베스트 �ractices). 액티브 디렉터리는 기업 IT 인프라의 기초를 이루고 있으며, 인증과 DNS와 같은 중요한 서비스를 지원하는 강력한 LDAP 솔루션입니다. 이러한 서비스의 원활한 작동은 비즈니스 연속성에 중요하므로 액티브 디렉터리의 신뢰성은 IT 서비스 제공의 중요한 측면입니다. 중단되지 않는 기능을 보장하려면 기관은 종합적인 백업 및 재해 복구 전략을 수립하고 적절한 도구를 선택해야 합니다.
이 기사에서는 액티브 디렉터리 백업 및 복구의 중요한 구성 요소를 살펴봅니다. 백업해야 할 사항을 이해하고 적절한 도구를 선택하고 테스트 전략을 구현하는 등 이 중요한 서비스를 보호하기 위한 필수적인 측면을 탐색합니다.
또한 읽기 액티브 디렉터리 포리스트와 도메인의 차이점
액티브 디렉터리 백업 전략
액티브 디렉터리에서 백업해야 할 항목
첫 번째로 백업해야 할 항목을 식별합니다. 단일 도메인 컨트롤러가 있는 경우(권장되지 않음) 전체 서버 백업을 수행해야 합니다. 필요한 경우 베어메탈 복구를 수행할 수 있는지 확인하십시오.
여러 도메인 컨트롤러의 경우 다음을 고려하십시오.
- 시스템 상태(레지스트리, SYSVOL 디렉터리 및 Active Directory 데이터베이스와 같은 중요한 시스템 구성 요소)의 백업이 충분합니다.
- 물리적 사이트당 하나의 서버만 백업하는 것이 충분합니다. 이들은 복제되어 있고 모두 동일한 정보를 가지고 있기 때문입니다.
- 다중 도메인 환경에서는 포리스트 내 각 도메인에서 적어도 하나의 도메인 컨트롤러를 백업해야 합니다.
예를 들어, 아래 다이어그램에는 2개의 물리적 사이트와 루트 도메인 domain.local과 서브도메인 child.domain.local이 있는 Active Directory 인프라가 있습니다.
여기서 우리는 세 개의 도메인 컨트롤러를 백업합니다 – 두 개는 domain.local에서 각각 두 개의 사이트에 위치하고 있으며 하나는 child.domain.local에서 가져옵니다.
백업 주기는 얼마나 자주 해야 하나요?
이 결정은 회복 지점 목표에 따라 다릅니다. 도메인 컨트롤러에 작성된 변경 사항을 하루 동안 잃어도 괜찮다면 매일 백업이 잘 작동합니다. 또한 필요한 백업 유형을 식별하는 것이 필요합니다. 전체 백업과 증분 백업을 얼마나 자주 해야 하나요? 차이 백업이 필요한가요? 가장 인기 있는 방법은 매주 전체 백업을 하고 매일 증분 백업을 하는 것입니다.
고려해야 할 Active Directory 백업 도구
일반적으로 Active Directory와 같은 여러 서버 간에 복제되는 시스템은 타임 트래블을 지원하지 않습니다. 즉, 도메인 컨트롤러의 가상 머신에 장애가 발생해도 스냅샷에서 간단히 복원하여 프로덕션에 다시 배치할 수 없습니다. 각 도메인 컨트롤러에는 새로운 변경 작업이 데이터베이스에 기록될 때마다 증가하는 업데이트 순서 번호(USN)가 있습니다. 예를 들어 여러 도메인 컨트롤러가 있는 경우, 컨트롤러 중 하나에 장애가 발생하여 간단한 스냅샷을 사용해 복원한 경우 USN이 올바르지 않습니다(스냅샷이 촬영된 시점의 USN 값과 같아서 오래되고 일치하지 않음). 이로 인해 복제가 중단됩니다(더 자세한 예는 여기에서 확인할 수 있습니다). 게다가 AD 데이터베이스 내의 각 개체에는 고유 버전이 있으며, 이 버전도 백업/복원 작업 시 고려해야 합니다. 따라서 Active Directory를 백업할 때는 일관된 복원을 수행하는 도구만 사용해야 합니다. 다행히 Windows Server에 기본 제공되어 있거나 타사 공급업체에서 제공하는 도구가 있습니다.
다음 사항을 고려해 보세요.
- 필수 옵션 – 예를 들어 조직 정책에 따라 전체 및 증분 백업을 해야 하는 경우, Active Directory의 증분 백업을 수행하는 도구를 선택하세요.
- 대상 백업 스토리지 – 테이프 스토리지를 사용하여 백업을 저장하려는 경우, Windows Server Backup에 테이프에 기록하는 기능이 없으므로 타사 솔루션을 구매해야 합니다.
- 복구 빈도 – Active Directory에서 삭제된 개체를 정기적으로 복구하기 위해 전체 데이터베이스를 복원할 필요 없이 개별 개체를 복원할 수 있는 도구를 선택하십시오. 많은 기업급 제3자 백업 시스템은 몇 번의 클릭으로 개별 개체를 복원할 수 있습니다. 예를 들어, 이것과 이것
- 예산 – 항상 고려해야 합니다. 회사가 제3자 도구에 대한 자금을 가지고 있지 않은 경우, 운영 체제에 내장된 Windows Server 백업이 필수적인 요구 사항을 충족할 수 있습니다.
