none
複数のDCを全てリストアする際の方法について RRS feed

  • 質問

  • お世話になっております。
    複数のDCを全てリストアする際の方法について確認させてください。

    現在の環境は以下の通りです。

    OS:Windows Server 2003 R2 (SP2)
    ドメインコントローラ1 : DC_1(fsmo,gc)
    ドメインコントローラ2 : DC_2(gc)


    上記のサーバ2台のバックアップ(フルバックアップおよびSystemstate)をリストア実施の
    二ヶ月弱前(60日以内)に行い、下記の手順でリストアを行いました。

    1.DC_1をアクティブディレクトリ復旧モードで再起動、バックアップをリストア
    2.DC_2をアクティブディレクトリ復旧モードで再起動、バックアップをリストア
    3.DC_1を通常モードで再起動
    4.DC_2を通常モードで再起動


    以上の操作を行ったところ、ActiveDirectoryの同期が出来ませんでした。
    (詳細を調査して下記2点の対策を行い、現在では問題は収束しています)
    *ドメイン コントローラ間で手動でデータを複製した場合のエラー(http://support.microsoft.com/kb/288167/ja)
    *資格情報のリセット(http://support.microsoft.com/kb/305837/ja)


    バックアップ及びリストアの手順は間違っていないと思っているのですが、
    今回の事象が発生した理由にお心当たりのある方はいらっしゃいませんでしょうか?

    以上、宜しくお願いします。


    2007年12月26日 6:37

回答

  • 御世話になっております。

     

    >[セキュリティを復元する]
    >にチェックを入れる形でよろしいのでしょうか?

     

    技術文書の手順例を見ますと、チェックオンになっていましたので、

    付けて良いと思います。

     

    全体を踏まえた手順をまとめてみました。

    評価環境を作って試したところ、エラーもなく、レプリケーションも正常に

    動作していました。

     

    ------------------------------------------------------------

    ○ 手順

    ------------------------------------------------------------

     

    1.DC-1 ディレクトリ復元モードで起動
    2.DC-2 ディレクトリ復元モードで起動
    3.DC-1 権限のある復元(Authoritative Restore)
      ・[詳細な復元オプション] ウィンドウで、

      [セキュリティを復元する]

      [接続点の以下のファイルやフォルダのデータを元の場所に復元する]

      [結合ポイント配下にあるファイルおよびフォルダのデータを元の場所に復元する]

      [既存のボリュームのマウント ポイントを保持する]

      [複製されたデータ セットを復元するとき、復元されたデータの複製物をプライマリ データとしてマークする]

      の各チェックボックスをオンにします。

      ・復元処理が完了時の再起動要求には拒否し、次のコマンドを実行する必要があります。
      ・コマンド プロンプトを開き、「ntdsutil」と入力して Enter キーを押します。
       ・次のプロンプトで、「authoritative restore」と入力して Enter キーを押します。
       ・次のプロンプトで、「restore database」と入力します。
       ・[Authoritative Restore の確認ダイアログ] ボックスで、[OK] をクリックします。
       ・アプリケーションを終了するまで 「Quit」と繰り返し入力します。
    4.DC-1 再起動
      ・これで DC-1 サーバーがドメインの有効な DC になり、変更情報が環境内のほかの DC に複製可能です。
    5.DC-2 権限のない復元(Non-Authoritative Restore)
    6.DC-2 再起動
    7.DC-1 ActiveDirectoryサイトとサービスで、接続オブジェクトが自動生成されていることを確認
      ・表示されている各 DC コンピュータツリーの下の NTDS Settings を右クリックし、
       レプリケーショントポロジの確認を選びます。
      ・接続オブジェクト「<自動生成>」が作成されることを確認します。

    8.手順は以上です。

     

    ------------------------------------------------------------

    ○ トライ1

    ------------------------------------------------------------

     

    ご質問にあった手順を、評価環境を作って実験してみたところ、エラーを再現

    することができました。

     

    1.DC-1 ディレクトリ復元モードで起動
    2.DC-2 ディレクトリ復元モードで起動
    3.DC-1 権限のない復元(Non-Authoritative Restore)
    4.DC-2 権限のない復元(Non-Authoritative Restore)
    5.DC-1 再起動
    6.DC-2 再起動

     

    (結果)

     

    次のイベントエラーが出ました。

     

