仮想化されたActive Directoryの障害からのバックアップと回復に関する記事を引き続き公開します。 前の記事で、ドメインコントローラー全体の復元について説明しました。 ただし、システム管理者は、個々のActive Directoryオブジェクトを復元する要求に遭遇する可能性が非常に高くなります。 したがって、今日は、Windows Server 2008以下の機能フォレストの機能レベルを持つシステムで、仮想化されたActive Directoryオブジェクトを廃棄から復元することを検討します。原則として、今では非常にまれですが、おそらくまだどこかで使用されています。 Active Directoryのごみ箱などの新しいシステムと機能については、今後の記事で説明します。
Active Directoryオブジェクトのライフサイクル
それでは、なぜ以前のバージョンのシステムがどのように機能するのかを理解することがとても重要なのでしょうか? これらの場合、最新のロジックと使い慣れた機能は適用できないためです。 Windows Server 2008 R2以前では、Active Directoryオブジェクトのライフサイクルは次のようになりました。
Active Directoryオブジェクトを削除しても、物理的に削除されるわけではありません-しかし、次のようになります。
- Active Directoryは、 isDeleted属性の値をTRUEに変更することにより、リモートオブジェクトを非表示にします。
- 次に、オブジェクトの属性のほとんどが破棄され、オブジェクト自体の名前が変更され、特別なコンテナーに移動されます(CN = Deleted Objects)。 この瞬間から、オブジェクトはステータス「tombstone」を受け取り、標準のActive Directoryツールはその存在を認識しません。
- オブジェクトは、一定期間(Windows Server 2000/2003では60日間、Windows 2003 SP1 / 2008では180日間)この特別な状態にあります。 これは、システム上でデータの複製が正常に行われるようにするために行われます。
- トゥームストーン状態で割り当てられた時間が終了すると、特別なプロセス(いわゆるガベージコレクター )が呼び出され、データベースからオブジェクトが物理的に削除されます。
そして、ここで疑問が生じます。「墓石」オブジェクトがしばらくの間物理的に削除されない場合、復元できますか? 要するに、できます。 オブジェクトを削除するこのようなメカニズムは一時的なバスケットとして使用することを目的としておらず、削除されたオブジェクトを復元することは想定されていませんでしたが、技術的には可能です。 次に、これを行う方法を説明します。
LDPユーティリティを使用したActive Directoryオブジェクトの復元
LDP( LDP.exe )は、Active Directory開発者によって作成された実績のあるプログラムです。 とてもシンプルに見えますが、Active Directoryオブジェクトを完全に管理できる多くの機能があります。 その欠点は、プログラムの機能を習得するのに多くの時間を費やす必要があり、インターフェースがあまりにも現代的で理解しにくいことです。
注:この記事は、LDPプログラムの完全なガイドではありません。 プログラムの使用方法を学ぶには、LDPマニュアルの使用をお勧めします 。
したがって、LDPを使用して「tombstone」オブジェクトを復元するには、次の手順を実行する必要があります。
- プログラムを実行します( スタート-実行-ldp )
- ドメインコントローラーに接続します ( 接続-接続.. )。 対応するアカウント(エンタープライズ管理者またはドメイン)のデータを使用して接続します。 ( 接続-バインド.. )
- 削除されたオブジェクトコンテナで目的のオブジェクトを見つけます。 さまざまな検索およびフィルター設定の使用方法を学習する必要があります( 参照-検索 )。
- [ コントロール ]ダイアログボックスで、[ 削除されたオブジェクトを返す ]オプションを選択し、[ チェックイン ]ボタンをクリックして、このオプションのオブジェクト識別子をアクティブコントロールリストに追加します。
- 次に、設定を保存してクエリを実行し、削除されたオブジェクトを見つけます。
- ウィザード( 参照-変更 )を使用して「tombstone」オブジェクトを復元し、 distinguishedName (DN)パラメーターを使用してオブジェクトを見つけ、オブジェクトの名前を変更しながらisDeleted値を削除します。
