[ホーム] > [間違えやすい類語 IT編一覧] > ["権限のある復元"と"権限のない復元"の違い]

"権限のある復元"と"権限のない復元"の違い

作成日:2020/01/29

このページではWindows AD(Active Directory) を復元する場合のオプションの違いに関して説明します。

ADのバックアップ方法


AD をバックアップするにはシステム状態を取得するだけです。

回復方法


(1)以下コマンドでディレクトリ復元モードで起動する設定に変更します。
bcdedit /set safeboot dsrepair

(2)起動したら msconfig からセーフモードを選択、Active Directory 修復します。

(*)Tombstoneの有効期間(通常180日)を経過した場合はリストアできません。

権限なしの場合は指示に従い進めます。権限ありの場合は復元の途中で
ntdsutil ユーティリティを使用します。

リストア回復後


修復が成功したら以下コマンドで起動モードを元に戻します。
bcdedit /deletevalue safeboot

権限オプションの違い


権限オプションの違いは、復元後にADを他のDCに強制複製するか、あるいは他のDC上のADから複製を受けるかの違いとなります。

AD リストア権限の違い



"権限のある復元"と"権限のない復元"の違いは以下の通りです。

(注意)分かりやすく簡単に記載しており、一部の環境や分野では記載内容が異なる可能性があります。あくまでも参考程度でお読みください。

比較表

比較は以下の表の通りとなります。

説明権限のある復元権限のない復元
概要ADを復旧し他のDCへ複製ADを復旧し他のDCへ複製を受ける
どんなとき・一部のオブジェクトが破損した場合のリストア

例:操作ミスによりオブジェクトを失った場合(AD ゴミ箱から復旧可能なら不要)
・ハードウェア障害等で単一のDCが全破損し、白紙から復旧した場合。
・AD が理論的に全破損し、白紙から修復する場合。(一台目のDCを権限なしでリストアし、他のDCを昇格していく)

通常はこちらのリストア。
コマンド概要(1)
wbadmin get versions -backuptarget:<格納ドライブ>:
wbadmin start systemstaterecovery -version:<上記で出力されたバージョン識別子>

(2)
ntdsutil
ntdsutil: activate instance ntds
アクティブ インスタンスが "ntds" に設定されました。
ntdsutil: authoritative restore
authoritative restore: restore subtree DC=<ドメイン名>・・・
<"この Authoritative Restoreを実行しますか?">には「はい」
authoritative restore: quit
ntdsutil: quit


(*)「入力を解析しようとしてエラーが発生しました - 無効な構文です。」と表示される場合は、ドメイン名に誤りが無いか確認する。

DC=test,DC=local など
(1)wbadmin get versions -backuptarget:<格納ドライブ>:
wbadmin start systemstaterecovery -version:<上記で出力されたバージョン識別子>
コマンドサンプルauthoritative restore: restore subtree DC=mydomain,DC=local
(ドメイン名が mydomain.local の場合)
wbadmin get versions -backuptarget:e:
wbadmin start systemstaterecovery -version:02/20/2019-08:10
英語表記Authoritative restoreNon-Authoritative restor
備考Authoritative restoreを実行すると リストアしたオブジェクトのUSN に大きな値がプラスされるため、結果としてマスターとなるため他のDCに複製されます。
Windows Server 2008 では "restore database"というADをすべて修復するコマンドが用意されていましたが問題が発生する場合があるため、Windows Server 2016 では廃止されたようです。

"システム情報"のみで AD はリストア可能


本当にシステム情報のみで AD のリストアが可能か検証しました。

(1)Windows Server バックアップでシステム状態のみバックアップしました。(システム状態のみ選択)。物理的に他のディスクにバックアップしました。
(2)msconfig によりセーフモード、Active Directory 修復モードで起動(あるいはbcdedit /set safeboot dsrepair)
(3)セーフモードでWindows Server バックアップで ADをリストア。"システム状態のみ復元します"をチェック。
権威モード(Active Directory ファイルの Authoritative Restore を実行する)
→この回復オプションは、SYSVOLを含め、このドメインコントローラ上にある、レプリケートされたコンテンツをすべてリセットします。
このサーバ上の他のレプリケートフォルダーも、この回復でリセットされます。(要するに他のDCで変更されていても今実行するリストアで再同期、上書きわれますよといこと)

(4)成功したら再起動
(5)他のDCと複製(これをしないとアクセスできなかった)
(6)終了。

[ホーム] > [間違えやすい類語 IT編一覧]
,






【注意】本ページは著作権で保護されています。内容は何人も補償しません。時間的あるいは金銭的損失等、一切保証しません。

理解しやすく記載されており、一部不正確な記載がある可能性があります。ご自身の責任で参考にしてください。