しがないエンジニアの肥溜めブログ

しがないエンジニアである私の技術日記でございます。インターネッツという大海原にクソみたいな投稿を繰り返すのは申し訳なく思い、インターネットの片隅に肥溜めを配置しました。非常に環境に優しいブログです。

【Active Directory】ADサーバのバックアップおよびリストアについて

Active Directoryサーバにおいて、何も考慮せずにサーバのバックアップ/リストアを実施してしまうと、 復元できないどころか、最悪の場合には破損させてしまうことがあります。本記事では、適切なバックアップおよびリストアの手法を整理して記載します。
// 理解不足の点がありますので検証後、修正予定(2018/09/17時点)

ActiveDirectoryの構成について

  • Microsoft Active Directory(以下、AD)の各サービスは、ドメインコントローラのファイルシステム上にあるデータベースを使用します。
  • 2台以上のドメインコントローラが構成されている場合、データベースに格納されている情報は、複数のドメインコントローラ間で複製されます。
  • ADデータベースは「%systemroot%NTDS」フォルダに存在します。

ActiveDirectoryのバックアップについて

  • ボリューム・シャドウ・コピー・サービス(VSS)を利用することで、ADデータベースの整合性をとり、バックアップを取得できます。
  • データベースとトランザクションログの両方を取得する必要があります。

Active Directoryのリストアについて

  • リストアケースとして、以下の3つがあります。

    • ドメインコントローラのリストア
    • ADデータベースのリストア
    • ADレコードのリストア
  • ドメインコントローラのリストアを実施する際には、ディレクトリサービス復元モードを利用する。(VSS連携したバックアップソフトウェアを使用する場合はその限りではない)

  • 冗長構成された環境において、リストアを実施する場合は、USNロールバックに注意します。

    • 仮想環境において、スナップショットからリストアする場合は、WindowsServer2012以降であればUSNロールバックの対策が取られています。(ハイパーバイザから、VM-generation IDを付与してリストアされたことを識別、詳細は※1、※2、※3を参照)
    • 「VM-generation ID」は、Hyper-VだけでなくVMware vSphereもサポートしています。(※4)
  • 復旧モードにも、Authoritativeリストアと非Authoritativeがあります。

    • Authoritativeリストア
      復元対象のADサーバから、複製してリストアする方法です。USN+10,000することで、クラスタ内で最新のUSNとし、複製を実施します。
    • 非Authoritativeリストア
      他のドメインコントローラより複製されることを前提としてリストアする方法です。クラスタ内に正常なドメインコントローラが存在する場合に使用します。

参考

※1 ドメイン・コントローラのスナップショット対策
※2 USN Rollback, Virtualized DCs and improvements on Windows Server 2012.
※3 Introduction to Active Directory Domain Services (AD DS) Virtualization (Level 100))
※4 vSphere での VM-Generation ID のサポートについて (2041872)
※5 Active Directory(バックアップ) - マイクロソフト系技術情報 Wiki
※6 Windows Server 2003、Windows Server 2008 および Windows Server 2008 R2 で、USN ロールバックから回復する方法
※7 Windows Server 2012におけるAD DSのTombstone Lifetimeについて
※8 Introduction to Active Directory Domain Services (AD DS) Virtualization (Level 100) | Microsoft Docs
※9 Invocation ID – バックアップからの復元は神頼み?! | Always on the clock
※10 VSSを利用したActiveDirectoryバックアップについて ※11 Active Directory on AWS / JAWS Days 2014

Windows Server2012R2のActiveDirectoryリストアについて、以下の動画で手順を確認することができます。

www.youtube.com

ひと目でわかるActive Directory Windows Server 2016版

ひと目でわかるActive Directory Windows Server 2016版

脱オンプレミス! クラウド時代の認証基盤 Azure Active Directory 完全解説 (マイクロソフト公式解説書)

脱オンプレミス! クラウド時代の認証基盤 Azure Active Directory 完全解説 (マイクロソフト公式解説書)

MCP教科書 Windows Server 2008 Active Directory(試験番号:70-640)第2版

MCP教科書 Windows Server 2008 Active Directory(試験番号:70-640)第2版

  • 作者: エディフィストラーニング株式会社神鳥勝則,甲田章子,竹島友理,田島静
  • 出版社/メーカー: 翔泳社
  • 発売日: 2011/11/18
  • メディア: 単行本(ソフトカバー)
  • 購入: 1人 クリック: 16回
  • この商品を含むブログを見る