同僚が企業ブログのために書いた、ドメインコントローラーとActive Directory自体のバックアップと復元に特化した一連の記事を引き続き公開しています。

このシリーズの前回の記事では、物理および仮想ドメインコントローラー（DC）のバックアップ手順について説明しました。 今日は彼らの回復についてお話します。
この投稿はActive Directoryの回復ガイドではないことをすぐに言わなければなりません。 そのタスクは、バックアップからADまたは特定のドメインコントローラーを復元するときに考慮する必要があるものについて話し、Veeamソリューションを使用してこれらのアクションを実行する方法を示すことです。



インフラストラクチャの完全な知識は、ADリカバリの計画に非常に役立ちます。 データを正常に回復するための答えを知るために必要な質問のほんの一部を次に示します。

• 環境内に1つ以上のドメインコントローラーがいくつありますか？
• これらの読み取り/書き込みドメインコントローラー（RWDC）または読み取り専用ドメインコントローラー（RODC）ですか？
• 故障しているコントローラーは1つだけですか、それともADインフラストラクチャ全体が破損していますか？
• 複数のコントローラーがある場合、ファイル複製サービス（FRS）を使用して異なるドメインコントローラー間で変更を同期しますか、または分散ドメインに切り替えて異なるドメインコントローラー間で変更を同期しますか？

注： Windows Server 2008以降、DFSRレプリケーションはSYSVOLディレクトリレプリケーションのデフォルトの構成オプションになりました。

仮想化ドメインコントローラーの復元

ドメインコントローラーの復元を計画する場合、最初に非権限モードで十分かどうか、または権限モードを使用する必要があるかどうかを判断する必要があります。
2つのモードの違いは、回復モードでは、 権限のないドメインコントローラーがしばらくの間切断されたことを認識することです。 したがって、他のコントローラーがデータベースを更新し、不在中に発生した最新の変更にすることができます。 そして、 権限のある回復中、コントローラーは自分だけが本当に正しいデータベースを持っていると信じているため、自分のデータに基づいて他のドメインコントローラーのデータベースを更新する権限を受け取るのは彼です。
ほとんどの回復シナリオでは、環境内にいくつかのドメインコントローラーがあるため、 権限のないモードを使用する必要があります。 （さらに、 権限のある復元は新しい問題につながる可能性があります。）

これは、Veeam Backup＆Replicationロジックの基になっています。デフォルトでは、インフラストラクチャは冗長性を備えて構築され、複数のコントローラーが含まれていると考えられているため、 権限のないリカバリが実行されます。

Veeamを使用してAuthoritative Recoveryを実行するには、後で説明する追加の手順を実行する必要があります。

有用：ドメインコントローラーに障害が発生するもう1つの一般的なオプションは、他のコントローラー間で役割を分散し、回復が起こりそうにない場合にメタデータをクリアすることです。 この場合、他のDCに障害が発生したDCの機能を実行するように指示します。復元する必要はありません。

非権限モードでの回復

したがって、バックアップファイルに戻ります。バックアップファイルの作成については、前の記事で説明しました。 Veeam Backup＆Replicationバックアップからドメインコントローラーを復元するには、以下を行う必要があります。

1. Veeam Backupコンソールでリカバリウィザードを実行します。
2. 必要なドメインコントローラーを見つけます。
3. リカバリメニューで、VM全体を復元するオプションを選択します（VM全体の復元）。
4. 復旧ポイントを指定します。
5. ソースまたは新しい復旧場所を選択します。
6. 手順を完了します。

ここで最も注目すべきことは、バックアップの作成時にアプリケーションの状態を考慮に入れたデータ処理のおかげで、他に何もする必要がないということです。 Veeamは、指定されたVMのドメインコントローラーを認識し、次の一連のアクションを使用して慎重に復元します。

1. VMのファイルとディスクの回復。
2. ドメインサービスの回復の特別なモード（DSRMモード）でOSを起動します。
3. アプリケーション設定。
4. 通常モードで再起動します。

ドメインコントローラーは、バックアップからの回復を認識し、適切なアクションを実行します。既存のデータベースは無効であると宣言され、レプリケーションパートナーはそれを更新して最新の情報を導入できます。

権限のある回復

高い確率で、この回復モードは必要ありません。 ただし、彼のことをもっとよく知りましょう。そうすれば、なぜそうなのかを理解できます。

このモードは、たとえば、AD構造全体が何らかの理由（マルウェア、ウイルスなど）で破損しているにもかかわらず、複数のドメインコントローラーがある環境でドメインコントローラーの有効なコピーを復元しようとする場合に使用できます。 もちろん、この状況では、破損したドメインコントローラーが新しく復元されたコントローラーから変更を受け取ることが望ましいです。

