Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
20210615a-Active Directoryバックアップ・リストア
Search
YuYu
June 15, 2021
Technology
0
1.9k
20210615a-Active Directoryバックアップ・リストア
ちょっと知識体系古いかもしれないし、完璧に網羅できてるわけではないんだけど、概要レベルで何かしら理解が進めばなぁと思って作ったもの。
YuYu
June 15, 2021
Tweet
Share
More Decks by YuYu
See All by YuYu
私の仕事はこんな仕事
localyouser
0
270
Azure Sentinelに触れてみた
localyouser
0
350
LogAnalyticsによるブログアクセスの見える化
localyouser
0
610
Azure Filesとオンプレミスファイルサーバを連携させる
localyouser
0
1.3k
RHEL High Availability Add-On からLVMとの連携を確認する
localyouser
0
600
Azureリソース構成例:とにかくお安く2021
localyouser
0
210
Horizon Instant Cloneを少しばかり試す
localyouser
0
1.3k
ADFSによるSSO動作の詳細一例
localyouser
0
85
MGについて、健康ネタとしてまとめてみたよ。
localyouser
0
110
Other Decks in Technology
See All in Technology
Grafana MCP serverでなんかし隊 / Try Grafana MCP server
kohbis
0
280
Bill One 開発エンジニア 紹介資料
sansan33
PRO
4
12k
うちの会社の評判は?SNSの投稿分析にAIを使ってみた
doumae
0
630
ゆるSRE #11 LT
okaru
1
480
Whats_new_in_Podman_and_CRI-O_2025-06
orimanabu
3
150
ソフトウェア開発現代史: "LeanとDevOpsの科学"の「科学」とは何か? - DORA Report 10年の変遷を追って - #開発生産性_findy
takabow
1
310
AIエージェントのフレームワークを見るときの個人的注目ポイント
os1ma
1
430
Java で学ぶ 代数的データ型
ysknsid25
3
1.2k
Text-to-SQLの評価データセットを作って最新LLMモデルの性能評価をしてみた
gotalab555
3
690
データ戦略部門 紹介資料
sansan33
PRO
1
3.2k
Tenstorrent 開発者プログラム
tenstorrent_japan
0
240
Kafka vs. Pulsar: Performance Evaluation by Petabyte-Scale Streaming Platform Providers
lycorptech_jp
PRO
1
330
Featured
See All Featured
GitHub's CSS Performance
jonrohan
1031
460k
Adopting Sorbet at Scale
ufuk
77
9.4k
Designing for humans not robots
tammielis
253
25k
Building an army of robots
kneath
306
45k
The MySQL Ecosystem @ GitHub 2015
samlambert
251
13k
Statistics for Hackers
jakevdp
799
220k
What’s in a name? Adding method to the madness
productmarketing
PRO
22
3.5k
Visualization
eitanlees
146
16k
We Have a Design System, Now What?
morganepeng
52
7.6k
Building Flexible Design Systems
yeseniaperezcruz
328
39k
Optimising Largest Contentful Paint
csswizardry
37
3.3k
Stop Working from a Prison Cell
hatefulcrawdad
269
20k
Transcript
BLUECORE.NET
BLUECORE.NET Active Directoryのバックアップ • イメージでも取得できるし、論理単位でも取得できる • イメージ取得なら基本的にはActive Directoryデータ取得に対応した製品 (Azure Backupは対応。その他メジャーどころのものはだいたい対応しているよ
うに思う。要確認) • 論理単位で取得するならWindows Serverバックアップが確実 • 必要なバックアップ要素は以下の通り
BLUECORE.NET Tombstone期間に注意 • Active Directoryのバックアップデータ有効期間には限りがある • これをTombstone期間(デフォルト180日)と呼ぶ • これを超過した古いデータからの復元は不可能 •
期限切れデータを既存Active Directoryが認識できずにデータ不整合が発生する • メタデータバックアップをするなら、Tombstone期間を超えないようにバック アップを定期的に行う必要があると考えて良い。
BLUECORE.NET 権限なし復旧(non-Authoritative Restore) • ドメインコントローラが 「障害から復旧したばかり」であることを宣言する復旧方式 • 復旧したドメインコントローラのデータは「古いデータ」と宣言する • 残りのドメインコントローラからデータ同期を受ける事を前提にしている
