C:\>bcdedit /set {default} safeboot dsrepair
(2)
OSを再起動します。
(3)以下コマンドでバックアップ済みのシステム情報を確認します。
wbadmin.exe Get Versions
以下のコマンドでリストア実施します。
wbadmin.exe Start Systemstaterecovery -Version:DD/MM/YYYY-HH:MM
(4)以下のメッセージには[Y]を押して再起動を行います。
システムの回復操作を完了するには、コンピューターの再起動が必要です。
今すぐコンピューターを再起動するには、[Y] キーを押してください。
ここで再起動します。これにより「権限のない」リストアとして処理が続行されます。(権限ありリストアを実行する場合はここで再起動せず次章で説明する手順を実行する)
結構時間がかかります。成功すると以下のメッセージが表示されます。
(5)以下のメッセージが表示されれば成功です。
2019/02/05 10:00に開始したシステム情報の回復操作は正常に完了しました。
続行するには、Enter キーを押してください...
(6)以下のコマンドでディレクトリサービス復元モードの機能をオフにして再起動します。
C:\>bcdedit /set {default} safeboot dsrepair
(7)
正しくADが復元されたか確認コマンドを実行して確認します。
repadmin /showrepl
repadmin /syncall
rem netlogon および sysvol が共有されていること(時間がかかる場合あり)
net share
dcdiag /v
(*)注意
・リストア直後に"プリンシパル名が間違っています"というエラーでrepadmin /syncall が失敗したが20分程度で復旧しました。原因不明です。
・前述したとおり(VM-Generation IDをサポートしない環境で)スナップショットからのみのリストアはNG。
・もしシステム状態のリストアに失敗したらドメイン再昇格のリストアを試みます。
ADの一部を優先してリストアする
ADの一部を優先してリストアする方法を紹介します。権限ありでADをリストアします。(これによりUSNに大きな値が設定される)
操作ミスで一部を削除した場合などに有効です。(ちなみにADをすべてリストアする場合はこの方法ではなくフォレストリストアを使用する場合が多いようです。)
2台目以降のDCサーバはこのサーバと同期することにより正しいADの内容が反映されます。要するに特権ありでリストアした内容が他のDCに複製されるということです。
権限なし(非Autorized リストア)の場合は USN は小さいので複製されて上書きされてします。Autorized リストアにより USN により大きな値を設定して復元します。
FSMO のADで以下手順を実行します。
(1)ディレクトリ復元モードで起動する設定を行います。
msconfig から復元モードで起動する
[ブート]→[ブートオプション]→[セーフブート]→[Active Directory 修復]
あるいは以下コマンドを実行します。
C:\>bcdedit /set {default} safeboot dsrepair
(3)再起動したら画面4隅に"セーフモード"と表示されていることを確認します。
(4)以下のコマンドで最新のバージョンを確認します。
wbadmin.exe Get Versions
(5)以下のコマンドでリストア実施します。
wbadmin.exe Start Systemstaterecovery -Version:DD/MM/YYYY-HH:MM
"システム状態の回復作業を開始しますか?"には[Y]を選択します。
(6)
以下のメッセージには[Y]を選択します。
"注意: 回復操作を行うと、ローカル コンピューター上のすべてのレプリケートされたコンテンツ (DFSR または FRS を使用してレプリケート済み) は、回復後に再同期されます。再同期によるネットワーク トラフィックの増加により、待ち時間または障害が発生する可能性があります。
システム状態の回復を開始した後で一時停止したり取り消したりすることはできません。
回復操作を完了するためには、サーバーの再起動が必要です。"
続行しますか?
結構時間がかかります。成功すると以下のメッセージが表示されます。
システムの回復操作を完了するには、コンピューターの再起動が必要です。
今すぐコンピューターを再起動するには、[Y] キーを押してください。
(7)権限ありのリストアを行う場合は再起動してはいけません。
[a]権限ありの場合・・・ここで「Ctrl + C」を押す(再起動は行わない)
[b]権限なしの場合・・・[y]で再起動
ここでは[a]で進めます。
(8)以下のコマンドを実行することにより権限ありの復元を実行します。
"管理者権限のコマンドプロンプト"で以下を実行します。
ntdsutil
ntdsutil:activate instance ntds
ntdsutil:authoritative restore
リストア対象を選びます。
個別リストア時のコマンド例
authoritative restore:restore subtree CN=computers,DC=testdomain,DC=local
authoritative restore:restore subtree OU=test01,DC=testdomain,DC=local
注意事項:
原因不明ですが、以下のように指定すると、再起動時に更新処理が終わらなくなる場合があります。
DC=testdomain,DC=local
"このAutoritative Restoreを実行しますか" には "はい"を押します。
(9)
正常に終了すると"Autoritative Restoreが正常に終了しました"と表示されます。以下のコマンドで終了します。
authoritative restore:quit
ntdsutil:quit
(10)
ディレクトリ修復モードを解除します。
bcdedit /deletevalue safeboot
(11)以下コマンドで再起動します。
shutdown /r
(12)処理が継続すされます。最終的に以下のメッセージが表示されたら成功です。
YYYY/MM/DD mm:hh に開始したシステム状態の回復操作は正常に完了しました。
続行するには、Enter キーを押してください...
(*)USNロールバックが発生してしまった場合はドメインの再昇格などでの対応が必要です。
オブジェクトの削除(誤操作含む)
この場合は"Active Directory のごみ箱"から復帰します。もしゴミ箱が有効化されていない場合はAutorized リストアを実行します。
AD全体をリストアする
AD全体をリストアするにはフォレストのリストアを実行するようです。本ページでは省略します。
参考:フォレストを回復する方法を決定するhttps://docs.microsoft.com/ja-jp/windows-server/identity/ad-ds/manage/ad-forest-recovery-determine-how-to-recover
(ご注意) 本サイト内の内容を使用して発生したいかなる時間的損害、金銭的損害あるいはいかなる損害に対して、いかなる人物も一切の責任を負いません。あくまでも個人の判断で使用してください。 本ページは独自に調査をしたアンオフィシャル(非公式)な内容です。内容に誤りがある可能性や仕様変更により内容が不正確になる可能性があります。 本サイト内掲載されている情報は、著作権法により保護されています。いかなる場合でも権利者の許可なくコピー、配布することはできません。 このページはリンクフリーです。(このページへの直接リンクも可能です。)
Copyright(c) TOOLJP.COM 1999-2022