Active Directory フォレストの回復 - 問題の特定

適用先: Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2 および 2012

イベント ログや他の監視ソリューションなど、フォレスト全体の障害の現象が発生した場合には、Microsoft サポートと一緒に障害の原因を特定し、考えられる解決策を検討します。

[重要] このガイドには、ハッキングや侵害を受けたフォレストを回復する方法に関するセキュリティ上の推奨事項は含まれません。 一般的に、「Active Directory のセキュリティ保護に関するベスト プラクティス」と Pass-the-Hash 緩和方法に従って環境を強化することをお勧めします。 詳細については、「Pass-the-Hash (PtH) 攻撃と他の資格情報盗難手法の軽減」を参照してください。

フォレスト全体の障害の例

  • ビジネスの継続が不可能な程度にすべての DC が論理的に破損しているか、物理的に破損している。たとえば、AD DS に依存するすべてのアプリケーションが機能しない。
  • 不正な管理者が Active Directory 環境を侵害した。
  • 攻撃者が意図的に (または管理者が誤って)、フォレスト全体にデータの破損を広げるスクリプトを実行する。
  • 攻撃者が意図的に (または管理者が誤って)、悪意のある変更や矛盾した変更で Active Directory スキーマを拡張する。
  • コンテンツ (ドメイン コントローラーのバックアップ) は外部パーティに公開されているが、漏洩した資格情報は AD データの変更には使用されていない。 この場合、バックアップから AD データベースを復元し、すべての DC を再インストールする必要がない場合があります。 場合によっては、ユーザー、コンピューター、信頼、(g)MSA アカウントのすべてのパスワードをリセットする必要があります。
  • 攻撃者によって DC に悪意のあるソフトウェアがインストールされたため、Microsoft サポートにバックアップからフォレストを回復するようアドバイスされた。
  • どの DC も、レプリケーション パートナーとレプリケートすることができない。
  • どのドメイン コントローラーでも AD DS に変更を加えることができない。
  • どのドメインにも新しい DC をインストールできない。

次のステップ