Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
20210615a-Active Directoryバックアップ・リストア
Search
YuYu
June 15, 2021
Technology
0
1.9k
20210615a-Active Directoryバックアップ・リストア
ちょっと知識体系古いかもしれないし、完璧に網羅できてるわけではないんだけど、概要レベルで何かしら理解が進めばなぁと思って作ったもの。
YuYu
June 15, 2021
Tweet
Share
More Decks by YuYu
See All by YuYu
私の仕事はこんな仕事
localyouser
0
280
Azure Sentinelに触れてみた
localyouser
0
350
LogAnalyticsによるブログアクセスの見える化
localyouser
0
620
Azure Filesとオンプレミスファイルサーバを連携させる
localyouser
0
1.3k
RHEL High Availability Add-On からLVMとの連携を確認する
localyouser
0
610
Azureリソース構成例:とにかくお安く2021
localyouser
0
210
Horizon Instant Cloneを少しばかり試す
localyouser
0
1.3k
ADFSによるSSO動作の詳細一例
localyouser
0
85
MGについて、健康ネタとしてまとめてみたよ。
localyouser
0
110
Other Decks in Technology
See All in Technology
Navigation3でViewModelにデータを渡す方法
mikanichinose
0
220
~宇宙最速~2025年AWS Summit レポート
satodesu
1
1.9k
Agentic Workflowという選択肢を考える
tkikuchi1002
1
530
「良さそう」と「とても良い」の間には 「良さそうだがホンマか」がたくさんある / 2025.07.01 LLM品質Night
smiyawaki0820
1
210
あなたの声を届けよう! 女性エンジニア登壇の意義とアウトプット実践ガイド #wttjp / Call for Your Voice
kondoyuko
4
470
AIエージェント最前線! Amazon Bedrock、Amazon Q、そしてMCPを使いこなそう
minorun365
PRO
15
5.3k
2年でここまで成長!AWSで育てたAI Slack botの軌跡
iwamot
PRO
4
740
プロダクトエンジニアリング組織への歩み、その現在地 / Our journey to becoming a product engineering organization
hiro_torii
0
130
Oracle Audit Vault and Database Firewall 20 概要
oracle4engineer
PRO
3
1.7k
Yamla: Rustでつくるリアルタイム性を追求した機械学習基盤 / Yamla: A Rust-Based Machine Learning Platform Pursuing Real-Time Capabilities
lycorptech_jp
PRO
3
120
Node-RED × MCP 勉強会 vol.1
1ftseabass
PRO
0
150
フィンテック養成勉強会#54
finengine
0
180
Featured
See All Featured
Put a Button on it: Removing Barriers to Going Fast.
kastner
60
3.9k
A Modern Web Designer's Workflow
chriscoyier
694
190k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
34
5.9k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
281
13k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
45
7.5k
Art, The Web, and Tiny UX
lynnandtonic
299
21k
Adopting Sorbet at Scale
ufuk
77
9.4k
Build The Right Thing And Hit Your Dates
maggiecrowley
36
2.8k
Designing Experiences People Love
moore
142
24k
Speed Design
sergeychernyshev
32
1k
Six Lessons from altMBA
skipperchong
28
3.9k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
35
2.4k
Transcript
BLUECORE.NET
BLUECORE.NET Active Directoryのバックアップ • イメージでも取得できるし、論理単位でも取得できる • イメージ取得なら基本的にはActive Directoryデータ取得に対応した製品 (Azure Backupは対応。その他メジャーどころのものはだいたい対応しているよ
うに思う。要確認) • 論理単位で取得するならWindows Serverバックアップが確実 • 必要なバックアップ要素は以下の通り
BLUECORE.NET Tombstone期間に注意 • Active Directoryのバックアップデータ有効期間には限りがある • これをTombstone期間(デフォルト180日)と呼ぶ • これを超過した古いデータからの復元は不可能 •
期限切れデータを既存Active Directoryが認識できずにデータ不整合が発生する • メタデータバックアップをするなら、Tombstone期間を超えないようにバック アップを定期的に行う必要があると考えて良い。
