AD フォレストの回復 - FAQ

回復の迅速化がこのガイドの主な目標ではありませんが、次の対応を取ることで回復時間を短縮できます。

• 詳細なフォレスト回復計画を作成して定期的に更新し、妥当なサイズのシミュレートされたテスト環境で年に 1 回以上実施します。
• Windows Server バックアップの完全バックアップを実行して、ベアメタル回復 (BMR) とシステム状態の回復の両方を実現します。
• 仮想化ドメイン コントローラー (DC) の複製を使用します。 仮想化 DC の複製を使用すると、ドメイン サービスの元の帯域幅を復元するために追加のドメイン コントローラーをデプロイするプロセスが迅速化されます。 1 つの DC の後に実行されている DC は、各ドメインのバックアップから復元されます。これは権限のない復元であるため、複製操作中は PDC エミュレーターも使用できる必要があります。 追加の仮想化 DC の複製は、時間がかかる可能性がある AD DS インストールの完了とインストール後の重要性の低いレプリケーションの完了を待たずに行うことができます。 フォレスト内の仮想 DC が接続状態の良い比較的少数のデータ センターでホストされている場合は、回復中に複製を行うことで最大のメリットを得られます。 ただし、同じドメインの複数の仮想化 DC が同じハイパーバイザー ホストに配置されている環境でもメリットは得られます。
• メディア IFM からのインストールを使用すると、差分のみがレプリケートされるため、レプリケーション トラフィックが減り、完全なレプリケーションに必要な時間を短縮できます。 また、複数の DC を高速でインストールすることもできます。
• 複雑なリモート サイト シナリオ (まれなシナリオ): - **ハブまたはステージング サイト内の 1 つまたは複数のサーバーに AD DS をインストール** し、リモート サイトに配布します。
  • プライマリ データセンターの場所でバックアップと障害復旧 (BDR) のプライマリ システムとして指定された DC に加え、接続の状態が悪いか断続的である DC に対してバックアップ/復元手順を実装します。 他の場所の復元された DC をメイン データセンターの DC と同期する手順を追加する必要があります。 これを行うには、コンピューター アカウントの参照として 1 つの DC を指定し、そこでだけ KDCSVC が実行されるようにします。 復元した他の DC では、Netdom.exe を使用したドメイン コントローラーのパスワードのリセットに関する記事の手順に従います
• 読み取り専用ドメイン コントローラー (RODC) のデプロイ: RODC は、書き込み可能 DC のようにネットワークから切断する必要がないため、回復プロセス中もビジネス継続性を確保できます。 RODC を使用すると、出力方向のレプリケーションは実行されません。 このため、書き込み可能 DC とは違って、破損したデータを回復後の環境にレプリケートして戻す場合のリスクが生じません。

フォレストの回復プロセスの実行時間に影響するその他の要因には次のものがあります。

• ドメイン コントローラーが仮想マシンの場合は、スナップショット復元を利用して DC を既知の正常な状態にロールバックできます。 この方法は推奨されているアプローチではありません。バックアップに使用されるスナップショットには、使用可能なバックアップ履歴を保持するための、VM サーバー上のスナップショット用のディスク領域の可用性など、いくつかの注意事項があるためです。 通常のバックアップを主な回復手段として使用することを強くお勧めします。 VM スナップショットは、フォレスト全体の更新 (ドメイン名の変更や大規模なスキーマの更新など) といった、注意を要する変更の後に発生する問題からの回復に役立つ可能性があります。 注: 必要に応じて、DFSR に対する権限があるものとして SYSVOL に手動でマーク付けする必要があります。 仮想化ドメイン コントローラーの詳細については、「仮想化ドメイン コントローラーのアーキテクチャ」を参照してください。

• バックアップから DC を復元する場合、物理バックアップ メディア (テープなど) を見つけて取得し、回復シナリオに応じてオペレーティング システムを再インストールし、バックアップ メディアからデータを復元するのに時間がかかります。

