【AD DS】ドメイン コントローラーのリストア手順【画面キャプチャ付】

  • 2022年1月29日
  • 2023年6月8日
  • AD DS

ドメイン コントローラーにて何か問題が起きた時、バックアップからリストアしたいことがあります。
今回はドメイン コントローラーのリストアの手順を紹介します。

 

事前準備(バックアップ)

ドメイン コントローラーをリストアするには、30 日以内に採取したバックアップが必要です。

Windows Server バックアップの機能を利用して、ドメイン コントローラーのバックアップを採取できます。
事前準備として、システム状態かベアメタルのバックアップを用意してください。

システム状態、ベアメタルのバックアップの採取手順は以下の記事で紹介しています。

あわせて読みたい!

ドメイン コントローラーのバックアップは、AD に対応しているバックアップ ツールで採取する必要があります。もし AD に対応していないバックアップ ツールでバックアップを採取しても、正常にリストアできない可能性があります。 MS 製品で […]

 

ドメイン コントローラーのリストアの概要

ドメイン コントローラーはマルチ レプリケーションで各データの複製を行っています。
そのため、ドメイン内の全てのドメイン コントローラーでデータの整合性がとれている状態となっています。

ドメイン コントローラーをリストアした場合、各データはバックアップ時の状態に戻ってしまいます。
リストアした後は他のドメイン コントローラーからデータの複製を再開して整合性をとります。
そのため、ドメイン コントローラーのリストア時には、他のドメイン コントローラーとの複製を意識する必要があります。

AD データベースと SYSVOL は異なる複製の仕組みで動作しています。
そのため、リストアの際は AD データベースの復元と SYSVOL の復元を分けて考える必要があります。

AD データベースと SYSVOL のそれぞれに「権限のあるリストア」、「権限のないリストア」が存在します。
リストアのシナリオごとのリストアの方法は以下の通りです。

一部のドメイン コントローラーのみを復元する場合
AD データベース:リストア対象のドメイン コントローラーで「権限のないリストア」
SYSVOL:リストア対象のドメイン コントローラーで「権限のないリストア」

全てのドメイン コントローラーを復元する場合
AD データベース:全てのドメイン コントローラーで「権限のないリストア」
SYSVOL:1 台のみ「権限のあるリストア」、残り全台は「権限のないリストア」

2 つのシナリオごとのリストアの詳細手順を紹介します。

 

一部のドメイン コントローラーのみを復元する場合

一部のドメイン コントローラーを復元する場合、ドメイン内に他のドメイン コントローラーが存在します。
他のドメイン コントローラーは正常に動作しており、AD データベースと SYSVOL の情報を保持しています。
そのため、AD データベースと SYSVOL の両方とも「権限のないリストア」を行います。
リストアした後は、他の正常なドメイン コントローラーから最新のデータを複製してきます。

 

1) リストアを実施するドメイン コントローラーに管理者権限を持つユーザーでログオンします。

2) [ファイル名を指定して実行] から msconfig を実行します。

3) [ブート] タブの [セーフ ブート] をオンにし、[Active Directory 修復] を有効にして [OK] をクリックします。

 

4) [再起動] をクリックします。

5) OS が起動してきたら、ディレクトリ サービス復元モードの Administrator でログオンします。

6) 管理者権限でコマンド プロンプトを開きます。

7) 以下のコマンドを実行し、対象のバックアップの “バージョン識別子” を確認します。

    wbadmin get versions

実行例:

C:\>wbadmin get versions
wbadmin 1.0 – バックアップ コマンド ライン ツール
(C) Copyright 2013 Microsoft Corporation. All rights reserved.

バックアップ時間: 2022/01/28 13:52
バックアップ場所: ネットワーク共有 ラベル付き \\192.168.1.254\shared
バージョン識別子: 01/28/2022-04:52
回復可能: ボリューム, ファイル, アプリケーション, ベア メタル回復, システム状態

※上記の例の場合、バージョン識別子は “01/28/2022-04:52” となります。

8) 以下のコマンドを実行し、システム状態の復元を実施します。

    wbadmin start systemstaterecovery -version:<バージョン識別子> -quiet

実行例:

C:\Users\Administrator.TEST01DC02>wbadmin start systemstaterecovery -version:01/28/2022-04:52 -quiet
wbadmin 1.0 – バックアップ コマンド ライン ツール
(C) Copyright 2013 Microsoft Corporation. All rights reserved.

