ActiveImage Protector 2.7 Active Directory のバックアップと復元 ActiveImage Protector は 株式会社ネットジャパンの商標です ReZoom は Rectiphy Corporation の 商標です Microsoft および Windows は Microsoft Corporation の登録商標です Windows Preinstallation Environment および Windows PE は Microsoft Corporation の商標です 株式会社ネットジャパン 101-0035 東京都千代田区神田紺屋町 8 番アセンド神田紺屋町ビル Copyright 2010 NetJapan, Inc. 無断複写 転載を禁止します 本ソフトウェアと付属ドキュメントは 株式会社ネットジャパンに所有権および著作権があります 1
はじめに ActiveImage Protector は エンタープライズ SOHO ワークステーション ホームユースまでをターゲットにした Windows 向けハードディスクのバックアップ リストアユーティリティです システム運用中のホットイメージング ベアメタルリカバリー ディザスタリカバリー 仮想環境への展開までをカバーすることを想定し バックアップメディアもローカルディスクからネットワークストレージまで幅広く対応します 簡単かつ直感的な操作による確実なバックアップタスクを作成することができ 安定したバックアップを可能にします また 復旧時には素早く 間違いなくシステムを再稼働させることが可能になります このドキュメントでは ActiveImage Protector による Active Directory のドメインメンバーと ドメイン コントローラーの復元処理の完了から ドメインへの復帰を完了する範囲における留意事項が記載されていま す 1. ドメインメンバーとして稼働する環境のバックアップイメージファイル復元時の留意事項ドメインメンバーとドメインコントローラー間のセキュアチャネルの概要と セキュアチャネルの有効性の確認手順 およびセキュアチャネルの復旧手順が記載されています 2. ドメインコントローラーとして稼働する環境のバックアップイメージファイル復元時の留意事項各オペレーティングシステム上での既定の破棄期限を含む Tombstone Lifetime の概要と 破棄期限を経過しないバックアップイメージファイルからドメインコントローラーを復旧した際のドメインへの復帰手順が記載されています ドキュメントファイルは更新されることがありますので サポート情報ページから最新版を取得してください < サポート情報ページ > http://www.netjapan.co.jp/e/support/faq/product.php 2
目次目次... 3 1. ドメインメンバーとして稼働する環境のバックアップイメージファイル復元時の留意事項... 4 1-1. ドメインメンバーとドメインコントローラー間のセキュアチャネル... 4 1-2. セキュアチャネルの有効期間... 4 1-3. セキュアチャネルのリセット... 6 出典 :... 6 2. ドメインコントローラーとして稼働する環境のバックアップイメージファイル復元時の留意事項 7 2-1. Tombstone Lifetime の期間を超過したバックアップイメージファイルについて... 7 2-2. Tombstone Lifetime の既定値... 7 2-3. ドメインコントローラーのパスワードのリセット... 8 Windows Server 2003 Resource Kit Tools... 8 Windows 2000 Resource Kit Tool: Kerbtray.exe... 8 出典 :... 9 3
----------------------------------------------------------------------------------------------------- 1. ドメインメンバーとして稼働する環境のバックアップイメージファイル復元時の留意事項 ----------------------------------------------------------------------------------------------------- 1-1. 1. ドメインメンバーとドメインコントローラー間のセキュアチャネルドメインのメンバーである各 Windows ワークステーション (Windows 2000 Professional Windows XP Windows Vista Windows 7) および Windows サーバー (Windows 2000 Server Windows Server 2003 Windows Server 2008 Windows Server 2008 R2) では ドメインコントローラーに対する独立した通信チャネルが使用されています これは " セキュアチャネル ( もしくはセキュリティチャネル ) " として知られています このドキュメントでは " セキュアチャネル " としてこれを扱います ActiveImage Protector により セキュアチャネルの有効期間内に復元されたドメインメンバーをドメインに復 帰させる際には 追加の操作は発生しません ActiveImage Protector により復元されたドメインメンバーと ドメインコントローラー間のセキュアチャネルの破損が検出された場合は セキュアチャネルのリセットが必要になります 具体的な操作としては 復元されたドメインメンバーのドメインへの参加の解除と 再参加が必要になります この操作はドメインメンバー上からのみ実行が可能です 具体的な操作手順は 1-3. セキュアチャネルのリセット を参照下さい セキュアチャネルの有効期間の既定値については 1-2. セキュアチャネルの有効期間 を参照下さい 1-2. セキュアチャネルの有効期間セキュアチャネルのパスワードは すべてのドメインコントローラー上にコンピューターアカウントと共に保存されます デフォルトのコンピューターアカウントパスワードの変更期間は 30 日に設定されています 30 日以前に取得されたバックアップイメージファイルからシステムを復元し ドメインにログオンすると コンピューターアカウントのパスワードと LSA (Local Security Authority) シークレットが同期されていないことが検出され Netlogon サービスでは 次のいずれか または両方のエラーメッセージがログに記録されます この状態を セキュアチャネルの破損と呼びます ( エラーメッセージの例 ) NETLOGON イベント ID 5723: コンピュータ DOMAINMEMBER からのセッション設定を認証できませんでした セキュリティデータベースで参照されたアカウント名は DOMAINMEMBER$ です 次のエラーが発生しました アクセスは拒否されました NETLOGON イベント ID 3210: ドメイン DOMAIN の Windows ドメインコントローラ \\DOMAINDC で認証に失敗しました 4
