Active Directory(バックアップ)
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
単語検索
|
最終更新
|
ヘルプ
]
開始行:
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicros...
-戻る
--[[ドメイン サービス (AD DS)]]
--[[バックアップのいろいろ]]
* 目次 [#t1d5c16d]
#contents
*概要 [#r9086b8a]
Active Directory、DC(ドメインコントローラー)の~
バックアップ・リストアのポイントをサマリしました。
*リストア問題のポイント [#c75b9eea]
**リストア問題が発生する理由 [#d61a083e]
-ADのバックアップ・リストアが問題になり易いのは、~
AD自体がマルチマスタ分散システムであり、~
マルチマスタ分散システムの仕組みに起因している。
-このため、DCの全台リストアでは、この問題は発生しない。~
-また、DC新規追加型のリストアでも、この問題は発生しない。~
このため、DC新規追加型のリストアが推奨の復旧手順の一つと...
--[[Active Directory(レプリケーション)]]
**リストアで発生する問題 [#n2a55f71]
***復旧後にエラーが発生する [#zccd404d]
-FSMOが失われる
-USNロールバック
-SIDの重複
-USNジャーナル・ラップ
***覚えの無いデータが発生する。 [#i53d056f]
-残留オブジェクト(Lingering Object)の問題
***バックアップにアクセスできない。 [#v13d5416]
*リストア問題と対応 [#o6c6aee4]
**復旧後にエラーが発生する [#g57df650]
***FSMOが失われる [#kc1fa713]
-主に新規インストールによる復旧をした場合に発生する。
-FSMOは特定の処理に利用されるため、~
それ以外の処理は継続できる。~
このため、発覚が遅れる事がある。
***USNロールバック [#w94eae48]
-USN(update Sequence Number)とは、~
オブジェクトのレプリケーションに使用される仕組み。~
#実際は、InvoacationID+USNが使用される。
-このため安易にDCをリストアすると、~
USNがレプリケーション・パートナーより若い値になり、~
レプリケーションが実行されないという事態に陥る。~
#この逆の現象が、[[残留オブジェクト>#v03f086f]]の問題で...
-[[正しいリストア>#q94e4047]]では、~
InvoacationIDがリセットされるためこの問題は起きない。
-正しいリストア方法で無い場合、
--手動でのInvoacationIDリセットが必要になる。
--repadmin /showreplコマンドを実行すると、~
そのDCのInvocationIDを確認できる。
***SIDの重複 [#r3ebd8bb]
-ADオブジェクトのSID(セキュリティ識別子)は、ドメイン固...
RIDはRIDマスタというFSMO役割がRIDプールからDCに対しての割...
-このため安易にDCをリストアすると、~
RIDがロールバックされ重複したSIDを採番する事態に陥る。
-[[正しいリストア>#q94e4047]]では、~
xxxxxxxxxxされるためこの問題は起きない。
-正しいリストア方法で無い場合、
--手動でのxxxxxxxxxxが必要になる。
--xxxxxを実行するとxxxxxを確認できる。
-余談:RIDは大量オブジェクトの~
追加・削除を繰り返すと枯渇することがある。
***USNジャーナル・ラップ [#t908491f]
Windows Server2003まで、2008以降は自動修復(だが遅い)。
-FRSやDFSRはUSNジャーナルを使用してファイルをレプリケーシ...
--USNジャーナルには、ファイル・システムへの変更が記録され...
--FRSやDFSRのサービスは、USNジャーナルを使用してファイル...
-このため、FRSやDFSRのサービスを長期間停止していた場合、~
USNジャーナルが一周してしまい、更新するファイルが特定でき...
#短期間に大量のファイルを更新をした場合にも、同様の現象...
-USNジャーナルのサイズはレジストリに設定可能である。
--key: HKLM\System\CCS\Services\NTFRS\Parameters\"Ntfs Jo...
**覚えの無いデータが発生する。 [#v03f086f]
-マルチマスタ分散システムでは、~
削除したオブジェクトがレプリケーションによって復元される。~
このため、オブジェクトの削除には、特別な仕組みが必要にな...
--ADではこれを削除フラグとガベージ・コレクトの仕組みで実...
--ADでは削除フラグを立てた後、tombStoneLifeTimeで~
設定された時間を過ぎるとガベージ・コレクトされる。
-このため安易にDCをリストアすると、
--他のDCで既に完全に削除されたオブジェクトが復活してしま...
