[ホーム] - [Windows Server 2016 FAQ 一覧] - [ディレクトリサービス復元モードとは(DSRM , Directory Services Restore Mode)]



作成日:2019/10/14
更新日:2019/10/14
対象:Windows Server 2016

ディレクトリサービス復元モードとは(DSRM , Directory Services Restore Mode)




【目次】


ディレクトリサービス復元モードとは


ディレクトリサービス復元モードとは、Windows Server Active Directory 環境上のドメインコントローラにおいて、ADが破損した場合に修復するために使用するOSの起動モードのことです。

ドメインコントローラはローカルアカウントを持ちません。(Active Directory ユーザのみ)
もしActive Directory(以下AD) が破損した場合、ADを停止して(この場合Active Directoryのユーザではログインできない)ドメインコントローラのローカルアカウントでログインしたいのですが、ローカルアカウントを保有していないのでログインできません。もし認証無しにすると誰でもログインできてしまうので、セキュリティ上やはり認証が必要ということになります。

ドメインコントローラのローカルアカウント


この問題を解決するためにADを修復する場合のみローカルアカウントでログインが可能となります。このモードを ディレクトリサービス復元モードと呼びます。
以下の特徴があります。

・ドメインコントローラの特別な起動モード。
・NTDS サービスが停止された状態で起動する。
・ローカルアカウントを保有する。アカウント名は administrator。
・パスワードは事前に設定する。(ドメインコントローラが通常稼働しているとき)
参考:ディレクトリ サービス復元モード(DSRM)のパスワードを変更する

DSRMモードへ入る


DSRMへの入り方は以下のどちらか。
(1)
msconfig から"セーフモード"の"Active Directory 修復"を選択する。

(2)以下コマンドを実行する。 


C:\>bcdedit /set safeboot dsrepair



DSRMのパスワードが分からない


DSRMに入るときのadministratorのパスワードが分からない場合は、一度ドメインコントローラで起動してからパスワードをリセットする必要がある。
参考:ディレクトリ サービス復元モード(DSRM)のパスワードを変更する

ドメインコントローラに昇格する前にadministratorのパスワードを変更していても、DSRMでのユーザ名はadministratorとなる。


DSRM での特徴


(1)共有
共有は使用できました。リモートからDSRMを実行したサーバに対してnet useは可能でした。

(2)リモートデスクトップ
事前にリモートデスクトップ接続を禁止していても、DSRMではリモートデスクトップ接続が可能でした。

(3)NTDS(Active Directory Domain Service)
NTDS サービスは起動できません。要するに net start ntds は実行できません。無効化されていました。

(4)イベントログ
リモート経由で DSRM 上のイベントログを開こうとしたが失敗しました。(RPCサーバは利用できませんというエラー)

(5)タスクスケジューラ
タスクスケジューラは実行できませんでした。(セーフモードでは実行できませんというエラー)

(6)スタートアップスクリプト
スタートアップスクリプトは実行されませんでした。
以下のようなスクリプトを仕掛けて自動的にDSRMモードを解除するようにしましたが、実行されませんでした。 


timeout 300

bcdedit /deletevalue safeboot

shutdown /r /t 0


(7)ping
DSRM からping は応答があります。


リモートからデバッグする


(1)シャットダウン
リモートからシャットダウンすることは可能です。ただし再度DSRMで起動するので意味があるかは分かりません。 



C:\> shutdown /m 10.0.0.1 /r



(*)10.0.0.1 を再起動する場合。


(2)Powershell リモートセッション
リモートからPowershell セッションを開くことは可能です。
その前に準備が必要です。

DSRM側、要するにPowershellが実行される側。 


PS> Set-ExecutionPolicy RemoteSigned -Force

PS> Set-WSManQuickConfig -Force


リモートからPowershellを実行する側。 


PS> Set-ExecutionPolicy RemoteSigned -Force

PS> winrm quickconfig -force

PS> Set-Item WSMan:\localhost\Client\TrustedHosts * -Force







C:\> enter-pssession -computername <ホスト名>


よって以下でDSRMモードをリモートで解除することが可能です。 


C:\> bcdedit /deletevalue safeboot






(ご注意) 本サイト内の内容を使用して発生したいかなる時間的損害、金銭的損害あるいはいかなる損害に対して、いかなる人物も一切の責任を負いません。あくまでも個人の判断で使用してください。 本ページは独自に調査をしたアンオフィシャル(非公式)な内容です。内容に誤りがある可能性や仕様変更により内容が不正確になる可能性があります。 本サイト内掲載されている情報は、著作権法により保護されています。いかなる場合でも権利者の許可なくコピー、配布することはできません。 このページはリンクフリーです。(このページへの直接リンクも可能です。)


Copyright(c) TOOLJP.COM 1999-2022

[Windows Server 2016 FAQ 一覧に戻る]