    DC-1
     種類 イベントID ソース
     警告 13565  NtFrs
     警告 13520  NtFrs
     警告 13508  NtFrs
     警告 1925  NTDS KCC
     エラー 1126  NTDS General
     エラー 1054  Userenv
     エラー 2102  MSExchangeDSAccess
     エラー 2114  MSExchangeDSAccess
     警告 13508  NtFrs

     

    DC-2
     種類 イベントID ソース
     警告 40960  LsaSrv
     エラー 5774  Netlogon
     エラー 16551  SAM
     警告 13565  NtFrs
     警告 13520  NtFrs
     警告 13508  NtFrs
     警告 1586  NTDS Replication
     警告 53258  MSDTC
     エラー 1054  Userenv
     エラー 1006  Userenv
     エラー 1030  Userenv

     

    ------------------------------------------------------------

     

    以上の結果から、

     

    >どちらも"権限のない復元 (Non-Authoritative Restore)"を行いました。

     

    恐らくこれが原因だったと思われます。。

     

     

    2007年12月26日 18:47
  • 御世話になっております。

     

    > 1.セキュリティを復元する
    > 2.接続点を復元するが、参照しているフォルダやファイルデータは復元しない
    > 3.既存のボリュームのマウント ポイントを保持する
    > 4.(*クラスタレジストリをクォーラムディスクとそれ以外のすべてのノードに復元する)←グレーアウト、選択不可
    > 5.複製されたデータ セットを復元するとき、復元されたデータの複製物をプライマリ データとしてマークする
    > 選択可能な1.、2.、3.、5.全てにチェックを入れるという解釈で間違いないでしょうか?

     

    はい。そのご理解の通りです。。

    手順に差異がありましてすみません。この部分は技術文書に記載されていた内容をコピーしてしまい

    ました m(_._)m

     

    > また、権限のある復元(Authoritative Restore)の場合、DC-1再起動後、別の場所にコピーした
    > %systemroot%Sysvolをコピーする手順がありますが、今回の状況では必要ないのでしょうか?

     

    今回の状況(バックアップ全体から戻すような場合)では、必要ないと判断しています。

     

    技術書から私が解釈している点としまして、

     

    バックアップ全体から戻すようなケースでは、ファイルの復元先として「元の場所」を選択します。

    そして、「システム状態(Systemstate)」を復元します。

    こうすることで、「システム状態(Systemstate)」に含まれている ActiveDirectory データベース及び、

    グループポリシーオブジェクトやログイン/ログオフスクリプトの共有場所である Sysvol フォルダ

    の内容は本来あるべき場所に復元されるため、今回の場合(元の場所に上書きで復元する場合)には、

    必要がないと判断しています。

     

    ケースによっては、「システム状態(Systemstate)」を別の場所に復元することがあるかもしれません。

    技術書によれば、この場合、Active Directory データベースは復元されず、SYSVOL、起動ファイル、

    及びレジストリだけが代わりの場所に復元されるとあります。

    別の場所に復元しておいて、一部のグループポリシーオブジェクトやスクリプトだけを手動で戻したい、

    といったケースについては、個別に、別の場所にコピーした %systemroot%Sysvol をコピーする必要

    があると解釈しています。。

     

    言葉足らずな箇所が多々ございまして、もうしわけござません。。(汗;

     

    2007年12月27日 2:27

すべての返信

  • 御世話になっております。

    私もあまり詳しくないのですが、

     

    DC_1は、権限のある復元(Authoritative Restore)

    DC_2は、権限のない復元 (Non-Authoritative Restore)

    をなされているということでよろしいでしょうか?

     

    技術文書(http://www.microsoft.com/japan/technet/prodtechnol/windows2000serv/support/adrecov.mspx

    を確認してみましたが、

     

    >正常に機能しているほかの DC がドメイン内にない場合は、SYSVOL の "プライマリ" 復元を実行してください。

    >プライマリ復元では、ローカル DC 上の SYSVOL のフォルダにあるデータをロードすることで、新しい ntfrs

    >(Windows NT ファイル複製サービス) データベースが構築されます。

     

    とありますので、DC_1、DC_2 共に同じ復元方法だと大丈夫なのかな・・・と気になりましたです。。

     

    2007年12月26日 10:13
  • Kumaぽんずさん

    お世話になります。
    早速のご連絡、ありがとうございました。

    >DC_1は、権限のある復元(Authoritative Restore)
    >DC_2は、権限のない復元 (Non-Authoritative Restore)
    >をなされているということでよろしいでしょうか?

