- 追加された行はこの色です。
- 削除された行はこの色です。
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。
-[[戻る>ドメイン サービス (AD DS)]]
-戻る
--[[ドメイン サービス (AD DS)]]
--[[バックアップのいろいろ]]
* 目次 [#t1d5c16d]
#contents
*概要 [#r9086b8a]
Active Directory、DC(ドメインコントローラー)の~
バックアップ・リストアのポイントをサマリしました。
*リストア問題のポイント [#c75b9eea]
**リストア問題が発生する理由 [#d61a083e]
-ADのバックアップ・リストアが問題になり易いのは、~
AD自体がマルチマスタ分散システムであり、~
マルチマスタ分散システムの仕組みに起因している。
-このため、DCの全台リストアでは、この問題は発生しない。~
-また、DC新規追加型のリストアでも、この問題は発生しない。~
このため、DC新規追加型のリストアが推奨の復旧手順の一つとも言える。
--[[Active Directory(レプリケーション)]]
**リストアで発生する問題 [#n2a55f71]
***復旧後にエラーが発生する [#zccd404d]
-FSMOが失われる
-USNロールバック
-SIDの重複
-USNジャーナル・ラップ
***覚えの無いデータが発生する。 [#i53d056f]
-残留オブジェクト(Lingering Object)の問題
***バックアップにアクセスできない。 [#v13d5416]
*リストア問題と対応 [#o6c6aee4]
**復旧後にエラーが発生する [#g57df650]
***FSMOが失われる [#kc1fa713]
-主に新規インストールによる復旧をした場合に発生する。
-FSMOは特定の処理に利用されるため、~
それ以外の処理は継続できる。~
このため、発覚が遅れる事がある。
***USNロールバック [#w94eae48]
-USN(update Sequence Number)とは、~
オブジェクトのレプリケーションに使用される仕組み。~
#実際は、InvoacationID+USNが使用される。
-このため安易にDCをリストアすると、~
USNがレプリケーション・パートナーより若い値になり、~
レプリケーションが実行されないという事態に陥る。~
#この逆の現象が、[[残留オブジェクト>#v03f086f]]の問題である。
-[[正しいリストア>#q94e4047]]では、~
InvoacationIDがリセットされるためこの問題は起きない。
-正しいリストア方法で無い場合、
--手動でのInvoacationIDリセットが必要になる。
--repadmin /showreplコマンドを実行すると、~
そのDCのInvocationIDを確認できる。
***SIDの重複 [#r3ebd8bb]
-ADオブジェクトのSID(セキュリティ識別子)は、ドメイン固有値+RIDで決定される。~
RIDはRIDマスタというFSMO役割がRIDプールからDCに対しての割り当てを行う。~
-このため安易にDCをリストアすると、~
RIDがロールバックされ重複したSIDを採番する事態に陥る。
-[[正しいリストア>#q94e4047]]では、~
xxxxxxxxxxされるためこの問題は起きない。
-正しいリストア方法で無い場合、
--手動でのxxxxxxxxxxが必要になる。
--xxxxxを実行するとxxxxxを確認できる。
-余談:RIDは大量オブジェクトの~
追加・削除を繰り返すと枯渇することがある。
***USNジャーナル・ラップ [#t908491f]
Windows Server2003まで、2008以降は自動修復(だが遅い)。
-FRSやDFSRはUSNジャーナルを使用してファイルをレプリケーションしている。
--USNジャーナルには、ファイル・システムへの変更が記録される。
--FRSやDFSRのサービスは、USNジャーナルを使用してファイルをレプリケーションする。
-このため、FRSやDFSRのサービスを長期間停止していた場合、~
USNジャーナルが一周してしまい、更新するファイルが特定できない問題が発生する。~
#短期間に大量のファイルを更新をした場合にも、同様の現象が発生する。参考:[[DFS]]
-USNジャーナルのサイズはレジストリに設定可能である。
--key: HKLM\System\CCS\Services\NTFRS\Parameters\"Ntfs Journal size in MB" (REG_DWORD)
**覚えの無いデータが発生する。 [#v03f086f]
-マルチマスタ分散システムでは、~
削除したオブジェクトがレプリケーションによって復元される。~
このため、オブジェクトの削除には、特別な仕組みが必要になる。
--ADではこれを削除フラグとガベージ・コレクトの仕組みで実現している。~
--ADでは削除フラグを立てた後、tombStoneLifeTimeで~
設定された時間を過ぎるとガベージ・コレクトされる。
-このため安易にDCをリストアすると、
--他のDCで既に完全に削除されたオブジェクトが復活してしまう。
--(tombStoneLifeTimeの設定値)日
---を超えていないイメージをリストアであれば、~
削除したオブジェクトは後にガベージ・コレクトされる。
---を超えたDCのイメージのリストアであれば、~
削除したオブジェクトは、レプリケーションによって復活する。~
若しくは長期間レプリケートに失敗したDCから復活することもある。
-このためtombStoneLifeTimeの設定値以上古くならないように~
バックアップ頻度、世代、破棄を計画するようにする。
-2008R2以降でゴミ箱機能を使用している場合は、~
同様に、deletedObjectLifetimeにも考慮が必要。
-参考
--tombStoneLifeTimeの設定値(既定値)
---Windows Server2003 RTM、R2では60日
---Windows Server2003 SP1以降は180日
---アップグレードの場合は、以前の値が引き継がれる。
--古いグローバル カタログ サーバーを~
オンラインに戻した後で残存オブジェクトが発生する~
http://support.microsoft.com/kb/314282/ja
**バックアップにアクセスできない。 [#kad315ab]
バックアップメディアにADのユーザだけアクセス許可を与えている場合、~
全DCが失われた場合、バックアップメディアにアクセスできなくなる。
*バックアップ・リストア [#wa226b80]
-システムへの理解が不可欠
--システムの扱うデータ
--アプリケーションの動作
