AD DS ドメイン コントローラーを維持する

  • 8 分

認証サービスのビジネス継続性の維持に重点を置いた、すべての AD DS 環境に適用可能な運用面があります。 これには、ドメイン コントローラーおよびそれらがホストする AD DS オブジェクトのバックアップと回復が含まれます。

AD DS ドメイン コントローラーの可用性を維持する

ドメイン コントローラーは、マルチマスター レプリケーション プロセスを使用して、あるドメイン コントローラーから別のものにデータをコピーします。 ベスト プラクティスとして、AD DS ドメインには、AD DS サイトごとに少なくとも 2 つのドメイン コントローラーが必要です。 これにより、AD DS データベースの可用性が向上し、サインインのピーク時の認証負荷が分散されます。

重要

ほとんどの企業に当てはまりますが、高可用性とパフォーマンスを確保するため絶対的な最小要件として、地理的なリージョンごとに 2 つのドメイン コントローラーを考慮してください。

AD DS のバックアップと復元の計画

Active Directory データの信頼性を維持することは重要です。 定期的にバックアップを実行することは、このプロセスの一環として有効ですが、障害発生後にデータを復元または回復する方法を把握しておくことが重要です。

ごみ箱を使用した削除済み AD DS オブジェクトの復元

従来のバックアップ方法を使用して、AD DS から削除されたオブジェクトを復元するには、一時的な OS のダウンタイムが発生するため、Windows Server には Active Directory のごみ箱機能が用意されています。これにより、削除されたオブジェクトを AD DS ダウンタイムなしで簡単に復元できます。 Active Directory のごみ箱を有効にすると、[削除済みオブジェクト] コンテナーが Active Directory 管理センターに表示されます。 削除済みオブジェクトは、その削除済みオブジェクトの有効期間が切れるまで、このコンテナーに保持されます。 新しい AD DS デプロイの場合、その有効期間は 180 日に設定されますが、変更することもできます。 オブジェクトを元の場所に復元するか、AD DS 内の別の場所に復元するかを選択できます。

重要

Active Directory のごみ箱を使用して、既存のオブジェクトに対する変更を元に戻すことはできません。 このような場合は、AD DS のバックアップと復元における従来の方法を使用する必要があります。

AD DS のバックアップと復元

AD DS を復元するには、バックアップにシステム状態データを明示的に含める必要があります。 "システム状態" とは、AD DS データベースとレジストリを含む、重要な OS およびサーバー ロール ファイルのコレクションです。

重要

サーバー全体の回復に使用される完全サーバー バックアップでは、このシナリオはサポートされていません。

AD DS 復元を実行するには、ドメイン コントローラー上のファイルへのフル アクセスが必要です。 これには、DSRM でドメイン コントローラーを再起動する必要があります。 ドメイン コントローラーをローカルで再起動する場合は、拡張起動オプションを開き、メニューから [DSRM] を選択します。

DSRM でドメイン コントローラーを起動する場合は、DSRM パスワードを使用して管理者としてサインインします。 その後、Windows Server バックアップを使用してディレクトリ データベースを復元できます。 復元プロセスが完了したら、回復対象のサーバーを再起動する必要があります。 ドメイン コントローラーは、バックアップの日付以降に発生したディレクトリへの変更をレプリケーション パートナーから取得することで、そのデータベースと、そのドメインの残りの部分との整合性を確保します。

非 Authoritative Restore

既定では、既知の有効な日付時点の AD DS バックアップを復元します。 基本的には、ドメイン コントローラーを時間的にロールバックします。 ドメイン コントローラーで AD DS が再起動されると、ドメイン コントローラーはそのレプリケーション パートナーにアクセスし、以降のすべての更新を要求します。 言い換えると、ドメイン コントローラーは、標準のレプリケーション メカニズムを使用して、そのドメインの残りの部分に追いつこうとします。

この種類の復元は、ドメイン コントローラー上のディレクトリが損傷または破損しているが、その問題が他のドメイン コントローラーに広がっていない場合に有効です。 しかし、一部のシナリオでは、この方法は適していません。 たとえば、バックアップの実行後に削除したオブジェクトは、その削除が他のドメイン コントローラーにレプリケートされている場合、この方法では回復できません。 既知の適切なバージョンの AD DS を復元し、ドメイン コントローラーを再起動した場合、バックアップの実行後に発生した削除は、単にドメイン コントローラーにレプリケートされます。

Authoritative Restore

Authoritative Restore を使用すると、AD DS オブジェクトの既知の正常なコピーを復元できます。これにより、AD DS データベース内のこれらのオブジェクトの現在のバージョンが置き換えられます。 Authoritative Restore では、まず、非 Authoritative Restore と同じ一連の手順を実行します。 ただし、ドメイン コントローラーを再起動する前に、永続化したい復元済みのオブジェクトを Authoritative とマークし、復元されたドメイン コントローラーからそのレプリケーション パートナーにアウトバウンドでレプリケートされるようにします。