- 記事
- 08/16/2021
- 12 読むべき分
-
-
i 
v
d
v
e-
+5
-
に適用されます: Windows Server2022、Windows Server2019、Windows Server2016、Windows Server2012および2012R2、Windows Server2008および2008R2
Active Directoryフォレスト全体を回復するには、バックアップから復元するか、フォレスト内のすべてのドメ フォレストを回復すると、フォレスト内の各ドメインが、最後の信頼されたバックアップ時の状態に復元されます。 その結果、復元操作では、少なくとも次のActive Directoryデータが失われます:
- 最後の信頼されたバックアップの後に追加されたすべてのオブジェクト(ユーザーやコンピュータなど)
- 最後の信頼されたバックアップ以降に既存のオドメイン管理者アカウントが認識されている必要があります。 好ましくは、これは組み込みの管理者アカウントのパスワードです。 DCのシステム状態の復元を実行するには、DSRMパスワードも知っている必要があります。 一般に、管理者アカウントとDSRMパスワードの履歴は、バックアップが有効である限り、つまり墓石の有効期間内、またはActive Directoryのごみ箱が有効な場合は削除 また、覚えやすくするために、DSRMパスワードをドメインユーザーアカウントと同期することもできます。 詳細については、KBの資料961320を参照してください。 DSRMアカウントの同期は、準備の一環として、フォレストの回復の前に行う必要があります。
注
管理者アカウントは、デフォルトでは組み込みのAdministratorsグループのメンバーであり、Domain AdminsグループとEnterprise Adminsグループも同様です。 このグループは、ドメイン内のすべてのDcを完全に制御できます。
使用するバックアップの決定
各ドメインに対して少なくとも二つの書き込み可能なDcを定期的にバックアップします。 読み取り専用ドメインコントローラ(RODC)のバックアップを使用して、書き込み可能なDCを復元することはできません。 障害が発生する数日前に取得したバックアップを使用して、Dcを復元することをお勧めします。 一般に、復元されたデータの最新性と安全性との間のトレードオフを決定する必要があります。 最近のバックアップを選択すると、より有用なデータが回復されますが、復元されたフォレストに危険なデータが再導入されるリスクが高くな
システム状態バックアップの復元は、バックアップの元のオペレーティングシステムとサーバーに依存します。 たとえば、システム状態のバックアップを別のサーバーに復元しないでください。 この場合、次の警告が表示されることがあります。
“指定されたバックアップは、現在のバックアップとは異なるサーバーのものです。 サーバーが使用できなくなる可能性があるため、代替サーバーへのバックアップを使用してシステム状態の回復を実行することはお勧めしません。 このバックアップを使用して、現在のサーバーを回復してもよろしいですか?”
Active Directoryを別のハードウェアに復元する必要がある場合は、サーバー全体のバックアップを作成し、サーバー全体の回復を実行するように計画します。
重要
Windows Server2008以降では、新しいハードウェアまたは同じハードウェア上のWindows Serverの新しいインストールにシステム状態のバックアップを復元することはサポー このガイドの後半で推奨されているように、Windows Serverが同じハードウェアに再インストールされている場合は、次の順序でドメインコントローラを復元できま:
- オペレーティングシステムとすべてのファイルとアプリケーションを復元するには、完全なサーバーの復元を実行します。
- wbadminを使用してシステム状態の復元を実行します。SYSVOLを権限のあるものとしてマークするためにexeを実行します。
詳細については、マイクロソフトサポート技術情報249694を参照してください。
障害の発生時刻が不明な場合は、さらに調査して、フォレストの最後の安全な状態を保持するバックアップを特定します。 このアプローチはあまり望ましいものではありません。 したがって、フォレスト全体の障害が発生した場合に、障害のおおよその時間を特定できるように、AD DSの正常性状態に関する詳細なログを毎日保 また、より高速な回復を可能にするために、バックアップのローカルコピーを保持する必要があります。
Active Directoryのごみ箱が有効になっている場合、バックアップの有効期間はdeletedObjectLifetime値またはtombstoneLifetime値のいずれか小さい方になります。 詳細については、”Active Directoryごみ箱のステップバイステップガイド(https://go.microsoft.com/fwlink/?LinkId=178657)”を参照してください。
別の方法として、Active DirectoryデータベースマウントツールDsamainを使用することもできます。exe)およびLdpなどのLightweight Directory Access Protocol(LDAP)ツール。exeまたはActive Directoryのユーザーとコンピューターは、フォレストの最後の安全な状態を持つバックアップを識別します。 Windows Server2008以降のWindows Serverオペレーティングシステムに含まれるActive Directoryデータベースマウントツールは、バックアップまたはスナップショットに格納されているActive Directory 次に、LDAPツールを使用してデータを参照できます。 この方法には、Ad DSのバックアップの内容を調べるために、ディレクトリサービスの復元モード(DSRM)でDCを再起動する必要がないという利点があります。
Active Directoryデータベースマウントツールの使用方法の詳細については、”Active Directoryデータベースマウントツールステップバイステップガイド”を参照してください。