--(tombStoneLifeTimeの設定値)日
---を超えていないイメージをリストアであれば、~
削除したオブジェクトは後にガベージ・コレクトされる。
---を超えたDCのイメージのリストアであれば、~
削除したオブジェクトは、レプリケーションによって復活する。~
若しくは長期間レプリケートに失敗したDCから復活することも...
-このためtombStoneLifeTimeの設定値以上古くならないように~
バックアップ頻度、世代、破棄を計画するようにする。
-2008R2以降でゴミ箱機能を使用している場合は、~
同様に、deletedObjectLifetimeにも考慮が必要。
-参考
--tombStoneLifeTimeの設定値(既定値)
---Windows Server2003 RTM、R2では60日
---Windows Server2003 SP1以降は180日
---アップグレードの場合は、以前の値が引き継がれる。
--古いグローバル カタログ サーバーを~
オンラインに戻した後で残存オブジェクトが発生する~
http://support.microsoft.com/kb/314282/ja
**バックアップにアクセスできない。 [#kad315ab]
バックアップメディアにADのユーザだけアクセス許可を与えて...
全DCが失われた場合、バックアップメディアにアクセスできな...
*バックアップ・リストア [#wa226b80]
-システムへの理解が不可欠
--システムの扱うデータ
--アプリケーションの動作
--必要なアクセス権
-手順書は可能な限り単純に。
--シンプルな判断/切り分け基準
---複雑なディシジョンは設けない
--シンプルな復旧作業手順
---複雑なカバレージは設けない
-復旧手順の可溶性
--復旧手順書へのアクセス
--復旧作業者へのアクセス権
**正しいバックアップ・リストア [#q94e4047]
-DC新規追加型のリストア
-Microsoft VSSサービス
-Windows Serverバックアップ(2008以降)
-その他DC対応のバックアップ・リストア用ソフト
-2012以降のH-Vスナップ・ショットの戻し操作。
***DC新規追加型のリストア [#v91df7d3]
Active DirectoryのDCはマルチマスタ分散システムによって、~
他のDC上にデータを保全しているため、DC新規追加型のリスト...
通常この方式が推奨されるが、以下の考慮が必要な場合は、
Windows Serverバックアップ.etcでのバックアップ・リストア...
-全てのレプリカ上で健全なデータが亡くなる場合の考慮
-復旧時間(レプリケーション時間を含む)の時間短縮目的。
***Microsoft VSSサービス [#cd89c5bf]
-[[Microsoft VSSサービス>バックアップのいろいろ#t3636747]]
***Windows Serverバックアップ(2008以降) [#e70af983]
-[[Windows Serverバックアップ>バックアップのいろいろ#rb5c...
-Active DirectoryのDCのデータを含める。
--サーバ全体のバックアップ(MAX)
--ベアメタル回復/重要なボリュームバックアップ
--システム状態バックアップ(MIN)
-モード
--非Authoritativeリストア
---当該DCは非authority(他のDCから情報をレプリケートする)
---DCの再昇格という方法もある(強制降格→メタデータ・クリ...
---利用シーン:ADDSデータベースの破損、ハードの障害・破損...
--Authoritativeリストア
---当該DCはauthority(他のDCへ情報をレプリケートする)
---これを実現するために、オブジェクトのバージョン番号を10...
---既存データのauthority化という方法もある(方法不明)
---利用シーン:誤ってオブジェクトを削除してしまった場合な...
-バリエーション
--ディレクトリ・サービスの
---非Authoritativeリストア
---Authoritativeリストア
--SYSVOLの~
(SYSVOLのみの場合は、レジストリ変更とDFSR再起動でリスト...
---非Authoritativeリストア~
利用シーン:単一DCのDFSR単体障害、USNジャーナル・ラップ・...
---Authoritativeリストア~
利用シーン:フォレスト・ドメイン障害(ドメインの最初のDC...
***共通項 [#n62110e5]
以下の条件を満たしていること。
-健全と認められるデータが含まれたイメージをリストア。
-tombStoneLifeTime、deletedObjectLifetime以上古くないイメ...
#tombStoneLifeTime、deletedObjectLifetimeは、どちらかの...
