Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
20210615a-Active Directoryバックアップ・リストア
Search
YuYu
June 15, 2021
Technology
0
1.5k
20210615a-Active Directoryバックアップ・リストア
ちょっと知識体系古いかもしれないし、完璧に網羅できてるわけではないんだけど、概要レベルで何かしら理解が進めばなぁと思って作ったもの。
YuYu
June 15, 2021
Tweet
Share
More Decks by YuYu
See All by YuYu
私の仕事はこんな仕事
localyouser
0
220
Azure Sentinelに触れてみた
localyouser
0
270
LogAnalyticsによるブログアクセスの見える化
localyouser
0
580
Azure Filesとオンプレミスファイルサーバを連携させる
localyouser
0
1k
RHEL High Availability Add-On からLVMとの連携を確認する
localyouser
0
560
Azureリソース構成例:とにかくお安く2021
localyouser
0
190
Horizon Instant Cloneを少しばかり試す
localyouser
0
1.2k
ADFSによるSSO動作の詳細一例
localyouser
0
74
MGについて、健康ネタとしてまとめてみたよ。
localyouser
0
76
Other Decks in Technology
See All in Technology
AIアシスタントの活用で品質の向上と開発ワークフローのスピードアップ
nagix
1
210
年間一億円削減した時系列データベースのアーキテクチャ改善~不確実性の高いプロジェクトへの挑戦~
lycorptech_jp
PRO
3
2.9k
エンジニア向け会社紹介資料
caddi_eng
14
230k
推薦システムを本番導入する上で一番優先すべきだったこと~NewsPicks記事推薦機能の改善事例を元に~
morinota
0
130
dxd2024-生成AIに振り回された3か月間の成功と失敗/dxd2024-link-and-motivation
lmi
2
260
OSSコミットしてZennの課題を解決した話
dyoshikawa1993
0
150
[I/O Extended Android 2024] What`s new in Android 2024
kyeongwan
0
220
AutomatedLabを使って内部ペンテストを勉強しよう! -やられ社内ネットワークの自動構築-
n_etupirka
1
610
コンテナ・K8s研修 - 前半 コンテナ基礎・ハンズオン【MIXI 24新卒技術研修】
mixi_engineers
PRO
0
170
Classmethod Odyssey 登壇資料
yamahiro
0
390
VPoEの視点から見た、ヘンリーがサーバーサイドKotlinを使う理由 / Why Server-side Kotlin 2024
cho0o0
1
420
テスト・設計研修【MIXI 24新卒技術研修】
mixi_engineers
PRO
0
170
Featured
See All Featured
BBQ
matthewcrist
82
9k
Building Effective Engineering Teams - LeadDev
addyosmani
47
2.2k
A designer walks into a library…
pauljervisheath
201
24k
Bash Introduction
62gerente
607
210k
Embracing the Ebb and Flow
colly
81
4.3k
Designing the Hi-DPI Web
ddemaree
276
34k
The Straight Up "How To Draw Better" Workshop
denniskardys
229
130k
How GitHub (no longer) Works
holman
305
140k
Rails Girls Zürich Keynote
gr2m
93
13k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
353
29k
Java REST API Framework Comparison - PWX 2021
mraible
PRO
20
7.2k
Why Our Code Smells
bkeepers
PRO
332
56k
Transcript
BLUECORE.NET
BLUECORE.NET Active Directoryのバックアップ • イメージでも取得できるし、論理単位でも取得できる • イメージ取得なら基本的にはActive Directoryデータ取得に対応した製品 (Azure Backupは対応。その他メジャーどころのものはだいたい対応しているよ
うに思う。要確認) • 論理単位で取得するならWindows Serverバックアップが確実 • 必要なバックアップ要素は以下の通り
BLUECORE.NET Tombstone期間に注意 • Active Directoryのバックアップデータ有効期間には限りがある • これをTombstone期間(デフォルト180日)と呼ぶ • これを超過した古いデータからの復元は不可能 •
期限切れデータを既存Active Directoryが認識できずにデータ不整合が発生する • メタデータバックアップをするなら、Tombstone期間を超えないようにバック アップを定期的に行う必要があると考えて良い。