ntdsutil snapshotコマンドを使用して、Active Directoryデータベースのスナップショットを作成することもできます。 スナップショットを定期的に作成するタスクをスケジュールすることで、Active Directoryデータベースの追加コピーを時間の経過とともに取得できます。 これらのコピーを使用して、フォレスト全体の障害がいつ発生したかをより適切に識別し、復元するのに最適なバックアップを選択できます。 スナップショットを作成するには、windows Server2008またはWindows Vista以降のリモートサーバー管理ツール(RSAT)に同梱されているバージョンのntdsutilを使用します。 ターゲットDCは、任意のバージョンのWindows Serverを実行できます。 Ntdsutil snapshotコマンドの使用の詳細については、”Snapshot”を参照してください。
復元するドメインコントローラの決定
復元プロセスの容易さは、復元するドメインコントローラを決定する際の重要な要素です。 復元のための推奨されるDCである各ドメインに専用のDCを使用することをお勧めします。 専用の復元DCを使用すると、復元テストの実行に使用されたのと同じソース構成を使用するため、フォレスト回復の確実な計画と実行が容易になり DCがoperations masterの役割を保持しているかどうか、GCまたはDNSサーバーであるかどうかなど、さまざまな構成と競合することはありません。
注
操作マスターロールホルダーを復元することは簡単にするために推奨されませんが、組織によっては他の利点のために復元することを選択する たとえば、RIDマスターを復元すると、復元中にRidを管理する際の問題を防ぐのに役立ちます。
次の基準を最もよく満たすDCを選択します:
-
書き込み可能なDC。 これは必須です。
-
VM-GenerationIDをサポートするハイパーバイザー上で仮想マシンとしてWindows Server2012を実行しているDC。 このDCはクローニングのためのソースとして使用できます。
-
物理的にまたは仮想ネットワーク上でアクセス可能であり、好ましくはデータセンターに位置するDC。 このようにして、フォレストの回復中にネットワークから簡単に分離できます。
-
良いフルサーバーバックアップを持つDC。 適切なバックアップとは、正常に復元できるバックアップであり、障害の数日前に取得され、できるだけ多くの有用なデータが含まれています。
-
障害が発生する前にドメインネームシステム(DNS)サーバーであったDC。 これにより、DNSの再インストールに必要な時間が節約されます。
-
Windows展開サービスも使用する場合は、BitLockerネットワークロック解除を使用するように構成されていないDCを選択します。 この場合、BitLockerネットワークロック解除は、フォレストの回復中にバックアップから復元する最初のDCでは使用できません。
BitLocker Network Unlock as the only key protectorは、Windows Deployment Services(WDS)を展開したDcでは使用できないため、最初のDCでロックを解除するためにActive DirectoryとWDSが動作する必要があるシナリオにな ただし、最初のDCを復元する前に、Active DirectoryはまだWDSで使用できないため、ロックを解除できません。
BitLockerネットワークロック解除を使用するようにDCが構成されているかどうかを確認するには、次のレジストリキーでネットワークロック解除証明書が:
Hkey_Local_M A C H I N E S O F T W A R E P O L I C I E M M C R O S O F T Systemcertificatesfve_Nkp
Active Directoryを含むバックアップファイルを処理または復元するときは、セキュリティ手順を維持します。 フォレストの回復に伴う緊急性は、意図せずにセキュリティのベストプラクティスを見落とす可能性があります。 詳細については、”Active Directoryのインストールと日々の操作をセキュリティで保護するためのベストプラクティスガイド:パートII”の”ドメインコントローラバックアップと復元戦略の確立”を参照してください。
現在のフォレスト構造とDC機能の特定
フォレスト内のすべてのドメインを識別して、現在のフォレスト構造を決定します。 各ドメイン内のすべてのDc、特にバックアップがあるDc、およびクローン作成のソースとなる仮想化されたDcのリストを作成します。 このドメインを最初に回復するため、フォレストルートドメインのDcの一覧が最も重要になります。 フォレストルートドメインを復元した後、Active Directoryスナップインを使用して、フォレスト内の他のドメイン、Dc、およびサイトの一覧を取得できます。
次の例に示すように、ドメイン内の各DCの機能を示す表を準備します。 これにより、回復後にフォレストの障害発生前の構成に戻すことができます。
