仮想ドメインコントローラーを復元します

  • [アーティクル]

ディザスターリカバリーのシナリオで物理または仮想ドメインコントローラー (DC) を復元するために、システム状態を定期的にバックアップする必要があります。 システム状態には、Active Directoryのデータとログファイル、レジストリ、システムボリューム、およびオペレーティングシステムのさまざまな要素が含まれます。 Active Directory互換のバックアップアプリケーションは、呼び出しIDのリセットをレプリケーションパートナーに通知するなど、復元プロセスの後に、一貫性のあるローカルおよびレプリケートされたActive Directoryデータベースを保証します。 仮想ホスティング環境とディスクまたはOSイメージングアプリケーションを使用すると、管理者はDCシステム状態の復元中に発生する標準のチェックと検証をバイパスできます。

DC仮想マシン (VM) で障害が発生しても、更新シーケンス番号 (USN) のロールバックの兆候が表示されない場合は、次の2つの方法でVMを復元できます。

  • 障害が発生する前の有効なシステム状態データのバックアップがシステムにある場合は、廃棄 (tombstone) の有効期間内にバックアップを作成するために使用したActive Directory互換のバックアップユーティリティを使用して復元できます。 既定の廃棄 (tombstone) の有効期間は180日です。Dcを定期的に、少なくとも90日ごとにバックアップする必要があります。 廃棄 (tombstone) の有効期間の決定の詳細については、 「フォレストの廃棄 (tombstone) の有効期間を決定する」 を参照してください。

  • 仮想ハードディスク (VHD) ファイルの作業用コピーがあるが、システム状態のバックアップがない場合は、既存のVMを削除し、VHDの以前のコピーを使用して復元することができます。 DSRMでVMを起動し、 「システム状態のバックアップを復元する」 の説明に従ってレジストリプロパティを構成します。 その後、通常モードでDCを再起動します。

DCをバックアップする最適な方法を決定します

DCをバックアップする方法はいくつかありますが、展開に最適な方法は複数の要因によって異なります。

  • DCに重要なデータがない場合、またはDCがダウンする前に作成されたバックアップがない場合は、次のようにします。

    • DCからAD DSの役割を強制的に削除します。

    • 障害が発生したドメインコントローラーのコンピューターアカウントを削除します。

    • 必要に応じて、次のDCになる代替サーバーにAD DSの役割をインストールします。

  • システム状態のバックアップがある場合は、 「システム状態のバックアップを復元する」 の手順に従ってDCを復元します。

  • VHDファイルに以前のバージョンのDCがある場合は、 「VHDファイルを使用して仮想DCを復元する」 の手順に従います。

    • 以前のバージョンで、VM-GenerationIDパラメーターをサポートするHyper-VでWindows Server 2012が実行されている場合は、新しいVMに対してVHDを展開し、通常モードでVMを再起動します。

    • 以前のバージョンで別のバージョンのWindows Serverが実行されている場合は、既に通常モードで起動していますか?

      • そうでない場合は、DSRMでDCを起動し、バックアップレジストリ値から復元されたデータベースを1に設定してから、通常モードで再起動してDCを復元します。

      • そうである場合は、ネットワークから仮想DCを切断し、必要な一意のデータを回復してVMの別のコピーに保存してから、ネットワーク上の元のDCを再度使用しないでください。 また、元のDCからそのAD DSの役割を削除するか、OSを再インストールしてから、新しいバージョンのDCにその役割をインストールします。

RODCを復元しようとしている場合:

  • 元のDCで障害が発生する前のシステム状態データのバックアップがある場合は、それを使用してDCを復元します。

  • システム状態のバックアップはないが、以前のバージョンのDCのVHDファイルがある場合は、障害が発生したDCを削除し、VHDファイルのバックアップを使用して新しいVMを作成して起動します。

  • どちらのバックアップもない場合は、次のコマンドを実行して、ドメインコントローラーからAD DSの役割を削除します。

    dcpromo /forceremoval

    コマンドを実行した後、代替サーバーにAD DSの役割をインストールしてRODCにします。

システム状態のバックアップを復元します

DC VMの有効なシステム状態のバックアップが存在する場合は、VHDファイルのバックアップに使用したバックアップツールの復元手順に従って、バックアップを安全に復元できます。

重要

DCを正しく復元するには、通常モードではなくDSRMでDCを起動する必要があります。 システムの起動時に DSRM に入れなかった場合は、通常モードで完全に起動する前に DC の VM をオフにしてください。 DC がネットワークから切断されている場合でも、通常モードで DC を起動すると USN が増加するため、DSRM で DC を起動することが重要です。 USN ロールバックの詳細については、USN および USN ロールバックを参照してください。