BLUECORE.NET 権限なし復旧(non-Authoritative Restore) • ドメインコントローラが 「障害から復旧したばかり」であることを宣言する復旧方式 • 復旧したドメインコントローラのデータは「古いデータ」と宣言する • 残りのドメインコントローラからデータ同期を受ける事を前提にしている
• 復旧後、復旧したドメインコントローラは既存ドメインコントローラからのレプリ ケーションを受けて、初めてドメインコントローラとして活動可能になる 復旧中 権限なし復旧済み 既存ドメインコントローラ 復旧中ドメインコントローラ
BLUECORE.NET その他、権限なし復旧で発生すること • 自身が持ち合わせているRIDプールは初期化される • 自身がもっているRIDプールは「使ってはいけないもの」と認識され消える • 改めてRIDマスターに対して払い出し要求を行い、再整備することになる • SYSVOLフォルダは同期待ち(受信専用)となる
• DFS-Rの特性上、State=2(初期同期待ち)となっている • そのまま放置するといつまで待っても持ってるデータはレプリケートしない • そのまま放置するといつまで待ってもSYSVOL共有は有効にならない
BLUECORE.NET 権限なし復旧の手順 • OS復旧を行う • 起動時にF8キーを押下し「Active Directory復旧モード」で起動する • Windows Server
バックアップなどから、事前にバックアップした以下の データを復元する • システム状態 • SYSVOLフォルダ • 復旧完了したら再起動する • 自動的に起動後「自分は復旧したドメインコントローラだ」と宣言して他方 のドメインコントローラからのデータ同期を受ける • 同期が完了したら復旧完了
BLUECORE.NET 権限あり復旧(Authoritative Restore) • ドメインコントローラが 「復旧したデータこそ最新」であることを宣言する復旧方式 • 誤削除したデータを復帰させるために使用することが多い • だが、現在はActive
Directoryゴミ箱の存在により、利用頻度は低下傾向にある • 昔は全体にAuthoritative Restoreを実行できるコマンドが存在したが、現在はディレ クトリパーティション単位で明示的に復旧箇所を指定する必要がある。 権限あり復旧実行 復旧中ドメインコントローラ 既存ドメインコントローラ 間違って消されたオブジェクト
BLUECORE.NET 権限あり復旧時のコマンド • ntdsutilを起動する • 以下の通りコマンドを実行する
BLUECORE.NET DN(Distinguish Name) と言う表記法 • 表記例
BLUECORE.NET プライマリリストア • ドメインコントローラ全滅時の対応手順 • 本当はこうならないような可用性設計が必要と考えておいた方が良い • 非常にめんどくさい • 以下のような復旧順序を辿る
• FSMOを権限あり復旧でリストアする • 最初に復旧するノードはFSMOにしとくと楽 • 権限なし復旧では、復旧後に対象ドメインコントローラが受け身に徹してしまい、データ同 期が行えなくなる。自身が「配るべきデータをもってる」と認識させることが必要 • それ以外のノードを権限なし復旧でリストアする • 既にFSMOを復旧したことで、配信する元は定まってるので、後は全体的に権限なし復 旧をすれば、FSMOからデータが配信され、ドメインコントローラは復旧されていく
BLUECORE.NET プライマリリストアの手順(うろ覚えなのは許して) • 最初に復旧するドメインコントローラに対して、以下操作を実施 • 基本的には最初に復旧すべきはFSMOノードである点に注意 • ディレクトリサービス復旧モードで起動 • 取得したバックアップを用いてまずはシステム状態・SYSVOLをリストア
• そのまま、全ディレクトリパーティションに対して「権限あり復旧」をする • サーバを再起動 • Active Directoryとして正常に動作するか確認を行う • グループポリシーオブジェクトを任意のフォルダへリストアし、これをSYSVOL へかぶせる(これはもしかしたら不要かもしれない) • その他のドメインコントローラに対して権限なし復旧を行う • 復旧したドメインコントローラが最初に復旧したドメインコントローラからの データ同期が行われていることを確認する
BLUECORE.NET ディレクトリパーティション • ディレクトリパーティションは以下表のとおり存在し、これ単位でリスト アをする必要がある。
BLUECORE.NET メタデータバックアップ先を考える • バックアップ先はストレージを分けよう • 物理環境で内蔵ディスクを使用するなら、RAIDグループは分けよう • 仮想環境を使用するならストレージは筐体単位で分けよう • 共有フォルダとかで異なるストレージに保存できるならそれが良いかも
• 非Authoritative Restore相当の操作が自動化されるなら、VMバックアップ等サーバ全体丸っとバック アップでも良いと思う • 製品によって左右される。どのような形でドメインコントローラ復旧に対応しているのか、そのメカニズムは理解しておいた方 が良い • 特殊な手順が存在するかどうかなど、確認が必要なところは数多く存在する • 論理バックアップは通常のバックアップより時間がかかる • システム状態のバックアップ処理は結構時間がかかる • 数瞬で終わると言うことはないので、キチンと時間計測はしておこう • 意外と100%近くになって進まないとかあるけれど、大丈夫、キチンとバックアップ処理は継続している。 • 整合性はWindows Server Backupの場合、自動的にVSSが使用される • VSS(Volume Shadowcopy Service)は、一種のソフトウェアスナップショット技術 • バックアップ取得前に一度データを固定化し、論理的な静止ポイントを確保するために用いられる • バックアップ開始時点のデータとして保存される。処理中に更新されたデータはバックアップデータには反映されていない。