ドメインコントローラの Netlogon サービスは パスワードが同期しない場合に 以下のエラーメッセージを出力します ( エラーメッセージの例 ) NETLOGON イベント ID 5722: コンピュータ ComputerName からのセッション設定を認証できませんでした セキュリティデータベースで参照されたアカウント名は AccountName$ です 次のエラーが発生しました アクセスが拒否されました 参考 (netdom コマンドによるセキュアチャネルの確認 ): ドメインメンバーとドメインコントローラー間のセキュアチャネルの状態は netdom コマンドを使用して確認することもできます netdom.exe を実行するには Windows Server 2000 および Windows Server 2003 である場合には Support Tools をインストールします これらのツールは Windows Server CD-ROM の Support\Tools フォル ダーにあります (Windows 2000 の場合 ) Support\Tools\Support.cab (Windows Server 2003 の場合 ) Support\Tools\Suptools.msi Windows Server 2008 R2 および Windows Server 2008 には Netdom.exe ツールは標準でセットアップされて います ( コマンドの実行例 ) netdom.exe verify < ドメインメンバーのマシン名 > /domain:< ドメイン名 > ( コマンドの実行結果 ) ( セキュアチャネルが正常に確立されている場合の実行結果の例 ) The secure channnel from < ドメインメンバーのマシン名 > to the domain < ドメイン名 > has been verified. The connection is with the machine <DC 名 > ( セキュアチャネルが破損している場合の実行結果の例 ) The command failed to complete successfully. 5
1-3. セキュアチャネルのリセットドメインメンバーのセキュアチャネルが破損してしまった場合は 上記の問題が発生したドメインメンバーのドメインへの参加を一旦解除した後に 再度 ドメインに参加させる必要があります ドメインメンバーをドメインに再参加させる手順は下記のとおりです これらの操作をドメインメンバー上で実行する必要があります 1. [ コントロールパネル ] を開き [ システム ] をダブルクリックします 2. 開いた画面の左側のメニューから " システムの詳細設定 " をクリックします 3. [ コンピュータ名 ] タブを開き [ 変更 ] ボタンをクリックします 4. [ ワークグループ ] のラジオボタンを選択し ワークグループ名を入力して [OK] をクリックします 5. コンピューターを再起動します 6. 再度 1 ~ 3 の手順を実施して コンピュータ名 / ドメイン名の変更の画面を開きます 7. [ ドメイン ] のラジオボタンを選択し 再参加するドメイン名を入力して [OK] をクリックします 8. コンピューターを再起動します 出典 : Microsoft KB: Windows のコンピュータアカウントのリセット ( 文書番号 : 216393 - 最終更新日 : 2008 年 3 月 12 日 - リビジョン : 6.2) http://support.microsoft.com/kb/216393/ja TechNet Blogs: ドメインにログオンできない ~ セキュアチャネルの破損 ~ http://blogs.technet.com/b/jpntsblog/archive/2009/06/05/3250724.aspx 6
----------------------------------------------------------------------------------------------------- 2. ドメインコントローラーとして稼働する環境のバックアップイメージファイル復元時の留意事項 ----------------------------------------------------------------------------------------------------- 2-1. Tombstone Lifetime の期間を超過したバックアップイメージファイルについて Tombstone Lifetime ( 廃棄の有効期限 ) を超過したバックアップイメージファイルから ドメインコントローラーの役割を持つ環境を復元することはできません 上記の要件を満たす環境をバックアップイメージファイルから復元し ドメインに復帰させると Active Directory のメタデータに不整合が発生するおそれがあります 廃棄の有効期限の設定 ( 既定値は OS により異なり 60 日もしくは 180 日 ) よりも長い間オフラインになっていたドメインコントローラー ( グローバルカタログサーバーでもある場合があります ) には オフライン期間に他のドメインコントローラーやグローバルカタログサーバーで削除されたオブジェクトが含まれていることがあります また これらのオブジェクトの廃棄状態を示す情報は残されていません Tombstone Lifetime の期間を超過した 古いドメインコントローラーをオンラインに復帰させると そのドメ インコントローラーではオブジェクトが削除されたことの通知を受け取ることができなくなります いずれかのオ ブジェクトが変更されると それらのオブジェクトは残りのドメインでも再度アクティブ化されます これは 削除されたオブジェクトが Active