注意: 回復操作を行うと、ローカル コンピューター上のすべてのレプリケートされた
コンテンツ (DFSR または FRS を使用してレプリケート済み) は、回復後に再同期
されます。再同期によるネットワーク トラフィックの増加により、待ち時間または障害
が発生する可能性があります。
システム状態の回復操作を開始しています [2022/01/29 1:18]。
回復するファイルを処理しています。これには数分かかることがあります…
(300) 個のファイルが処理されました。
(3977) 個のファイルが処理されました。
(17269) 個のファイルが処理されました。
(32482) 個のファイルが処理されました。
(69286) 個のファイルが処理されました。
(98551) 個のファイルが処理されました。
(109881) 個のファイルが処理されました。
(128473) 個のファイルが処理されました。
ファイルの処理が完了しました。
バックアップからのファイルの回復を開始します
‘Performance Counters Writer’ によって報告されたファイルの回復が完了しました。
‘DFS Replication service writer’ によって報告されたファイルの回復が完了しました。
‘COM+ REGDB Writer’ によって報告されたファイルの回復が完了しました。
‘VSS Metadata Store Writer’ によって報告されたファイルの回復が完了しました。
‘WMI Writer’ によって報告されたファイルの回復が完了しました。
進行状況: 1%
‘Registry Writer’ によって報告されたファイルを現在回復中です
‘Registry Writer’ によって報告されたファイルの回復が完了しました。
‘NTDS’ によって報告されたファイルの回復が完了しました。
‘Task Scheduler Writer’ によって報告されたファイルの回復が完了しました。
進行状況: 4%
‘System Writer’ によって報告されたファイルを現在回復中です
進行状況: 7%
‘System Writer’ によって報告されたファイルを現在回復中です
進行状況: 10%
‘System Writer’ によって報告されたファイルを現在回復中です
進行状況: 13%
‘System Writer’ によって報告されたファイルを現在回復中です
進行状況: 17%
‘System Writer’ によって報告されたファイルを現在回復中です
進行状況: 18%
‘System Writer’ によって報告されたファイルを現在回復中です
進行状況: 22%

(略)

‘System Writer’ によって報告されたファイルを現在回復中です
進行状況: 95%
‘System Writer’ によって報告されたファイルを現在回復中です
進行状況: 95%
‘System Writer’ によって報告されたファイルを現在回復中です
回復操作の概要:
—————

システム状態の回復が正常に完了しました [2022/01/29 1:37]。
正常に回復されたファイルのログ:
C:\Windows\Logs\WindowsServerBackup\SystemStateRestore-28-01-2022_16-18-02.log

この操作を完了するには、サーバーを再起動してください。
注意: システム状態の回復操作によってシステム ファイルの回復が試みられる間
しばらくお待ちください。置き換えられるファイルの数に応じて、処理が完了するまで
に数分かかる可能性があります。また、処理中にコンピューターの再起動が複数回
必要です。この処理を中断しないでください。

システムの回復操作を完了するには、コンピューターの再起動が必要です。
今すぐコンピューターを再起動するには、[Y] キーを押してください。
[Y] はい

 
9) Y キーを押して、OS を再起動します。
10) OS が起動したら、ディレクトリ サービス復元モードの Administrator でログオンします。
11) 以下のメッセージが表示されることを確認したら、Enter キーを押します。
YYYY/MM/DD HH:MM に開始したシステム状態の回復操作は正常に完了しました。
続行するには、Enter キーを押してください…
12) 復元が完了したら、[ファイル名を指定して実行] から msconfig を実行します。
13) [ブート] タブの [セーフ ブート] をオフにし、[OK] をクリックします。

 
 

全台のドメイン コントローラーを復元する場合

全台のドメイン コントローラーを復元する場合、ドメイン内に他のドメイン コントローラーが存在しません。
AD データベースについては、全台のドメイン コントローラーを「権限のないリストア」を行います。
「権限のないリストア」により AD データベースはバックアップ時の状態に戻ります。

一方、SYSVOL は「権限のないリストア」(D2) を行うと、SYSVOL のデータは破棄され初期化されます。
全てのドメイン コントローラーで SYSVOL の「権限のないリストア」を行うと、SYSVOL は空のまま初期複製待ちの状態となってしまいます。
そのため、SYSVOL の複製元となるドメイン コントローラーが必要です。
最初にリストアするドメイン コントローラーで、SYSVOL の「権限のあるリストア」(D4)を行います。
「権限のあるリストア」により、SYSVOL はバックアップ取得時のデータのまま待機します。
他のドメイン コントローラーは、最初にリストアしたドメイン コントローラーの SYSVOL のデータをもとに初期複製を行う動作になります。

最初にリストアするドメイン コントローラーでのリストア手順

AD データベースは「権限のない復元」、SYSVOL は「権限のある復元」を行います。

 

