しがないエンジニアの肥溜めブログ

しがないエンジニアである私の技術日記でございます。インターネッツという大海原にクソみたいな投稿を繰り返すのは申し訳なく思い、インターネットの片隅に肥溜めを配置しました。非常に環境に優しいブログです。

【Active Directory】ADサーバのバックアップおよびリストアについて

Active Directoryサーバにおいて、何も考慮せずにサーバのバックアップ/リストアを実施してしまうと、 復元できないどころか、最悪の場合には破損させてしまうことがあります。本記事では、適切なバックアップおよびリストアの手法を整理して記載します。
// 理解不足の点がありますので検証後、修正予定(2018/09/17時点)

ActiveDirectoryの構成について

  • Microsoft Active Directory(以下、AD)の各サービスは、ドメインコントローラのファイルシステム上にあるデータベースを使用します。
  • 2台以上のドメインコントローラが構成されている場合、データベースに格納されている情報は、複数のドメインコントローラ間で複製されます。
  • ADデータベースは「%systemroot%NTDS」フォルダに存在します。

ActiveDirectoryのバックアップについて

  • ボリューム・シャドウ・コピー・サービス(VSS)を利用することで、ADデータベースの整合性をとり、バックアップを取得できます。
  • データベースとトランザクションログの両方を取得する必要があります。

Active Directoryのリストアについて

  • リストアケースとして、以下の3つがあります。

    • ドメインコントローラのリストア
    • ADデータベースのリストア
    • ADレコードのリストア
  • ドメインコントローラのリストアを実施する際には、ディレクトリサービス復元モードを利用する。(VSS連携したバックアップソフトウェアを使用する場合はその限りではない)

  • 冗長構成された環境において、リストアを実施する場合は、USNロールバックに注意します。

    • 仮想環境において、スナップショットからリストアする場合は、WindowsServer2012以降であればUSNロールバックの対策が取られています。(ハイパーバイザから、VM-generation IDを付与してリストアされたことを識別、詳細は※1、※2、※3を参照)
    • 「VM-generation ID」は、Hyper-VだけでなくVMware vSphereもサポートしています。(※4)
  • 復旧モードにも、Authoritativeリストアと非Authoritativeがあります。

    • Authoritativeリストア
      復元対象のADサーバから、複製してリストアする方法です。USN+10,000することで、クラスタ内で最新のUSNとし、複製を実施します。
    • 非Authoritativeリストア
      他のドメインコントローラより複製されることを前提としてリストアする方法です。クラスタ内に正常なドメインコントローラが存在する場合に使用します。

参考

※1 ドメイン・コントローラのスナップショット対策
※2 USN Rollback, Virtualized DCs and improvements on Windows Server 2012.
※3 Introduction to Active Directory Domain Services (AD DS) Virtualization (Level 100))
※4 vSphere での VM-Generation ID のサポートについて (2041872)
※5 Active Directory(バックアップ) - マイクロソフト系技術情報 Wiki
※6 Windows Server 2003、Windows Server 2008 および Windows Server 2008 R2 で、USN ロールバックから回復する方法
※7 Windows Server 2012におけるAD DSのTombstone Lifetimeについて
※8 Introduction to Active Directory Domain Services (AD DS) Virtualization (Level 100) | Microsoft Docs
※9 Invocation ID – バックアップからの復元は神頼み?! | Always on the clock
※10 VSSを利用したActiveDirectoryバックアップについて ※11 Active Directory on AWS / JAWS Days 2014

Windows Server2012R2のActiveDirectoryリストアについて、以下の動画で手順を確認することができます。

www.youtube.com

ひと目でわかるActive Directory Windows Server 2016版

ひと目でわかるActive Directory Windows Server 2016版

脱オンプレミス! クラウド時代の認証基盤 Azure Active Directory 完全解説 (マイクロソフト公式解説書)

脱オンプレミス! クラウド時代の認証基盤 Azure Active Directory 完全解説 (マイクロソフト公式解説書)

MCP教科書 Windows Server 2008 Active Directory(試験番号:70-640)第2版

MCP教科書 Windows Server 2008 Active Directory(試験番号:70-640)第2版

  • 作者: エディフィストラーニング株式会社神鳥勝則,甲田章子,竹島友理,田島静
  • 出版社/メーカー: 翔泳社
  • 発売日: 2011/11/18
  • メディア: 単行本(ソフトカバー)
  • 購入: 1人 クリック: 16回
  • この商品を含むブログを見る