仮想DCのシステム状態データバックアップを復元します

仮想DCのシステム状態データバックアップを復元するには、次の手順を実行します。

  1. DCのVMを起動し、F5キーを押してWindowsブートマネージャーにアクセスします。

  2. 接続資格情報の入力を求められた場合は、以下の手順を実行します。

    • VM の [一時停止] ボタンをすぐに選択して、プロセスを一時停止します。

    • 接続資格情報を入力します。

    • VM の [再生] ボタンを選択します。

    • VMウィンドウ内を選択し、F5キーを押します。

    Windowsブートマネージャーが開かず、DCが通常モードで起動を開始した場合は、VMをオフにしてプロセスを一時停止します。 Windows ブート マネージャーにアクセスできるまで、必要に応じてこの手順を繰り返します。 [Windows Error Recovery](Windows エラー回復処理) メニューから DSRM にアクセスすることはできません。 そのため、[Windows エラー回復処理] メニューが表示されたら、VM をオフにして再試行してください。

  3. Windowsブートマネージャーで、F8キーを押して詳細ブートオプションにアクセスします。

  4. [詳細ブートオプション][ディレクトリサービス復元モード] を選択し、Enterキーを押してDSRMでDCを起動します。

  5. システム状態のバックアップの作成に使用したツールの適切な復元方法を使用します。 Windows Serverバックアップを使用した場合は、 「AD DSの権限のない復元の実行」 の指示に従います。

VHDファイルを使用して仮想DCを復元します

VM障害より前のシステム状態データのバックアップがない場合は、VHDファイルを使用してVMで実行されているDCを復元できます。 開始する前に、必ずVHDファイルのコピーを作成してください。 そうすることで、手順中に問題が発生した場合や手順を実行しなかった場合に、コピーしたVHDでもう一度試すことができます。

警告

この手順は、定期的に計画およびスケジュールされたバックアップの代わりとして使用しないでください。 Microsoft では、この手順で実行された復元をサポートしていません。 この手順は、代替手段がない場合にのみ使用します。

いずれかのVMが、復元に使用する予定のVHDのコピーを通常モードで既に開始している場合は、この手順を使用しないでください。

VHDファイルを使用して仮想DCを復元するには、次の手順を実行します。

  1. 以前のVHDを使用して、DSRMで仮想DCを起動します。

    • DCを通常モードで起動しないでください。 Windowsブートマネージャー画面が表示されず、DCが通常モードで起動し始めた場合は、VMをオフにして起動しないようにします。

  2. [開始]を選択し、regedit.exeを入力してを選択して、レジストリエディターを開きます。

    • [ユーザーアカウント制御] ダイアログが表示された場合は、表示されたアクションが想定どおりであることを確認し、[はい]を選択します。

    • レジストリエディターで、HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parametersパスを展開します。

    • DSA Previous Restore Count という名前の値を探します。 値がある場合は、設定をメモします。 それ以外の場合、設定値は規定 (0) です。 値が表示されない場合は、値を手動で設定しないでください。

  3. [Parameters] キーを右クリックし、[新規] を選択してから、[DWORD (32 ビット) 値] を選択します。

  4. バックアップから復元された新しい名前Databaseを入力し、Enterキーを押します。

  5. 作成した値をダブルクリックして [DWORD (32ビット) 値の編集] ダイアログを開き、 [値のデータ] フィールドを見つけて1を入力します。

  6. 通常モードで DC を再起動します。

  7. DCが再起動したら、[開始]を右クリックし、イベントビューアーを開きます。

  8. [アプリケーションとサービスログ] を展開し、[ディレクターサービス]ログを選択します。 イベントが詳細ペインに表示されるのを確認します。

  9. [ディレクターサービス]ログを右クリックし、 [検索] を選択します。

  10. [検索する文字列] フィールドに 「1109」 と入力し、 [次を検索] を選択します。

  11. イベント ID 1109 のエントリが少なくとも 1 つ表示されるはずです。 このエントリが表示されない場合は、次の手順に進みます。 それ以外の場合は、エントリをダブルクリックしてテキストを確認します。 次の出力例に示すように、InvocationIDに対して更新が行われたことがテキストに示されていることを確認します。

    Active Directory has been restored from backup media, or has been configured to host an application partition.
The invocationID attribute for this directory server has been changed.
The highest update sequence number at the time the backup was created is <time>

InvocationID attribute (old value):<Previous InvocationID value>
InvocationID attribute (new value):<New InvocationID value>
Update sequence number:<USN>

The InvocationID is changed when a directory server is restored from backup media or is configured to host a writeable application directory partition.

  12. イベント ビューアーを閉じます。

  13. レジストリ エディターを使用して、DSA Previous Restore Count の設定値が前の値に 1 を加えた値と等しくなっていることを確認します。 正しい値が存在せず、イベントビューアーでイベントID 1109のエントリが見つからない場合は、DCのサービスパックが最新であることを確認してください。

    Note

    同じ VHD でこの手順をもう一度試すことはできません。 手順 1 からもう一度開始して、VHD のコピーまたは通常モードで起動されていない別の VHD で再試行することができます。

  14. レジストリ エディターを閉じます。

追加のコンテンツ

仮想化 DC の詳細については、Hyper-V を使用したドメイン コントローラーの仮想化を参照してください。