次の方法で共有

仮想ドメイン コントローラーを復元する

ディザスター リカバリー シナリオ中に物理または仮想ドメイン コントローラー (DC) を復元するには、システムの状態を定期的にバックアップする必要があります。 システム状態には、Active Directory のデータ ファイルとログ ファイル、レジストリ、システム ボリューム、オペレーティング システムのさまざまな要素が含まれます。 Active Directory と互換性のあるバックアップ アプリケーションでは、レプリケーション パートナーに呼び出し ID のリセットの通知など、復元プロセス後に一貫性のあるローカルおよびレプリケートされた Active Directory データベースが保証されます。 仮想ホスティング環境とディスクまたは OS イメージング アプリケーションを使用すると、管理者は、DC システムの状態の復元中に発生する標準のチェックと検証をバイパスできます。

DC 仮想マシン (VM) が失敗し、 更新シーケンス番号 (USN) のロールバックの兆候が表示されない場合は、VM を復元する方法が 2 つあります。

  • システムに障害が発生する前の有効なシステム状態データバックアップがある場合は、廃棄石の有効期間内にバックアップを作成するために使用した Active Directory 互換のバックアップ ユーティリティを使用して復元できます。 既定のトゥームストーンの有効期間は180日です。 DC は、少なくとも 90 日ごとに定期的にバックアップする必要があります。 廃棄石の有効期間の決定の詳細については、「 フォレストの廃棄石の有効期間を決定する」を参照してください。

  • 仮想ハード ディスク (VHD) ファイルの作業コピーがあり、システム状態のバックアップがない場合は、既存の VM を削除し、VHD の以前のコピーを使用して復元できます。 必ず DSRM で VM を起動し、「 システム状態バックアップの復元」の説明に従ってレジストリ プロパティを構成します。 その後、通常モードで DC を再起動します。

DC をバックアップする最適な方法を決定する

DC をバックアップする方法はいくつかありますが、デプロイに最適な方法は複数の要因によって異なります。

  • DC に重要なデータがない場合、または DC がダウンする前にバックアップが作成されていない場合:

    • AD DS ロールを DC から強制的に削除します。

    • 失敗したドメイン コントローラーのコンピューター アカウントを削除します。

    • 必要に応じて、次の DC になる代替サーバーに AD DS の役割をインストールします。

  • システム状態バックアップがある場合は、「システム状態バックアップの復元」の手順に従って DC を復元します

  • VHD ファイルに以前のバージョンの DC がある場合は、「VHD ファイルを使用して 仮想 DC を復元する」の指示に従います。

    • 以前のバージョンで、VM-GenerationID パラメーターをサポートする Hyper-V で Windows Server 2012 が実行されている場合は、新しい VM に対して VHD をデプロイしてから、通常モードで VM を再起動します。

    • 以前のバージョンが別のバージョンの Windows Server を実行している場合、通常モードで既に起動していますか?

      • ない場合は、DSRM で起動し、バックアップ レジストリ値から復元されたデータベースを 1 に設定して DC を復元し、通常モードで再起動します。

      • "はい" の場合は、仮想 DC をネットワークから切断し、必要な一意のデータを復旧し、VM の別のコピーに保存してから、ネットワーク上の元の DC をもう一度使用しないでください。 また、元の DC から AD DS の役割を削除するか、OS を再インストールしてから、その役割を新しいバージョンの DC にインストールします。

RODC を復元しようとしている場合:

  • 元の DC が失敗する前にシステム状態データのバックアップがある場合は、それを使用して DC を復元します。

  • システム状態のバックアップがないが、以前のバージョンの DC の VHD ファイルがある場合は、障害が発生した DC を削除し、VHD ファイルからバックアップを使用して新しい VM を作成して起動します。

  • これらのバックアップがない場合は、次のコマンドを実行して、ドメイン コントローラーから AD DS ロールを削除します。

    dcpromo /forceremoval

    コマンドを実行した後、代替サーバーに AD DS ロールをインストールして RODC にします。

システム状態のバックアップを復元する

DC VM に有効なシステム状態バックアップが存在する場合は、VHD ファイルのバックアップに使用したバックアップ ツールの復元手順に従って、バックアップを安全に復元できます。

重要

DC を適切に復元するには、通常モードではなく DSRM で DC を起動する必要があります。 システムの起動時に DSRM に入る機会を逃した場合は、DC の VM をオフにしてから、通常モードで完全に起動します。 DC がネットワークから切断されている場合でも、通常モードで DC を起動すると USN がインクリメントされるため、DSRM で DC を起動することが重要です。 USN ロールバックについて詳しく知りたい方は、USN と USN ロールバックを参照してください。

仮想 DC のシステム状態バックアップを復元する

仮想 DC のシステム状態データ バックアップを復元するには:

