AD フォレストの回復 - FAQ

このドキュメントには、フォレストの回復に関してよく寄せられる質問 (FAQ) が含まれています。

回復を高速化するために何ができますか?

回復の速度はこのガイドの主な目標ではありませんが、次の方法で復旧時間を短縮できます。

• 詳細なフォレスト復旧計画を作成し、定期的に更新し、少なくとも年に 1 回は妥当なサイズのシミュレートされたテスト環境で実施します。
• ベア メタル復旧 (BMR) とシステム状態回復の両方を提供する Windows Server バックアップの FULL バックアップを実行する。
• 仮想化ドメイン コントローラー (DC) の複製の使用。 仮想化 DC の複製により、ドメイン サービスの元の帯域幅を復元するために追加のドメイン コントローラーをデプロイするプロセスが迅速化されます。 1 つの DC の後で実行されている DC は、各ドメインのバックアップから復元されます。これは不正な復元であるため、PDC エミュレーターも複製操作中に使用できる必要があります。 追加の仮想化 DC は、時間の長い可能性のある AD DS インストールが完了し、インストール後に重要でないレプリケーションが完了するのを待つのではなく、複製できます。 仮想 DC が比較的少数の適切に接続されたデータ センターでホストされているフォレストは、復旧中の複製の恩恵を最も受ける可能性があります。 ただし、同じドメインの複数の仮想化 DC が同じハイパーバイザー ホスト上に併置されている環境では、メリットがあります。
• 差分のみがレプリケートされるため、レプリケーション トラフィックを減らすことで、メディア IFM からインストールを使用して、レプリケーションの完了に必要な時間を短縮します。 また、複数の DC の高速インストールも可能です。
• 複雑なリモート サイトシナリオを使用する場合 (まれ): -** ハブまたはステージング サイト内の 1 つまたは複数のサーバーに AD DS をインストールし、リモート サイトに配布します。
  • プライマリ データセンターの場所でプライマリ バックアップおよびディザスター リカバリー (BDR) システムとして指定された DC に加えて、接続が低い/断続的な DC のバックアップ/復元手順を実装します。 復元された DC を他の場所のメイン データセンター DC と同期させる手順を追加する必要があります。 これを行うには、コンピューター アカウント参照として 1 つの DC を指定し、KDCSVC のみを実行します。 復元した他の DC では、「ドメイン コントローラーのパスワードをリセットする」の手順に従って 、Netdom.exe
• 読み取り専用ドメイン コントローラー (RODC) の展開 RODC は、書き込み可能な DC のようにネットワークから切断する必要がないため、復旧プロセス中にビジネス継続性を提供できます。 RODC は送信レプリケーションを実行しません。 そのため、書き込み可能な DC が、回復された環境に破損したデータをレプリケートする場合と同じリスクを提示しません。

フォレストの復旧プロセスの期間に影響を与えるその他の要因は次のとおりです。

• ドメイン コントローラーが仮想マシンの場合は、スナップショット復元を利用して DC を既知の正常な状態にロールバックできます。 バックアップに使用されるスナップショットには、使用可能なバックアップ履歴を持つ VM サーバー上のスナップショットのディスク領域の可用性など、いくつかの注意事項が含まれるため、これは推奨される方法ではありません。 通常のバックアップを復旧の主な手段として使用することを強くお勧めします。 VM スナップショットは、ドメイン名の変更や大規模なスキーマの更新などのフォレスト全体の更新など、機密性の高い変更後の問題からの復旧に役立つ場合があります。 手記： 必要に応じて、手動で SYSVOL を DFSR の権限のあるものとしてマークする必要があります。 仮想化ドメイン コントローラーの詳細については、「仮想化ドメイン コントローラーのアーキテクチャ」を参照してください。

• バックアップから DC を復元する場合、テープなどの物理バックアップ メディアの検索と取得、回復シナリオに応じたオペレーティング システムの再インストール、バックアップ メディアからのデータの復元に時間がかかります。

