Upgrade to Pro — share decks privately, control downloads, hide ads and more …

20210615a-Active Directoryバックアップ・リストア

20210615a-Active Directoryバックアップ・リストア

ちょっと知識体系古いかもしれないし、完璧に網羅できてるわけではないんだけど、概要レベルで何かしら理解が進めばなぁと思って作ったもの。

F507086e15832a4344df6b10cdc5b179?s=128

localYouser

June 15, 2021
Tweet

Transcript

  1. BLUECORE.NET

  2. BLUECORE.NET Active Directoryのバックアップ • イメージでも取得できるし、論理単位でも取得できる • イメージ取得なら基本的にはActive Directoryデータ取得に対応した製品 (Azure Backupは対応。その他メジャーどころのものはだいたい対応しているよ

    うに思う。要確認) • 論理単位で取得するならWindows Serverバックアップが確実 • 必要なバックアップ要素は以下の通り
  3. BLUECORE.NET Tombstone期間に注意 • Active Directoryのバックアップデータ有効期間には限りがある • これをTombstone期間(デフォルト180日)と呼ぶ • これを超過した古いデータからの復元は不可能 •

    期限切れデータを既存Active Directoryが認識できずにデータ不整合が発生する • メタデータバックアップをするなら、Tombstone期間を超えないようにバック アップを定期的に行う必要があると考えて良い。
  4. BLUECORE.NET 権限なし復旧(non-Authoritative Restore) • ドメインコントローラが 「障害から復旧したばかり」であることを宣言する復旧方式 • 復旧したドメインコントローラのデータは「古いデータ」と宣言する • 残りのドメインコントローラからデータ同期を受ける事を前提にしている

    • 復旧後、復旧したドメインコントローラは既存ドメインコントローラからのレプリ ケーションを受けて、初めてドメインコントローラとして活動可能になる 復旧中 権限なし復旧済み 既存ドメインコントローラ 復旧中ドメインコントローラ
  5. BLUECORE.NET その他、権限なし復旧で発生すること • 自身が持ち合わせているRIDプールは初期化される • 自身がもっているRIDプールは「使ってはいけないもの」と認識され消える • 改めてRIDマスターに対して払い出し要求を行い、再整備することになる • SYSVOLフォルダは同期待ち(受信専用)となる

    • DFS-Rの特性上、State=2(初期同期待ち)となっている • そのまま放置するといつまで待っても持ってるデータはレプリケートしない • そのまま放置するといつまで待ってもSYSVOL共有は有効にならない
  6. BLUECORE.NET 権限なし復旧の手順 • OS復旧を行う • 起動時にF8キーを押下し「Active Directory復旧モード」で起動する • Windows Server

    バックアップなどから、事前にバックアップした以下の データを復元する • システム状態 • SYSVOLフォルダ • 復旧完了したら再起動する • 自動的に起動後「自分は復旧したドメインコントローラだ」と宣言して他方 のドメインコントローラからのデータ同期を受ける • 同期が完了したら復旧完了
  7. BLUECORE.NET 権限あり復旧(Authoritative Restore) • ドメインコントローラが 「復旧したデータこそ最新」であることを宣言する復旧方式 • 誤削除したデータを復帰させるために使用することが多い • だが、現在はActive

    Directoryゴミ箱の存在により、利用頻度は低下傾向にある • 昔は全体にAuthoritative Restoreを実行できるコマンドが存在したが、現在はディレ クトリパーティション単位で明示的に復旧箇所を指定する必要がある。 権限あり復旧実行 復旧中ドメインコントローラ 既存ドメインコントローラ 間違って消されたオブジェクト
  8. BLUECORE.NET 権限あり復旧時のコマンド • ntdsutilを起動する • 以下の通りコマンドを実行する

  9. BLUECORE.NET DN(Distinguish Name) と言う表記法 • 表記例

  10. BLUECORE.NET プライマリリストア • ドメインコントローラ全滅時の対応手順 • 本当はこうならないような可用性設計が必要と考えておいた方が良い • 非常にめんどくさい • 以下のような復旧順序を辿る

    • FSMOを権限あり復旧でリストアする • 最初に復旧するノードはFSMOにしとくと楽 • 権限なし復旧では、復旧後に対象ドメインコントローラが受け身に徹してしまい、データ同 期が行えなくなる。自身が「配るべきデータをもってる」と認識させることが必要 • それ以外のノードを権限なし復旧でリストアする • 既にFSMOを復旧したことで、配信する元は定まってるので、後は全体的に権限なし復 旧をすれば、FSMOからデータが配信され、ドメインコントローラは復旧されていく
  11. BLUECORE.NET プライマリリストアの手順(うろ覚えなのは許して) • 最初に復旧するドメインコントローラに対して、以下操作を実施 • 基本的には最初に復旧すべきはFSMOノードである点に注意 • ディレクトリサービス復旧モードで起動 • 取得したバックアップを用いてまずはシステム状態・SYSVOLをリストア

    • そのまま、全ディレクトリパーティションに対して「権限あり復旧」をする • サーバを再起動 • Active Directoryとして正常に動作するか確認を行う • グループポリシーオブジェクトを任意のフォルダへリストアし、これをSYSVOL へかぶせる(これはもしかしたら不要かもしれない) • その他のドメインコントローラに対して権限なし復旧を行う • 復旧したドメインコントローラが最初に復旧したドメインコントローラからの データ同期が行われていることを確認する
  12. BLUECORE.NET ディレクトリパーティション • ディレクトリパーティションは以下表のとおり存在し、これ単位でリスト アをする必要がある。

  13. BLUECORE.NET メタデータバックアップ先を考える • バックアップ先はストレージを分けよう • 物理環境で内蔵ディスクを使用するなら、RAIDグループは分けよう • 仮想環境を使用するならストレージは筐体単位で分けよう • 共有フォルダとかで異なるストレージに保存できるならそれが良いかも

    • 非Authoritative Restore相当の操作が自動化されるなら、VMバックアップ等サーバ全体丸っとバック アップでも良いと思う • 製品によって左右される。どのような形でドメインコントローラ復旧に対応しているのか、そのメカニズムは理解しておいた方 が良い • 特殊な手順が存在するかどうかなど、確認が必要なところは数多く存在する • 論理バックアップは通常のバックアップより時間がかかる • システム状態のバックアップ処理は結構時間がかかる • 数瞬で終わると言うことはないので、キチンと時間計測はしておこう • 意外と100%近くになって進まないとかあるけれど、大丈夫、キチンとバックアップ処理は継続している。 • 整合性はWindows Server Backupの場合、自動的にVSSが使用される • VSS(Volume Shadowcopy Service)は、一種のソフトウェアスナップショット技術 • バックアップ取得前に一度データを固定化し、論理的な静止ポイントを確保するために用いられる • バックアップ開始時点のデータとして保存される。処理中に更新されたデータはバックアップデータには反映されていない。