  1. DC の VM を起動し、 F5 キーを押して Windows ブート マネージャーにアクセスします。

  2. 接続資格情報の入力を求められた場合は、次の手順に従います。

    • VM の [一時停止 ] ボタンをすぐに選択して、プロセスを一時停止します。

    • 接続資格情報を入力します。

    • VM の [再生 ] ボタンを選択します。

    • VM ウィンドウ内を選択し、 F5 キーを押します。

    Windows ブート マネージャーが開かなくても DC が通常モードで起動し始める場合は、VM をオフにしてプロセスを一時停止します。 Windows ブート マネージャーにアクセスできるようになるまで、この手順を必要な回数繰り返します。 Windows エラー回復メニューから DSRM にアクセスすることはできません。 そのため、VM をオフにして、Windows の [エラー回復] メニューが表示されたら、もう一度やり直してください。

  3. Windows ブート マネージャーで、F8 キーを押して高度なブート オプションにアクセスします。

  4. [高度なブート オプション] で、[ディレクトリ サービス復元モード] を選択し、Enter キーを押して DSRM で DC を起動します。

  5. システム状態バックアップの作成に使用したツールに適した復元方法を使用します。 Windows Server バックアップを使用した場合は、 AD DS の非認証復元の実行に関する記事の指示に従ってください。

VHD ファイルを使用して仮想 DC を復元する

VM の障害より前のシステム状態データ バックアップがない場合は、VHD ファイルを使用して、VM で実行されている DC を復元できます。 開始する前に、必ず VHD ファイルのコピーを作成してください。 そうすることで、手順中に問題が発生した場合や、手順を実行できなかった場合は、コピーした VHD を再度試すことができます。

警告

定期的に計画されたバックアップとスケジュールされたバックアップの代わりに、この手順を使用しないでください。 この手順で実行された復元は、Microsoft ではサポートされていません。 この手順は、代替手段がない場合にのみ使用します。

通常モードで復元に使用する予定の VHD のコピーが VM で既に開始されている場合は、この手順を使用しないでください。

VHD ファイルを使用して仮想 DC を復元するには:

  1. 前の VHD を使用して、DSRM で仮想 DC を起動します。

    • DC を通常モードで起動しないでください。 Windows ブート マネージャー画面が表示されなくなり、DC が通常モードで起動し始めた場合は、VM をオフにして起動しないようにします。

  2. [スタート] を選択し、「regedit.exe」と入力してレジストリ エディターを選択して、レジストリ エディターを開きます。

    • [ユーザー アカウント制御] ダイアログが表示される場合は、表示されるアクションが期待どおりに表示されていることを確認し、[はい] を選択します。

    • レジストリ エディターで、パス HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parametersを展開します。

    • DSA Previous Restore Count という名前の値を探します。 値が存在する場合は、設定を書き留めます。 それ以外の場合、設定値は既定値 (0) です。 値が表示されない場合は、値を手動で設定しないでください。

  3. [パラメーター] キーを右クリックし、[新規] を選択し、[DWORD (32 ビット) 値] を選択します。

  4. バックアップから復元された新しい名前データベースを入力し、Enter キーを押します。

  5. 作成した値をダブルクリックして [ DWORD の編集 (32 ビット) 値 ] ダイアログを開き、[ 値] データ フィールドを見つけて 「1」と入力します。

  6. DC を通常モードで再起動します。

  7. DC が再起動したら、[ スタート] を右クリックし、[イベント ビューアー] を選択して イベント ビューアーを開きます。

  8. アプリケーション ログとサービスログを展開し、 ディレクトリサービス ログを選択します。 詳細ウィンドウにイベントが表示されていることを確認します。

  9. ディレクトリ サービス ログを右クリックし、[検索] を選択します。

  10. [ 検索 する文字列] フィールドに「 1109」と入力し、[ 次へ検索] を選択します。

  11. イベント ID 1109 のエントリが少なくとも 1 つ表示されます。 このエントリが表示されない場合は、次の手順に進みます。 それ以外の場合は、エントリをダブルクリックしてテキストを確認します。 次の出力例に示すように、テキストに InvocationID が更新されたことが示されていることを確認します。

    Active Directory has been restored from backup media, or has been configured to host an application partition.
The invocationID attribute for this directory server has been changed.
The highest update sequence number at the time the backup was created is <time>

InvocationID attribute (old value):<Previous InvocationID value>
InvocationID attribute (new value):<New InvocationID value>
Update sequence number:<USN>

The InvocationID is changed when a directory server is restored from backup media or is configured to host a writeable application directory partition.

  12. イベント ビューアーを閉じます。

  13. レジストリ エディターを使用して、DSA Previous Restore Count 設定の値が前の値に 1 を加えた値と等しいことを確認します。 正しい値が存在せず、イベント ビューアーでイベント ID 1109 のエントリが見つからない場合は、DC のサービス パックが最新であることを確認します。

    同じ VHD でこの手順をもう一度試すことはできません。 手順 1 からやり直すことで、通常モードで起動されていない VHD または別の VHD のコピーをもう一度試すことができます。

  14. レジストリ エディターを閉じます。

追加のコンテンツ

仮想化 DC の詳細については、「 Hyper-V を使用したドメイン コントローラーの仮想化」を参照してください。