locked
Windows 2003 Server のアカウント情報のバックアップ・リストアはできますか? RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票
    現在、Windows 2003 Serverの再インストールを検討しています。その理由は、次々と不思議な現象(それまでは問題なかったのに、ある日突然その現象が発生するなど)が発生するようになり、これ以上の処置は徒労に終わるとの判断からです。

    ASRによる復旧も、今にして思えば最初からいろいろと変だったので(当初はそういう仕様なんだろうなぁ、と思っていました)、あまり効果が期待できません。

    ここで悩んでいるのが、現在のアカウント情報のバックアップ・リストアをどう行えばよいのか分からないという点です。(サーバーは唯一のドメインコントローラーです。BDCはありません。)

    これが復元できないと、各人のユーザプロファイルやホームディレクトリにアクセスできなくなりますので。(クライアントのドメインへの再参加や、サーバー・クライアントアプリは手作業で入れ直しするとして)。

    ご存知の方いらっしゃいましたら、ご回答よろしくお願いいたします。
    2009年6月19日 2:40

回答

  • Question
    サインインして投票
    0
    サインインして投票
    チャブーンです。

    たとえば Linux のアカウント情報は、/etc/passwd や /etc/group に保存されていますね。Windows の場合 C:\WINDOWS\SYSTEM32\CONFIG\SAM ファイルや C:\WINDOWS\NTDS\ntds.dit ファイル(Active Directory のみ)がそれにあたります。ですが、Windows ではこのファイルだけを取り出してコピー、ということはできません (Windows が常時開いているため)。任意のコンピュータにファイルのコピーを行うには ntbackup で "システム状態" をバックアップして、これからリストアするより方法はありません。この方法自体、MS ではサポートしていませんが、どうしても、という場合、こういう方法自体はあります。

    素人管理者さん のイメージとして、アカウント名とパスワードを可読性のある情報としてエクスポートしたい、というのがあるのでしょうが、Windows でこれは不可能です。Windows のパスワードについては、ローカルユーザでも Active Directory でもセキュリティ上の要件から、「パスワード自体をエクスポートする」ことはできないように実装されているのです。

    ただし Active Directory ということなので、唯一の例外となる ADMT を使って移行を行う方法はあります。この場合、移行先の別ドメインに対して、移行元の現在のドメインのアカウントとパスワードの情報を、移行することができます。当座ドメイン名が違ってしまう、という問題はありますが、移行が完了したあと、ドメイン名を変更することができますので、ご要望に添った内容ではあると思います。
    • 回答としてマーク 三沢健二 2009年7月14日 5:24
    2009年7月2日 4:42

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    素人管理者 さん、こんにちは。フォーラムオペレーターの鈴木裕子です(^O^)/

    ご質問としては、ADの情報のバックアップと復元の方法知りたいということになりますか?
    その場合は、このあたりの技術情報が参考にならないでしょうか。。。

    ドメイン コントローラ http://technet.microsoft.com/ja-jp/library/cc759623(WS.10).aspx
    ※「ドメイン コントローラのバックアップを作成する」という項があります。

    あと↓このあたりも参考になるかもしれません。

    Active Directory のシステム状態のバックアップの有効期間について http://support.microsoft.com/kb/216993/
    既定廃棄の有効期間 (TSL) の値を Windows Server 2003 R2 で 180 日間に増やすことではなく 60 日間に保持します。 http://support.microsoft.com/kb/924890/

    実際に試したわけではないので、理解が違っていたり、上記のような情報は既に確認の上でのご質問だった場合はごめんなさい!
    その場合は、遠慮なくその旨ご指摘くださいね。
    ご参考となれば幸いです。

    マイクロソフト株式会社 フォーラムオペレーター 鈴木裕子
    2009年6月24日 4:53
  • Question
    サインインして投票
    0
    サインインして投票
    鈴木様

