Transcript

Copyright © Acronis, Inc., 2000-2010 1

Acronis Backup & Recovery 10 による

Active Directory のバックアップと復元

Copyright © Acronis, Inc., 2000-2010 2

目次

1. はじめに ............................................................. 3 2. バックアップと復元の概要 ............................................................. 3 3. Active Directoryのバックアップ ............................................................. 3 4. Active Directoryの復元 ............................................................. 5 4.1. ドメインコントローラの復元(他のドメインコントローラが利用できる場合) ...... 5 4.2. ドメインコントローラの復元(利用できる他のドメインコントローラがない場合) ...... 7 4.3. Active Directoryデータベースの復元 ................................. 7 4.4. 偶発的に削除されてしまった情報の復元 ................................. 9 5. まとめ ............................................................. 9

Copyright © Acronis, Inc., 2000-2010 3

1. はじめに Microsoft Active DirectoryはWindowsプラットフォームの中心的なコンポーネントであり、あらゆる規

模のWindows環境で使用されています。Active Directoryには必要不可欠な情報が含まれ、その可用

性は企業経営の重要な要素となっています。 このホワイトペーパーは、システム管理者がAcronis Backup & Recovery 10ソフトウェアを使用して

Active Directoryに対する独自の復元ソリューションを実装できるようにすることを目的として作成され

ています。

2. バックアップと復元の概要 Microsoft Active Directory(AD)の各サービスは、ドメインコントローラのファイルシステム上にあるデ

ータベースを使用します。2台以上のドメインコントローラが利用できる場合、データベースに格納され

ている情報は、複数のドメインコントローラ間で頻繁に複製されます。 ボリューム・シャドウ・コピー・サ―ビス(VSS)と呼ばれるWindowsコンポーネントは、Active Directory

データベースの整合性があるコピーを作成するために使用されます。 Active Directory復元のシナリオは、障害が発生したドメインコントローラの復元、破損したActive