  Note

  システム状態の復元ではなく BMR 回復を実行することで、オペレーティング システムの再インストールとバックアップからのデータの復元に必要な時間を短縮できます。 ベア メタル復旧はバイナリ ベースであるため、システム状態の復元よりもはるかに高速に完了します。 ただし、復元しないシステム状態データから除外されたデータがサーバーに含まれている場合、ベア メタル復旧は、システム状態の復元に代わる有効な方法ではない可能性があります。 サーバーのシステム状態の復元ではなく、完全なサーバー回復を実行する利点を検討し、後で復元する予定の適切な種類のバックアップを実行して、それに応じて準備します。 一般的なベスト プラクティスでは、BMR またはシステム状態の復元の種類の両方を提供する FULL バックアップを実行することをお勧めします。

  • レプリケーションによって DC を再構築する場合、ネットワーク ベースの昇格のデータをレプリケートするのに時間がかかります。 昇格するパートナーと同じサブネットに新しいドメイン コントローラーを配置することで、DC の復元に必要な時間を短縮できます。 これにより、ネットワークのラウンドトリップとスループットによって発生する遅延が最小限に抑えられます。

• 次の方法でバックアップ メディアを取得する時間を短縮します。

  • Active Directory データベース マウント ツール (Dsamain.exe) を使用して 、復元操作に使用する最適なバックアップを特定します。 Active Directory データベース マウント ツールの使用方法の詳細については、 Active Directory データベース マウント ツールのステップ バイ ステップ ガイドを参照してください。
  • バックアップ メディアに明確なラベルを付 け、メディアを整理された方法で保存し、簡単に取得できる便利で安全な場所に保存します。 バックアップに従って有効な資格情報があることを確認します。

• オペレーティング システムを再インストールするのではなく、DC から AD DS を強制的に削除する。 フォレスト全体の障害の原因が AD DS のスコープ内にあると判明した場合は、DC にオペレーティング システムを再インストールする必要はありません。 DC から AD DS を強制的に削除する方法の詳細については、「 Windows Server 2008 ドメイン コントローラーの削除の強制 (https://go.microsoft.com/fwlink/?LinkId=132627)」を参照してください。

• 高速のテープ デバイスまたはディスク バックアップを使用 して、復元操作に必要な時間を短縮します。 より積極的なサービス レベル アグリーメント (SLA) を持つ企業は、復旧を高速化するためにフォレストの復旧手順を変更することを検討する場合があります。

フォレストの復旧プロセスを自動化できますか?

フォレストの復旧プロセスの複雑で重要な性質のため、現在のところ、エンドツーエンドの自動化はありません。 フォレストの復旧プロセスは、プロセス自動化の技術的な問題よりも、ビジネス継続性を復元するための物流的および組織的な課題です。 そのため、環境を管理する個人は、その環境に固有のフォレスト復旧計画を作成し、そのセクションを自動化して正常に自動化する必要があります。

ほとんどのフォレストの回復手順は、コマンド ライン ツールを使用して実行できます。 そのため、ほとんどの手順はスクリプト可能です。 たとえば、 Ntdsutil.exe は、フォレストの回復プロセスで最もよく使用されるツールの 1 つです。

スクリプトは回復速度を上げることができますが、実際の環境に適用する前に、これらのスクリプトを十分にテストする必要があります。 また、新しいドメインや DC の追加、Active Directory の新しいバージョンの追加など、Active Directory 環境の変更に応じて更新する必要があります。

Next steps

• AD フォレストの回復 - 前提条件
• AD フォレストの回復 - カスタム フォレスト回復計画を作成する
• AD フォレストの回復 - フォレストを復元する手順
• AD フォレストの回復 - 問題を特定する
• AD フォレストの回復 - 回復方法を決定する
• AD フォレスト回復 - 初期回復処理の実行
• AD フォレストの回復 - 手順
• AD フォレストの回復 - よく寄せられる質問 (FAQ)
• AD フォレストの回復 - マルチドメイン フォレスト内の 1 つのドメインを回復する
• AD フォレストの回復 - 残りの DC を再デプロイする
• AD フォレストの回復 - 仮想化
• AD 森林の復元 - クリーンアップ

