Active Directory ドメイン コントローラーのバックアップおよび復元
Active Directory のバックアップと、破損、セキュリティ侵害、障害が発生した場合の正常な復元を保証することは、Active Directory メンテナンスの非常に重要な部分です。
この記事では、Active Directory ドメイン コ ントローラーが Azure の仮想マシンであるかオンプレミスのサーバーであるかに関係なく、Azure Backup を使用してそのバックアップと復元を行うための適切な手順について説明します。 ここでは、ドメイン コントローラー全体をそのバックアップ時の状態に復元する必要があるシナリオについて説明します。 お客様に適切な復元シナリオを確認するには、こちらの記事を参照してください。
Note
この記事では、Microsoft Entra ID からの項目の復元については説明しません。 Microsoft Entra ユーザーの復元については、こちらの記事を参照してください。
ベスト プラクティス
Active Directory の保護を開始する前に、次のベスト プラクティスを確認します。
少なくとも 1 つのドメイン コントローラーが確実にバックアップされるようにします。 複数のドメイン コントローラーをバックアップする場合は、FSMO (フレキシブル シングル マスター操作) ロールを保持しているものすべてが確実にバックアップされるようにします。
Active Directory を頻繁にバックアップします。 バックアップの経過期間が、廃棄の有効期間 (TSL) を超えないようにしてください。これは、TLS よりも古いオブジェクトが "廃棄済み" となり、有効と見なされなくなるためです。
既定の TSL は、Windows Server 2003 SP2 以降でビルドされたドメインの場合、180 日です。
構成された TSL を確認するには、次の PowerShell スクリプトを使用します。
(Get-ADObject $('CN=Directory Service,CN=Windows NT,CN=Services,{0}' -f (Get-ADRootDSE).configurationNamingContext) -Properties tombstoneLifetime).tombstoneLifetime
ドメイン コントローラーを復元する方法に関する手順を含む、明確なディザスター リカバリー計画を用意します。 Active Directory フォレストの復元を準備する場合は、「Active Directory フォレストの復旧ガイド」を参照してください。
ドメイン コントローラーを復元する必要があり、ドメイン内に機能するドメイン コントローラーが残っている場合は、バックアップから復元する代わりに新しいサーバーを作成できます。 Active Directory Domain Services サーバー ロールを新しいサーバーに追加して、それを既存のドメインのドメイン コントローラーにします。 その後、Active Directory データが新しいサーバーにレプリケートされます。 以前のドメイン コントローラーを Active Directory から削除するには、こちらの記事の手順に従って、メタデータのクリーンアップを実行します。
Note
Azure Backup には、Active Directory の項目レベルの復元は含まれません。 削除されたオブジェクトを復元して、ドメイン コントローラーにアクセスできるようにするには、Active Directory ごみ箱を使用します。 その方法が使用できない場合は、ドメイン コントローラーのバックアップを使用して、削除されたオブジェクトを ntdsutil.exe ツールで復元できます (説明はこちらにあります)。
SYSVOL の権限のある復元を実行する方法については、こちらの記事を参照してください。
Azure VM ドメイン コントローラーのバックアップ
ドメイン コントローラーが Azure VM の場合は、Azure VM バックアップを使用してサーバーをバックアップできます。
Azure VM ドメイン コントローラーのバックアップ (および将来の復元) が正常に行われるようにするには、「仮想化ドメイン コントローラーの運用上の考慮事項」を参照してください。
オンプレミスのドメイン コントローラーのバックアップ
オンプレミスのドメイン コントローラーをバックアップするには、サーバーのシステム状態データをバックアップする必要があります。
Note
(システム状態または VM から) オンプレミスのドメイン コントローラーを Azure クラウドに復元することはサポートされていません。 オンプレミスの Active Directory 環境から Azure へのフェールオーバーのオプションが必要な場合は、Azure Site Recovery の使用を検討してください。
Active Directory の復元
Active Directory のデータは、権限ありと権限なしの 2 つのモードのいずれかで復元できます。 権限のある復元では、復元された Active Directory データにより、フォレスト内の他のドメイン コントローラー上で見つかったデータがオーバーライドされます。
ただし、このシナリオでは、既存のドメインにドメイン コントローラーを再構築するため、権限のない復元を実行する必要があります。
復元中、サーバーはディレクトリ サービス復元モード (DSRM) で起動されます。 ディレクトリ サービス復元モードの管理者パスワードを入力する必要があります。
Note
DSRM パスワードを忘れた場合は、これらの手順を使用してリセットできます。
Azure VM ドメイン コントローラーの復元
Azure VM ドメイン コントローラーを復元する場合は、「ドメイン コントローラー VM を復元する」を参照してください。
単一ドメイン内の 1 つのドメイン コントローラー VM または複数のドメイン コントローラー VM を復元する場合は、他の VM と同じように復元します。 ディレクトリ サービス復元モード (DSRM) も利用できるので、Active Directory の復元シナリオはすべて実行可能です。
1 つのドメイン コントローラー VM をマルチ ドメイン構成で復元する必要がある場合は、PowerShell を使用してディスクを復元し、VM を作成します。
ドメイン内の最後に残っているドメイン コントローラーを復元する場合や、1 つのフォレスト内の複数のドメインを復元する場合は、フォレストの復旧をお勧めします。
Note
Windows 2012 以降の仮想化ドメイン コントローラーでは、仮想化ベースのセーフガードが使用されます。 これらのセーフガードを使用すると、復元された VM がドメイン コントローラーであるかどうかが Active Directory によって認識され、Active Directory データを復元するために必要な手順が実行されます。
オンプレミスのドメイン コントローラーの復元
オンプレミスのドメイン コントローラーを復元するには、「ドメイン コントローラーでのシステム状態の回復に関する特別な考慮事項」のガイダンスを使用して、Windows Server へのシステム状態の復元の指示に従ってください。