[[Open棟梁Project>http://opentouryo.osscons.jp/]] - [[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]] -[[戻る>ドメイン サービス (AD DS)]] * 目次 [#t1d5c16d] #contents *概要 [#r9086b8a] Active Directory、DC(ドメインコントローラー)の~ バックアップ・リストアのポイントをサマリしました。 *リストア問題のポイント [#c75b9eea] **リストア問題が発生する理由 [#d61a083e] -ADのバックアップ・リストアが問題になり易いのは、~ AD自体がマルチマスタ分散システムであり、~ マルチマスタ分散システムの仕組みに起因している。 -このため、DCの全台リストアでは、この問題は発生しない。~ -また、DC新規追加型のリストアでも、この問題は発生しない。~ このため、DC新規追加型のリストアが推奨の復旧手順の一つとも言える。 --[[Active Directory(レプリケーション)]] **リストアで発生する問題 [#n2a55f71] ***復旧後にエラーが発生する [#zccd404d] -FSMOが失われる -USNロールバック -SIDの重複 -USNジャーナル・ラップ ***覚えの無いデータが発生する。 [#i53d056f] -残留オブジェクト(Lingering Object)の問題 ***バックアップにアクセスできない。 [#v13d5416] *リストア問題と対応 [#o6c6aee4] **復旧後にエラーが発生する [#g57df650] ***FSMOが失われる [#kc1fa713] -主に新規インストールによる復旧をした場合に発生する。 -FSMOは特定の処理に利用されるため、~ それ以外の処理は継続できる。~ このため、発覚が遅れる事がある。 ***USNロールバック [#w94eae48] -USN(update Sequence Number)とは、~ オブジェクトのレプリケーションに使用される仕組み。~ #実際は、InvoacationID+USNが使用される。 -このため安易にDCをリストアすると、~ USNがレプリケーション・パートナーより若い値になり、~ レプリケーションが実行されないという事態に陥る。~ #この逆の現象が、[[残留オブジェクト>#v03f086f]]の問題である。 -[[正しいリストア>#q94e4047]]では、~ InvoacationIDがリセットされるためこの問題は起きない。 -正しいリストア方法で無い場合、 --手動でのInvoacationIDリセットが必要になる。 --repadmin /showreplコマンドを実行すると、~ そのDCのInvocationIDを確認できる。 ***SIDの重複 [#r3ebd8bb] -ADオブジェクトのSID(セキュリティ識別子)は、ドメイン固有値+RIDで決定される。~ RIDはRIDマスタというFSMO役割がRIDプールからDCに対しての割り当てを行う。~ -このため安易にDCをリストアすると、~ RIDがロールバックされ重複したSIDを採番する事態に陥る。 -[[正しいリストア>#q94e4047]]では、~ xxxxxxxxxxされるためこの問題は起きない。 -正しいリストア方法で無い場合、 --手動でのxxxxxxxxxxが必要になる。 --xxxxxを実行するとxxxxxを確認できる。 -余談:RIDは大量オブジェクトの~ 追加・削除を繰り返すと枯渇することがある。 ***USNジャーナル・ラップ [#t908491f] Windows Server2003まで、2008以降は自動修復(だが遅い)。 -FRSやDFSRはUSNジャーナルを使用してファイルをレプリケーションしている。 --USNジャーナルには、ファイル・システムへの変更が記録される。 --FRSやDFSRのサービスは、USNジャーナルを使用してファイルをレプリケーションする。 -このため、FRSやDFSRのサービスを長期間停止していた場合、~ USNジャーナルが一周してしまい、更新するファイルが特定できない問題が発生する。~ #短期間に大量のファイルを更新をした場合にも、同様の現象が発生する。参考:[[DFS]] -USNジャーナルのサイズはレジストリに設定可能である。 --key: HKLM\System\CCS\Services\NTFRS\Parameters\"Ntfs Journal size in MB" (REG_DWORD) **覚えの無いデータが発生する。 [#v03f086f] -マルチマスタ分散システムでは、~ 削除したオブジェクトがレプリケーションによって復元される。~ このため、オブジェクトの削除には、特別な仕組みが必要になる。 --ADではこれを削除フラグとガベージ・コレクトの仕組みで実現している。~ --ADでは削除フラグを立てた後、tombStoneLifeTimeで~ 設定された時間を過ぎるとガベージ・コレクトされる。 -このため安易にDCをリストアすると、 --他のDCで既に完全に削除されたオブジェクトが復活してしまう。 --(tombStoneLifeTimeの設定値)日 ---を超えていないイメージをリストアであれば、~ 削除したオブジェクトは後にガベージ・コレクトされる。 ---を超えたDCのイメージのリストアであれば、~ 削除したオブジェクトは、レプリケーションによって復活する。~ 若しくは長期間レプリケートに失敗したDCから復活することもある。 -このためtombStoneLifeTimeの設定値以上古くならないように~ バックアップ頻度、世代、破棄を計画するようにする。 -2008R2以降でゴミ箱機能を使用している場合は、~ 同様に、deletedObjectLifetimeにも考慮が必要。 -参考 --tombStoneLifeTimeの設定値(既定値) ---Windows Server2003 RTM、R2では60日 ---Windows Server2003 SP1以降は180日 ---アップグレードの場合は、以前の値が引き継がれる。 --古いグローバル カタログ サーバーを~ オンラインに戻した後で残存オブジェクトが発生する~ http://support.microsoft.com/kb/314282/ja **バックアップにアクセスできない。 [#kad315ab] バックアップメディアにADのユーザだけアクセス許可を与えている場合、~ 全DCが失われた場合、バックアップメディアにアクセスできなくなる。 *バックアップ・リストア [#wa226b80] -システムへの理解が不可欠 --システムの扱うデータ --アプリケーションの動作 --必要なアクセス権 -手順書は可能な限り単純に。 --シンプルな判断/切り分け基準 ---複雑なディシジョンは設けない --シンプルな復旧作業手順 ---複雑なカバレージは設けない -復旧手順の可溶性 --復旧手順書へのアクセス --復旧作業者へのアクセス権 **正しいバックアップ・リストア [#q94e4047] -DC新規追加型のリストア -Microsoft VSSサービス -Windows Serverバックアップ(2008以降) -その他DC対応のバックアップ・リストア用ソフト -2012以降のH-Vスナップ・ショットの戻し操作。 ***DC新規追加型のリストア [#v91df7d3] Active DirectoryのDCはマルチマスタ分散システムによって、~ 他のDC上にデータを保全しているため、DC新規追加型のリストアも可能。 通常この方式が推奨されるが、以下の考慮が必要な場合は、 Windows Serverバックアップ.etcでのバックアップ・リストアが必要。 -全てのレプリカ上で健全なデータが亡くなる場合の考慮 -復旧時間(レプリケーション時間を含む)の時間短縮目的。 ***Microsoft VSSサービス [#cd89c5bf] -[[Microsoft VSSサービス>バックアップのいろいろ#t3636747]] ***Windows Serverバックアップ(2008以降) [#e70af983] -[[Windows Serverバックアップ>バックアップのいろいろ#rb5ceefc]] -Active DirectoryのDCのデータを含める。 --サーバ全体のバックアップ(MAX) --ベアメタル回復/重要なボリュームバックアップ --システム状態バックアップ(MIN) -モード --非Authoritativeリストア ---当該DCは非authority(他のDCから情報をレプリケートする) ---DCの再昇格という方法もある(強制降格→メタデータ・クリーンナップ→再昇格) ---利用シーン:ADDSデータベースの破損、ハードの障害・破損など。 --Authoritativeリストア ---当該DCはauthority(他のDCへ情報をレプリケートする) ---これを実現するために、オブジェクトのバージョン番号を10万増やす。 ---既存データのauthority化という方法もある(方法不明) ---利用シーン:誤ってオブジェクトを削除してしまった場合など、操作を打ち消す場合。 -バリエーション --ディレクトリ・サービスの ---非Authoritativeリストア ---Authoritativeリストア --SYSVOLの~ (SYSVOLのみの場合は、レジストリ変更とDFSR再起動でリストア可能) ---非Authoritativeリストア~ 利用シーン:単一DCのDFSR単体障害、USNジャーナル・ラップ・エラー ---Authoritativeリストア~ 利用シーン:フォレスト・ドメイン障害(ドメインの最初のDCのリストア) ***共通項 [#n62110e5] 以下の条件を満たしていること。 -健全と認められるデータが含まれたイメージをリストア。 -tombStoneLifeTime、deletedObjectLifetime以上古くないイメージをリストア。~ #tombStoneLifeTime、deletedObjectLifetimeは、どちらかの短い値を使用する。 **正しくないバックアップ・リストア [#ne1c451c] -DC非対応のイメージバックアップ&リストア -コールドスタンバイの起動もリストアに相当することがある。 --特定のサービス --特定のネットワーク --特定のサーバ --特定のアプリ -VM上での操作 --スナップ・ショットを戻す。 --古いVHDに差し替える。 *その他 [#ka664e63] **訓練の重要性 [#saa18f63] -環境を2面・3面準備し、操作訓練することが重要。 -近年は、仮想化技術により、環境を準備し易くなった。 **注意事項 [#ta0692b7] ***仮想化ドメイン コントローラー [#h315f664] VM上での以下の操作もリストア相当の操作に相当する。 -スナップ・ショットの戻し操作。 -古いVHDに差し替える。 -参考 --仮想 Active Directory ドメイン サービス ドメイン コントローラー Hyper-V~ http://technet.microsoft.com/ja-jp/library/virtual_active_directory_domain_controller_virtualization_hyperv.aspx ---仮想化ドメイン コントローラーのバックアップと復元に関する考慮事項 ---付録 A: 仮想化ドメイン コントローラーとレプリケーションに関する問題 *参考 [#fc104a26] -[[Active Directory(正常性の確認)]] -ステップ バイ ステップ ガイド~ Active Directory ドメイン サービス (AD DS) のバックアップと回復~ http://technet.microsoft.com/ja-jp/library/cc771290.aspx --AD DS のバックアップと回復の新機能 --AD DS のバックアップと回復に関する既知の問題 --AD DS のバックアップと回復に関するベスト プラクティス --AD DS をバックアップおよび回復するための一般的な要件 --AD DS をバックアップおよび回復するためのシナリオの概要 --AD DS をバックアップおよび回復するための手順 -Windows Server 2008:1日1問~ ' - 【解説】ドメイン・コントローラのバックアップを行うには?:ITpro~ http://itpro.nikkeibp.co.jp/article/COLUMN/20080318/296529/ -Active Directory のバックアップと復元 - Acronis~ http://download.acronis.com/pdf/wp/Active_Directory_backup_and_restore_JP.pdf -Active Directory環境の復旧手順書 - ARCserve~ http://www.arcserve.com/~/media/Files/TechnicalDocuments/r16/asbu-d2d-r16-active-directory-recovery.pdf ---- Tags: [[:Active Directory]]