- その結果、オブジェクトが復元され、Active Directoryユーザーとコンピュータービューアーを通じて表示されます。
以下の画像は、テストドメインで廃棄オブジェクトを見つけるために実行した典型的な検索例を示しています。
上記に加えて、廃棄オブジェクトのそのような復元のいくつかの機能を覚えておく必要があります。 そのため、最初の削除中に削除された一部の属性(グループメンバーシップなど)は復元されず、問題が発生する可能性があります。
Microsoft Active Directory用の Veeam Explorerの使用
別の方法として、Veeamソリューション、特にVeeam Explorer for Active Directoryを使用できます。 このプログラムを使用すると、リカバリをはるかに簡単かつ迅速に実行できます。 同時に、トゥームストーンオブジェクトの復元に関する多くの問題を解決します。たとえば、アカウントパスワードや、ユーザーの名前や姓などの多くの重要な属性を失うことです。 ただし、この回復オプションはすべてのシナリオに適しているわけではありません-最初に準備を行う必要があります。 つまり、Veeam Explorer for Active Directoryを使用するには、オブジェクトが削除されたドメインコントローラーのバックアップが必要です。 現在、Veeam Backup&Replicationを使用してバックアップが作成された仮想化コントローラーを検討しています。
したがって、Windows Server 2003またはWindows Server 2008ドメインフォレストの機能モードを使用して仮想ドメインコントローラーの管理者になれた場合は、次の手順を使用できます。
- ドメインコントローラーのバックアップがあること、および作成時に、アプリケーションの状態を考慮してデータ処理がオンになっていることを確認してください(これが重要な理由はシリーズの最初の記事で説明されています)-つまり、バックアップジョブに対してGuest Processing> Enableオプションが選択されましたアプリケーション対応の処理 。
- 削除したオブジェクトを復元する必要がある場合は、ドメインコントローラーのバックアップに移動し、右クリックして[ アプリケーションアイテムの復元]> [Microsoft Active Directoryオブジェクト...] ( Microsoft Active Directoryオブジェクト )を選択して、回復を開始し、Veeam Explorer for Active Directoryを起動します。
- 必要なコンテナを見つけて、[ すべてのオブジェクトを比較]および[ 変更されたオブジェクトのみを表示]オプションを有効にします。 この方法で事前フィルタリングを設定します。VeeamExplorerは、バックアップ内のデータをDCの現在の状態と比較し、変更されたオブジェクトのみを表示します。 オブジェクトのステータスを表示し、 Tombstoneとして指定されているオブジェクトを見つけます。
- 目的のオブジェクトを作業環境に復元するか、.ldeファイルとしてエクスポートできます。
- ウィザードのいずれかの手順でユーザーアカウントを復元する場合、パスワード回復オプションを指定するよう求められます( パスワード復元オプションを指定します )。 次のオプションのいずれかを選択できます。
- 古いパスワードでアカウントを復元する ( パスワードを復元する )
- 新しいパスワードを手動で設定 ( パスワードをに設定 )
- パスワードなしで回復を実行します( パスワードを復元しません )
古いパスワードを復元すると、管理者の作業負荷が軽減され、ユーザーはアカウント復旧プロセスを完全に目に見えなくなります。 数百人のユーザーがいるユニット(OU)が夜間の障害の結果として消失し、復元する必要があると想像してください。 朝、システムの入り口で、すべての従業員がパスワードを変更するよう求められ、もちろん、彼らは質問を始めます。 当然、可能であれば、この状況を回避することをお勧めします。
上記に基づいて、 Microsoft Active Directory向け Veeam Explorer が Active Directory廃棄オブジェクトを復元する比較的簡単な方法を提供することは明らかです。 適切なシステムで作業している場合、この製品に注意を払うことをお勧めします。
今日はこれでおそらくすべてです。 シリーズの次の記事では、Active Directoryのごみ箱の機能とオブジェクトを復元する他の方法を比較します。