Active Directory フォレストの回復 - 残りの DC を再デプロイする

  • [アーティクル]

適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 および 2012 R2、Windows Server 2008 および 2008 R2

この時点までの手順は、すべてのフォレストに適用されます。各ドメインの有効なバックアップの検索、分離されたドメインの回復、再接続、グローバル カタログのリセット、クリーンアップします。 この次の手順では、フォレストを再デプロイします。 これを行う方法は、フォレストの設計、サービス レベル アグリーメント、サイト構造、使用可能な帯域幅、その他多数の要因によって大きく異なります。 ビジネス要件に最適な方法で、このセクションの原則と提案に基づいて独自の再デプロイ計画を設計する必要があります。

次の手順では、フォレストのAD DS前に存在していたすべての PC に新しいコンピューターをインストールします。 まだDC が存在する場合は、AD DSサービスを強制的に削除するか、またはDC を再インストールする必要があります。 フォレストの回復中に対応するメタデータが削除されたため、これらのDC の既存のバックアップは再利用できません。 複雑でない環境では、この再デプロイ プロセスは、復旧された DC を実稼働ネットワークに再接続し、必要に応じて新しい DC を昇格するのと同じほど簡単です。

世界規模のインフラストラクチャに直面している大企業では、より高度な計画が必要です。 最初のフェーズでは、通常、サービスとして AD を復元します。すべての重要なビジネス部門とアプリケーションが再び作業を開始できるよう、戦略的に配置された DC をインストールします。 (その結果、ブランチ オフィスのパフォーマンスが一時的に低下する可能性があります。)2 番目のフェーズとして、残りおよびそれほど重要ではないすべての DC が再デプロイされます。

追加の DC をインストールする方法は 2 つで、どちらも自動化できます:

複製

バックアップから単一の仮想化 DC を復元した後、ドメイン内のすべての仮想化 DC の復旧を自動化できます。 仮想化ドメイン コントローラーの詳細については、「Active Directory Domain Services (AD DS) の仮想化の概要 (レベル 100)」を参照してください。

Windows PowerShell を使用して AD DS をインストールする

AD DS の再インストールを迅速化するために、メディアからのインストール (IFM) オプションを使用して、インストール中のレプリケーション トラフィックを減らすことができます。 ntdsutil ifm コマンドを使用してインストール メディアを作成する方法の詳細については、「Media からの AD DS のインストール」を参照してください。

仮想化された DC 複製によって、または (バックアップからの復元ではなく) AD DS をインストールしてフォレスト内で回復される各レプリカ DC について、次の追加点を考慮してください:

  • 複製のソースとして使用される DC 上のすべてのソフトウェアを複製できる必要があります。 複製できないアプリとサービスは、複製を開始する前に削除する必要があります。 それができない場合は、代替の仮想化 DC をソースとして選択する必要があります。
  • 復元する最初の仮想化 DC から追加の仮想化 DC を複製する場合は、VHDX ファイルのコピー中にソース DC をシャットダウンする必要があります。 その後、複製仮想DC が最初に起動するときに、オンラインで実行され、使用できる必要があります。 最初に復旧された DC でシャットダウンに必要なダウンタイムが許容されない場合は、AD DS をインストールして、複製のソースとして機能する追加の仮想化 DC をデプロイします。
  • 複製された仮想化 DC のホスト名、またはAD DS仮想マシンをインストールするサーバーに制限はありません。 新しいホスト名または以前に使用したホスト名を使用できます。 DNS ホスト名の構文の詳細については、「DNS コンピューター名の作成 (https://go.microsoft.com/fwlink/?LinkId=74564)」を参照 してください。
  • 各サーバーを、フォレスト内の最初の DNS サーバー (ルート ドメインで復元された最初の DC) を、そのネットワーク アダプターの TCP/IP プロパティの優先 DNS サーバーとして構成します。 詳細については、「 DNS を使用するための TCP/IP の構成」を参照してください。
  • 複数の RODC が中央の場所にデプロイされている場合は仮想化 DC クローンを使用するか、ブランチ オフィスなどの分離された場所に個別に配置されている場合は、AD DS を削除して再インストールして再構築する従来の方法によって、ドメイン内のすべての RODC を再展開します。
    • RODC を再構築すると、残っているオブジェクトが含まれるのを防ぎ、レプリケーションの競合が後で発生するのを防ぐことができます。 RODC からAD DSする場合は、 DC メタデータを保持するオプションを選択します。 このオプションを使用すると、RODC の krbtgt アカウントが保持され、委任された RODC 管理者アカウントと パスワード レプリケーション ポリシー (PRP) のアクセス許可が保持され、ドメイン管理者の資格情報を使用して RODC で AD DS を削除および再インストールする必要がなくなります。 また、最初に RODC にインストールされている場合は、DNS サーバー ロールとグローバル カタログ ロールも保持されます。
    • DC (RODC または書き込み可能な PC) をリビルドすると、再インストール中にレプリケーション トラフィックが増加する可能性があります。 その影響を軽減するために、RODC インストールのスケジュールをずらして、[メディアからインストール (IFM) ] オプションを使用できます。 IFM オプションを使用する場合は、破損したデータが含められないと信頼できる書き込み可能な DC で ntdsutil ifm コマンドを実行します。 これにより、ADDSの再インストールが完了した後に RODC に破損が生じるのを防ぐのに役立ちます。 IFM の使用の詳細については、「 Installing from Media 」を参照してください。
    • RODC の再構築の詳細については、「RODC の削除と再 インストール」を参照してください
  • フォレストの誤動作の前に DC が DNS サーバー サービスを実行している場合は、AD DSインストール中に DNS サーバー サービスをインストールして構成します。 それ以外の場合は、他の DNS サーバーで以前の DNS クライアントを構成します。
  • ユーザーまたはアプリケーションの認証またはクエリの負荷を共有するために追加のグローバル カタログが必要な場合は、複製する前にグローバル カタログをソース仮想化 DC に追加するか、AD DS のインストール中に DC をグローバル カタログ サーバーにできます。

次のステップ