注：実行される手順は、Veeam SureBackupを使用して隔離された環境でドメインコントローラーを復元する場合と同様です。

権限のあるモードで削除されたオブジェクトまたはコンテナーを復元し、ドメインコントローラーがこのDCから他のコントローラーに回復されたデータを強制的にコピーするには：

1. Veeamの完全なVMリカバリ操作を選択します。プログラムは、権限のないモードで標準のDCリカバリを自動的に実行します（上記を参照）。
2. 2回目のDCの再起動では、ブートウィザードを開き（F8キーを押します）、DSRMを選択し、DSRMアカウント情報（このコンピューターをドメインコントローラーに割り当てたときに指定したアカウント）でログインします。
3. コマンドプロンプトを開き、 ntdsutilユーティリティを実行します
4. 次のコマンドを使用します。
   
   
   • activate instance ntds;
   • その後、 authoritative restore;
   • 次に、 restore object “distinguishedName” restore subtree “distinguishedName”かrestore subtree “distinguishedName” restore object “distinguishedName”
     
     例： restore subtree “OU=Branch,DC=dc,DC=lab, DC=local
     
   
   
5. 権限のある回復を確認し、操作の完了後にサーバーを再起動します。

SYSDFの権限のある回復手順（DFSRサービスを使用する場合）は、次のように実行されます。

1. ドメインコントローラーの権限のない復元を実行します（たとえば、Veeam Backup＆ReplicationでVM全体を復元します）。
2. 2回目の起動で、レジストリブランチHKLM \ System \ CurrentControlSet \ Services \ DFSRに移動し、 Restoreキーを作成してから、値authoritativeで SYSVOL行を作成します 。
   この値は、DFSRサービスによって読み取られます。 設定されていない場合、デフォルトではSYSVOLが非権限モードで復元されます。
3. HKLM \ System \ CurrentControlSet \ Control \ BackupRestoreに移動してSystemStateRestoreキーを作成し、GUID値（たとえば、 10000000-0000-0000-0000-0000000000000000）で LastRestoreId文字列を作成します。
4. DFSRサービスを再起動します。

SYSVOL 権限のある復元手順（FRSを使用する場合）：

1. ドメインコントローラーの権限のない復元を実行します（たとえば、Veeam Backup＆ReplicationでVM全体を復元します）。
   
   
2. 2回目の起動で、レジストリブランチHKLM \ System \ CurrentControlSet \ Services \ NtFrs \ Parameters \ Backup / Restore \ Process at Startupに移動し、 Burflagキーの値を000000D4（hex）または212（dec）に変更します。
   
   これにより、権限モードで古いFRSテクノロジを使用して、データがドメインコントローラーに強制的にコピーされます。 FRSの復元の詳細については、 こちらをご覧ください 。
   
   
3. NTFRSサービスを再起動します。

Veeam Endpoint Backupを使用した物理ドメインコントローラーの回復

Veeam Endpoint Backupを使用してバックアップから物理マシンを復元する方法について少し説明します。

あなたが必要になります：

1. 事前構成済みのVeeam緊急ブートディスク。
2. バックアップ自体へのアクセス（USBスティックまたはネットワークドライブ上）。

重要！ この場合、特別なVeeam Backup＆Replicationロジックは使用されないことに注意してください。

Veeam Endpoint Backupでリカバリした後、ドメインコントローラーはリカバリモードで起動します。 レジストリキーを変更するか、VMを通常モードですぐに再起動するかを決定する必要があります。 おそらく、 このVeeamナレッジベースの記事が役立つでしょう。



ここでは、Veeam Endpoint Backupを使用したベアメタルリカバリの詳細を読むことができます。

そこで、別のドメインコントローラーを復元することを検討しました。 ただし、ほとんどの場合、ADを使用する場合、誤って削除したオブジェクトを復元する必要があります。この場合、コントローラー全体を復元することは最も効果的なオプションではありません。 したがって、次の記事では、Microsoft独自のツールとActive Directory用のVeeam Explorerユーティリティを使用して、個々のADディレクトリオブジェクトを復元する方法について説明します。

便利なリンク：

• Veeamを使用したドメインコントローラーのバックアップに関するHabrの記事
• Veeam Endpoint Backup FREEの使用に関するHabrの記事
• FRS回復に関するマイクロソフトサポート技術情報の記事