管理者のいない拠点をドメインに加えるための新機能とは?
ブランチオフィス用Active Directoryとバックアップ
2010年06月15日 09時00分更新
Active Directoryのバックアップと復元
ディレクトリデータベースのバックアップは、バックアップしたいドメインコントローラ上で「システム状態」のバックアップを行なえばよい。バックアップはActive Directoryが動作中でも行なえる。使用方法は特に難しくないと思うので詳細は省略する。
障害からの復旧
Active Directoryを復元するには、以下の手順でドメインコントローラを再起動する必要がある。
(1)Active Directoryの復元モードで起動
ドメインコントローラのブート時にF8キーを押して起動モード選択画面を表示し、「Active Directoryの復元モード」を選択する。これにより、Active Directoryサービスが停止した状態でドメインコントローラが起動する。Active Directoryの復元モードはセーフモードの一種であり、動作していないサービスやドライバが存在する
(2)ログオン
ユーザー名はAdministrator、パスワードはActive Directoryのインストールウィザードで指定したパスワードを使う
(3)システム状態を復元する
バックアップツールを起動してシステム状態を復元すれば、Active Directoryデータベースを含め、すべてのシステム状態が復元できる
システムダウンにより失われたデータを復元する場合は、以上で操作完了である。通常モードで再起動すれば、バックアップよりも新しい情報がほかのドメインコントローラから複製され、完全なデータベースが構築される。復元した情報はほかのドメインコントローラの最新情報で上書きされるため、「Non-Authoritative Restore」と呼ぶ。
操作ミスからの復旧
手間がかかるのが、誤って削除したユーザーアカウントを復元したい場合だ。削除されたオブジェクト(ユーザーアカウント情報)は、データベースから消去されるのではない。削除マークが付いた状態で、データベースには登録され続ける。たとえば、10月24日にバックアップを行ない、10月25日にユーザーアカウントを誤削除、10月26日に復元するというケースを考えてみよう。
10月25日に削除を行なったという情報は、ほかのドメインコントローラにも複製される。そのため、削除されたオブジェクトをバックアップ情報から復元しても、より最新である「削除した」というオブジェクトがほかのドメインコントローラから複製されてしまうのだ。これでは、誤削除したオブジェクトは永久に復活できなくなってしまう。
そこで、復元したデータを優先させるには「Authoritative Restore」を実行する必要がある。このAuthoritative Restoreは「NTDSUTILEXE」コマンドを使用する。たとえば、corp.example.comドメイン内のSalesというOUのデータを復元する場合は、バックアップツールを使用してディレクトリデータベースを復元し、再起動する前にリスト2のコマンドをコマンドプロンプトで入力し、再起動する。このコマンドにより、復元されたドメインコントローラが、最新情報としてほかのドメインコントローラに複製される。
Authoritativeの指定は、オブジェクト単位でも設定できる。この場合はrestore objectコマンドを使う。データベース全体を復元するにはrestore databaseコマンドである。なお、Windows Server 2008から、Authoritative Restoreの実行のみであれば、単にNTDSサービスを停止させるだけでよくなった。Authoritative Restoreの指定は、LDAP形式の名前で指定する。ユーザー名やグループ名は「CN=名前」である。また、OU階層は「OU=名前」、DNSドメインの各要素は「DC=名前」である。なお、OU以外のコンテナ(UsersやComputersなど)は、「CN=名前」で指定する。
サブネットの形式
Windows Server 2003までは、サブネットとしてIPアドレス(192.168.0.1)とサブネットマスク(255.255.255.0)を個別に指定していたが、Windows Server 2008からサブネットマスクではなくサブネット長を指定するように形式が変わった。これは、IPv6とIPv4の形式を統一するためである。ピリオドで区切った形式を使うとIPv4として解釈され、コロンで区切った形式だとIPv6と解釈される。
実際には、Windows 2000/2003でもサブネットオブジェクトの内部名は「IPアドレス/サブネットマスク長」だった。IPv4時代に、管理者の便宜を図って設計されたダイアログボックスが、IPv6時代を目前に控えてv4/v6共通フォーマットにするため仕様が変わったのである。
この連載の記事
-
最終回
ソフトウェア・仮想化
スナップショットとクイックマイグレーションを使ってみよう -
第34回
ソフトウェア・仮想化
Hyper-Vの仮想マシンに「統合サービス」を入れよう -
第33回
ソフトウェア・仮想化
Hyper-Vの仮想マシンのハードウェアを設定しよう -
第32回
ソフトウェア・仮想化
Hyper-Vのインストールはネットワークに注意しよう! -
第31回
ソフトウェア・仮想化
Windows Server 2008の仮想化機能「Hyper-V」を活用しよう -
第30回
ソフトウェア・仮想化
Windows Server Update Servicesの活用方法とは? -
第29回
ソフトウェア・仮想化
Windows ServerをWindows Updateサーバにしよう -
第28回
ソフトウェア・仮想化
Active Directoryと連携できるIISの認証機能を理解 -
第27回
ソフトウェア・仮想化
Windows Serverの標準Webサーバ「IIS」を活用しよう -
第26回
ソフトウェア・仮想化
Windows ServerのCAでメールを安全に -
第25回
ソフトウェア・仮想化
Windows Server証明書サービスを設定しよう - この連載の一覧へ