Acronis Backup & Recovery 10 による Active Directory のバックアップと復元 Copyright Acronis, Inc., 2000-2010 1
目次 1. はじめに... 3 2. バックアップと復元の概要... 3 3. Active Directoryのバックアップ... 3 4. Active Directoryの復元... 5 4.1. ドメインコントローラの復元 ( 他のドメインコントローラが利用できる場合 )... 5 4.2. ドメインコントローラの復元 ( 利用できる他のドメインコントローラがない場合 )... 7 4.3. Active Directoryデータベースの復元... 7 4.4. 偶発的に削除されてしまった情報の復元... 9 5. まとめ... 9 Copyright Acronis, Inc., 2000-2010 2
1. はじめに Microsoft Active DirectoryはWindowsプラットフォームの中心的なコンポーネントであり あらゆる規模のWindows 環境で使用されています Active Directoryには必要不可欠な情報が含まれ その可用性は企業経営の重要な要素となっています このホワイトペーパーは システム管理者がAcronis Backup & Recovery 10ソフトウェアを使用して Active Directoryに対する独自の復元ソリューションを実装できるようにすることを目的として作成されています 2. バックアップと復元の概要 Microsoft Active Directory(AD) の各サービスは ドメインコントローラのファイルシステム上にあるデータベースを使用します 2 台以上のドメインコントローラが利用できる場合 データベースに格納されている情報は 複数のドメインコントローラ間で頻繁に複製されます ボリューム シャドウ コピー サ ビス (VSS) と呼ばれるWindowsコンポーネントは Active Directory データベースの整合性があるコピーを作成するために使用されます Active Directory 復元のシナリオは 障害が発生したドメインコントローラの復元 破損したActive Directoryデータベースの復元 および偶発的に削除または変更されてしまったActive Directoryレコードの復元で構成されます 必要な操作とツールは 復元しなければならない情報の種類と 他のドメインコントローラが利用できるかどうかによって変わります 3. Active Directory のバックアップ Windows Server(Windows 2003とWindows 2008を含む ) では Active Directoryデータベースは 通常ドメインコントローラの %systemroot% NTDSフォルダ(C: Windows NTDSなど) にあります デフォルトではこのフォルダが使用されますが フォルダの設定は変更が可能です Ntdsutilコマンドライン ユーティリティは 現在使用されているフォルダを見つけるのに役立ちます データベースとトランザクションログは異なるボリュームに格納されている可能性があるため この両方を確実にバックアップに含めるように注意してください Active Directoryサービスはほぼ常に動作し続けているので バックアップした後のファイルの整合性を確保するためにVSSを使用する必要があります VSSを使用しなかった場合 ファイルは crash-consistent-stateにおかれます つまり 復元後のシステムは バックアップの開始時における予期しないシャットダウン後の再起動と同じような状態になります ほとんどのアプリケーションではこのようなバックアップでも十分ですが データベース (Active Directory データベースを含む ) に関しては crash-consistent-state から開始できない可能性があり 手動での復元が必要になることがあります Copyright Acronis, Inc., 2000-2010 3
これを避けるために ドメインコントローラのバックアップを作成する際には バックアップ設定で [VSS を使用してスナップショットを作成する ] オプションを選択します 注 : このオプションはデフォルトでは選択されていないので 必ず選択するようにしてください ドメインコントローラの完全バックアップを作成すると そのバックアップには 後で Active Directory を 復元するときに必要となる情報が保存されます 次の疑問は ドメインコントローラをどのくらいの頻度でバックアップする必要があるかということです Microsoftでは Tombstone Lifetime( 削除されるまでの期間 ) がくるまでに少なくとも2 回のバックアップを実施することを推奨しています このTombstone Lifetimeは ドメインの作成時に使用していたオペレーティングシステムのバージョンによって異なり 60 日または180 日です 本書では この後 