夢見るエンジニアの肥溜めブログ

エンジニアである私の技術日記でございます。インターネッツという大海原にクソみたいな投稿を繰り返すのは申し訳なく思い、インターネットの片隅に肥溜めを配置しました。非常に環境に優しいブログです。

【Active Directory】ADサーバのバックアップおよびリストアについて

Active Directoryサーバにおいて、何も考慮せずにサーバのバックアップ/リストアを実施してしまうと、 復元できないどころか、最悪の場合には破損させてしまうことがあります。本記事では、適切なバックアップおよびリストアの手法を整理して記載します。
// 理解不足の点がありますので検証後、修正予定(2018/09/17時点)

ActiveDirectoryの構成について

  • Microsoft Active Directory(以下、AD)の各サービスは、ドメインコントローラのファイルシステム上にあるデータベースを使用します。
  • 2台以上のドメインコントローラが構成されている場合、データベースに格納されている情報は、複数のドメインコントローラ間で複製されます。
  • ADデータベースは「%systemroot%NTDS」フォルダに存在します。

ActiveDirectoryのバックアップについて

  • ボリューム・シャドウ・コピー・サービス(VSS)を利用することで、ADデータベースの整合性をとり、バックアップを取得できます。
  • データベースとトランザクションログの両方を取得する必要があります。

Active Directoryのリストアについて

  • リストアケースとして、以下の3つがあります。

    • ドメインコントローラのリストア
    • ADデータベースのリストア
    • ADレコードのリストア
  • ドメインコントローラのリストアを実施する際には、ディレクトリサービス復元モードを利用する。(VSS連携したバックアップソフトウェアを使用する場合はその限りではない)

  • 冗長構成された環境において、リストアを実施する場合は、USNロールバックに注意します。

    • 仮想環境において、スナップショットからリストアする場合は、WindowsServer2012以降であればUSNロールバックの対策が取られています。(ハイパーバイザから、VM-generation IDを付与してリストアされたことを識別、詳細は※1、※2、※3を参照)
    • 「VM-generation ID」は、Hyper-VだけでなくVMware vSphereもサポートしています。(※4)
  • 復旧モードにも、Authoritativeリストアと非Authoritativeがあります。

    • Authoritativeリストア
      復元対象のADサーバから、複製してリストアする方法です。USN+10,000することで、クラスタ内で最新のUSNとし、複製を実施します。
    • 非Authoritativeリストア
      他のドメインコントローラより複製されることを前提としてリストアする方法です。クラスタ内に正常なドメインコントローラが存在する場合に使用します。

参考

※1 ドメイン・コントローラのスナップショット対策
※2 USN Rollback, Virtualized DCs and improvements on Windows Server 2012.
※3 Introduction to Active Directory Domain Services (AD DS) Virtualization (Level 100))
※4 vSphere での VM-Generation ID のサポートについて (2041872)
※5 Active Directory(バックアップ) - マイクロソフト系技術情報 Wiki
※6 Windows Server 2003、Windows Server 2008 および Windows Server 2008 R2 で、USN ロールバックから回復する方法
※7 Windows Server 2012におけるAD DSのTombstone Lifetimeについて
※8 Introduction to Active Directory Domain Services (AD DS) Virtualization (Level 100) | Microsoft Docs
※9 Invocation ID – バックアップからの復元は神頼み?! | Always on the clock
※10 VSSを利用したActiveDirectoryバックアップについて ※11 Active Directory on AWS / JAWS Days 2014

Windows Server2012R2のActiveDirectoryリストアについて、以下の動画で手順を確認することができます。

www.youtube.com