Directoryデータベースの復元、および偶発的に削除または変更されてしまったActive Directoryレコー

ドの復元で構成されます。必要な操作とツールは、復元しなければならない情報の種類と、他のドメイ

ンコントローラが利用できるかどうかによって変わります。

3. Active Directoryのバックアップ Windows Server(Windows 2003とWindows 2008を含む)では、Active Directoryデータベースは、

通常ドメインコントローラの%systemroot%¥NTDSフォルダ(C:¥Windows¥NTDSなど)にあります。

デフォルトではこのフォルダが使用されますが、フォルダの設定は変更が可能です。Ntdsutilコマンド

ライン・ユーティリティは、現在使用されているフォルダを見つけるのに役立ちます。データベースとトラ

ンザクションログは異なるボリュームに格納されている可能性があるため、この両方を確実にバックア

ップに含めるように注意してください。 Active Directoryサービスはほぼ常に動作し続けているので、バックアップした後のファイルの整合性

を確保するためにVSSを使用する必要があります。VSSを使用しなかった場合、ファイルは

crash-consistent-stateにおかれます。つまり、復元後のシステムは、バックアップの開始時における予

期しないシャットダウン後の再起動と同じような状態になります。 ほとんどのアプリケーションではこのようなバックアップでも十分ですが、データベース(Active

Directoryデータベースを含む)に関しては crash-consistent-stateから開始できない可能性があり、手

動での復元が必要になることがあります。

Copyright © Acronis, Inc., 2000-2010 4

これを避けるために、ドメインコントローラのバックアップを作成する際には、バックアップ設定で[VSS

を使用してスナップショットを作成する]オプションを選択します。

注:このオプションはデフォルトでは選択されていないので、必ず選択するようにしてください。

ドメインコントローラの完全バックアップを作成すると、そのバックアップには、後でActive Directoryを

復元するときに必要となる情報が保存されます。

次の疑問は、ドメインコントローラをどのくらいの頻度でバックアップする必要があるかということです。

Microsoftでは、Tombstone Lifetime(削除されるまでの期間)がくるまでに少なくとも2回のバックアッ

プを実施することを推奨しています。このTombstone Lifetimeは、ドメインの作成時に使用していたオ

ペレーティングシステムのバージョンによって異なり、60日または180日です。本書では、この後、

Tombstone Lifetimeと、Tombstone Lifetimeが復元の機能にどのような影響を与えるかについて説

明しますが、バックアップは最低でも毎月1回は実施する必要があります。

したがって、Active Directoryデータベースの完全なバックアップを実施するには、次の操作が必要で

す。

• 少なくとも1台のドメインコントローラで、バックアップが完了していることを確認します。

• ドメインコントローラの最新のバックアップが、Tombstone Lifetimeの半分よりも古くないことを確

認します(ほとんどの場合、30日以内)。最新のバックアップが完全バックアップであるかまたは増

分バックアップであるかは問いません。どちらのバックアップからでも復元を正常に実行できます。

したがって、完全または増分バックアップのどちらか1つを持っている必要があります。

Copyright © Acronis, Inc., 2000-2010 5

• 次のイベントのいずれかが発生した場合は、既存のバックアップでは正常な復元を実行できなくな

っている可能性があるため、直ちにバックアップを作成する必要があります。

Active Directoryデータベースとログの両方またはどちらか1つを、別の場所に移動した場合

ドメインコントローラのオペレーティングシステムをアップグレード、またはサービスパックをイ

ンストールした場合

Active Directoryデータベースを変更するホットフィックスをインストールした場合

管理上の理由で、Tombstone Lifetimeを変更した場合

Active Directoryデータベースのフォルダがバックアップに含まれていることを確認します。

これを最も簡単に行う方法は、システムドライブと、Active Directoryデータベースおよび

トランザクションログがあるドライブの完全バックアップを作成することです。

Active Directoryデータベースを構成するファイル(.dit、.chk、.logファイル)が、除外リス

トに含まれていないことを確認します。

バックアップの際に、[VSSを使用してスナップショットを作成する]オプションを選択していること

を確認します。

4. Active Directoryの復元 既に説明したように、Active Directoryの復元方法は、どのような復元が必要かによって変わ

ります。さらに、場合によっては、復元に必要なすべての情報が既に利用できる状態になって

いるために、ドメインコントローラのバックアップを使用せずに済むことさえあります。

本書では、Active Directory復元の主なシナリオに対応するために、次のような障害シナリオ

での復元方法について説明します。

• 1台のドメインコントローラが失われ、他のドメインコントローラは利用可能な場合

• すべてのドメインコントローラが失われた場合(または1台だけの場合)

• Active Directoryデータベースが破損して、Active Directoryサービスが開始しない場合

• 特定の情報が偶発的にActive Directoryから削除されてしまった場合

4.1. ドメインコントローラの復元(他のドメインコントロー

ラが利用できる場合) 複数あるドメインコントローラの1つが失われた場合でも、引き続きActive Directoryサービス

を利用できます。そのため、他のドメインコントローラには、バックアップにあるデータよりも最

新のデータが格納されることになります。たとえば、バックアップの実行後に、Active Directory内でユーザーアカウントを作成した場合、そのアカウントはバックアップには含まれ