Tombstone Lifetimeと Tombstone Lifetimeが復元の機能にどのような影響を与えるかについて説明しますが バックアップは最低でも毎月 1 回は実施する必要があります したがって Active Directoryデータベースの完全なバックアップを実施するには 次の操作が必要です 少なくとも1 台のドメインコントローラで バックアップが完了していることを確認します ドメインコントローラの最新のバックアップが Tombstone Lifetimeの半分よりも古くないことを確認します ( ほとんどの場合 30 日以内 ) 最新のバックアップが完全バックアップであるかまたは増分バックアップであるかは問いません どちらのバックアップからでも復元を正常に実行できます したがって 完全または増分バックアップのどちらか1つを持っている必要があります Copyright Acronis, Inc., 2000-2010 4
次のイベントのいずれかが発生した場合は 既存のバックアップでは正常な復元を実行できなくなっている可能性があるため 直ちにバックアップを作成する必要があります Active Directoryデータベースとログの両方またはどちらか1つを 別の場所に移動した場合 ドメインコントローラのオペレーティングシステムをアップグレード またはサービスパックをインストールした場合 Active Directoryデータベースを変更するホットフィックスをインストールした場合 管理上の理由で Tombstone Lifetimeを変更した場合 Active Directoryデータベースのフォルダがバックアップに含まれていることを確認します これを最も簡単に行う方法は システムドライブと Active Directoryデータベースおよびトランザクションログがあるドライブの完全バックアップを作成することです Active Directoryデータベースを構成するファイル (.dit.chk.logファイル) が 除外リストに含まれていないことを確認します バックアップの際に [VSSを使用してスナップショットを作成する] オプションを選択していることを確認します 4. Active Directory の復元 既に説明したように Active Directoryの復元方法は どのような復元が必要かによって変わります さらに 場合によっては 復元に必要なすべての情報が既に利用できる状態になっているために ドメインコントローラのバックアップを使用せずに済むことさえあります 本書では Active Directory 復元の主なシナリオに対応するために 次のような障害シナリオでの復元方法について説明します 1 台のドメインコントローラが失われ 他のドメインコントローラは利用可能な場合 すべてのドメインコントローラが失われた場合 ( または1 台だけの場合 ) Active Directoryデータベースが破損して Active Directoryサービスが開始しない場合 特定の情報が偶発的にActive Directoryから削除されてしまった場合 4.1. ドメインコントローラの復元 ( 他のドメインコントローラが利用できる場合 ) 複数あるドメインコントローラの1つが失われた場合でも 引き続きActive Directoryサービスを利用できます そのため 他のドメインコントローラには バックアップにあるデータよりも最新のデータが格納されることになります たとえば バックアップの実行後に Active Directory 内でユーザーアカウントを作成した場合 そのアカウントはバックアップには含まれ Copyright Acronis, Inc., 2000-2010 5
ません したがって Active Directoryの現在の状態に影響を与えないようにしながら 復元を実施する必要があります この操作は 権限のない復元 (Non-Authoritative Restore) と呼ばれます Active Directoryレコードは ドメインコントローラ間で頻繁に複製されます 任意の時点において 同じレコードには 1 台のドメインコントローラ上では特定の値が格納され 別のドメインコントローラ上では別の値が格納されている可能性があります 情報の競合と損失を防止するために Active Directoryでは 単純に増加し続ける番号であるUSN( 更新シーケンス番号 ) をすべてのActive Directoryオブジェクトに割り当てています USNは どの複製にするかを決定するために使用されます 最も大きいUSNを持つレコードが最新であると見なされて 他のドメインコントローラに複製されます 権限のない復元では バックアップに保存されている元のUSNとともにデータベースから Active Directoryが復元されます USNは常に増加し続ける値であるため 正常に動作しているドメインコントローラは バックアップに含まれるUSNよりも小さなUSNを持つActive Directoryレコードを保持することはありません したがって このような方法でバックアップから復元されたActive