前の記事では、Windows Server 2003またはWindows Server 2008のActive Windowsフォレストの機能レベルがActive Directoryに設定されているドメインコントローラーを管理者が操作する必要がある場合を検討しました。 LDPおよびMicrosoft Active Directory用のVeeam Explorerツール。
今日は、Active Directoryのごみ箱機能を使用できる最新のシステムに移りましょう。 猫の下で詳細を尋ねます。
Active Directoryのごみ箱の仕組み
Microsoftは、Windows Server 2008 R2で待望のActive Directoryのごみ箱を初めて実装しました。 これにより、Active Directoryオブジェクトのライフサイクルとそれらの削除順序が変更されました。 それで、オブジェクトを削除した後、これは今起こっていることです:
- 削除後すぐに、オブジェクトは削除されたオブジェクトのコンテナに移動され、そこで削除されたオブジェクトのライフタイムの終わりまで配置されます(デフォルトでは、この時間はリサイクルされたオブジェクトのライフタイムに等しくなります)。
重要! オブジェクトのすべての関連および非関連属性は、同時にシステムに保存されます。 これは、指定された期間中に、オブジェクトをすべての属性とともに復元できることを意味します。 - オブジェクトの有効期間が終了すると、システムは状態をリサイクルに変更し、ほとんどの属性をリセットします。 オブジェクトは、Windows Server 2003およびWindows Server 2008で削除されたオブジェクト( tombstone )に似たものになります。唯一の違いは、現在復元できないことです。
- リサイクルされたオブジェクトの有効期限が切れると(デフォルトでは180日)、ガベージコレクターはそれを自動的に削除します。
概略的に、これらの段階は次のように表すことができます。
Active Directoryのごみ箱を有効にする
現在、Windows Server OSのデフォルトではごみ箱はアクティブ化されていません。 これを使用するには、インフラストラクチャを準備する必要があります。すべてのドメインコントローラーがWindows Server 2008 R2以降を実行していることを確認し、フォレストの機能モードをWindows Server 2008 R2以降に設定します。
有用: Active Directory(または他の本番システム)設定に対する他の重要な変更と同様に、Active Directoryのごみ箱のアクティベーションは、最初にサンドボックスでテストすることをお勧めします。 これを行うには、 仮想ラボVeeamのテクノロジーを使用できます。 ドメインコントローラーに加えて、仮想ラボで他のミッションクリティカルな仮想マシンを実行できます。 このテクノロジーは、変更を加えた後、多層アプリケーションの互換性をテストするときに非常に役立ちます。 構成に応じて、仮想ラボはバックアップ、レプリカ、またはハードウェアスナップショットからも実行できます。 これにより、実稼働環境の設定を変更するときの不快な驚きを回避できます。
Active Directoryのごみ箱の使用を開始する前に、次のことを考慮してください。
- Active Directoryのごみ箱をオンにすると、すべての廃棄オブジェクトがリサイクルオブジェクトになり、その後復元することはできなくなります。
- 階層の上位レベルから開始して、厳密に定義された順序で実行する必要があるため、複数の依存オブジェクトを復元するのは困難です。
- Windows Server 2008 R2では、すべてのごみ箱操作はPowerShellコマンドレットを使用して実行されます。 Windows Server 2012では、すべてのバスケット操作は、Active Directory管理センター(ADAC)を使用したユーザーインターフェイスを介して実行できます。
- ごみ箱はActive Directoryのバックアップとは関係がなく、破損しているドメインコントローラ全体を復元することはできません。
Active Directoryのごみ箱の長所と短所
Active Directoryのごみ箱を有効にすると、Active Directory管理センターに新しい削除済みオブジェクトコンテナーが表示されます。 このコンテナには、削除されたすべてのオブジェクトがあり、それらのプロパティを表示して、元のオブジェクトまたは任意の他の場所に復元できます。
一見すると、LDPユーティリティやドメインコントローラーの「権限のある」復元を使用するよりも、この機能を使用して個々のオブジェクトを復元する方がはるかに簡単ですが、覚えておくべき落とし穴がいくつかあります。 Active Directoryのごみ箱を使用する場合の長所と短所を以下に示します。
長所
- Windows Server 2008 R2(およびそれ以降)の機能レベルを持つドメインの汎用的な方法。
- オブジェクトの長寿命(デフォルトでは、ほとんどの問題を解決するには180日で十分です)。
- 存続期間中のオブジェクトの属性の保存。
- ドメインコントローラーの再起動は必要ありません。
- Windows Server 2012以降用のグラフィカル管理インターフェイス(ADAC)。
短所
- Windows Server 2008以前の機能フォレストの機能レベルを持つドメインでは機能しません。
- 変更されたオブジェクトの復元には適していません(オブジェクトは、削除された場合にのみ復元できます)。
- 回復は、オブジェクトの有効期間中のみ可能です。
- ドメインコントローラー自体の問題に対する保護は提供されません(バックアップと比較できません)。
- 自動階層回復をサポートしていません。
ここでは、2番目のポイントが特に重要です。 オブジェクトが削除されず、誤って変更され、エラーが著しく後に検出された場合、どうすればよいですか? 残念ながら、バスケットはここでは役に立ちません。この問題には別の解決策が必要です。
Veeamがバスケット制限を回避する方法
もちろん、ほとんどの人にとって、バスケットの欠点はそれを放棄する理由にはなりません。 ただし、すべてのタスクの普遍的なソリューションが必要な場合は、バスケットの欠点を克服することを検討する必要があります。 そしてここで、Veeamは既に議論されたActive Directory用のVeeam Explorerでシーンに入ります。 このツールは、Active Directoryのごみ箱の制限を完全に削除します。
- これにより、すべてのActive Directoryオブジェクトがバックアップストレージ期間全体にわたって保護されます。
- Windows Server 2003以降の機能フォレスト機能レベルを持つドメインに使用できます。
重要! このツールは、無料版を含む、Veeam Backup&Replicationのすべてのエディションに含まれています。
Veeam Backup&ReplicationとVeeam Explorer for Active Directoryを一緒に使用すると、ドメインコントローラー全体を瞬時に復元したり、組織単位(OU)、コンピューターおよびユーザーアカウント、パスワード、グループポリシーオブジェクト、DNSレコードなどの個々のActive Directoryオブジェクトを復元できます。 e。さらに、エクスプローラーを起動することにより、バックアップ内のオブジェクトと運用環境内の現在のオブジェクトを簡単に比較し、違いを検出したり、変更された属性を特定したりできます。
以下は、管理者がユーザーアカウントの属性の変更を検出し、元の状態に復元する必要がある状況の例です。
いずれにせよ、Active Directoryがクラッシュする可能性のある結果を事前に除去し、この問題を解決するためのさまざまなツールをテストする場合は、将来眠ることができます。
サイトリンク
Habrの記事: 削除済みのADオブジェクトを廃棄オブジェクトから復元する
Habrの記事: Veeamを使用してバックアップからドメインコントローラーを復元する
Habrの記事: Veeamを使用したドメインコントローラーのバックアップ