    ご丁寧な解説ありがとうございます。

    ただ、今回の様々な不具合の中で、最も影響が大きいのがActiveDirectoryです。従いまして、ActiveDirectoryの状態を戻すのは元の木阿弥になってしまいます。(自分のイメージとしては、例えば他のOSで恐縮ですが、/etc/passwd と  /etc/group をバックアップ・リストアしたい、という事でした。)

    ご紹介いただきましたサイトは、今後の参考として勉強させていただきます。
    まずはお礼まで。







    2009年6月30日 9:26
  • Question
    サインインして投票
    0
    サインインして投票
    チャブーンです。

    たとえば Linux のアカウント情報は、/etc/passwd や /etc/group に保存されていますね。Windows の場合 C:\WINDOWS\SYSTEM32\CONFIG\SAM ファイルや C:\WINDOWS\NTDS\ntds.dit ファイル(Active Directory のみ)がそれにあたります。ですが、Windows ではこのファイルだけを取り出してコピー、ということはできません (Windows が常時開いているため)。任意のコンピュータにファイルのコピーを行うには ntbackup で "システム状態" をバックアップして、これからリストアするより方法はありません。この方法自体、MS ではサポートしていませんが、どうしても、という場合、こういう方法自体はあります。

    素人管理者さん のイメージとして、アカウント名とパスワードを可読性のある情報としてエクスポートしたい、というのがあるのでしょうが、Windows でこれは不可能です。Windows のパスワードについては、ローカルユーザでも Active Directory でもセキュリティ上の要件から、「パスワード自体をエクスポートする」ことはできないように実装されているのです。

    ただし Active Directory ということなので、唯一の例外となる ADMT を使って移行を行う方法はあります。この場合、移行先の別ドメインに対して、移行元の現在のドメインのアカウントとパスワードの情報を、移行することができます。当座ドメイン名が違ってしまう、という問題はありますが、移行が完了したあと、ドメイン名を変更することができますので、ご要望に添った内容ではあると思います。
    • 回答としてマーク 三沢健二 2009年7月14日 5:24
    2009年7月2日 4:42
  • Question
    サインインして投票
    0
    サインインして投票

    こんにちは、フォーラムオペレーターの三沢健二です。

     

    チャブーン さん、回答ありがとうございました!

     

    素人管理者 さん、その後いかがでしょうか?

    投稿から少し時間が経ってしまったので、すでに問題は解消されているかもしれませんが、アカウント情報についてと代替策(ADMT) について、チャブーンさんの情報が大変参考になるのではと思いましたので、勝手ながら私の方で [回答としてマーク] を付けさせていただきました。

    もちろん、不適当と思われた場合は、遠慮なくチェックを解除して下さいね。

     

     

    多分、素人管理者 さんのイメージとしては、ドメイン自体を再構築して、新しく構築したドメインに以前と同じユーザー名・パスワードのアカウントを作成(インポート)されるような感じだと思うのですが、仮にそれが出来たとしても、SID の問題で、以前使用していたユーザプロファイルやホームディレクトリなどにアクセスが出来なくなる可能性があります。

     

    SID については こちらの 「オブジェクトを識別するSIDとは?」 など参考にしてください。

     

     

    なので、もしドメイン自体を再構築されるのであれば、チャブーン さんのコメントにもありましたように、アカウント情報の バックアップ/リストア(エクスポート/インポート)ではなく、ADMT でのアカウントの移行を行う方法などを検討されてみてはいかがかなと思います。。

    SID の問題については、SIDHISTORY で解決します)

     

    ADMT SIDHISTORY については、こちらの 「SID変換機能とコンピュータアカウントの移行」 など参考にして下さい。

     

     

    このように、素人管理者 さんがどのように問題を解消されたいかによって、色々と方法が変わってくると思いますので、もし目的に合う内容でなかった場合などは、引き続き質問をご投稿くださいね。

     

     

    それでは、こちらの情報がお役に立てることを願っています。(^_^)/

     

    ______________________________________

    マイクロソフト株式会社 フォーラム オペレーター 三沢健二

     

    2009年7月14日 5:30