none
子ドメインのDCサーバに対するリストアについて RRS feed

  • 質問

  • お世話になります。以下のとおり質問をさせてください。

    現在、以下の環境となっております。

    <現在環境>
    マルチドメイン、ドメインツリー構成
    親ドメイン : Windows Server 2008 R2 SP1(ドメイン名 : corp.example.com)
    子ドメイン : Windows Server 2003 R2 SP1(ドメイン名 : sub1.corp.example.com)

    <前提>

    親ドメインのDCサーバと子ドメインのDCサーバは、どちらも、日々バックアップを取得しております。

    子ドメインにおけるDCサーバでシステム変更作業を実施し、トラブルが発生した場合には、子ドメインのDCサーバに対してのみバックアップからのリストアを実施する予定です。(バックアップデータは、セキュアチャネル更新期間内のものを使用する。)

    <質問>

    子ドメインのDCサーバのみリストアを行う場合に特別な注意事項等があれば、ご教示ください。

    以上、よろしくお願い申し上げます。
    • 編集済み moeknk 2013年12月2日 7:58 「以上」の文を追加した。
    2013年12月2日 7:58

回答

  • チャブーンです。

    「子ドメインにおけるDCサーバでシステム変更作業を実施」ということですが、どのような情報の変更作業を行うのでしょうか?

    ドメインコントローラは仕様上、「イメージファイルからのリストア(単純なデータの書き戻し)」はできません。現状のActive Directoryデータはそのままでドメインコントローラだけを復旧させる(Non-Authoritative Restore)か、Authoritative Restoreというリストア方法で、Active Directoryの一部データのみを書き戻す方法になります。

    どのような情報を変更するのかによって、うえの対応方法が変わってきますので、注意が必要になります。

    • 回答としてマーク 佐伯玲 2013年12月17日 8:16
    2013年12月3日 1:20
    モデレータ
  • 基本的な考え方は Windows 2000 から変わっていません。
    http://technet.microsoft.com/ja-jp/library/cc984972.aspx

    ntds.dit (DB) 破損であれば Non-authoritative で修復できますので、
    今回のお話が起きないようにするのが大事だと思いますが、それが必要になった前提で記載いたします。

    スキーマ パーティションや構成パーティションはフォレスト単位で複製していますので、ここを Authoritative すると、上位ドメインにも影響を及ぼします。
    しかしながら、子ドメインのドメイン パーティションだけを Authoritative するのであれば、複製範囲は子ドメイン内だけなので、上位ドメインには影響を及ぼしません。

    注意が必要なのはチャブーンさんのご指摘の通り、イメージ(イメージ バックアップ ソフト)からのリストアを行ってしまう場合です。
    この場合には RID プールを破棄しませんので SID の重複など大きな問題を及ぼしますし、上位ドメインへの影響も考えられます。

    今必要な情報ではありませんが、Windows Server 2003 の延長サポートもそろそろ終わりますので今後移行されることを考えると 、Authoritative 時は以下の KB も考慮した方が良いかもしれません。
    http://support.microsoft.com/kb/2003088

    (また、ntdsutil で version no の引き上げ数を指定していないので、古いバックアップを使用するとバージョン番号が大きく上がってしまいます。)

    http://technet.microsoft.com/ja-jp/library/cc732211(v=ws.10).aspx

    参考になれば幸いです。

    • 回答の候補に設定 佐伯玲 2013年12月10日 5:06
    • 回答としてマーク 佐伯玲 2013年12月17日 8:16
    2013年12月4日 13:08
  • チャブーンです。

    #QSEさん、フォローありがとうございます

    基本的にQSEさんのおっしゃる通りなのですが、本件では注意点があります。

    本件のリストア要件として、「子ドメインで残存ドメインコントローラが1台もない場合」のリストアになる場合ですが、Active DirectoryデータはNon-Authoritative Restoreでいいのですが、SYSVOLリストアについてはプライマリ Restoreを行う必要があります。ドメイン内のドメインコントローラが1台もない場合、SYSVOLデータは「自分自身が基準」という扱いにしなければならず、プライマリとしてマークする必要があります。この件については、したの資料の「Restore the first writeable domain controller in each of the remaining domains」の項目に書いてありますので、ご覧になってください。子ドメイン内に残存のドメインコントローラがあれば、この点は考慮する必要はありません。


    http://technet.microsoft.com/ja-jp/library/cc757662(v=ws.10).aspx
    2013年12月5日 2:07
    モデレータ

すべての返信

  • チャブーンです。

    「子ドメインにおけるDCサーバでシステム変更作業を実施」ということですが、どのような情報の変更作業を行うのでしょうか?

    ドメインコントローラは仕様上、「イメージファイルからのリストア(単純なデータの書き戻し)」はできません。現状のActive Directoryデータはそのままでドメインコントローラだけを復旧させる(Non-Authoritative Restore)か、Authoritative Restoreというリストア方法で、Active Directoryの一部データのみを書き戻す方法になります。

    どのような情報を変更するのかによって、うえの対応方法が変わってきますので、注意が必要になります。

    • 回答としてマーク 佐伯玲 2013年12月17日 8:16
    2013年12月3日 1:20
    モデレータ
  • チャブーンさま

    ご返信ありがとうございます。

    説明不足で申し訳ございませんでした。

    ---訂正ここから---

    「「システム変更」ではなく、誤操作等により、子ドメインのADデータベースを破損させてしまい、且つ、破損箇所の特定が困難であり、子ドメインのADデータベース全体をリストアしたい場合」と訂正させてください。

