Active Directory フォレストの回復 - マルチドメイン フォレストで単一ドメインを回復する

適用先: Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2 および 2012

特定のシナリオでは、フォレストの完全回復ではなく、複数のドメインを持つフォレスト内の単一ドメインのみを回復する必要がある場合があります。 このトピックでは、単一ドメインを回復するための考慮事項と、考えられる戦略について説明します。

フォレストの回復プロセスと同様に、ドメイン内のバックアップから 1 つ以上の DC を復元し、残りの DC のメタデータ クリーンアップを実行します。 次に、新しいドメイン コントローラーが追加されます。これは、新しいメンバーに参加し、AD DS ロールをインストールして昇格することで行います。 このタスクには、DC の複製やメディアからのインストールも使用できます。

単一ドメインの回復には、グローバル カタログ (GC) サーバーの再構築という固有の課題があります。 たとえば、ドメインの最初のドメイン コントローラー (DC) が 1 週間前に作成されたバックアップから復元された場合、フォレスト内の他のすべての GC は、復元された DC よりもそのドメインの最新のデータを保持します。 GC データの一貫性を再確立するには、いくつかのオプションがあります。

• 回復されたドメインのものを除き、フォレスト内のすべての GC から回復されたドメインのパーティションをホスト解除し、同時に、完了したらフォレスト内のすべての GC を再ホストします。 また、残りの GC をオーバーロードしないようにしてください。 大規模な環境では、このアクティビティの調整が非常に複雑になる場合があります。

• フォレストの回復プロセスに従ってドメインを回復し、他のドメインの GC から残留オブジェクトを削除します。

以下のセクションでは、各オプションに関する一般的な考慮事項について説明します。 回復に必要な手順の完全なセットは、Active Directory 環境によって異なります。

すべての GC の再ホスト

警告

すべてのドメインの既定のドメイン管理者ユーザー アカウント (“RID-500”) のログイン名とパスワードが使用可能になっている必要があります。また、ログオン時に GC にアクセスできない問題が発生したときに使用できるように、このアカウントは有効になっている必要があります。

Note

GC の検証なしでログオンを許可するために、HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\IgnoreGCFailures 値を 1 に構成することもできます。

不明な場合は、各ドメインの別のアカウントを使用whoami /allしてドメイン ID を取得するか、次のコマンドを実行して RID 500 を識別します。\$DomainSID = (Get-ADDomain).DomainSID.Value\$ObjSID = New-ObjectSystem.Security.Principal.SecurityIdentifier("\$DomainSID-500")\$RID500 = \$ObjSID.Translate([System.Security.Principal.NTAccount])\$RID500.Value

すべての GC の再ホストは、repadmin /unhost コマンドと repadmin /rehost コマンド (repadmin /experthelp の一部) を使用して行うことができます。 repadmin コマンドは、回復されない各ドメインのすべての GC で実行します。 すべての GC が、回復したドメインのコピーを保持していないことを確認する必要があります。 これを実現するには、最初に、フォレストのすべての回復されないドメインのすべてのドメイン コントローラーからドメイン パーティションをホスト解除します。 GC にパーティションが含まれなくなったため、再ホストできます。 再ホスト時は、フォレストのサイトとレプリケーションの構造を考慮してください。 たとえば、サイトごとに 1 つの DC の再ホストを完了してから、そのサイトの他の DC を再ホストするようにします。

このオプションは、ドメインごとに少数のドメイン コントローラーを持つ小規模な組織に便利です。 金曜日の夜にすべての GC を再構築できます。必要な場合は、すべての読み取り専用ドメイン パーティションについて、月曜日の朝以前にレプリケーションを完了します。 ただし、世界中のサイトをカバーする大規模なドメインを回復する必要がある場合は、他のドメインのすべての GC で読み取り専用ドメイン パーティションを再ホストすると、運用に大きな影響を与え、ダウンタイムが生じる可能性があります。

残留オブジェクトを確認して削除する

フォレスト内の他のすべてのドメインの GC で、回復されたドメインの読み取り専用パーティションの残留オブジェクトの有無を確認し、ある場合は削除します。

クリーンアップする残留オブジェクトのソースは、回復されたドメインの DC である必要があります。 ソース DC にどのドメイン パーティションの残留オブジェクトもないようにするには、グローバル カタログを削除します。

残留オブジェクトの削除は、ドメイン名前付けコンテキストの再ホストに伴うダウンタイムのリスクを許容できない大規模組織に便利です。

詳細については、repadmin を使用した残留オブジェクトの削除に関するページを参照してください。

次のステップ

• AD フォレストの回復 - 前提条件
• AD フォレストの回復 - カスタム フォレスト回復計画を作成する
• AD フォレストの回復 - フォレストを復元する手順
• AD フォレストの回復 - 問題の特定
• AD フォレストの回復 - 回復方法を決定する
• AD フォレストの回復 - 最初の回復の実行
• AD フォレストの回復 - 手順
• AD フォレストの回復 - よく寄せられる質問 (FAQ)
• AD フォレストの回復 - マルチドメイン フォレストで 1 つのドメインを回復する
• AD フォレストの回復 - 残りの DC を再デプロイする
• AD フォレストの回復 - 仮想化
• AD フォレストの回復 - クリーンアップ