Active Directory フォレストの回復 - マルチドメイン フォレストで単一ドメインを回復する

特定のシナリオでは、フォレストの完全回復ではなく、複数のドメインを持つフォレスト内の単一ドメインのみを回復する必要がある場合があります。 このトピックでは、単一ドメインを回復するための考慮事項と、考えられる戦略について説明します。

フォレストの回復プロセスと同様に、ドメイン内のバックアップから 1 つ以上の DC を復元し、残りの DC のメタデータ クリーンアップを実行します。 次に、新しいドメイン コントローラーが追加されます。これは、新しいメンバーに参加し、AD DS ロールをインストールして昇格することで行います。 タスクには、 DC 複製 または メディアからのインストール を使用することもできます。

単一ドメインの回復には、グローバル カタログ (GC) サーバーの再構築という固有の課題があります。 たとえば、ドメインの最初のドメイン コントローラー (DC) が 1 週間前に作成されたバックアップから復元された場合、フォレスト内の他のすべての GC は、復元された DC よりもそのドメインの最新のデータを保持します。 GC データの一貫性を再確立するには、いくつかのオプションがあります。

• 回復されたドメインのパーティションを、回復されたドメイン内の GC を除くフォレスト内のすべての GC から同時にホスト解除し、完了したらフォレスト内のすべての GC を再ホストします。 また、残りの GC をオーバーロードしないようにしてください。 大規模な環境では、このアクティビティの調整が非常に複雑になる場合があります。

• フォレストの回復プロセスに従ってドメインを回復し、他のドメインの GC から残留オブジェクトを削除します。

以下のセクションでは、各オプションに関する一般的な考慮事項について説明します。 回復に必要な手順の完全なセットは、Active Directory 環境によって異なります。

すべての GC の再ホスト

警告

すべてのドメインの既定のドメイン管理者ユーザー アカウント (“RID-500”) のログイン名とパスワードが使用可能になっている必要があります。また、ログオン時に GC にアクセスできない問題が発生したときに使用できるように、このアカウントは有効になっている必要があります。

注

GC の検証なしでログオンを許可するために、HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Lsa\\IgnoreGCFailures 値を 1 に構成することもできます。

不明な場合は、各ドメインのwhoami /all\$DomainSID = (Get-ADDomain).DomainSID.Value\$ObjSID = New-ObjectSystem.Security.Principal.SecurityIdentifier("\$DomainSID-500")\$RID500 = \$ObjSID.Translate([System.Security.Principal.NTAccount])

すべての GC の再ホストは、repadmin /unhost コマンドと repadmin /rehost コマンド (repadmin /experthelp の一部) を使用して行うことができます。 repadmin コマンドは、回復されない各ドメインのすべての GC で実行します。 すべての GC が回復されたドメインのコピーを保持していないことを確認する必要があります。 これを実現するには、最初に、フォレストのすべての回復されないドメインのすべてのドメイン コントローラーからドメイン パーティションをホスト解除します。 GC にパーティションが含まれなくなったため、再ホストできます。 再ホスト時は、フォレストのサイトとレプリケーションの構造を考慮してください。 たとえば、サイトごとに 1 つの DC の再ホストを完了してから、そのサイトの他の DC を再ホストするようにします。

このオプションは、ドメインごとに少数のドメイン コントローラーを持つ小規模な組織に便利です。 金曜日の夜にすべての GC を再構築できます。必要な場合は、すべての読み取り専用ドメイン パーティションについて、月曜日の朝以前にレプリケーションを完了します。 ただし、世界中のサイトをカバーする大規模なドメインを回復する必要がある場合は、他のドメインのすべての GC で読み取り専用ドメイン パーティションを再ホストすると、操作に大きな影響を与え、ダウンタイムが生じる可能性があります。

残留オブジェクトを確認して削除する

フォレスト内の他のすべてのドメインの GC で、回復されたドメインの読み取り専用パーティションの残留オブジェクトの有無を確認し、ある場合は削除します。

クリーンアップする残留オブジェクトのソースは、回復されたドメインの DC である必要があります。 ソース DC にどのドメイン パーティションの残留オブジェクトもないようにするために、グローバル カタログを削除できます。

残留オブジェクトの削除は、ドメイン名前付けコンテキストの再ホストに伴うダウンタイムのリスクを許容できない大規模組織に便利です。

詳細については、「 repadmin を使用して残留オブジェクトを削除する」を参照してください。

次のステップ

• AD フォレストの回復 - 前提条件
• AD フォレストの復旧 - カスタム フォレストの復旧計画を立てる
• AD フォレストの回復 - フォレストを復元する手順
• AD フォレストの回復 - 問題を特定する
• AD フォレストの回復 - 回復方法を決定する
• AD フォレストの回復 - 初期復旧を実行する
• AD フォレストの回復 - 手順
• AD フォレストの回復 - よく寄せられる質問 (FAQ)
• AD フォレストの回復 - マルチドメイン フォレスト内の 1 つのドメインを回復する
• AD フォレストの回復 - 残りの DC を再デプロイする
• AD フォレストの回復 - 仮想化
• AD フォレストの回復 - クリーンアップ