  Note

  システム状態の復元ではなく BMR 回復を実行すると、オペレーティング システムの再インストールとバックアップからのデータ復元に必要な時間を短縮できます。 ベアメタル回復はバイナリ ベースであるため、システム状態の復元よりもはるかに早く完了します。 ただし、復元の対象としないためにシステム状態データから除外されるデータがサーバーに含まれていると、ベアメタル回復がシステム状態の復元に代わる有効な方法とならない可能性があります。 使用するサーバーでシステム状態の復元の代わりにサーバーの完全復旧を実行するメリットを検討し、それに応じた準備として、後で復元する予定の適切な種類のバックアップを実行します。 一般的なベスト プラクティスでは、BMR とシステム状態という両方の種類の復元を実現する、完全バックアップの実行をお勧めしています。

  • レプリケーションによって DC を再構築すると、ネットワーク ベースのプロモーションでデータをレプリケートするのに時間がかかります。 昇格するパートナーと同じサブネットに新しいドメイン コントローラーを配置すると、DC の復元に必要な時間を短縮できます。 こうすると、ネットワークのラウンドトリップとスループットによって発生する遅延が最小限に抑えられます。

• 次の方法でバックアップ メディアを取得する時間を短縮します。

  • Active Directory データベース マウント ツール (Dsamain.exe) を使用して、復元操作で使用する最適なバックアップを特定する。 Active Directory データベース マウント ツールの詳しい使い方については、Active Directory データベース マウント ツールのステップ バイ ステップ ガイドに関する記事をご覧ください。
  • バックアップ メディアにわかりやすいラベルを付け、すぐに取得できる便利で安全な場所にメディアを系統立てて保管する。 バックアップに応じた有効な資格情報があることを確認します。

• オペレーティング システムを再インストールする代わりに、DC から AD DS を強制的に削除します。 フォレスト全体の障害の原因が AD DS の範囲内にあると特定された場合は、DC にオペレーティング システムを再インストールする必要はありません。 DC からの AD DS の強制的な削除の詳細については、Windows Server 2008 ドメイン コントローラーの強制的な削除に関するページ (https://go.microsoft.com/fwlink/?LinkId=132627) をご覧ください。

• 高速なテープ デバイスまたはディスク バックアップを使用して、復元操作に必要な時間を短縮します。 厳格なサービス レベル アグリーメント (SLA) を設定している企業では、回復を迅速化するためにフォレストの回復手順の変更を検討する可能性があります。

フォレストの回復プロセスは複雑かつ重要であるため、現時点ではエンドツーエンドの自動化は行われていません。 フォレストの回復プロセスは、プロセスの自動化という技術的な問題というよりはむしろ、ビジネス継続性を回復するというロジスティックで組織的な課題です。 そのため、環境の管理者は、環境固有のフォレスト回復計画を作成し、自動化できる部分を自動化する必要があります。

フォレスト回復手順の大部分は、コマンド ライン ツールで実行できます。 そのため、ほとんどの手順はスクリプト化が可能です。 たとえば、Ntdsutil.exe はフォレスト回復プロセスで最も頻繁に使用されるツールの 1 つです。

スクリプトによって回復を迅速化できますが、実際の環境で適用する前にスクリプトを十分にテストする必要があります。 また、Active Directory 環境の変更 (新しいドメインや DC の追加、Active Directory のバージョンの更新など) に応じてスクリプトを更新する必要があります。

次の手順

• AD フォレストの回復 - 前提条件
• AD フォレストの回復 - カスタム フォレスト回復計画を作成する
• AD フォレストの回復 - フォレストを復元する手順
• AD フォレストの回復 - 問題の特定
• AD フォレストの回復 - 回復方法を決定する
• AD フォレストの回復 - 最初の回復の実行
• AD フォレストの回復 - 手順
• AD フォレストの回復 - よく寄せられる質問 (FAQ)
• AD フォレストの回復 - マルチドメイン フォレストで 1 つのドメインを回復する
• AD フォレストの回復 - 残りの DC を再デプロイする
• AD フォレストの回復 - 仮想化
• AD フォレストの回復 - クリーンアップ