• 復旧後、復旧したドメインコントローラは既存ドメインコントローラからのレプリ ケーションを受けて、初めてドメインコントローラとして活動可能になる 復旧中 権限なし復旧済み 既存ドメインコントローラ 復旧中ドメインコントローラ
BLUECORE.NET その他、権限なし復旧で発生すること • 自身が持ち合わせているRIDプールは初期化される • 自身がもっているRIDプールは「使ってはいけないもの」と認識され消える • 改めてRIDマスターに対して払い出し要求を行い、再整備することになる • SYSVOLフォルダは同期待ち(受信専用)となる
• DFS-Rの特性上、State=2(初期同期待ち)となっている • そのまま放置するといつまで待っても持ってるデータはレプリケートしない • そのまま放置するといつまで待ってもSYSVOL共有は有効にならない
BLUECORE.NET 権限なし復旧の手順 • OS復旧を行う • 起動時にF8キーを押下し「Active Directory復旧モード」で起動する • Windows Server
バックアップなどから、事前にバックアップした以下の データを復元する • システム状態 • SYSVOLフォルダ • 復旧完了したら再起動する • 自動的に起動後「自分は復旧したドメインコントローラだ」と宣言して他方 のドメインコントローラからのデータ同期を受ける • 同期が完了したら復旧完了
BLUECORE.NET 権限あり復旧(Authoritative Restore) • ドメインコントローラが 「復旧したデータこそ最新」であることを宣言する復旧方式 • 誤削除したデータを復帰させるために使用することが多い • だが、現在はActive
Directoryゴミ箱の存在により、利用頻度は低下傾向にある • 昔は全体にAuthoritative Restoreを実行できるコマンドが存在したが、現在はディレ クトリパーティション単位で明示的に復旧箇所を指定する必要がある。 権限あり復旧実行 復旧中ドメインコントローラ 既存ドメインコントローラ 間違って消されたオブジェクト
BLUECORE.NET 権限あり復旧時のコマンド • ntdsutilを起動する • 以下の通りコマンドを実行する
BLUECORE.NET DN(Distinguish Name) と言う表記法 • 表記例
BLUECORE.NET プライマリリストア • ドメインコントローラ全滅時の対応手順 • 本当はこうならないような可用性設計が必要と考えておいた方が良い • 非常にめんどくさい • 以下のような復旧順序を辿る
• FSMOを権限あり復旧でリストアする • 最初に復旧するノードはFSMOにしとくと楽 • 権限なし復旧では、復旧後に対象ドメインコントローラが受け身に徹してしまい、データ同 期が行えなくなる。自身が「配るべきデータをもってる」と認識させることが必要 • それ以外のノードを権限なし復旧でリストアする • 既にFSMOを復旧したことで、配信する元は定まってるので、後は全体的に権限なし復 旧をすれば、FSMOからデータが配信され、ドメインコントローラは復旧されていく
BLUECORE.NET プライマリリストアの手順(うろ覚えなのは許して) • 最初に復旧するドメインコントローラに対して、以下操作を実施 • 基本的には最初に復旧すべきはFSMOノードである点に注意 • ディレクトリサービス復旧モードで起動 • 取得したバックアップを用いてまずはシステム状態・SYSVOLをリストア
• そのまま、全ディレクトリパーティションに対して「権限あり復旧」をする • サーバを再起動 • Active Directoryとして正常に動作するか確認を行う • グループポリシーオブジェクトを任意のフォルダへリストアし、これをSYSVOL へかぶせる(これはもしかしたら不要かもしれない) • その他のドメインコントローラに対して権限なし復旧を行う • 復旧したドメインコントローラが最初に復旧したドメインコントローラからの データ同期が行われていることを確認する
BLUECORE.NET ディレクトリパーティション • ディレクトリパーティションは以下表のとおり存在し、これ単位でリスト アをする必要がある。
BLUECORE.NET メタデータバックアップ先を考える • バックアップ先はストレージを分けよう • 物理環境で内蔵ディスクを使用するなら、RAIDグループは分けよう • 仮想環境を使用するならストレージは筐体単位で分けよう • 共有フォルダとかで異なるストレージに保存できるならそれが良いかも
• 非Authoritative Restore相当の操作が自動化されるなら、VMバックアップ等サーバ全体丸っとバック アップでも良いと思う • 製品によって左右される。どのような形でドメインコントローラ復旧に対応しているのか、そのメカニズムは理解しておいた方 が良い • 特殊な手順が存在するかどうかなど、確認が必要なところは数多く存在する • 論理バックアップは通常のバックアップより時間がかかる • システム状態のバックアップ処理は結構時間がかかる • 数瞬で終わると言うことはないので、キチンと時間計測はしておこう • 意外と100%近くになって進まないとかあるけれど、大丈夫、キチンとバックアップ処理は継続している。 • 整合性はWindows Server Backupの場合、自動的にVSSが使用される • VSS(Volume Shadowcopy Service)は、一種のソフトウェアスナップショット技術 • バックアップ取得前に一度データを固定化し、論理的な静止ポイントを確保するために用いられる • バックアップ開始時点のデータとして保存される。処理中に更新されたデータはバックアップデータには反映されていない。