DC名 オペレーティングシステム FSMO GC RODC バックアップ DNS サーバーコア VM VM-GenID DC_1 Windows Server2012 スキーママスター、ドメイン名マスター はい いいえ はい いいえ いいえ いいえ はい はい はい はい はい はい はい はい はい はい DC_2 Windows Server2012 なし はい いいえ はい はい はい はい いいえ はい はい いいえ はい はい いいえ あり あり DC_3 Windows Server2012 インフラストラクチャマスター いいえ いいえ いいえ はい はい はい はい はい はい はい はい はい はい はい はい はい DC_4 WINDOWS Server2012 PDCエミュレータ、RIDマスター はい いいえ いいえ いいえ いいえ いいえ いいえ はい はい はい はい はい はい はい はい DC_5 Windows Server2012 なし いいえ いいえ はい はい はい はい いいえ はい はい いいえ はい いいえ はい はい RODC_1 Windows Server2008R2 なし はい はい はい はい はい はい はい はい はい はい はい はい はい はい はい はい>いいえ RODC_2 Windows Server2008 なし はい はい はい はい はい はい はい はい はい はい はい はい はい はい はい はい フォレスト内の各ドメインについて、そのドメインのActive Directoryデータベースの信頼されたバックアップを持つ単一の書き込み可能なDCを識別します。 DCを復元するバックアップを選択するときは注意してください。 障害の発生日と原因がほぼわかっている場合は、その日の数日前に作成されたバックアップを使用することをお勧めします。この例では、4つのバックアップ候補DC_1、DC_2、DC_4、およびDC_5があります。 これらのバックアップ候補のうち、復元するのは1つだけです。 次の理由から、推奨されるDCはDC_5です。:つまり、VM-GenerationIDをサポートするハイパーバイザー上で仮想DCとしてWindows Server2012を実行し、複製が許可されている(または複製できない場合は削除できる)ソフトウェアを実 復元後、PDCエミュレーターの役割はそのサーバーに押収され、ドメインのCloneableドメインコントローラーグループに追加できます。
- Windows Server2012のフルインストールを実行します。 Server Coreインストールを実行するDCは、回復のターゲットとしてはあまり便利ではありません。
- DNSサーバです。 したがって、DNSを再インストールする必要はありません。
注DC_5はグローバルカタログサーバーではないため、復元後にグローバルカタログを削除する必要がないという利点もあります。 ただし、WINDOWS Server2012以降では、すべてのDcが既定でグローバルカタログサーバーであるため、DCもグローバルカタログサーバーであるかどうかは決定的な要因ではあり
フォレストを分離して回復する
推奨されるシナリオは、最初に復元されたDCが本番環境に戻される前に、すべての書き込み可能なDcをシャットダウン これにより、危険なデータが復元されたフォレストにレプリケートされないようになります。 すべての操作マスタロール保有者をシャットダウンすることは特に重要です。
注
システムのダウンタイムを最小限に抑えるために、各ドメインで回復する予定の最初のDCを分離されたネットワークに移動しながら、他のDc たとえば、失敗したスキーマアップグレードから回復する場合は、回復手順を単独で実行しながら、ドメインコントローラーを運用ネットワーク上で実行したままにすることを選択できます。
仮想化されたDcを実行している場合は、リカバリを実行する実稼働ネットワークから分離された仮想ネットワークに移動できます。 仮想化されたDcを別のネットワークに移動すると、2つの利点があります:
- 回復されたDcは、分離されているため、フォレスト回復の原因となった問題の再発が防止されます。
- 仮想化されたDCクローンは、本番ネットワークに戻す前に重要な数のDcを実行してテストできるように、別のネットワーク上で実行できます。
物理ハードウェア上でDcを実行している場合は、フォレストルートドメインで復元する予定の最初のDCのネットワークケーブルを外します。 可能であれば、他のすべてのDcのネットワークケーブルも外します。 これにより、フォレストの回復プロセス中にDcが誤って開始された場合に、Dcがレプリケートされなくなります。
複数の場所に広がる大規模なフォレストでは、すべての書き込み可能なDcがシャットダウンされることを保証することは困難な場合があります。 このため、メタデータのクリーンアップに加えて、コンピューターアカウントやkrbtgtアカウントのリセットなどの回復手順は、回復された書き込み可能なDcが危険
ただし、書き込み可能なDcをオフラインにするだけで、レプリケーションが発生しないことを保証できます。 したがって、可能な限り、フォレストの回復中に書き込み可能なDcをシャットダウンして物理的に分離するのに役立つリモート管理テクノロジを展開
Rodcは、書き込み可能なDcがオフラインの間も動作を続けることができます。 他のDCは、RODCからの変更、特にスキーマや構成コンテナの変更を直接レプリケートしないため、リカバリ中に書き込み可能なDcと同じリスクはありません。 すべての書き込み可能なDcが回復され、オンラインになったら、すべてのRodcを再構築する必要があります。
Rodcは、復旧操作が並行して行われている間、それぞれのサイトにキャッシュされているローカルリソースへのアクセスを引き続き許可します。 RODCにキャッシュされていないローカルリソースには、認証要求が書き込み可能なDCに転送されます。 書き込み可能なDcがオフラインであるため、これらの要求は失敗します。 パスワードの変更などの一部の操作も、書き込み可能なDcを回復するまで機能しません。
ハブアンドスポークネットワークアーキテクチャを使用している場合は、最初にハブサイトで書き込み可能なDcの回復に集中できます。 後で、リモートサイトのRodcを再構築できます。
- AD Forest Recovery-前提条件
- AD Forest Recovery-カスタムフォレストリカバリプランの考案
- AD Forest Recovery-問題の特定
- AD Forest Recovery-回復方法の決定
- AD Forest Recovery-初期回復の実行
- AD Forest Recovery-手順
- ad forest recovery-よくある質問
- ad forest recovery-マルチドメインフォレスト内の単一ドメインの回復
- ad forest recovery-WINDOWS Server2003ドメインコントローラを使用したフォレストの回復