Active Directory フォレストの回復 - マルチドメイン フォレストで単一ドメインを回復する

  • [アーティクル]

適用先: Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 R2 および 2012

特定のシナリオでは、フォレストの完全回復ではなく、複数のドメインを持つフォレスト内の単一ドメインのみを回復する必要がある場合があります。 このトピックでは、単一ドメインを回復するための考慮事項と、考えられる戦略について説明します。

フォレストの回復プロセスと同様に、ドメイン内のバックアップから 1 つ以上の DC を復元し、残りの DC のメタデータ クリーンアップを実行します。 次に、新しいドメイン コントローラーが追加されます。これは、新しいメンバーに参加し、AD DS ロールをインストールして昇格することで行います。 このタスクには、DC の複製メディアからのインストールも使用できます。

単一ドメインの回復には、グローバル カタログ (GC) サーバーの再構築という固有の課題があります。 たとえば、ドメインの最初のドメイン コントローラー (DC) が 1 週間前に作成されたバックアップから復元された場合、フォレスト内の他のすべての GC は、復元された DC よりもそのドメインの最新のデータを保持します。 GC データの一貫性を再確立するには、いくつかのオプションがあります。

  • 回復されたドメインのものを除き、フォレスト内のすべての GC から回復されたドメインのパーティションをホスト解除し、同時に、完了したらフォレスト内のすべての GC を再ホストします。 また、残りの GC をオーバーロードしないようにしてください。 大規模な環境では、このアクティビティの調整が非常に複雑になる場合があります。

  • フォレストの回復プロセスに従ってドメインを回復し、他のドメインの GC から残留オブジェクトを削除します。

以下のセクションでは、各オプションに関する一般的な考慮事項について説明します。 回復に必要な手順の完全なセットは、Active Directory 環境によって異なります。

グループの管理されたサービス アカウント (gMSA) を再作成する

警告

フォレスト内の KDS ルート キー オブジェクトが侵害された場合は、ドメイン自体が侵害されていない場合でも、複数のドメインで gMSA アカウントを再作成する必要があります。

この問題と解決方法については、「ゴールデン gMSA 攻撃から回復する方法」を参照してください。

攻撃者が盗まれたドメイン コントローラーバックアップから収集されたデータ使用して、推定の gMSA 資格情報を使って認証するのを防ぐ必要があります。 流出した KDS ルート キー オブジェクトを使用するフォレストのドメイン内のすべての gMSA を、新しい KDS ルート キー オブジェクトが使用する gMSA アカウントに置き換えます。 手順については、グループの管理されたサービス アカウントの概要に関するページを参照してください。この手順には、次の重要な変更点があります。

  • 既存のすべての gMSA アカウントを無効にし、userAccountControl 属性を 4098 (ワークステーションの種類 + 無効) に設定します。

  • キー配布サービス KDS ルート キーの作成」の説明に従って、新しい KDS ルート キー オブジェクトを作成します。

    重要

    Microsoft キー配布サービス (KDSSVC) は同じドメイン コントローラーで再起動してください。 このようにすると、KDSSVC で新しいオブジェクトが取得されるようになります。 同じドメイン コントローラー上の既存のアカウントを置き換える、新しい gMSA アカウントを作成します。 一意のサービス プリンシパル名をアクティブな gMSA に割り当てる必要があるため、この時点で既存の gMSA アカウントを編集します。

  • メンバー サーバーをドメインに再参加させた後、gMSA を使用していたコンポーネントを新しいアカウントで更新します。

新しい gMSA で新しい KDS ルート キー オブジェクトが使用されていることを確認するには、属性 msDS-ManagedPasswordId のバイナリ データに一致する KDS ルート キー オブジェクトの GUID があるかチェックします。 オブジェクトの CN は、CN=e3779ca1-bfa2-9f7b-b9a5-20cf44f2f8d6 です。

gmsa cn value

gMSA のmsDS-ManagedPasswordId の GUID は、オフセット 24 で始まり、最初の 3 つの部分はバイト順がスワップ (赤色、緑色、青色) されていて、残りの部分は通常のバイト順 (オレンジ色) になっている必要があります。

guid with color coding

新しい KDS ルート キーを使用して最初の gMSA が作成された場合、後続のすべての gMSA の作成は OK になります。

クリーンアップ

  • 古い KDS ルート キー オブジェクトを使用していた古い gMSA アカウントを削除します。
  • 古い KDS ルート キー オブジェクトを削除します。

すべての GC の再ホスト

警告

すべてのドメインの既定のドメイン管理者ユーザー アカウント (“RID-500”) のログイン名とパスワードが使用可能になっている必要があります。また、ログオン時に GC にアクセスできない問題が発生したときに使用できるように、このアカウントは有効になっている必要があります。

Note

GC の検証なしでログオンを許可するために、HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\IgnoreGCFailures 値を 1 に構成することもできます。

不明な場合は、whoami /all を使用してドメイン IDを取得するか、次のコマンドを実行して RID 500 を識別します。\$DomainSID = (Get-ADDomain).DomainSID.Value\$ObjSID = New-ObjectSystem.Security.Principal.SecurityIdentifier("\$DomainSID-500")\$RID500 = \$ObjSID.Translate([System.Security.Principal.NTAccount])\$RID500.Value

すべての GC の再ホストは、repadmin /unhost コマンドと repadmin /rehost コマンド (repadmin /experthelp の一部) を使用して行うことができます。 repadmin コマンドは、回復されない各ドメインのすべての GC で実行します。 すべての GC が、回復したドメインのコピーを保持していないことを確認する必要があります。 これを実現するには、最初に、フォレストのすべての回復されないドメインのすべてのドメイン コントローラーからドメイン パーティションをホスト解除します。 GC にパーティションが含まれなくなったため、再ホストできます。 再ホスト時は、フォレストのサイトとレプリケーションの構造を考慮してください。 たとえば、サイトごとに 1 つの DC の再ホストを完了してから、そのサイトの他の DC を再ホストするようにします。

このオプションは、ドメインごとに少数のドメイン コントローラーを持つ小規模な組織に便利です。 金曜日の夜にすべての GC を再構築できます。必要な場合は、すべての読み取り専用ドメイン パーティションについて、月曜日の朝以前にレプリケーションを完了します。 ただし、世界中のサイトをカバーする大規模なドメインを回復する必要がある場合は、他のドメインのすべての GC で読み取り専用ドメイン パーティションを再ホストすると、運用に大きな影響を与え、ダウンタイムが生じる可能性があります。

残留オブジェクトを確認して削除する

フォレスト内の他のすべてのドメインの GC で、回復されたドメインの読み取り専用パーティションの残留オブジェクトの有無を確認し、ある場合は削除します。

クリーンアップする残留オブジェクトのソースは、回復されたドメインの DC である必要があります。 ソース DC にどのドメイン パーティションの残留オブジェクトもないようにするには、グローバル カタログを削除します。

残留オブジェクトの削除は、ドメイン名前付けコンテキストの再ホストに伴うダウンタイムのリスクを許容できない大規模組織に便利です。

詳細については、repadmin を使用した残留オブジェクトの削除に関するページを参照してください。

次のステップ