[ホーム] - [Windows Server 2016 FAQ 一覧] - [ディレクトリサービス復元モードとは(DSRM , Directory Services Restore Mode)]



作成日:2019/10/14
更新日:2019/10/14
対象:Windows Server 2016

ディレクトリサービス復元モードとは(DSRM , Directory Services Restore Mode)




【目次】


ディレクトリサービス復元モードとは


ディレクトリサービス復元モードとは、Windows Server Active Directory 環境上のドメインコントローラにおいて、ADが破損した場合に修復するために使用するOSの起動モードのことです。

ドメインコントローラはローカルアカウントを持ちません。(Active Directory ユーザのみ)
もしActive Directory(以下AD) が破損した場合、ADを停止して(この場合Active Directoryのユーザではログインできない)ドメインコントローラのローカルアカウントでログインしたいのですが、ローカルアカウントを保有していないのでログインできません。もし認証無しにすると誰でもログインできてしまうので、セキュリティ上やはり認証が必要ということになります。

ドメインコントローラのローカルアカウント


この問題を解決するためにADを修復する場合のみローカルアカウントでログインが可能となります。このモードを ディレクトリサービス復元モードと呼びます。
以下の特徴があります。

・ドメインコントローラの特別な起動モード。
・NTDS サービスが停止された状態で起動する。
・ローカルアカウントを保有する。アカウント名は administrator。
・パスワードは事前に設定する。(ドメインコントローラが通常稼働しているとき)
参考:ディレクトリ サービス復元モード(DSRM)のパスワードを変更する

DSRMモードへ入る


DSRMへの入り方は以下のどちらか。
(1)
msconfig から"セーフモード"の"Active Directory 修復"を選択する。

(2)以下コマンドを実行する。

C:\>bcdedit /set safeboot dsrepair




DSRMのパスワードが分からない


DSRMに入るときのadministratorのパスワードが分からない場合は、一度ドメインコントローラで起動してからパスワードをリセットする必要がある。
参考:ディレクトリ サービス復元モード(DSRM)のパスワードを変更する

ドメインコントローラに昇格する前にadministratorのパスワードを変更していても、DSRMでのユーザ名はadministratorとなる。


DSRM での特徴


(1)共有
共有は使用できました。リモートからDSRMを実行したサーバに対してnet useは可能でした。

(2)リモートデスクトップ
事前にリモートデスクトップ接続を禁止していても、DSRMではリモートデスクトップ接続が可能でした。

(3)NTDS(Active Directory Domain Service)
NTDS サービスは起動できません。要するに net start ntds は実行できません。無効化されていました。

(4)イベントログ
リモート経由で DSRM 上のイベントログを開こうとしたが失敗しました。(RPCサーバは利用できませんというエラー)

(5)タスクスケジューラ
タスクスケジューラは実行できませんでした。(セーフモードでは実行できませんというエラー)

(6)スタートアップスクリプト
スタートアップスクリプトは実行されませんでした。
以下のようなスクリプトを仕掛けて自動的にDSRMモードを解除するようにしましたが、実行されませんでした。

timeout 300
bcdedit /deletevalue safeboot
shutdown /r /t 0



(7)ping
DSRM からping は応答があります。


リモートからデバッグする


(1)シャットダウン
リモートからシャットダウンすることは可能です。ただし再度DSRMで起動するので意味があるかは分かりません。


C:\> shutdown /m 10.0.0.1 /r

(*)10.0.0.1 を再起動する場合。



(2)Powershell リモートセッション
リモートからPowershell セッションを開くことは可能です。
その前に準備が必要です。

DSRM側、要するにPowershellが実行される側。

PS> Set-ExecutionPolicy RemoteSigned -Force
PS> Set-WSManQuickConfig -Force



リモートからPowershellを実行する側。

PS> Set-ExecutionPolicy RemoteSigned -Force
PS> winrm quickconfig -force
PS> Set-Item WSMan:\localhost\Client\TrustedHosts * -Force




C:\> enter-pssession -computername <ホスト名>



よって以下でDSRMモードをリモートで解除することが可能です。

C:\> bcdedit /deletevalue safeboot








(ご注意) 本サイト内の内容を使用して発生したいかなる時間的損害、金銭的損害あるいはいかなる損害に対して、いかなる人物も一切の責任を負いません。あくまでも個人の判断で使用してください。 本ページは独自に調査をしたアンオフィシャル(非公式)な内容です。内容に誤りがあったり、仕様変更により内容が変わる可能性があります。 本サイト内掲載されている情報は、著作権法により保護されています。いかなる場合でも権利者の許可なくコピー、配布することはできません。 このページはリンクフリーです。(このページへの直接リンクも可能です。)


Copyright(c) TOOLJP.COM 1999-2020

[Windows Server 2016 FAQ 一覧に戻る]