Directory 上で復帰する結果を生じさせ Active Directory のメ タデータに不整合が発生したことを意味します 各オペレーティングシステムの有効期間の既定値については 2-2. Tombstobe Lifetime の既定値 を参照 下さい Tombstone Lifetime を経過しないイメージファイルからの復元であっても セキュアチャネルの破損の要件 を満たす場合は Netdom.exe コマンドによるセキュアチャネルのリセットが必要になります 手順については 2-3. ドメインコントローラーのパスワードのリセット を参照下さい 2-2. Tombstone Lifetime の既定値 Windows Server 2003 Service Pack 1 (SP1) Windows Server 2003 Service Pack 2 (SP2) Windows Server 2008 または Windows Server 2008 R2 オペレーティングシステムでは tombstonelifetime が NULL に設定されていると その値は既定値の 180 日に設定されます Windows 2000 Server Windows Server 2003 または Windows Server 2003 R2 オペレーティン グシステムでは tombstonelifetime が NULL に設定されていると その値は既定値の 60 日に設定 されます 7
2-3. ドメインコントローラーのパスワードのリセット Tombstone Lifetime の期間を超過しないバックアップイメージファイルから復元されたドメインコントローラーにおいて 前述の " セキュアチャネル " の破損が検出された場合には Netdom.exe を使用してコンピューターアカウントのパスワードをリセットする必要があります 1. パスワードをリセットするドメインコントローラーが Windows Server 2000 および Windows Server 2003 である場合には Support Tools をインストールします これらのツールは Windows Server CD-ROM の Support\Tools フォルダーにあります (Windows 2000 の場合 ) Support\Tools\Support.cab (Windows Server 2003 の場合 ) Support\Tools\Suptools.msi Windows Server 2008 R2 および Windows Server 2008 には Netdom.exe ツールは 標準でセットアップされています 2. パスワードをリセットするドメインコントローラー上の Kerberos Key Distribution Center サービスを停止し [ スタートアップの種類 ] を [ 手動 ] に変更します 3. 次の手順のいずれかを実行し Kerberos チケットキャッシュを削除します - コンピューターの再起動による Kerberos チケットキャッシュの削除 - KLIST Kerbtest または KerbTray ツールを使用による Kerberos チケットキャッシュの削除 Windows Server 2008 R2 および Windows Server 2008 には KLIST が含まれています Windows Server 2003 の場合 KLIST は Windows Server 2003 リソースキットのツール として無償でダウンロードできます Windows Server 2003 Resource Kit Tools http://www.microsoft.com/downloads/details.aspx?familyid=9d467a69-57ff-4ae7-96ee-b18c4790cffd& displaylang=en KerbTray ツールは Windows 2000 リソースキットのツールとして無償でダウンロードできます Windows 2000 Resource Kit Tool: Kerbtray.exe http://go.microsoft.com/fwlink/?linkid=93709 8
4. コマンドプロンプトで 次のように入力します netdom resetpwd /s:server /ud:domain User /pd:* このコマンドの説明 * /s:server は コンピューターアカウントのパスワードの設定に使用するドメインコントローラーの名前です これは KDC が実行されているサーバーです * /ud:domain\user は /s パラメーターで指定したドメインに接続するユーザーアカウントです domain\user の形式で指定する必要があります このパラメーターを省略すると 現在のユーザーアカウントが使用されます * /pd:* は /ud パラメーターで指定したユーザーアカウントのパスワードを示します アスタリスク (*) を使用すると パスワードの入力を求めるメッセージが表示されます 5. パスワードを変更したサーバーを再起動します 上記の操作を行った後においても 問題が解決しない場合は パスワードをリセットするドメインコントローラー のドメインへの参加を一旦解除した後に 再度 ドメインに参加させる必要があります この場合の操作手順は 1-3. セキュアチャネルのリセット と同一になります 出典 : Technet Windows Server TechCenter: 廃棄済みオブジェクト (Tombstone) の有効期間 http://technet.microsoft.com/ja-jp/library/dd392260%28ws.10%29.aspx Microsoft KB: Netdom.exe を使用して Windows Server ドメインコントローラーのコンピューターアカウントのパスワードをリセットする方法 ( 文書番号 : 325850 - 最終更新日 : 2009 年 10 月 15 日 - リビジョン : 9.0) http://support.microsoft.com/kb/325850/ja Microsoft KB: Windows 2000 でドメインコントローラのセキュアチャネルを修復する方法 ( 文書番号 : 435000 - 最終更新日 : 2007 年 7 月 24 日 - リビジョン : 1.5) http://support.microsoft.com/kb/435000/ja 9