**正しくないバックアップ・リストア [#ne1c451c]
-DC非対応のイメージバックアップ&リストア
-コールドスタンバイの起動もリストアに相当することがある。
--特定のサービス
--特定のネットワーク
--特定のサーバ
--特定のアプリ
-VM上での操作
--スナップ・ショットを戻す。
--古いVHDに差し替える。
*その他 [#ka664e63]
**訓練の重要性 [#saa18f63]
-環境を2面・3面準備し、操作訓練することが重要。
-近年は、仮想化技術により、環境を準備し易くなった。
**注意事項 [#ta0692b7]
***仮想化ドメイン コントローラー [#h315f664]
VM上での以下の操作もリストア相当の操作に相当する。
-スナップ・ショットの戻し操作。
-古いVHDに差し替える。
-参考
--仮想 Active Directory ドメイン サービス ドメイン コント...
http://technet.microsoft.com/ja-jp/library/virtual_active...
---仮想化ドメイン コントローラーのバックアップと復元に関...
---付録 A: 仮想化ドメイン コントローラーとレプリケーショ...
*参考 [#fc104a26]
-[[Active Directory(正常性の確認)]]
-ステップ バイ ステップ ガイド~
Active Directory ドメイン サービス (AD DS) のバックアップ...
http://technet.microsoft.com/ja-jp/library/cc771290.aspx
--AD DS のバックアップと回復の新機能
--AD DS のバックアップと回復に関する既知の問題
--AD DS のバックアップと回復に関するベスト プラクティス
--AD DS をバックアップおよび回復するための一般的な要件
--AD DS をバックアップおよび回復するためのシナリオの概要
--AD DS をバックアップおよび回復するための手順
-Windows Server 2008:1日1問~
' - 【解説】ドメイン・コントローラのバックアップを行うに...
http://itpro.nikkeibp.co.jp/article/COLUMN/20080318/296529/
-Active Directory のバックアップと復元 - Acronis~
http://download.acronis.com/pdf/wp/Active_Directory_backu...
-Active Directory環境の復旧手順書 - ARCserve~
http://www.arcserve.com/~/media/Files/TechnicalDocuments/...
----
Tags: [[:Active Directory]], [[:バックアップ]], [[:障害対...
終了行:
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicros...
-戻る
--[[ドメイン サービス (AD DS)]]
--[[バックアップのいろいろ]]
* 目次 [#t1d5c16d]
#contents
*概要 [#r9086b8a]
Active Directory、DC(ドメインコントローラー)の~
バックアップ・リストアのポイントをサマリしました。
*リストア問題のポイント [#c75b9eea]
**リストア問題が発生する理由 [#d61a083e]
-ADのバックアップ・リストアが問題になり易いのは、~
AD自体がマルチマスタ分散システムであり、~
マルチマスタ分散システムの仕組みに起因している。
-このため、DCの全台リストアでは、この問題は発生しない。~
-また、DC新規追加型のリストアでも、この問題は発生しない。~
このため、DC新規追加型のリストアが推奨の復旧手順の一つと...
--[[Active Directory(レプリケーション)]]
**リストアで発生する問題 [#n2a55f71]
***復旧後にエラーが発生する [#zccd404d]
-FSMOが失われる
-USNロールバック
-SIDの重複
-USNジャーナル・ラップ
***覚えの無いデータが発生する。 [#i53d056f]
-残留オブジェクト(Lingering Object)の問題
***バックアップにアクセスできない。 [#v13d5416]
*リストア問題と対応 [#o6c6aee4]
**復旧後にエラーが発生する [#g57df650]
***FSMOが失われる [#kc1fa713]
-主に新規インストールによる復旧をした場合に発生する。
-FSMOは特定の処理に利用されるため、~
それ以外の処理は継続できる。~
このため、発覚が遅れる事がある。
***USNロールバック [#w94eae48]
-USN(update Sequence Number)とは、~
オブジェクトのレプリケーションに使用される仕組み。~
#実際は、InvoacationID+USNが使用される。
-このため安易にDCをリストアすると、~
USNがレプリケーション・パートナーより若い値になり、~
レプリケーションが実行されないという事態に陥る。~
#この逆の現象が、[[残留オブジェクト>#v03f086f]]の問題で...