Directoryレコードは小さな値を持つことになり 複製が実行された時点で他のドメインコントローラにある最新のレコードによって上書きされます さらに この復元シナリオでは Active Directoryの復元が絶対に必要というわけではありません ドメインコントローラの機能を復元するには ドメインコントローラ自体を再構築するだけで十分です (dcpromo.exeツールを使用) 複製が完了すれば ドメインコントローラは再び稼働状態になります したがって 他のドメインコントローラが使用できる場合は ドメインコントローラを次の手順で復元する必要があります 1. ベアメタル復元を使用して バックアップからドメインコントローラを復元します 2. ドメインコントローラを再起動します Active Directoryサービスが正常に開始したことを確認します これで手順は完了です Active Directoryレコードの複製は 自動的に実行されます それでは Tombstone Lifetimeよりも古いバックアップしか利用できない場合はどうなるのでしょうか そのバックアップにオペレーティングシステムが含まれている場合 オペレーティングシステムは復元できる可能性があります しかし バックアップからのActive Directoryデータベースを使用することはできません 廃棄 (Tombstone) オブジェクトは複製の実行中に使用され 削除されたオブジェクトに関する情報は 廃棄オブジェクトを複製することによって複製されます したがって バックアップがTombstone Lifetimeよりも古い場合は 適切な複製が不可能になります Tombstone Lifetimeよりも新しいバックアップを保管していない場合は ドメインコントローラの再構築以外に復元の方法はありません Copyright Acronis, Inc., 2000-2010 6
4.2. ドメインコントローラの復元 ( 利用できる他のドメインコントローラがない場合 ) すべてのドメインコントローラが失われた場合 またはドメインコントローラが1 台しかないドメインでドメインコントローラが失われた場合 Active Directoryサービスは停止します 他の方法でドメインコントローラを復元できる場合 ( バックアップを使用しない ) を除き 利用可能な最新の情報は バックアップに保存されている情報ということになります したがって 権限のない復元は 事実上 権限のある復元となり バックアップから復元されるオブジェクト ( およびそれらのUSN) が最新のものとして利用されます 復元のこれ以外の部分は前出のシナリオとほぼ同じですが すべての情報が失われるため Active Directoryの再構築という選択肢はありません 廃棄期限を過ぎたバックアップも使用できますが この場合は情報の損失が非常に多くなります したがって 最後または唯一のドメインコントローラを復元する場合は 次の手順を実行する必要があります 1. 復元に使用できる最新のバックアップを確認します 最後のバックアップ以降に作成された情報は失われることになるので 最新のバックアップを使用することは極めて重要です ドメインにあるドメインコントローラが1つだけの場合 バックアップを毎日作成することが推奨されます 2. ベアメタル復元を使用して バックアップからドメインコントローラを復元します 3. コンピュータを再起動します Active Directoryサービスが正常に開始したことを確認します 4.3. Active Directory データベースの復元 Active Directoryデータベースが破損した場合 (Active Directoryのロジック / スキーマレベルではなく ファイルレベル ) およびドメインコントローラ上のActive Directoryサービスが開始を拒否または破損した場合は バックアップからデータを復元する以外に いくつか実行できることがあります 他のドメインコントローラを利用できる環境であれば dcpromo.exeツールを使用して 障害が発生したドメインコントローラを降格させてから再び昇格させることが可能です この操作により データは複製されて Active Directoryデータベースが復元されます 操作手順の全体の複雑さは ドメインコントローラがまだ通常モードで起動できるかどうかで変わります 通常モードで起動できる場合は 単純にdcpromo /forceremovalコマンドを使用して コンピュータからActive Directoryサービスを削除します 通常モードで起動できない場合は より複雑な操作手順が必要になります 詳細な手順については Microsoft Knowledge Baseの Copyright Acronis, Inc., 2000-2010 7