    どちらも"権限のない復元 (Non-Authoritative Restore)"を行いました。
    これが問題だったということでしょうか。

    教えていただいた、"プライマリ"復元ですが、
    http://technet2.microsoft.com/WindowsServer/ja/library/18f89932-80ee-4b50-9a1f-698cada42ccc1041.mspx?mfr=true
    ↑の内容で、

    [レプリケートされたデータ セットを復元するとき、復元されたデータのレプリカをプライマリ データとしてマークする]
    にチェックを入れれば良さそうですね。

    後は、
    [セキュリティを復元する]
    にチェックを入れる形でよろしいのでしょうか?

    重ねての質問ですが、よろしくお願いします。

    2007年12月26日 11:03
  • 御世話になっております。

     

    >[セキュリティを復元する]
    >にチェックを入れる形でよろしいのでしょうか?

     

    技術文書の手順例を見ますと、チェックオンになっていましたので、

    付けて良いと思います。

     

    全体を踏まえた手順をまとめてみました。

    評価環境を作って試したところ、エラーもなく、レプリケーションも正常に

    動作していました。

     

    ------------------------------------------------------------

    ○ 手順

    ------------------------------------------------------------

     

    1.DC-1 ディレクトリ復元モードで起動
    2.DC-2 ディレクトリ復元モードで起動
    3.DC-1 権限のある復元(Authoritative Restore)
      ・[詳細な復元オプション] ウィンドウで、

      [セキュリティを復元する]

      [接続点の以下のファイルやフォルダのデータを元の場所に復元する]

      [結合ポイント配下にあるファイルおよびフォルダのデータを元の場所に復元する]

      [既存のボリュームのマウント ポイントを保持する]

      [複製されたデータ セットを復元するとき、復元されたデータの複製物をプライマリ データとしてマークする]

      の各チェックボックスをオンにします。

      ・復元処理が完了時の再起動要求には拒否し、次のコマンドを実行する必要があります。
      ・コマンド プロンプトを開き、「ntdsutil」と入力して Enter キーを押します。
       ・次のプロンプトで、「authoritative restore」と入力して Enter キーを押します。
       ・次のプロンプトで、「restore database」と入力します。
       ・[Authoritative Restore の確認ダイアログ] ボックスで、[OK] をクリックします。
       ・アプリケーションを終了するまで 「Quit」と繰り返し入力します。
    4.DC-1 再起動
      ・これで DC-1 サーバーがドメインの有効な DC になり、変更情報が環境内のほかの DC に複製可能です。
    5.DC-2 権限のない復元(Non-Authoritative Restore)
    6.DC-2 再起動
    7.DC-1 ActiveDirectoryサイトとサービスで、接続オブジェクトが自動生成されていることを確認
      ・表示されている各 DC コンピュータツリーの下の NTDS Settings を右クリックし、
       レプリケーショントポロジの確認を選びます。
      ・接続オブジェクト「<自動生成>」が作成されることを確認します。

    8.手順は以上です。

     

    ------------------------------------------------------------

    ○ トライ1

    ------------------------------------------------------------

     

    ご質問にあった手順を、評価環境を作って実験してみたところ、エラーを再現

    することができました。

     

    1.DC-1 ディレクトリ復元モードで起動
    2.DC-2 ディレクトリ復元モードで起動
    3.DC-1 権限のない復元(Non-Authoritative Restore)
    4.DC-2 権限のない復元(Non-Authoritative Restore)
    5.DC-1 再起動
    6.DC-2 再起動

     

    (結果)

     

    次のイベントエラーが出ました。

     

    DC-1
     種類 イベントID ソース
     警告 13565  NtFrs
     警告 13520  NtFrs
     警告 13508  NtFrs
     警告 1925  NTDS KCC
     エラー 1126  NTDS General
     エラー 1054  Userenv
     エラー 2102  MSExchangeDSAccess
     エラー 2114  MSExchangeDSAccess
     警告 13508  NtFrs

     

    DC-2
     種類 イベントID ソース
     警告 40960  LsaSrv
     エラー 5774  Netlogon
     エラー 16551  SAM
     警告 13565  NtFrs
     警告 13520  NtFrs
     警告 13508  NtFrs
     警告 1586  NTDS Replication
     警告 53258  MSDTC
     エラー 1054  Userenv
     エラー 1006  Userenv
     エラー 1030  Userenv

     

    ------------------------------------------------------------

     

    以上の結果から、

     

    >どちらも"権限のない復元 (Non-Authoritative Restore)"を行いました。

     

    恐らくこれが原因だったと思われます。。

     

     