このドキュメントには、フォレストの回復に関してよく寄せられる質問 (FAQ) が含まれています。

回復の速度はこのガイドの主な目標ではありませんが、次の方法で復旧時間を短縮できます。

• 詳細なフォレスト復旧計画を作成し、定期的に更新し、少なくとも年に 1 回は妥当なサイズのシミュレートされたテスト環境で実施します。
• ベア メタル復旧 (BMR) とシステム状態回復の両方を提供する Windows Server バックアップの FULL バックアップを実行する。
• 仮想化ドメイン コントローラー (DC) の複製の使用。 仮想化 DC の複製により、ドメイン サービスの元の帯域幅を復元するために追加のドメイン コントローラーをデプロイするプロセスが迅速化されます。 1 つの DC の後で実行されている DC は、各ドメインのバックアップから復元されます。これは不正な復元であるため、PDC エミュレーターも複製操作中に使用できる必要があります。 追加の仮想化 DC は、時間の長い可能性のある AD DS インストールが完了し、インストール後に重要でないレプリケーションが完了するのを待つのではなく、複製できます。 仮想 DC が比較的少数の適切に接続されたデータ センターでホストされているフォレストは、復旧中の複製の恩恵を最も受ける可能性があります。 ただし、同じドメインの複数の仮想化 DC が同じハイパーバイザー ホスト上に併置されている環境では、メリットがあります。
• 差分のみがレプリケートされるため、レプリケーション トラフィックを減らすことで、メディア IFM からインストールを使用して、レプリケーションの完了に必要な時間を短縮します。 また、複数の DC の高速インストールも可能です。
• 複雑なリモート サイトシナリオを使用する場合 (まれ): -** ハブまたはステージング サイト内の 1 つまたは複数のサーバーに AD DS をインストールし、リモート サイトに配布します。
  • プライマリ データセンターの場所でプライマリ バックアップおよびディザスター リカバリー (BDR) システムとして指定された DC に加えて、接続が低い/断続的な DC のバックアップ/復元手順を実装します。 復元された DC を他の場所のメイン データセンター DC と同期させる手順を追加する必要があります。 これを行うには、コンピューター アカウント参照として 1 つの DC を指定し、KDCSVC のみを実行します。 復元した他の DC では、「ドメイン コントローラーのパスワードをリセットする」の手順に従って 、Netdom.exe
• 読み取り専用ドメイン コントローラー (RODC) の展開 RODC は、書き込み可能な DC のようにネットワークから切断する必要がないため、復旧プロセス中にビジネス継続性を提供できます。 RODC は送信レプリケーションを実行しません。 そのため、書き込み可能な DC が、回復された環境に破損したデータをレプリケートする場合と同じリスクを提示しません。

フォレストの復旧プロセスの期間に影響を与えるその他の要因は次のとおりです。

• ドメイン コントローラーが仮想マシンの場合は、スナップショット復元を利用して DC を既知の正常な状態にロールバックできます。 バックアップに使用されるスナップショットには、使用可能なバックアップ履歴を持つ VM サーバー上のスナップショットのディスク領域の可用性など、いくつかの注意事項が含まれるため、これは推奨される方法ではありません。 通常のバックアップを復旧の主な手段として使用することを強くお勧めします。 VM スナップショットは、ドメイン名の変更や大規模なスキーマの更新などのフォレスト全体の更新など、機密性の高い変更後の問題からの復旧に役立つ場合があります。 手記： 必要に応じて、手動で SYSVOL を DFSR の権限のあるものとしてマークする必要があります。 仮想化ドメイン コントローラーの詳細については、「仮想化ドメイン コントローラーのアーキテクチャ」を参照してください。

• バックアップから DC を復元する場合、テープなどの物理バックアップ メディアの検索と取得、回復シナリオに応じたオペレーティング システムの再インストール、バックアップ メディアからのデータの復元に時間がかかります。

