Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
20210615a-Active Directoryバックアップ・リストア
Search
YuYu
June 15, 2021
Technology
0
1.4k
20210615a-Active Directoryバックアップ・リストア
ちょっと知識体系古いかもしれないし、完璧に網羅できてるわけではないんだけど、概要レベルで何かしら理解が進めばなぁと思って作ったもの。
YuYu
June 15, 2021
Tweet
Share
More Decks by YuYu
See All by YuYu
私の仕事はこんな仕事
localyouser
0
210
Azure Sentinelに触れてみた
localyouser
0
240
LogAnalyticsによるブログアクセスの見える化
localyouser
0
570
Azure Filesとオンプレミスファイルサーバを連携させる
localyouser
0
960
RHEL High Availability Add-On からLVMとの連携を確認する
localyouser
0
550
Azureリソース構成例:とにかくお安く2021
localyouser
0
180
Horizon Instant Cloneを少しばかり試す
localyouser
0
1.2k
ADFSによるSSO動作の詳細一例
localyouser
0
71
MGについて、健康ネタとしてまとめてみたよ。
localyouser
0
68
Other Decks in Technology
See All in Technology
MLOpsの「壁」を乗り越える、LINEヤフーの Data Quality as Code
lycorptech_jp
PRO
5
540
One engineer company with Ruby on Rails
rstankov
2
110
MapLibreとAmazon Location Service
dayjournal
1
160
R3のコードから見る実践LINQ実装最適化・コンカレントプログラミング実例
neuecc
2
390
Grafana x PagerDuty Better Together
jacopen
0
140
GrafanaMeetup_AmazonManagedGrafanaのアクセス制御機能とマルチテナント環境下でのアクセス制御について
daitak
0
290
競技としてのKaggle、役に立つKaggle
yu4u
5
2k
家族アルバム みてねにおけるGrafana活用術 / Grafana Meetup Japan Vol.1 LT
isaoshimizu
1
810
LLM開発・活用の舞台裏@2024.04.25
yushin_n
3
820
開発パフォーマンスを最大化するための開発体制
ham0215
2
460
Tellus の衛星データを見てみよう #mf_fukuoka
kongmingstrap
0
230
DMM.com アルファ室採用案内資料
hsugita
1
170
Featured
See All Featured
Fashionably flexible responsive web design (full day workshop)
malarkey
398
65k
Principles of Awesome APIs and How to Build Them.
keavy
121
16k
Scaling GitHub
holman
457
140k
jQuery: Nuts, Bolts and Bling
dougneiner
59
7.1k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
244
20k
Building an army of robots
kneath
300
41k
Producing Creativity
orderedlist
PRO
337
39k
Designing for humans not robots
tammielis
248
25k
Happy Clients
brianwarren
92
6.4k
It's Worth the Effort
3n
180
27k
Large-scale JavaScript Application Architecture
addyosmani
504
110k
Done Done
chrislema
178
15k
Transcript
BLUECORE.NET
BLUECORE.NET Active Directoryのバックアップ • イメージでも取得できるし、論理単位でも取得できる • イメージ取得なら基本的にはActive Directoryデータ取得に対応した製品 (Azure Backupは対応。その他メジャーどころのものはだいたい対応しているよ
うに思う。要確認) • 論理単位で取得するならWindows Serverバックアップが確実 • 必要なバックアップ要素は以下の通り
BLUECORE.NET Tombstone期間に注意 • Active Directoryのバックアップデータ有効期間には限りがある • これをTombstone期間(デフォルト180日)と呼ぶ • これを超過した古いデータからの復元は不可能 •
期限切れデータを既存Active Directoryが認識できずにデータ不整合が発生する • メタデータバックアップをするなら、Tombstone期間を超えないようにバック アップを定期的に行う必要があると考えて良い。
BLUECORE.NET 権限なし復旧(non-Authoritative Restore) • ドメインコントローラが 「障害から復旧したばかり」であることを宣言する復旧方式 • 復旧したドメインコントローラのデータは「古いデータ」と宣言する • 残りのドメインコントローラからデータ同期を受ける事を前提にしている