-[[正しいリストア>#q94e4047]]では、~
InvoacationIDがリセットされるためこの問題は起きない。
-正しいリストア方法で無い場合、
--手動でのInvoacationIDリセットが必要になる。
--repadmin /showreplコマンドを実行すると、~
そのDCのInvocationIDを確認できる。
***SIDの重複 [#r3ebd8bb]
-ADオブジェクトのSID(セキュリティ識別子)は、ドメイン固...
RIDはRIDマスタというFSMO役割がRIDプールからDCに対しての割...
-このため安易にDCをリストアすると、~
RIDがロールバックされ重複したSIDを採番する事態に陥る。
-[[正しいリストア>#q94e4047]]では、~
xxxxxxxxxxされるためこの問題は起きない。
-正しいリストア方法で無い場合、
--手動でのxxxxxxxxxxが必要になる。
--xxxxxを実行するとxxxxxを確認できる。
-余談:RIDは大量オブジェクトの~
追加・削除を繰り返すと枯渇することがある。
***USNジャーナル・ラップ [#t908491f]
Windows Server2003まで、2008以降は自動修復(だが遅い)。
-FRSやDFSRはUSNジャーナルを使用してファイルをレプリケーシ...
--USNジャーナルには、ファイル・システムへの変更が記録され...
--FRSやDFSRのサービスは、USNジャーナルを使用してファイル...
-このため、FRSやDFSRのサービスを長期間停止していた場合、~
USNジャーナルが一周してしまい、更新するファイルが特定でき...
#短期間に大量のファイルを更新をした場合にも、同様の現象...
-USNジャーナルのサイズはレジストリに設定可能である。
--key: HKLM\System\CCS\Services\NTFRS\Parameters\"Ntfs Jo...
**覚えの無いデータが発生する。 [#v03f086f]
-マルチマスタ分散システムでは、~
削除したオブジェクトがレプリケーションによって復元される。~
このため、オブジェクトの削除には、特別な仕組みが必要にな...
--ADではこれを削除フラグとガベージ・コレクトの仕組みで実...
--ADでは削除フラグを立てた後、tombStoneLifeTimeで~
設定された時間を過ぎるとガベージ・コレクトされる。
-このため安易にDCをリストアすると、
--他のDCで既に完全に削除されたオブジェクトが復活してしま...
--(tombStoneLifeTimeの設定値)日
---を超えていないイメージをリストアであれば、~
削除したオブジェクトは後にガベージ・コレクトされる。
---を超えたDCのイメージのリストアであれば、~
削除したオブジェクトは、レプリケーションによって復活する。~
若しくは長期間レプリケートに失敗したDCから復活することも...
-このためtombStoneLifeTimeの設定値以上古くならないように~
バックアップ頻度、世代、破棄を計画するようにする。
-2008R2以降でゴミ箱機能を使用している場合は、~
同様に、deletedObjectLifetimeにも考慮が必要。
-参考
--tombStoneLifeTimeの設定値(既定値)
---Windows Server2003 RTM、R2では60日
---Windows Server2003 SP1以降は180日
---アップグレードの場合は、以前の値が引き継がれる。
--古いグローバル カタログ サーバーを~
オンラインに戻した後で残存オブジェクトが発生する~
http://support.microsoft.com/kb/314282/ja
**バックアップにアクセスできない。 [#kad315ab]
バックアップメディアにADのユーザだけアクセス許可を与えて...
全DCが失われた場合、バックアップメディアにアクセスできな...
*バックアップ・リストア [#wa226b80]
-システムへの理解が不可欠
--システムの扱うデータ
--アプリケーションの動作
--必要なアクセス権
-手順書は可能な限り単純に。
--シンプルな判断/切り分け基準
---複雑なディシジョンは設けない
--シンプルな復旧作業手順
---複雑なカバレージは設けない
-復旧手順の可溶性
--復旧手順書へのアクセス
--復旧作業者へのアクセス権
**正しいバックアップ・リストア [#q94e4047]
-DC新規追加型のリストア
-Microsoft VSSサービス
-Windows Serverバックアップ(2008以降)
-その他DC対応のバックアップ・リストア用ソフト
-2012以降のH-Vスナップ・ショットの戻し操作。
***DC新規追加型のリストア [#v91df7d3]
Active DirectoryのDCはマルチマスタ分散システムによって、~
他のDC上にデータを保全しているため、DC新規追加型のリスト...