또한 읽기 기존 도메인에 도메인 컨트롤러 추가하는 방법
Active Directory 복원 과정 테스트
백업의 황금 규칙은 항상 복원 과정을 테스트하는 것입니다. 백업 도구가 오류를 표시하지 않기 때문에 시스템 엔지니어가 백업이 정상인지 생각하는 상황은 매우 흔합니다. 그러나 실제 재해가 발생할 때 예비 복사본이 일치하지 않아 복원이 불가능한 것으로 나타납니다. 이러한 시나리오를 피하기 위해 최소한 매년 복원 과정을 테스트하는 것이 매우 중요합니다. 좋은 실천 방법은 다음과 같습니다:
- 복원 과정의 잘 기록된 계획을 작성합니다.
- 정기 복원 테스트를 수행하는 테스트 인프라를 갖추세요.
- 모든 도메인 컨트롤러의 디렉터리 서비스 복원 모드 (DSRM) 관리자 암호를 안전하고 사용 가능하게 유지하세요.
- 다양한 시나리오를 사용하여 정기적인 복원 테스트를 수행하세요.
DSRM 관리자 암호가 없는 경우, NTDSutil 도구를 사용하여 재설정하는 것이 좋습니다. 여기에 설명된 대로, 재해 발생 시 사용 가능하도록 안전한 곳에 저장되어 있는지 확인하세요.
Active Directory 복원 시나리오
시나리오 1. 유일한 도메인 컨트롤러의 장애
하나의 도메인 컨트롤러만 있는 경우, 장애 발생 시 다음을 고려하세요:
- 베어 메탈 복구가 필요합니다.
- 서비스 중단이 예상됩니다 – 다른 시나리오와 달리, 서버를 최대한 빨리 복원하여 영향을 최소화하세요.
- 데이터 손실이 예상됩니다 – 마지막 백업 이후에 AD 객체에 대한 모든 변경 사항이 손실됩니다.
백업이 자주 이루어져야 하며 (데이터 손실을 최소화하기 위해) 증분 백업이 너무 많지 않아야 합니다 (증분 백업이 많을수록 복원 프로세스가 더 오래 걸립니다). 일주일에 적어도 한 번의 전체 백업을 포함하여 매일 밤 백업을 수행하는 것이 일반적인 접근 방식입니다.
최대한이 시나리오를 피해야 합니다. Active Directory는 고가용성을 위해 구축되었으며 다중 서버 인프라를 위해 설계되었습니다.
시나리오 2. 다중 서버 인프라에서 도메인 컨트롤러 장애
여러 도메인 컨트롤러가 있는 경우 하나의 컨트롤러가 실패하더라도 백업에서 복원 작업을 수행할 필요가 없습니다. 실패한 서버와 해당 메타데이터를 카탈로그에서 제거하고 동일한 이름과 IP 주소로 새 서버를 배치하는 것이 더 효율적입니다. 고수준 복원 프로세스는 다음과 같습니다.
- 실패한 서버가 유연한 단일 마스터 작업 (FSMO) 역할을 소유하고 있는지 확인합니다. NTDSutil 도구 또는 PowerShell을 사용하여 역할을 다른 컨트롤러로 이전합니다. 이 문서에 설명된 대로 진행합니다.
- 실패한 서버를 제거하고 해당 메타데이터를 정리합니다 (자세한 과정은 여기에 설명되어 있음).
- 새 가상 머신을 동일한 이름과 IP 주소로 배포하십시오. 도메인 컨트롤러는 종종 DNS 서버로 작동하기 때문에 이름과 주소를 변경하지 않는 것이 좋습니다. 다른 기계들은 네트워크 인터페이스 카드 구성에서 실패한 도메인 컨트롤러의 IP 주소를 기본 DNS 서버로 가지고 있을 수 있습니다.
- 새 서버를 도메인 컨트롤러 역할로 승격시키십시오.
시나리오 3. Active Directory에서 삭제된 개체 복원
일부 개체, 예를 들어 사용자,가 실수로 카탈로그에서 제거된 경우 백업에서 복원하십시오. 백업을 하는 데 타사 도구를 사용하는 경우, 공급업체의 지침을 따르십시오. Active Directory의 백업을 만들기 위해 Windows Server Backup을 사용한 경우 다음 고수준 복원 프로세스를 사용하십시오:
- 백업을 사용하여 복구 도메인 컨트롤러를 만듭니다.
- DSRM 관리자 암호를 사용하여 복구 도메인 컨트롤러에 로그인하십시오.
- NTDSutil 도구를 사용하여 개체의 권한 복원을 수행하십시오. 개체의 복원된 상태는 AD 복제에 의해 가장 최신 상태로 간주되며 다른 모든 도메인 컨트롤러로 복사됩니다.
- Ldifde 도구를 사용하여 객체의 그룹 멤버십을 복원합니다.
자세한 설명은 이 기사에서 찾을 수 있습니다.
활성 디렉터리 백업 전략 및 도구 (최상의 실천 방법) 결론
이 기사에서는 활성 디렉터리 백업 및 복구의 필수 요소를 설명하며, 잘 정의된 전략의 중요성을 강조했습니다.
주요 포인트는 무엇을 백업할지 식별하고, 얼마나 자주 백업해야 하는지, 그리고 귀하의 조직의 고유한 요구 사항과 예산에 따라 사용할 도구를 결정하는 것입니다. 신뢰할 수 있는 복구 프로세스를 보장하기 위해 테스트 전략과 최상의 실천 방법도 강조되었습니다.
우리는 단일 도메인 컨트롤러의 실패에서 Active Directory에서 하드로 삭제된 객체의 복원까지 다양한 시나리오를 조사했습니다. 다음 기사에서는 보다 복잡한 재해 복구 시나리오를 탐구하여 조직에게 Active Directory 인프라를 보호하는 포괄적인 안내서를 제공합니다. 기업 IT의 이 중요한 구성 요소를 보호하기 위해 더 깊이 파고들어가는 다음 설치물을 기대해 주세요.
Source:
https://infrasos.com/active-directory-backup-strategies-and-tools/