BLUECORE.NET 権限なし復旧(non-Authoritative Restore) • ドメインコントローラが 「障害から復旧したばかり」であることを宣言する復旧方式 • 復旧したドメインコントローラのデータは「古いデータ」と宣言する • 残りのドメインコントローラからデータ同期を受ける事を前提にしている
• 復旧後、復旧したドメインコントローラは既存ドメインコントローラからのレプリ ケーションを受けて、初めてドメインコントローラとして活動可能になる 復旧中 権限なし復旧済み 既存ドメインコントローラ 復旧中ドメインコントローラ
BLUECORE.NET その他、権限なし復旧で発生すること • 自身が持ち合わせているRIDプールは初期化される • 自身がもっているRIDプールは「使ってはいけないもの」と認識され消える • 改めてRIDマスターに対して払い出し要求を行い、再整備することになる • SYSVOLフォルダは同期待ち(受信専用)となる
• DFS-Rの特性上、State=2(初期同期待ち)となっている • そのまま放置するといつまで待っても持ってるデータはレプリケートしない • そのまま放置するといつまで待ってもSYSVOL共有は有効にならない
BLUECORE.NET 権限なし復旧の手順 • OS復旧を行う • 起動時にF8キーを押下し「Active Directory復旧モード」で起動する • Windows Server
バックアップなどから、事前にバックアップした以下の データを復元する • システム状態 • SYSVOLフォルダ • 復旧完了したら再起動する • 自動的に起動後「自分は復旧したドメインコントローラだ」と宣言して他方 のドメインコントローラからのデータ同期を受ける • 同期が完了したら復旧完了
BLUECORE.NET 権限あり復旧(Authoritative Restore) • ドメインコントローラが 「復旧したデータこそ最新」であることを宣言する復旧方式 • 誤削除したデータを復帰させるために使用することが多い • だが、現在はActive
Directoryゴミ箱の存在により、利用頻度は低下傾向にある • 昔は全体にAuthoritative Restoreを実行できるコマンドが存在したが、現在はディレ クトリパーティション単位で明示的に復旧箇所を指定する必要がある。 権限あり復旧実行 復旧中ドメインコントローラ 既存ドメインコントローラ 間違って消されたオブジェクト
BLUECORE.NET 権限あり復旧時のコマンド • ntdsutilを起動する • 以下の通りコマンドを実行する
BLUECORE.NET DN(Distinguish Name) と言う表記法 • 表記例
BLUECORE.NET プライマリリストア • ドメインコントローラ全滅時の対応手順 • 本当はこうならないような可用性設計が必要と考えておいた方が良い • 非常にめんどくさい • 以下のような復旧順序を辿る
• FSMOを権限あり復旧でリストアする • 最初に復旧するノードはFSMOにしとくと楽 • 権限なし復旧では、復旧後に対象ドメインコントローラが受け身に徹してしまい、データ同 期が行えなくなる。自身が「配るべきデータをもってる」と認識させることが必要 • それ以外のノードを権限なし復旧でリストアする • 既にFSMOを復旧したことで、配信する元は定まってるので、後は全体的に権限なし復 旧をすれば、FSMOからデータが配信され、ドメインコントローラは復旧されていく
BLUECORE.NET プライマリリストアの手順(うろ覚えなのは許して) • 最初に復旧するドメインコントローラに対して、以下操作を実施 • 基本的には最初に復旧すべきはFSMOノードである点に注意 • ディレクトリサービス復旧モードで起動 • 取得したバックアップを用いてまずはシステム状態・SYSVOLをリストア
• そのまま、全ディレクトリパーティションに対して「権限あり復旧」をする • サーバを再起動 • Active Directoryとして正常に動作するか確認を行う • グループポリシーオブジェクトを任意のフォルダへリストアし、これをSYSVOL へかぶせる(これはもしかしたら不要かもしれない) • その他のドメインコントローラに対して権限なし復旧を行う • 復旧したドメインコントローラが最初に復旧したドメインコントローラからの データ同期が行われていることを確認する
BLUECORE.NET ディレクトリパーティション • ディレクトリパーティションは以下表のとおり存在し、これ単位でリスト アをする必要がある。
BLUECORE.NET メタデータバックアップ先を考える • バックアップ先はストレージを分けよう • 物理環境で内蔵ディスクを使用するなら、RAIDグループは分けよう • 仮想環境を使用するならストレージは筐体単位で分けよう • 共有フォルダとかで異なるストレージに保存できるならそれが良いかも
• 非Authoritative Restore相当の操作が自動化されるなら、VMバックアップ等サーバ全体丸っとバック アップでも良いと思う • 製品によって左右される。どのような形でドメインコントローラ復旧に対応しているのか、そのメカニズムは理解しておいた方 が良い • 特殊な手順が存在するかどうかなど、確認が必要なところは数多く存在する • 論理バックアップは通常のバックアップより時間がかかる • システム状態のバックアップ処理は結構時間がかかる • 数瞬で終わると言うことはないので、キチンと時間計測はしておこう • 意外と100%近くになって進まないとかあるけれど、大丈夫、キチンとバックアップ処理は継続している。 • 整合性はWindows Server Backupの場合、自動的にVSSが使用される • VSS(Volume Shadowcopy Service)は、一種のソフトウェアスナップショット技術 • バックアップ取得前に一度データを固定化し、論理的な静止ポイントを確保するために用いられる • バックアップ開始時点のデータとして保存される。処理中に更新されたデータはバックアップデータには反映されていない。