    ---訂正ここまで---

    この場合、子ドメインのDCサーバのみリストアを行いたいと考えていますが、問題ないかということが確認したかったです。子ドメインのDCサーバのみリストアを行うことで、親ドメインのDCサーバに何かしらの影響が及ぶことはないという認識でよろしいでしょうか。

    ---追記ここから---

    以下の方法でのリストアを想定しております。目的は、オブジェクトの復旧ではなく、AD DBの復旧です。

    ・DCサーバを「ディレクトリサービス復元モード」で起動する。

    ・システム状態をリストアする。

    ・以下のコマンドを発行する。

    ntdsutil
    activate instance ntds
    authoritative restore
    restore subtree dc=sub1,dc=corp,dc=example,dc=com

    これで、子ドメインのDCサーバのみをリストア可能かと考えておりますが、如何でしょうか。

    ---追記ここまで---

    以上、よろしくお願い申し上げます。


    • 編集済み moeknk 2013年12月3日 12:37 訂正と追記
    2013年12月3日 9:38
  • 基本的な考え方は Windows 2000 から変わっていません。
    http://technet.microsoft.com/ja-jp/library/cc984972.aspx

    ntds.dit (DB) 破損であれば Non-authoritative で修復できますので、
    今回のお話が起きないようにするのが大事だと思いますが、それが必要になった前提で記載いたします。

    スキーマ パーティションや構成パーティションはフォレスト単位で複製していますので、ここを Authoritative すると、上位ドメインにも影響を及ぼします。
    しかしながら、子ドメインのドメイン パーティションだけを Authoritative するのであれば、複製範囲は子ドメイン内だけなので、上位ドメインには影響を及ぼしません。

    注意が必要なのはチャブーンさんのご指摘の通り、イメージ(イメージ バックアップ ソフト)からのリストアを行ってしまう場合です。
    この場合には RID プールを破棄しませんので SID の重複など大きな問題を及ぼしますし、上位ドメインへの影響も考えられます。

    今必要な情報ではありませんが、Windows Server 2003 の延長サポートもそろそろ終わりますので今後移行されることを考えると 、Authoritative 時は以下の KB も考慮した方が良いかもしれません。
    http://support.microsoft.com/kb/2003088

    (また、ntdsutil で version no の引き上げ数を指定していないので、古いバックアップを使用するとバージョン番号が大きく上がってしまいます。)

    http://technet.microsoft.com/ja-jp/library/cc732211(v=ws.10).aspx

    参考になれば幸いです。

    • 回答の候補に設定 佐伯玲 2013年12月10日 5:06
    • 回答としてマーク 佐伯玲 2013年12月17日 8:16
    2013年12月4日 13:08
  • チャブーンです。

    #QSEさん、フォローありがとうございます

    基本的にQSEさんのおっしゃる通りなのですが、本件では注意点があります。

    本件のリストア要件として、「子ドメインで残存ドメインコントローラが1台もない場合」のリストアになる場合ですが、Active DirectoryデータはNon-Authoritative Restoreでいいのですが、SYSVOLリストアについてはプライマリ Restoreを行う必要があります。ドメイン内のドメインコントローラが1台もない場合、SYSVOLデータは「自分自身が基準」という扱いにしなければならず、プライマリとしてマークする必要があります。この件については、したの資料の「Restore the first writeable domain controller in each of the remaining domains」の項目に書いてありますので、ご覧になってください。子ドメイン内に残存のドメインコントローラがあれば、この点は考慮する必要はありません。


    http://technet.microsoft.com/ja-jp/library/cc757662(v=ws.10).aspx
    2013年12月5日 2:07
    モデレータ
  • こんにちは、moeknk さん
    フォーラムオペレータの佐伯 玲 です。

    みなさんから寄せられている返信はご確認いただけておりますでしょうか?
    ご参考になると思い私の方で「回答としてマーク」とさせていただきました。

    その後ご確認いただき進展があればこちらのスレッドへその後の状況をご返信いただけましたらと思います。

    スレッドに「回答としてマーク」が設定されているとスレッドのステータスが回答済みとなります。
    一覧から解決済みのスレッドが探しやすかったり情報の募集が終了しているかどうかを知らせる事が出来ます。

    ご参考になったり解決にいたった際には「回答としてマーク」をしていただけましたらと思います。


    宜しくお願い致します。


    TechNet Community Support 佐伯 玲

    2013年12月17日 8:16
  • チャブーンさま、QSEさま

    ご回答ありがとうございます。当方返信が遅くなり、申し訳ございせん。

    お二人のご回答から以下に注意して、リストア方法を決定したいと思います。

    ---

    スキーマ パーティションや構成パーティションはフォレスト単位で複製していますので、ここを Authoritative すると、上位ドメインにも影響を及ぼします。
    しかしながら、子ドメインのドメイン パーティションだけを Authoritative するのであれば、複製範囲は子ドメイン内だけなので、上位ドメインには影響を及ぼしません。

    ---

    イメージ(イメージ バックアップ ソフト)からのリストアを行ってしまう場合です。
    この場合には RID プールを破棄しませんので SID の重複など大きな問題を及ぼしますし、上位ドメインへの影響も考えられます。

    ---

    Active DirectoryデータはNon-Authoritative Restoreでいいのですが、SYSVOLリストアについてはプライマリ Restoreを行う必要があります。

    ---

    ありがとうございました。


    • 編集済み moeknk 2013年12月20日 10:41
    2013年12月20日 10:40