【Docker】Docker for Windowsのインストール手順

インストール要件

下記 3点を満たす必要があります。

  • 64bit版のWindows 10(バージョン1511、ビルド10586以降)、 ProもしくはEnterprise/Educationエディション
  • Hyper-Vが利用できること
  • コンテナ実行用の仮想マシンには、メモリ2GB、ディスク60GB (容量可変タイプの仮想ディスクで、初期サイズは4GB程度)のリソースが必要

Windowsのバージョンおよびエディションの確認

  1. Windows + R を押下し、ファイル名を指定して実行を開きます。
  2. winverと入力し、OKを押下します。
  3. 表示されたダイアログボックスを確認します。

Hyper-Vを有効化

  1. Windows + X を押下し、Pキーを押下します。
  2. プログラムをクリックします。
  3. 「Windwosの機能の有効化または無効化」をクリックします。
  4. Hyper-Vのチェックを入れて、OKボタンを押下します。
  5. インストールを完了するため再起動します。

※ Hyper-Vの有効化が行えない場合、Intel VTが有効になっていない可能性があります。BIOSを画面を開き、[Advanced]タブ-[CPU設定]から有効にします。

インストールファイルのダウンロード

  1. 下記URLにアクセスします。 https://docs.docker.com/docker-for-windows/
  2. Stable channel(最適版)かBeta channel(ベータ版)をダウンロードします。 基本的にはStable channelで問題ないです。

Docker for Windowsのインストール

  1. ライセンスに同意し、Installを押下します。
  2. インストールが行われます。完了次第、Finishで画面を閉じます。
  3. Lanch Dockerにチェックを入れていると起動画面が表示されます。

参考

https://docs.docker.com/docker-for-windows/ http://www.atmarkit.co.jp/ait/articles/1609/01/news053.html

【VMware】Intel NUC(BOXNUC7I7BNH)にESXi 6.7をインストールしてみた。

Intel NUC(BOXNUC7I7BNH)にESXi 6.7をインストールしている記事が見当たらなかったため、記載します。 USBをインストール用ブータブルメディアとして利用する以外は、通常のサーバにESXi 6.7をインストールする手順と変わりません。ただし、ESXi 6.5をIntel NUCにインストールした際に、データストアへのアクセスが遅いといった事象(※1)が発生しているようですので、あくまで公式サポートされていない点にご注意ください。私の環境では執筆時点(2018年08月26日)で特に問題は起きていません。(NVMe接続のSSDのみ利用しているからかもしれません。)

構成

事前準備

ESXiインストール用のUSBブータブルメディアを作成します。
 以下を参考にさせていただきました。
   - Rufus: 様々なOSのブータブルUSBを作成できるフリーソフト

Rufusの最新は2018/8/16時点で、v3.1(2018/06/19)のようです。
以下からダウンロードできます。
 https://forest.watch.impress.co.jp/library/software/rufus/

インストール

以下にESXi6.5のインストール手順を示します。
※ ディスプレイをカメラで撮影するという苦肉の策で、画面キャプチャを取得したため、
  非常に見づらくなっております。仕様です。繰り返します。仕様です。

  • 事前準備で作成したブータブルUSBメディアを挿して起動します。
    正常に起動すると以下の画面が表示されます。[Enter]を押下し、次の画面に進みます。 f:id:stuffed_cabbage:20180826113210j:plain

  • EULAを一読し問題がなければ、[F11]を押下します。 f:id:stuffed_cabbage:20180826113424j:plain

  • ESXiが認識しているディスクが表示されます。インストール先ディスクを選択します。
    今回は、「NVMe Samsung SSD 970」を選択します。 f:id:stuffed_cabbage:20180826114007j:plain

  • 利用するキーボードレイアウト(言語)を選択します。
     日本語キーボードを利用するため、「Japanese」を選択します。
    f:id:stuffed_cabbage:20180826114050j:plain

  • rootユーザのパスワードを設定します。
    f:id:stuffed_cabbage:20180826114209j:plain

  • [F11]を押下し、インストールを開始します。
    f:id:stuffed_cabbage:20180826114249j:plain

  • インストールが完了すると、以下の画面が表示されます。
    [Enter]を押下し、再起動します。
    f:id:stuffed_cabbage:20180826114401j:plain

  • 再起動処理が開始します。
    ※ ここで、ブータブルUSBメディアを取り外します。 f:id:stuffed_cabbage:20180826114521j:plain