--必要なアクセス権
-手順書は可能な限り単純に。
--シンプルな判断/切り分け基準
---複雑なディシジョンは設けない
--シンプルな復旧作業手順
---複雑なカバレージは設けない
-復旧手順の可溶性
--復旧手順書へのアクセス
--復旧作業者へのアクセス権
**正しいバックアップ・リストア [#q94e4047]
-DC新規追加型のリストア
-Microsoft VSSサービス
-Windows Serverバックアップ(2008以降)
-その他DC対応のバックアップ・リストア用ソフト
-2012以降のH-Vスナップ・ショットの戻し操作。
***DC新規追加型のリストア [#v91df7d3]
Active DirectoryのDCはマルチマスタ分散システムによって、~
他のDC上にデータを保全しているため、DC新規追加型のリストアも可能。
通常この方式が推奨されるが、以下の考慮が必要な場合は、
Windows Serverバックアップ.etcでのバックアップ・リストアが必要。
-全てのレプリカ上で健全なデータが亡くなる場合の考慮
-復旧時間(レプリケーション時間を含む)の時間短縮目的。
***Microsoft VSSサービス [#cd89c5bf]
-[[Microsoft VSSサービス>バックアップのいろいろ#t3636747]]
***Windows Serverバックアップ(2008以降) [#e70af983]
-[[Windows Serverバックアップ>バックアップのいろいろ#rb5ceefc]]
-Active DirectoryのDCのデータを含める。
--サーバ全体のバックアップ(MAX)
--ベアメタル回復/重要なボリュームバックアップ
--システム状態バックアップ(MIN)
-モード
--非Authoritativeリストア
---当該DCは非authority(他のDCから情報をレプリケートする)
---DCの再昇格という方法もある(強制降格→メタデータ・クリーンナップ→再昇格)
---利用シーン:ADDSデータベースの破損、ハードの障害・破損など。
--Authoritativeリストア
---当該DCはauthority(他のDCへ情報をレプリケートする)
---これを実現するために、オブジェクトのバージョン番号を10万増やす。
---既存データのauthority化という方法もある(方法不明)
---利用シーン:誤ってオブジェクトを削除してしまった場合など、操作を打ち消す場合。
-バリエーション
--ディレクトリ・サービスの
---非Authoritativeリストア
---Authoritativeリストア
--SYSVOLの~
(SYSVOLのみの場合は、レジストリ変更とDFSR再起動でリストア可能)
---非Authoritativeリストア~
利用シーン:単一DCのDFSR単体障害、USNジャーナル・ラップ・エラー
---Authoritativeリストア~
利用シーン:フォレスト・ドメイン障害(ドメインの最初のDCのリストア)
***共通項 [#n62110e5]
以下の条件を満たしていること。
-健全と認められるデータが含まれたイメージをリストア。
-tombStoneLifeTime、deletedObjectLifetime以上古くないイメージをリストア。~
#tombStoneLifeTime、deletedObjectLifetimeは、どちらかの短い値を使用する。
**正しくないバックアップ・リストア [#ne1c451c]
-DC非対応のイメージバックアップ&リストア
-コールドスタンバイの起動もリストアに相当することがある。
--特定のサービス
--特定のネットワーク
--特定のサーバ
--特定のアプリ
-VM上での操作
--スナップ・ショットを戻す。
--古いVHDに差し替える。
*その他 [#ka664e63]
**訓練の重要性 [#saa18f63]
-環境を2面・3面準備し、操作訓練することが重要。
-近年は、仮想化技術により、環境を準備し易くなった。
**注意事項 [#ta0692b7]
***仮想化ドメイン コントローラー [#h315f664]
VM上での以下の操作もリストア相当の操作に相当する。
-スナップ・ショットの戻し操作。
-古いVHDに差し替える。
-参考
--仮想 Active Directory ドメイン サービス ドメイン コントローラー Hyper-V~
http://technet.microsoft.com/ja-jp/library/virtual_active_directory_domain_controller_virtualization_hyperv.aspx
---仮想化ドメイン コントローラーのバックアップと復元に関する考慮事項
---付録 A: 仮想化ドメイン コントローラーとレプリケーションに関する問題
*参考 [#fc104a26]
-[[Active Directory(正常性の確認)]]
-ステップ バイ ステップ ガイド~
Active Directory ドメイン サービス (AD DS) のバックアップと回復~
http://technet.microsoft.com/ja-jp/library/cc771290.aspx
--AD DS のバックアップと回復の新機能
--AD DS のバックアップと回復に関する既知の問題
--AD DS のバックアップと回復に関するベスト プラクティス
--AD DS をバックアップおよび回復するための一般的な要件
--AD DS をバックアップおよび回復するためのシナリオの概要
--AD DS をバックアップおよび回復するための手順
-Windows Server 2008:1日1問~
' - 【解説】ドメイン・コントローラのバックアップを行うには?:ITpro~
http://itpro.nikkeibp.co.jp/article/COLUMN/20080318/296529/
-Active Directory のバックアップと復元 - Acronis~
http://download.acronis.com/pdf/wp/Active_Directory_backup_and_restore_JP.pdf
-Active Directory環境の復旧手順書 - ARCserve~
http://www.arcserve.com/~/media/Files/TechnicalDocuments/r16/asbu-d2d-r16-active-directory-recovery.pdf
----
Tags: [[:Active Directory]]
Tags: [[:Active Directory]], [[:バックアップ]], [[:障害対応]]
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
