이 문서에서는 Azure VM(가상 머신) 또는 온-프레미스 서버에서 실행되는 Azure Backup을 사용하여 Active Directory 도메인 컨트롤러를 백업하고 복원하는 방법을 설명합니다. 권장되는 절차를 사용하여 Active Directory 환경을 보호하고 손상, 손상 또는 재해 발생 시 도메인 컨트롤러를 복구할 수 있습니다. 요구 사항에 맞는 올바른 복원 시나리오를 선택하는 방법에 대한 지침은 Active Directory 포리스트 복구 가이드를 참조하세요.
참고 항목
이 문서에서는 Microsoft Entra ID에서 항목을 복원하는 방법을 설명하지 않습니다. Microsoft Entra 사용자 복원에 대한 자세한 내용은 이 문서를 참조하세요.
모범 사례
Active Directory 보호를 시작하기 전에 다음 모범 사례를 확인합니다.
도메인 컨트롤러를 하나 이상 백업했는지 확인합니다.
Active Directory를 자주 백업합니다. TSL보다 오래된 개체는 삭제 표시 되고 더 이상 유효한 것으로 간주되지 않으므로 백업 기간이 TSL(삭제 표시 수명)보다 오래되어서는 안 됩니다.
Windows Server 2003 SP2 이상에서 빌드된 도메인의 기본 TSL은 180일입니다.
다음 PowerShell 스크립트를 사용하여 구성된 TSL을 확인할 수 있습니다.
(Get-ADObject $('CN=Directory Service,CN=Windows NT,CN=Services,{0}' -f (Get-ADRootDSE).configurationNamingContext) -Properties tombstoneLifetime).tombstoneLifetime
도메인 컨트롤러를 복원하는 방법에 대한 지침이 포함된 명확한 재해 복구 계획을 수립합니다. Active Directory 포리스트 복원을 준비하려면 Active Directory 포리스트 복구 가이드를 참조하세요.
도메인 컨트롤러를 복원하고 도메인에 남아 있는 도메인 컨트롤러를 유지해야 하는 경우 백업에서 복원하는 대신 새 서버를 만들 수 있습니다. 새 서버에 Active Directory Domain Services 서버 역할을 추가하여 기존 도메인의 도메인 컨트롤러로 만듭니다. 그런 다음 Active Directory 데이터가 새 서버로 복제됩니다. Active Directory에서 이전 도메인 컨트롤러를 제거하려면 이 문서의 단계에 따라 메타데이터 정리를 수행합니다.
참고 항목
Azure Backup에는 Active Directory에 대한 항목 수준 복원이 포함되지 않습니다. 삭제된 개체를 복원하려는 경우 도메인 컨트롤러에 액세스할 수 있는 경우 Active Directory 휴지통을 사용합니다. 해당 메서드를 사용할 수 없는 경우 도메인 컨트롤러 백업을 사용하여 여기에 설명된 대로 ntdsutil.exe 도구를 사용하여 삭제된 개체를 복원할 수 있습니다.
SYSVOL의 정식 복원을 수행하는 방법에 대한 자세한 내용은 이 문서를 참조하세요.
도메인 컨트롤러 백업
Azure Backup을 사용하여 도메인 컨트롤러를 백업할 수 있습니다. 이 작업을 통해 Active Directory 환경을 보호하고 잠재적인 문제에서 복구할 수 있는지 확인할 수 있습니다.
도메인 컨트롤러 환경을 선택합니다.
도메인 컨트롤러가 Azure VM인 경우 Azure VM 백업을 사용하여 서버를 백업할 수 있습니다.
Azure VM 도메인 컨트롤러의 성공적인 백업(및 향후 복원)을 보장하려면 가상화된 도메인 컨트롤러를 위한 운영 고려 사항을 읽어보세요.
Active Directory 복원
Active Directory 데이터를 복원할 때 다음 모드 중 하나를 선택할 수 있습니다.
- 신뢰할 수 있는 복원: 복원된 데이터는 포리스트의 다른 모든 도메인 컨트롤러에 있는 데이터를 대체합니다. 삭제된 개체를 복구하고 환경 전체에서 복제해야 하는 경우 이 모드를 사용합니다.
- 인증되지 않은 복원: 복원된 도메인 컨트롤러는 복구 후 다른 도메인 컨트롤러로부터 업데이트를 받습니다. 기존 도메인에서 도메인 컨트롤러를 다시 빌드할 때 권장되는 방법입니다.
도메인 컨트롤러 다시 빌드를 비롯한 대부분의 시나리오에서는 신뢰할 수 없는 복원을 수행해야 합니다.
복원하는 동안 서버는 DSRM(Directory Services 복원 모드)에서 시작됩니다. 디렉터리 서비스 복원 모드에 대한 관리자 암호를 제공해야 합니다.
참고 항목
DSRM 암호를 잊어버린 경우 다시 설정합니다.
복원할 도메인 컨트롤러 환경을 선택합니다.
Azure VM 도메인 컨트롤러를 복원하려면 도메인 컨트롤러 VM 복원을 참조하세요.
단일 도메인 컨트롤러 VM 또는 여러 도메인 컨트롤러 VM을 단일 도메인에 복원하는 경우 다른 VM과 같이 복원합니다. Active Directory 복원 모드(DSRM)도 사용할 수 있으므로 모든 Directory Services 복원 모드를 실행할 수 있습니다.
여러 도메인 구성에서 단일 도메인 컨트롤러 VM을 복원해야 하는 경우에는 PowerShell을 사용하여 디스크를 복원하고 VM을 만듭니다.
도메인에서 마지막으로 남은 도메인 컨트롤러를 복원하거나 한 포리스트에서 여러 도메인을 복원하는 경우에는 포리스트 복구를 권장합니다.
참고 항목
가상화된 도메인 컨트롤러는 Windows 2012부터 가상화 기반 보호 기능을 사용합니다. 이러한 보호 기능을 통해 Active directory는 복원된 VM이 도메인 컨트롤러인지를 이해하고 Active Directory 데이터를 복원하는 데 필요한 단계를 수행합니다.