  • 再起動後、以下の画面が表示されることを確認します。
    f:id:stuffed_cabbage:20180826115052j:plain ※ IPアドレスが表示されている箇所をマスキングしています。

  • ログインし、必要に応じてネットワーク設定等を行います。

まとめ

今回、Intel NUCにESXi 6.7をインストールしてみました。以前のESXiバージョン、通常のサーバと同様にインストールすることが出来ました。省スペース、省電力、低コストで導入できるため、自宅環境として非常におすすめです。RJ45ポートが1つしかないため、ネットワーク周りで凝ったことは出来ませんが、接続先スイッチをタグ対応の機器にすることで、幅が広がるかと思います。

802.1Q VLAN対応のスイッチですが、4000円弱で以下のようなものがあります。 意外と安くであるものですね。

参考

 ※1 Intel NUC に ESXi 6.5 を入れる | kurokobo.com
 Rufus: 様々なOSのブータブルUSBを作成できるフリーソフト

徹底攻略VCP6.5-DCV教科書 VMware vSphere 6.5対応

徹底攻略VCP6.5-DCV教科書 VMware vSphere 6.5対応

  • 作者: 二岡祐介,中川明美,株式会社ソキウス・ジャパン
  • 出版社/メーカー: インプレス
  • 発売日: 2018/01/19
  • メディア: 単行本(ソフトカバー)
  • この商品を含むブログを見る

VMware徹底入門 第4版 VMware vSphere 6.0対応

VMware徹底入門 第4版 VMware vSphere 6.0対応

改訂新版VMwareの基本~仮想化/クラウドのための設計・構築・運用のポイントがわかる

改訂新版VMwareの基本~仮想化/クラウドのための設計・構築・運用のポイントがわかる

  • 作者: 中島淳之介,小原光弥,豊原啓治
  • 出版社/メーカー: 技術評論社
  • 発売日: 2015/08/25
  • メディア: 単行本(ソフトカバー)
  • この商品を含むブログを見る

【Windows】移動ユーザープロファイルとフォルダリダイレクトについて

VMware Horizonの設計/構築を実施するにあたり、移動ユーザプロファイルとフォルダリダイレクトの理解が必要となったため、調べてみました。

そもそもユーザプロファイルとは何かから確認していきます。

ユーザプロファイル

ユーザごとの環境情報を定義する設定ファイルです。Windowsにおいてユーザアカウントを作成後、初回ログインのタイミングで作成されます。

具体的には、以下のような設定やユーザ固有のフォルダが作成されます。

  • 設定
    • デスクトップ設定(壁紙、スクリーンセーバー)
    • 「スタート」メニュー設定
    • プリンタ設定
    • ネットワークドライバ設定
    • コントロールパネル設定(コントロールパネルから設定した情報)...など
  • フォルダ
    • デスクトップ
    • ドキュメント
    • お気に入り
    • ピクチャ
    • ミュージック...など

以下の手順を実行することで、現在ログインしているユーザのユーザプロファイルを確認することができます。

 (1) [Windowsキー]+[Rキー]を押下し、「%userprofile%」と入力します。

 f:id:stuffed_cabbage:20180811114805j:plain

 (2) 以下のようにユーザ固有のデータが保存されるフォルダが表示されます。

 f:id:stuffed_cabbage:20180811115429j:plain

また、[コントロールパネル]‐[システムとセキュリティ]‐[システム]ー[システムの詳細設定]から、端末に保存されているユーザプロファイルを確認することができます。
※ WindowsServer2012R2の場合の手順です。

 f:id:stuffed_cabbage:20180811114756j:plain

ユーザプロファイルは、それぞれのユーザの端末内に保存されているため、バックアップを取得する場合は、個別に取得する必要があります。また、ユーザ固有の設定情報(ユーザプロファイル)が端末に紐づくため、作業端末が変わるとユーザは再度設定を行う必要がありました。それらを改善する機能が次項の「移動ユーザプロファイル」です。

移動ユーザプロファイル

ユーザプロファイルをネットワーク上のサーバに保存し、ユーザがログオンするたびにサーバからユーザプロファイル情報を取得する方式です。ユーザプロファイルが端末ではなくユーザに紐づくため、どの端末からでも同様の環境を利用することができます。