http://support.microsoft.com/kb/332199/ja および http://support.microsoft.com/kb/258062/ja を参照してください 利用できる他のドメインコントローラがない場合は データをバックアップから復元する必要があります これを実行する 1 つの方法として 7 ページの ドメインコントローラの復元 ( 利用できる他のドメインコントローラがない場合 ) で説明したシナリオのように ドメインコントローラの完全な復元があります この方法では 完全な復元が保証されます また Active Directory 自体は別として ドメインコントローラ上に他の重要なデータがない場合や 他の重要なデータを簡単に保存できる場合 ( 例 : 復元の必要がない別のボリュームに格納 ) は この方法の使用が妥当だと言えます もう1つの方法では Active Directoryデータベースのみを復元します Active Directoryデータベースは 次のファイルで構成されています 1. NTDS.dit( データベースファイル ) 2. Edb.chk( チェックポイントファイル ) 3. Edb*.log( トランザクションログ ) 4. Res1.logとRes2.log( 予約済みトランザクションログ ) デフォルトでは これらのファイルは %systemroot% NTDSフォルダに格納されていますが フォルダ設定は変更が可能なので フォルダの場所を確認する必要があります また GPO に何らかの変更を加えている場合は SYSVOLシステムボリューム (%systemroot% SYSVOL) の復元も必要です 全体の手順は 次のようになります 1. 利用できる他のドメインコントローラがない場合は 復元に使用できる最新のバックアップを確認します 最後のバックアップ以降に作成された情報は失われることになるので 最新のバックアップを使用することは極めて重要です 2. ドメインコントローラを ディレクトリサービス復元モードで再起動します 3. Active Directoryデータベースファイルのコピーを作成します 4. バックアップからファイルを復元します ( イメージレベルのバックアップを使用して ファイルレベルの復元を実行 ) 5. コンピュータを再起動します Active Directoryサービスが正常に開始したことを確認します Copyright Acronis, Inc., 2000-2010 8
4.4. 偶発的に削除されてしまった情報の復元 偶発的に削除されてしまう情報の例としては 意図しないユーザーアカウントまたはコンピュータアカウントの削除などがあります このような変更を元に戻す場合には 2つの方法があります 1 番目は最も明快な方法で Active Directoryデータベースをバックアップから復元します ドメインコントローラが1 台しかない環境の場合 ( 事実上すべての復元が権限のある復元になる ) は この方法を使用すると 最後のバックアップ以降に加えられた変更は失われることになります 他のドメインコントローラが使用できる場合は いくらかの柔軟性が提供されます 権限のある復元によって特定のエントリだけを復元するには 次の手順を実行します 1. 前出のシナリオと同じような手順で ドメインコントローラをディレクトリサービス復元モードで再起動し Active Directoryデータベースの復元を実行します 2. コンピュータを再起動しないでntdsutilを実行し そのコマンドプロンプトでauthoritative restoreと入力します 3. 対応するrestoreコマンドを入力します たとえば 必要なオブジェクトの権限のある復元を実行する場合は restore subtreeまたはrestore objectを使用します ( 詳細については ntdsutilのドキュメントを参照 ) データベース全体を復元するには restore databaseを使用します 4. コンピュータを再起動します Active Directoryサービスが正常に開始したこと および復元されたオブジェクトが利用可能な状態になっていることを確認します 偶発的に削除してしまったオブジェクトを復元するもう1つの方法は Tombstone Lifetimeの利用です Active Directoryでは 削除されたオブジェクトは一定期間だけ保持されます ( 既に説明したように この期間はTombstone Lifetimeと呼ばれる ) この期限は デフォルトで60 日以上に設定されています つまり すべてのオブジェクトは Active Directoryから削除されたとしても 最終的に消去されるまで少なくとも60 日間はデータベース内に保持されていることになります 5. まとめ Acronis Backup & Recovery 10 は強力なバックアップおよび復元ソリューションで Active Directory サーバー / ドメインコントローラを含むすべての Windows サーバーを効率的に保護します この製品に実装されているイメージレベルのバックアップテクノロジーによって Microsoft Active Directory を含む多くのデータベースの効率的な復元が可能になりました Copyright Acronis, Inc., 2000-2010 9