  Note

  システム状態の復元ではなく BMR 回復を実行することで、オペレーティング システムの再インストールとバックアップからのデータの復元に必要な時間を短縮できます。 ベア メタル復旧はバイナリ ベースであるため、システム状態の復元よりもはるかに高速に完了します。 ただし、復元しないシステム状態データから除外されたデータがサーバーに含まれている場合、ベア メタル復旧は、システム状態の復元に代わる有効な方法ではない可能性があります。 サーバーのシステム状態の復元ではなく、完全なサーバー回復を実行する利点を検討し、後で復元する予定の適切な種類のバックアップを実行して、それに応じて準備します。 一般的なベスト プラクティスでは、BMR またはシステム状態の復元の種類の両方を提供する FULL バックアップを実行することをお勧めします。

  • レプリケーションによって DC を再構築する場合、ネットワーク ベースの昇格のデータをレプリケートするのに時間がかかります。 昇格するパートナーと同じサブネットに新しいドメイン コントローラーを配置することで、DC の復元に必要な時間を短縮できます。 これにより、ネットワークのラウンドトリップとスループットによって発生する遅延が最小限に抑えられます。

• 次の方法でバックアップ メディアを取得する時間を短縮します。

  • Active Directory データベース マウント ツール (Dsamain.exe) を使用して 、復元操作に使用する最適なバックアップを特定します。 Active Directory データベース マウント ツールの使用方法の詳細については、 Active Directory データベース マウント ツールのステップ バイ ステップ ガイドを参照してください。
  • バックアップ メディアに明確なラベルを付 け、メディアを整理された方法で保存し、簡単に取得できる便利で安全な場所に保存します。 バックアップに従って有効な資格情報があることを確認します。

• オペレーティング システムを再インストールするのではなく、DC から AD DS を強制的に削除する。 フォレスト全体の障害の原因が AD DS のスコープ内にあると判明した場合は、DC にオペレーティング システムを再インストールする必要はありません。 DC から AD DS を強制的に削除する方法の詳細については、「 Windows Server 2008 ドメイン コントローラーの削除の強制 (https://go.microsoft.com/fwlink/?LinkId=132627)」を参照してください。

• 高速のテープ デバイスまたはディスク バックアップを使用 して、復元操作に必要な時間を短縮します。 より積極的なサービス レベル アグリーメント (SLA) を持つ企業は、復旧を高速化するためにフォレストの復旧手順を変更することを検討する場合があります。

フォレストの復旧プロセスの複雑で重要な性質のため、現在のところ、エンドツーエンドの自動化はありません。 フォレストの復旧プロセスは、プロセス自動化の技術的な問題よりも、ビジネス継続性を復元するための物流的および組織的な課題です。 そのため、環境を管理する個人は、その環境に固有のフォレスト復旧計画を作成し、そのセクションを自動化して正常に自動化する必要があります。

ほとんどのフォレストの回復手順は、コマンド ライン ツールを使用して実行できます。 そのため、ほとんどの手順はスクリプト可能です。 たとえば、 Ntdsutil.exe は、フォレストの回復プロセスで最もよく使用されるツールの 1 つです。

スクリプトは回復速度を上げることができますが、実際の環境に適用する前に、これらのスクリプトを十分にテストする必要があります。 また、新しいドメインや DC の追加、Active Directory の新しいバージョンの追加など、Active Directory 環境の変更に応じて更新する必要があります。

Next steps

• AD フォレストの回復 - 前提条件
• AD フォレストの回復 - カスタム フォレスト回復計画を作成する
• AD フォレストの回復 - フォレストを復元する手順
• AD フォレストの回復 - 問題を特定する
• AD フォレストの回復 - 回復方法を決定する
• AD フォレスト回復 - 初期回復処理の実行
• AD フォレストの回復 - 手順
• AD フォレストの回復 - よく寄せられる質問 (FAQ)
• AD フォレストの回復 - マルチドメイン フォレスト内の 1 つのドメインを回復する
• AD フォレストの回復 - 残りの DC を再デプロイする
• AD フォレストの回復 - 仮想化
• AD 森林の復元 - クリーンアップ