通常この方式が推奨されるが、以下の考慮が必要な場合は、
Windows Serverバックアップ.etcでのバックアップ・リストア...
-全てのレプリカ上で健全なデータが亡くなる場合の考慮
-復旧時間(レプリケーション時間を含む)の時間短縮目的。
***Microsoft VSSサービス [#cd89c5bf]
-[[Microsoft VSSサービス>バックアップのいろいろ#t3636747]]
***Windows Serverバックアップ(2008以降) [#e70af983]
-[[Windows Serverバックアップ>バックアップのいろいろ#rb5c...
-Active DirectoryのDCのデータを含める。
--サーバ全体のバックアップ(MAX)
--ベアメタル回復/重要なボリュームバックアップ
--システム状態バックアップ(MIN)
-モード
--非Authoritativeリストア
---当該DCは非authority(他のDCから情報をレプリケートする)
---DCの再昇格という方法もある(強制降格→メタデータ・クリ...
---利用シーン:ADDSデータベースの破損、ハードの障害・破損...
--Authoritativeリストア
---当該DCはauthority(他のDCへ情報をレプリケートする)
---これを実現するために、オブジェクトのバージョン番号を10...
---既存データのauthority化という方法もある(方法不明)
---利用シーン:誤ってオブジェクトを削除してしまった場合な...
-バリエーション
--ディレクトリ・サービスの
---非Authoritativeリストア
---Authoritativeリストア
--SYSVOLの~
(SYSVOLのみの場合は、レジストリ変更とDFSR再起動でリスト...
---非Authoritativeリストア~
利用シーン:単一DCのDFSR単体障害、USNジャーナル・ラップ・...
---Authoritativeリストア~
利用シーン:フォレスト・ドメイン障害(ドメインの最初のDC...
***共通項 [#n62110e5]
以下の条件を満たしていること。
-健全と認められるデータが含まれたイメージをリストア。
-tombStoneLifeTime、deletedObjectLifetime以上古くないイメ...
#tombStoneLifeTime、deletedObjectLifetimeは、どちらかの...
**正しくないバックアップ・リストア [#ne1c451c]
-DC非対応のイメージバックアップ&リストア
-コールドスタンバイの起動もリストアに相当することがある。
--特定のサービス
--特定のネットワーク
--特定のサーバ
--特定のアプリ
-VM上での操作
--スナップ・ショットを戻す。
--古いVHDに差し替える。
*その他 [#ka664e63]
**訓練の重要性 [#saa18f63]
-環境を2面・3面準備し、操作訓練することが重要。
-近年は、仮想化技術により、環境を準備し易くなった。
**注意事項 [#ta0692b7]
***仮想化ドメイン コントローラー [#h315f664]
VM上での以下の操作もリストア相当の操作に相当する。
-スナップ・ショットの戻し操作。
-古いVHDに差し替える。
-参考
--仮想 Active Directory ドメイン サービス ドメイン コント...
http://technet.microsoft.com/ja-jp/library/virtual_active...
---仮想化ドメイン コントローラーのバックアップと復元に関...
---付録 A: 仮想化ドメイン コントローラーとレプリケーショ...
*参考 [#fc104a26]
-[[Active Directory(正常性の確認)]]
-ステップ バイ ステップ ガイド~
Active Directory ドメイン サービス (AD DS) のバックアップ...
http://technet.microsoft.com/ja-jp/library/cc771290.aspx
--AD DS のバックアップと回復の新機能
--AD DS のバックアップと回復に関する既知の問題
--AD DS のバックアップと回復に関するベスト プラクティス
--AD DS をバックアップおよび回復するための一般的な要件
--AD DS をバックアップおよび回復するためのシナリオの概要
--AD DS をバックアップおよび回復するための手順
-Windows Server 2008:1日1問~
' - 【解説】ドメイン・コントローラのバックアップを行うに...
http://itpro.nikkeibp.co.jp/article/COLUMN/20080318/296529/
-Active Directory のバックアップと復元 - Acronis~
http://download.acronis.com/pdf/wp/Active_Directory_backu...
-Active Directory環境の復旧手順書 - ARCserve~
http://www.arcserve.com/~/media/Files/TechnicalDocuments/...
----
Tags: [[:Active Directory]], [[:バックアップ]], [[:障害対...
ページ名:
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