• 復旧後、復旧したドメインコントローラは既存ドメインコントローラからのレプリ ケーションを受けて、初めてドメインコントローラとして活動可能になる 復旧中 権限なし復旧済み 既存ドメインコントローラ 復旧中ドメインコントローラ
BLUECORE.NET その他、権限なし復旧で発生すること • 自身が持ち合わせているRIDプールは初期化される • 自身がもっているRIDプールは「使ってはいけないもの」と認識され消える • 改めてRIDマスターに対して払い出し要求を行い、再整備することになる • SYSVOLフォルダは同期待ち(受信専用)となる
• DFS-Rの特性上、State=2(初期同期待ち)となっている • そのまま放置するといつまで待っても持ってるデータはレプリケートしない • そのまま放置するといつまで待ってもSYSVOL共有は有効にならない
BLUECORE.NET 権限なし復旧の手順 • OS復旧を行う • 起動時にF8キーを押下し「Active Directory復旧モード」で起動する • Windows Server
バックアップなどから、事前にバックアップした以下の データを復元する • システム状態 • SYSVOLフォルダ • 復旧完了したら再起動する • 自動的に起動後「自分は復旧したドメインコントローラだ」と宣言して他方 のドメインコントローラからのデータ同期を受ける • 同期が完了したら復旧完了
BLUECORE.NET 権限あり復旧(Authoritative Restore) • ドメインコントローラが 「復旧したデータこそ最新」であることを宣言する復旧方式 • 誤削除したデータを復帰させるために使用することが多い • だが、現在はActive
Directoryゴミ箱の存在により、利用頻度は低下傾向にある • 昔は全体にAuthoritative Restoreを実行できるコマンドが存在したが、現在はディレ クトリパーティション単位で明示的に復旧箇所を指定する必要がある。 権限あり復旧実行 復旧中ドメインコントローラ 既存ドメインコントローラ 間違って消されたオブジェクト
BLUECORE.NET 権限あり復旧時のコマンド • ntdsutilを起動する • 以下の通りコマンドを実行する
BLUECORE.NET DN(Distinguish Name) と言う表記法 • 表記例
BLUECORE.NET プライマリリストア • ドメインコントローラ全滅時の対応手順 • 本当はこうならないような可用性設計が必要と考えておいた方が良い • 非常にめんどくさい • 以下のような復旧順序を辿る
• FSMOを権限あり復旧でリストアする • 最初に復旧するノードはFSMOにしとくと楽 • 権限なし復旧では、復旧後に対象ドメインコントローラが受け身に徹してしまい、データ同 期が行えなくなる。自身が「配るべきデータをもってる」と認識させることが必要 • それ以外のノードを権限なし復旧でリストアする • 既にFSMOを復旧したことで、配信する元は定まってるので、後は全体的に権限なし復 旧をすれば、FSMOからデータが配信され、ドメインコントローラは復旧されていく
BLUECORE.NET プライマリリストアの手順(うろ覚えなのは許して) • 最初に復旧するドメインコントローラに対して、以下操作を実施 • 基本的には最初に復旧すべきはFSMOノードである点に注意 • ディレクトリサービス復旧モードで起動 • 取得したバックアップを用いてまずはシステム状態・SYSVOLをリストア
• そのまま、全ディレクトリパーティションに対して「権限あり復旧」をする • サーバを再起動 • Active Directoryとして正常に動作するか確認を行う • グループポリシーオブジェクトを任意のフォルダへリストアし、これをSYSVOL へかぶせる(これはもしかしたら不要かもしれない) • その他のドメインコントローラに対して権限なし復旧を行う • 復旧したドメインコントローラが最初に復旧したドメインコントローラからの データ同期が行われていることを確認する
BLUECORE.NET ディレクトリパーティション • ディレクトリパーティションは以下表のとおり存在し、これ単位でリスト アをする必要がある。
BLUECORE.NET メタデータバックアップ先を考える • バックアップ先はストレージを分けよう • 物理環境で内蔵ディスクを使用するなら、RAIDグループは分けよう • 仮想環境を使用するならストレージは筐体単位で分けよう • 共有フォルダとかで異なるストレージに保存できるならそれが良いかも
• 非Authoritative Restore相当の操作が自動化されるなら、VMバックアップ等サーバ全体丸っとバック アップでも良いと思う • 製品によって左右される。どのような形でドメインコントローラ復旧に対応しているのか、そのメカニズムは理解しておいた方 が良い • 特殊な手順が存在するかどうかなど、確認が必要なところは数多く存在する • 論理バックアップは通常のバックアップより時間がかかる • システム状態のバックアップ処理は結構時間がかかる • 数瞬で終わると言うことはないので、キチンと時間計測はしておこう • 意外と100%近くになって進まないとかあるけれど、大丈夫、キチンとバックアップ処理は継続している。 • 整合性はWindows Server Backupの場合、自動的にVSSが使用される • VSS(Volume Shadowcopy Service)は、一種のソフトウェアスナップショット技術 • バックアップ取得前に一度データを固定化し、論理的な静止ポイントを確保するために用いられる • バックアップ開始時点のデータとして保存される。処理中に更新されたデータはバックアップデータには反映されていない。