Copyright © Acronis, Inc., 2000-2010 6

ません。

したがって、Active Directoryの現在の状態に影響を与えないようにしながら、復元を実施す

る必要があります。この操作は、権限のない復元(Non-Authoritative Restore)と呼ばれま

す。

Active Directoryレコードは、ドメインコントローラ間で頻繁に複製されます。任意の時点にお

いて、同じレコードには、1台のドメインコントローラ上では特定の値が格納され、別のドメイン

コントローラ上では別の値が格納されている可能性があります。情報の競合と損失を防止す

るために、Active Directoryでは、単純に増加し続ける番号であるUSN(更新シーケンス番

号)をすべてのActive Directoryオブジェクトに割り当てています。USNは、どの複製にするか

を決定するために使用されます。最も大きいUSNを持つレコードが最新であると見なされて、

他のドメインコントローラに複製されます。

権限のない復元では、バックアップに保存されている元のUSNとともにデータベースから

Active Directoryが復元されます。

USNは常に増加し続ける値であるため、正常に動作しているドメインコントローラは、バックア

ップに含まれるUSNよりも小さなUSNを持つActive Directoryレコードを保持することはありま

せん。したがって、このような方法でバックアップから復元されたActive Directoryレコードは

小さな値を持つことになり、複製が実行された時点で他のドメインコントローラにある最新のレ

コードによって上書きされます。

さらに、この復元シナリオでは、Active Directoryの復元が絶対に必要というわけではありま

せん。ドメインコントローラの機能を復元するには、ドメインコントローラ自体を再構築するだけ

で十分です(dcpromo.exeツールを使用)。複製が完了すれば、ドメインコントローラは再び

稼働状態になります。

したがって、他のドメインコントローラが使用できる場合は、ドメインコントローラを次の手順で

復元する必要があります。 1. ベアメタル復元を使用して、バックアップからドメインコントローラを復元します。

2. ドメインコントローラを再起動します。Active Directoryサービスが正常に開始したことを確

認します。

これで手順は完了です。Active Directoryレコードの複製は、自動的に実行されます。

それでは、Tombstone Lifetimeよりも古いバックアップしか利用できない場合はどうなるので

しょうか。そのバックアップにオペレーティングシステムが含まれている場合、オペレーティン

グシステムは復元できる可能性があります。しかし、バックアップからのActive Directoryデー

タベースを使用することはできません。廃棄(Tombstone)オブジェクトは複製の実行中に使

用され、削除されたオブジェクトに関する情報は、廃棄オブジェクトを複製することによって複

製されます。したがって、バックアップがTombstone Lifetimeよりも古い場合は、適切な複製

が不可能になります。Tombstone Lifetimeよりも新しいバックアップを保管していない場合は、

ドメインコントローラの再構築以外に復元の方法はありません。

Copyright © Acronis, Inc., 2000-2010 7

4.2. ドメインコントローラの復元(利用できる他のドメイン

コントローラがない場合) すべてのドメインコントローラが失われた場合、またはドメインコントローラが1台しかないドメ

インでドメインコントローラが失われた場合、Active Directoryサービスは停止します。他の方

法でドメインコントローラを復元できる場合(バックアップを使用しない)を除き、利用可能な最

新の情報は、バックアップに保存されている情報ということになります。

したがって、権限のない復元は、事実上、権限のある復元となり、バックアップから復元される

オブジェクト(およびそれらのUSN)が最新のものとして利用されます。復元のこれ以外の部

分は前出のシナリオとほぼ同じですが、すべての情報が失われるため、Active Directoryの再構築という選択肢はありません。廃棄期限を過ぎたバックアップも使用できますが、この場

合は情報の損失が非常に多くなります。

したがって、最後または唯一のドメインコントローラを復元する場合は、次の手順を実行する

必要があります。

1. 復元に使用できる最新のバックアップを確認します。最後のバックアップ以降に作成され

た情報は失われることになるので、最新のバックアップを使用することは極めて重要です。

ドメインにあるドメインコントローラが1つだけの場合、バックアップを毎日作成することが

推奨されます。

2. ベアメタル復元を使用して、バックアップからドメインコントローラを復元します。

3. コンピュータを再起動します。Active Directoryサービスが正常に開始したことを確認しま

す。

4.3. Active Directoryデータベースの復元 Active Directoryデータベースが破損した場合(Active Directoryのロジック/スキーマレベルで

はなく、ファイルレベル)、およびドメインコントローラ上のActive Directoryサービスが開始を

拒否または破損した場合は、バックアップからデータを復元する以外に、いくつか実行できる

ことがあります。

他のドメインコントローラを利用できる環境であれば、dcpromo.exeツールを使用して、障害

が発生したドメインコントローラを降格させてから再び昇格させることが可能です。この操作に

より、データは複製されて、Active Directoryデータベースが復元されます。操作手順の全体

の複雑さは、ドメインコントローラがまだ通常モードで起動できるかどうかで変わります。通常

モードで起動できる場合は、単純にdcpromo /forceremovalコマンドを使用して、コンピュー

タからActive Directoryサービスを削除します。通常モードで起動できない場合は、より複雑な

操作手順が必要になります。詳細な手順については、Microsoft Knowledge Baseの

Copyright © Acronis, Inc., 2000-2010 8

http://support.microsoft.com/kb/332199/ja および

http://support.microsoft.com/kb/258062/ja を参照してください。

利用できる他のドメインコントローラがない場合は、データをバックアップから復元する必要が

あります。これを実行する 1 つの方法として、7 ページの「ドメインコントローラの復元(利用で

きる他のドメインコントローラがない場合)」で説明したシナリオのように、ドメインコントローラ

の完全な復元があります。この方法では、完全な復元が保証されます。また、Active Directory 自体は別として、ドメインコントローラ上に他の重要なデータがない場合や、他の重