1) リストアするドメイン コントローラーに管理者権限を持つユーザーでログオンします。

2) [ファイル名を指定して実行] から msconfig を実行します。

3) [ブート] タブの [セーフ ブート] をオンにし、[Active Directory 修復] を有効にして [OK] をクリックします。

4) [再起動] をクリックします。

5) OS が起動してきたら、ディレクトリ サービス復元モードの Administrator でログオンします。

6) 管理者権限でコマンド プロンプトを開きます。

7) 以下のコマンドを実行し、対象のバックアップの “バージョン識別子” を確認します。

    wbadmin get versions

8) 以下のコマンドを実行し、システム状態の復元を実施します。

    wbadmin start systemstaterecovery -version:<バージョン識別子> -authsysvol -quiet

9) “今すぐコンピューターを再起動するには、[Y] キーを押してください。”  と表示されたら Y キーを押して、OS を再起動します。
10) OS が起動したら、ディレクトリ サービス復元モードの Administrator でログオンします。
11) 以下のメッセージが表示されることを確認したら、Enter キーを押します。
YYYY/MM/DD HH:MM に開始したシステム状態の回復操作は正常に完了しました。
続行するには、Enter キーを押してください…

12) 復元が完了したら、[ファイル名を指定して実行] から msconfig を実行します。

13) [ブート] タブの [セーフ ブート] をオフにし、[OK] をクリックします。

14) [再起動] をクリックします。

 

2 台目以降にリストアするドメイン コントローラーでのリストア手順

AD データベースは「権限のない復元」、SYSVOL は「権限のない復元」を行います。

 

1) リストアする DC に管理者権限を持つユーザーでサインインします。

2) [ファイル名を指定して実行] から msconfig を実行します。

3) [ブート] タブの [セーフ ブート] をオンにします。

4) [Active Directory 修復] を選択し、[OK] をクリックします。

5) [再起動] をクリックします。

6) OS が起動してきたら、ディレクトリ サービス復元モードの Administrator でサインインします。

7) コマンド プロンプトを起動します。

8) 以下のコマンドを実行し、対象のバックアップの “バージョン識別子” を確認します。

    wbadmin get versions

9) 以下のコマンドを実行し、システム状態の復元を実施します。

    wbadmin start systemstaterecovery -version:<バージョン識別子> -quiet

10) “今すぐコンピューターを再起動するには、[Y] キーを押してください。”  と表示されたら Y キーを押して、OS を再起動します。
11) OS が起動したら、ディレクトリ サービス復元モードの Administrator でサインインします。
12) 以下のメッセージが表示されることを確認したら、Enter キーを押します。
YYYY/MM/DD HH:MM に開始したシステム状態の回復操作は正常に完了しました。
続行するには、Enter キーを押してください…

13) 復元が完了したら、[ファイル名を指定して実行] から msconfig を実行します。

14) [ブート] タブの [セーフ ブート] をオフにし、[OK] をクリックします。

15) [再起動] をクリックします。

 

 

ドメイン全台を復元するシナリオでは、リストア済みのドメイン コントローラーとリストア未実施のドメイン コントローラーが通信しないように注意してください
リストア済みのドメイン コントローラーが、リストア未実施のドメイン コントローラーからデータを複製してしまう可能性があります。

 

 

リストア後の動作確認

ドメイン コントローラーをリストアした後に、正常に動作しているか確認します。
以下の記事で紹介している確認項目を確認し、AD の健全性に問題がないか確認してください。

あわせて読みたい!

ドメイン コントローラーを新規構築した時や、更新プログラムの適用、設定変更などの作業を実施することがあると思います。 その作業を実施した後も、問題なくドメイン コントローラーが正常に動作しているか確認したいですよね。 今回はドメイン コ[…]

 

また、リストア後に SYSVOL の DFSR 複製の初期化が完了しているかを確認しましょう。
[アプリケーションとサービス ログ] – [DFS Replication] のイベント ログに以下の ID のログが記録されているか確認します。

SYSVOL の「権限のないリストア」(D2)

DFSR ID 4604
DFS レプリケーション サービスは、ローカル パス C:\Windows\SYSVOL\domain の SYSVOL レプリケート フォルダーの 初期化に成功しました。このメンバーは、パートナー TEST01DC01.test01.local との SYSVOL の初期同期を完了して います。SYSVOL 共有をチェックするには、「net share」と入力してください。

 

SYSVOL の「権限のあるリストア」(D4)

DFSR ID 4108
DFS レプリケーション サービスは、ローカル パス C:\Windows\SYSVOL\domain のレプリケート フォルダーに対する Authoritative Restore 処理を正常に完了しました。

 

 

楽天ブックス
¥3,630 (2023/06/08 11:21時点 | 楽天市場調べ)
\楽天ポイント5倍セール!/
楽天市場
楽天ブックス
¥4,400 (2023/06/08 11:24時点 | 楽天市場調べ)
\楽天ポイント5倍セール!/
楽天市場