Active Directory フォレストの回復 - 前提条件

適用先: Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2 および 2012。

次のドキュメントでは、フォレストの復旧計画を策定する前、または回復を試みる前に理解しておく必要がある前提条件について説明します。

外部からの影響

1. Microsoft サポート担当者と次を使用して作業しました:

   • フォレスト全体の障害の原因を特定しました。 このガイドでは、障害の原因を示さず、障害を防ぐための手順も推奨しません。
   • 考えられる解決策の評価が済んでいる。
   • Microsoft サポートと相談して、障害が発生する前の状態にフォレスト全体を復元することが、障害から復旧するための最善の方法であると結論付けている。 多くの場合、フォレストの回復は最後のオプションである必要があります。

2. Active Directory が統合されたドメイン ネーム システム (DNS) を使用するための Microsoft のベストプラクティスの推奨事項に従っている。 具体的には、Active Directory ドメインごとに Active Directory が統合されている DNS ゾーンが必要です。

   そうでない場合でも、このガイドの基本原則を使用してフォレストの回復を実行できます。 ただし、独自の環境に基づいて DNS 回復を行うには、特定の対策を講じる必要があります。 Active Directory 統合 DNS の使用方法の詳細については、「DNS インフラストラクチャ設計の作成」を参照してください。

3. BitLocker をはじめとするディスク ボリュームへのアクセスを保護するソリューションなど、物理ホスティングまたは仮想ホスティングでドメイン コントローラー ディスク ボリュームを処理するための特別な構成がある場合があります。 手順の一環として、BitLocker 回復キーなどの緊急時の情報へのアクセスが必要になる場合があります。 復旧中に必要に応じてこの情報が使用できるようにしておいてください。

4. このガイドはフォレストの回復に関する一般的なガイドとして使用されていますが、すべてのシナリオについては説明しません。 たとえば、デスクトップ エクスペリエンスのない Windows Server のバージョンである Server Core バージョンがあります。 Server Core を実行する DC だけで構成されるフォレストを回復することは可能ですが、このガイドには詳細な手順がありません。 ただし、ここで説明されているガイダンスに基づき、必要なコマンドライン アクションを自分で設計することができます。

Note

このガイドの目的はフォレストを回復し、完全な DNS 機能を維持または復元することですが、回復すると、障害が発生する前に構成から変更された DNS 構成が復元される可能性があります。 フォレストが回復した後は、元の DNS 構成に戻すことができます。 このガイドの推奨事項では、AD DS に格納されていない DNS ゾーンがある企業名前空間の他の部分の名前解決を実行するように DNS サーバーを構成する方法については説明しません。

前提条件

Active Directory の概念について理解していること

Active Directory フォレストの回復計画を開始する前に、次のことを理解しておく必要があります:

• 基本的な Active Directory の概念
• 以下を含む、操作マスター ロール (旧称はフレキシブル シングル マスター操作または FSMO) の重要性:
  • フォレスト全体の操作マスター ロール:
    • スキーマ マスター
    • ドメイン名前付けマスター
  • ドメイン全体の操作マスター ロール:
    • 相対 ID (RID) マスター
    • プライマリ ドメイン コントローラ (PDC) エミュレータ マスター
    • インフラストラクチャ マスター

手順が記載されている、文書化された回復計画があること

本番バックアップを使用してラボ環境でテストされた、AD DS ドメイン/フォレストの回復、オブジェクト/サブツリーの回復、および SYSVOL 回復の手順が記載されている、文書化された回復計画が必要です。 回復手順は定期的 (たとえば毎年) に検証し、OS のアップグレード、AD DS 環境のアーキテクチャの変更、または手順を最新の状態に保つその他の変更に応じてドキュメントを更新する必要があります。 これらの手順の詳細とガイダンスについては、このガイドの「AD フォレストの回復 – 手順」セクションを参照してください。

ヒント

Microsoft では、お客様によるこのドキュメント/手順の開発を支援する Active Directory Recovery Execution Service (ADRES) を提供しています。 詳細については、カスタマー サクセス アカウント管理 (CSAM) にお問い合わせください。

ラボ環境で AD DS と SYSVOL をバックアップおよび復元していること

ラボ環境で AD DS と SYSVOL を定期的にバックアップおよび復元する必要があります。 詳細については、「AD フォレストの回復 - サーバーの完全バックアップ」と 「Active Directory Domain Services の権限のない復元を実行する」を参照してください。

次のステップ

• AD フォレストの回復 - 前提条件
• AD フォレストの回復 - カスタム フォレスト回復計画を作成する
• AD フォレストの回復 - フォレストを復元する手順
• AD フォレストの回復 - 問題の特定
• AD フォレストの回復 - 回復方法を決定する
• AD フォレストの回復 - 最初の回復の実行
• AD フォレストの回復 - 手順
• AD フォレストの回復 - よく寄せられる質問 (FAQ)
• AD フォレストの回復 - マルチドメイン フォレストで 1 つのドメインを回復する
• AD フォレストの回復 - 残りの DC を再デプロイする
• AD フォレストの回復 - 仮想化
• AD フォレストの回復 - クリーンアップ