要なデータを簡単に保存できる場合(例:復元の必要がない別のボリュームに格納)は、この

方法の使用が妥当だと言えます。

もう1つの方法では、Active Directoryデータベースのみを復元します。

Active Directoryデータベースは、次のファイルで構成されています。

1. NTDS.dit(データベースファイル)

2. Edb.chk(チェックポイントファイル)

3. Edb*.log(トランザクションログ)

4. Res1.logとRes2.log(予約済みトランザクションログ)

デフォルトでは、これらのファイルは%systemroot%¥NTDSフォルダに格納されていますが、

フォルダ設定は変更が可能なので、フォルダの場所を確認する必要があります。また、GPOに何らかの変更を加えている場合は、SYSVOLシステムボリューム

(%systemroot%¥SYSVOL)の復元も必要です。

全体の手順は、次のようになります。

1. 利用できる他のドメインコントローラがない場合は、復元に使用できる最新のバックアップ

を確認します。最後のバックアップ以降に作成された情報は失われることになるので、最

新のバックアップを使用することは極めて重要です。

2. ドメインコントローラを、ディレクトリサービス復元モードで再起動します。

3. Active Directoryデータベースファイルのコピーを作成します。

4. バックアップからファイルを復元します(イメージレベルのバックアップを使用して、ファイ

ルレベルの復元を実行)。

5. コンピュータを再起動します。Active Directoryサービスが正常に開始したことを確認しま

す。

Copyright © Acronis, Inc., 2000-2010 9

4.4. 偶発的に削除されてしまった情報の復元 偶発的に削除されてしまう情報の例としては、意図しないユーザーアカウントまたはコンピュ

ータアカウントの削除などがあります。

このような変更を元に戻す場合には、2つの方法があります。

1番目は最も明快な方法で、Active Directoryデータベースをバックアップから復元します。ド

メインコントローラが1台しかない環境の場合(事実上すべての復元が権限のある復元にな

る)は、この方法を使用すると、最後のバックアップ以降に加えられた変更は失われることに

なります。他のドメインコントローラが使用できる場合は、いくらかの柔軟性が提供されます。

権限のある復元によって特定のエントリだけを復元するには、次の手順を実行します。

1. 前出のシナリオと同じような手順で、ドメインコントローラをディレクトリサービス復元モード

で再起動し、Active Directoryデータベースの復元を実行します。

2. コンピュータを再起動しないでntdsutilを実行し、そのコマンドプロンプトでauthoritative restoreと入力します。

3. 対応するrestoreコマンドを入力します。たとえば、必要なオブジェクトの権限のある復元

を実行する場合は、restore subtreeまたはrestore objectを使用します(詳細について

は、ntdsutilのドキュメントを参照)。データベース全体を復元するには、restore databaseを使用します。

4. コンピュータを再起動します。Active Directoryサービスが正常に開始したこと、および復

元されたオブジェクトが利用可能な状態になっていることを確認します。

偶発的に削除してしまったオブジェクトを復元するもう1つの方法は、Tombstone Lifetimeの利用です。Active Directoryでは、削除されたオブジェクトは一定期間だけ保持されます(既に

説明したように、この期間はTombstone Lifetimeと呼ばれる)。この期限は、デフォルトで60日以上に設定されています。つまり、すべてのオブジェクトは、Active Directoryから削除され

たとしても、最終的に消去されるまで少なくとも60日間はデータベース内に保持されているこ

とになります。

5. まとめ Acronis Backup & Recovery 10 は強力なバックアップおよび復元ソリューションで、Active Directory サーバー/ドメインコントローラを含むすべての Windows サーバーを効率的に保護

します。この製品に実装されているイメージレベルのバックアップテクノロジーによって、

Microsoft Active Directory を含む多くのデータベースの効率的な復元が可能になりました。


Recommended