    2007年12月26日 18:47
  • Kumaぽんず様

    度々お世話になります。
    また、検証環境での評価までしていただいて、お忙しい中をありがとうございます。


    さて、教えていただいた手順の中で確認なんですが、NTBackupの
    "[詳細な復元オプション]ウィンドウ"内の選択項目において、

    *セキュリティを復元する
    *既存のボリュームのマウント ポイントを保持する
    *複製されたデータ セットを復元するとき、復元されたデータの複製物をプライマリ データとしてマークする

    は確認できますが、

    *接続点の以下のファイルやフォルダのデータを元の場所に復元する
    *結合ポイント配下にあるファイルおよびフォルダのデータを元の場所に復元する

    が見当たりません。
    (前述の通り、OSはWindows Server 2003 R2 (SP2)を使用しています)

    上記以外に、
    *接続点を復元するが、参照しているフォルダやファイルデータは復元しない
    という選択項目があって、全体としては下記の5点になっています。

    1.セキュリティを復元する
    2.接続点を復元するが、参照しているフォルダやファイルデータは復元しない
    3.既存のボリュームのマウント ポイントを保持する
    4.(*クラスタレジストリをクォーラムディスクとそれ以外のすべてのノードに復元する)←グレーアウト、選択不可
    5.複製されたデータ セットを復元するとき、復元されたデータの複製物をプライマリ データとしてマークする

    選択可能な1.、2.、3.、5.全てにチェックを入れるという解釈で間違いないでしょうか?

    また、権限のある復元(Authoritative Restore)の場合、DC-1再起動後、別の場所にコピーした
    %systemroot%Sysvolをコピーする手順がありますが、今回の状況では必要ないのでしょうか?


    以上2点、甘えっぱなしでお恥ずかしい限りですが、宜しくお願いします。


    2007年12月27日 1:35
  • 御世話になっております。

     

    > 1.セキュリティを復元する
    > 2.接続点を復元するが、参照しているフォルダやファイルデータは復元しない
    > 3.既存のボリュームのマウント ポイントを保持する
    > 4.(*クラスタレジストリをクォーラムディスクとそれ以外のすべてのノードに復元する)←グレーアウト、選択不可
    > 5.複製されたデータ セットを復元するとき、復元されたデータの複製物をプライマリ データとしてマークする
    > 選択可能な1.、2.、3.、5.全てにチェックを入れるという解釈で間違いないでしょうか?

     

    はい。そのご理解の通りです。。

    手順に差異がありましてすみません。この部分は技術文書に記載されていた内容をコピーしてしまい

    ました m(_._)m

     

    > また、権限のある復元(Authoritative Restore)の場合、DC-1再起動後、別の場所にコピーした
    > %systemroot%Sysvolをコピーする手順がありますが、今回の状況では必要ないのでしょうか?

     

    今回の状況(バックアップ全体から戻すような場合)では、必要ないと判断しています。

     

    技術書から私が解釈している点としまして、

     

    バックアップ全体から戻すようなケースでは、ファイルの復元先として「元の場所」を選択します。

    そして、「システム状態(Systemstate)」を復元します。

    こうすることで、「システム状態(Systemstate)」に含まれている ActiveDirectory データベース及び、

    グループポリシーオブジェクトやログイン/ログオフスクリプトの共有場所である Sysvol フォルダ

    の内容は本来あるべき場所に復元されるため、今回の場合(元の場所に上書きで復元する場合)には、

    必要がないと判断しています。

     

    ケースによっては、「システム状態(Systemstate)」を別の場所に復元することがあるかもしれません。

    技術書によれば、この場合、Active Directory データベースは復元されず、SYSVOL、起動ファイル、

    及びレジストリだけが代わりの場所に復元されるとあります。

    別の場所に復元しておいて、一部のグループポリシーオブジェクトやスクリプトだけを手動で戻したい、

    といったケースについては、個別に、別の場所にコピーした %systemroot%Sysvol をコピーする必要

    があると解釈しています。。

     

    言葉足らずな箇所が多々ございまして、もうしわけござません。。(汗;

     

    2007年12月27日 2:27
  • Kumaぽんず様

    ありがとうございます!

    時期が時期だけに、即検証というわけには行かないのですが、
    確認して改めて結果を報告させていただきます。

    ありがとうございました。

    P.S
    それにしても、W2K3のレストアの詳細オプションは分かりにくいですね...
    "接続点を復元するが、参照しているフォルダやファイルデータは復元しない"の解釈も、正反対の意見が
    Web上に出ていることがあります。
    2007年12月28日 2:16