以下の手順で、移動プロファイルを設定することができます。

 (1) 「Active Directory ユーザーとコンピューター」を開きます。

 (2) 設定対象のユーザを右クリックし、「プロパティ」を選択します。

 f:id:stuffed_cabbage:20180811115437j:plain

 (3) 「プロファイル」タブを選択して、「プロファイル パス」欄に共有フォルダパスを入力します。

 f:id:stuffed_cabbage:20180811115441j:plain

通常のユーザプロファイルと同様にユーザのログオン時に自動作成されます。
「%username%」と入力することで、ユーザ名のディレクトリが作成することができます。

上記のようにファイルサーバでユーザプロファイルを管理する際には、共有フォルダの権限に注意が必要です。本設定のみで移動ユーザプロファイルを設定した場合、管理者(Administrator)がユーザプロファイルにアクセスできなくなります。そのため、以下のグループポリシーを設定して、ユーザプロファイルが格納されるフォルダに対して管理者(Administrator)権限をフォルダ作成時に自動的に付与します。

  • [コンピュータの構成]‐[管理用テンプレート]‐[システム]‐[ユーザプロファイル]
    • 移動プロファイルフォルダのユーザ権限を確認しない: 有効
    • Administratorセキュリティグループを移動ユーザプロファイルに追加する: 有効

上記のグループポリシーを設定することで、管理者からもユーザプロファイルを管理することができます。

移動ユーザプロファイルを設定することで、ユーザプロファイルの管理が一元化され、バックアップや移行作業などが容易になりました。しかし、移動ユーザプロファイルにもデメリットがあります。

それは、ユーザログオン時に共有フォルダからユーザプロファイルを読み込む際に時間がかかるという点です。

移動ユーザプロファイルはネットワーク経由でアクセスする共有フォルダに配置されています。
ユーザプロファイルの容量やネットワーク負荷によっては、ユーザプロファイルの読み込みに時間がかかり、ローカルにユーザプロファイルを配置する場合に比べてログオン時間が長くなります。

上記の問題を解決する方法が、次項の「フォルダリダイレクト」です。  

フォルダリダイレクト

ユーザプロファイルに存在するユーザ固有のフォルダ(デスクトップ、ドキュメント)を共有フォルダにリダイレクトする方式です。ログオン時にはショートカットのみ読み込むような動作となるため、移動ユーザプロファイルのみを利用する場合に比べてログオン時間を短縮することができます。

以下の手順で、フォルダリダイレクトを設定することができます。

 (1) 設定対象のグループポリシーを編集します。

 (2) 「グループポリシー管理エディタ」を開き、[ユーザの構成]-[Windowsの設定]-[フォルダリダイレクト]を開きます。

 f:id:stuffed_cabbage:20180811115444j:plain

 ユーザプロファイルから確認できたユーザ固有のフォルダが一覧表示されていることが確認できます。

 (3) 「デスクトップ」を右クリックし、[プロパティ]を選択します。

 (4) 以下の画面が表示されるので、設定を「基本‐全員のフォルダを同じ場所にリダイレクトする」を選択し、必要事項を入力します。

  f:id:stuffed_cabbage:20180811115448j:plain

 上記画面の設定では、ファイルサーバである「fileserver」上の「redirect」フォルダに「ユーザ名フォルダ\デスクトップ」が作成されます。画面下部より、ユーザ クレアさんには「\fileserver\redirect\クレア\Desktop」でリダイレクトされることがわかります。

 (5) 以下のようにユーザグループ別にフォルダリダイレクトさせることもできます。

 f:id:stuffed_cabbage:20180811115452j:plain

参考

VMware Horizon 導入実践ガイド [モバイルクラウド時代のワークスタイル変革] (impress top gear)

VMware Horizon 導入実践ガイド [モバイルクラウド時代のワークスタイル変革] (impress top gear)

  • 作者: 大谷篤志,工藤真臣,熊谷哲人,染谷文昭,照川陽太郎,三ッ木恒幸,山辺和篤
  • 出版社/メーカー: インプレス
  • 発売日: 2014/11/13
  • メディア: 単行本(ソフトカバー)
  • この商品を含むブログ (1件) を見る
Citrix XenDesktop デスクトップ&アプリケーション仮想化 実践ガイド

Citrix XenDesktop デスクトップ&アプリケーション仮想化 実践ガイド

ひと目でわかる Active Directory WindowsServer 2012 R2版 (TechNet ITプロシリーズ)

ひと目でわかる Active Directory WindowsServer 2012 R2版 (TechNet ITプロシリーズ)