破損したローカルドメインコントローラーの復元と復旧

ドメインコントローラーが破損したり、誤って復元されたりした場合、その被害は甚大です。 ログインに失敗し、GPOが適用されなくなり、レプリケーションがほとんど手がかりもなく停止する。幸いなことに、承認されたバックアップおよび復元方法を遵守すれば、物理または仮想のドメインコントローラーを復旧するための明確な手順が存在します。

最新のWindows Server環境では、ドメインコントローラーを復元するには、次のような概念を十分に理解する必要があります。 システムステータス、権限のある/権限のない復元、SYSVOL、DFSR/FRS、およびUSNロールバックこれらの問題に性急に対処したり、互換性のない画像診断ツールを使用したりすると、診断が非常に困難な、目に見えない矛盾が山積する事態になりかねません。

ドメインコントローラーを適切に保護および復旧することがなぜ重要なのか

Active Directoryは、Windowsドメインにおける認証と認可の中核を成すものです。ユーザー、コンピュータ、グループ、信頼関係、グループポリシー、証明書、その他の重要な要素を保存します。これらの情報は主にデータベースに格納されます。 Ntds.dit関連するログファイルとフォルダ システムボリュームいわゆる「システムの状態」を構成する他の要素の中でも、

システムの状態には、とりわけ以下のものが含まれます。 Active Directoryのログファイルとデータ、Windowsレジストリ、システムボリューム、SYSVOL、証明書データベース（CAが存在する場合）、IISメタベース、ブートファイル、および保護対象のオペレーティングシステムコンポーネントしたがって、本格的な事業継続戦略には、各データセンターのシステム状態の定期的なバックアップを含める必要がある。

Active Directory データベースの実際の破損、深刻なレプリケーションの失敗、または問題が発生した場合 権限 システムボリュームドメイン コントローラーがクエリの処理を停止したり、Active Directory サービスの起動に失敗したり、フォレスト全体に連鎖的なエラーを引き起こしたりする可能性があります。このような場合、 迅速かつ適切な復旧が、深刻な事故と長期にわたる災害との分かれ目となる。.

復元を試みる前に、真のデータベースの問題とよりありふれた障害を区別することが非常に重要です。多くの場合、 原因は、DNS、ネットワークの変更、ファイアウォール、または次のようなツールで変更されたルートにあります。 netshコマンドしたがって、ADデータベースに手を加える前に、まずこれらの要因を排除しておくことをお勧めします。

基本的な診断および複製制御ツール

破損や複製エラーの兆候が見られた場合、まず最初に取るべき賢明な手順は、ネイティブツールを使用して環境の状態を確認することです。 DCDiag、Repadmin、ReplMon（旧バージョン）、およびイベントビューアー 大規模な修復を検討する前に、彼らはあなたの最良の味方となるでしょう。

とともに DCDiag すべてのドメインコントローラーに対して一般的なチェックが実行され、レプリケーション、DNS、AD DSサービスなどの問題が特定されます。 代表 レプリケーションの状態、レプリケーション パートナー、USN ウォーターマークを表示し、永続オブジェクトを検出できます。Windows の旧バージョンでは、 ReplMon それは、ドメイン内の複製エラーをグラフィカルに表示する機能を提供した。

これらのツールに加えて、「ディレクトリサービス」と「DFSレプリケーション」のイベントビューアーを確認することも不可欠です。 467や1018のような事象は、データベースの実際の破損を示している。一方、イベント1113/1115/1114/1116は、入出力レプリケーションの有効化または無効化に関連しています。

疑わしいDCが腐敗の拡散を防ぐために一時的に隔離する必要がある場合、 Repadminを使用して受信および送信レプリケーションを無効にする:

repadmin /options DCNAME +DISABLE_INBOUND_REPL
repadmin /options DCNAME +DISABLE_OUTBOUND_REPL

レプリケーションを正常な状態に戻すには、以下のオプションを削除するだけです。

repadmin /options DCNAME -DISABLE_INBOUND_REPL
repadmin /options DCNAME -DISABLE_OUTBOUND_REPL

ドメインコントローラーでサポートされているシステム状態バックアップ

保証付きでデータセンターを復旧するには、 Active Directory互換ツールを使用してシステム状態のバックアップを実行これらのツールは、マイクロソフトのバックアップおよび復元APIとボリュームシャドウコピーサービス（VSS）を、サポートされている方法で使用します。

最も一般的な解決策としては、 Windows Serverのバックアップ、VSSと統合されたサードパーティ製ソリューション（NAKIVO、Backup Execなど）または、古いユーティリティなど Ntbackup Windows 2000/2003環境において。いずれの場合も、復元後のデータベースとそのレプリカの一貫性を確保するために、AD APIを遵守する必要があります。

Windows Server 2012以降のバージョンには、重要な新機能が追加されています。 Hyper-V世代ID（GenID）この識別子により、仮想ドメインコントローラは、ディスクが以前の時点にロールバックされたことを検出できます。これが発生すると、 AD DSは新しいInvocationIDを生成し、正常なバックアップからの復元が行われたかのように状況を処理します。レプリケーションパートナーに通知することで、USNロールバックを発生させることなく安全な書き換えを可能にする。

尊重することが不可欠です 墓石の生涯これは、システム状態のバックアップを、過去に削除されたオブジェクトが再び出現するリスクなしに使用できる期間を示しています。最新バージョンでは通常180日間ですが、十分な安全マージンを確保するため、少なくとも90日ごとにバックアップを実行することをお勧めします。

USNの逆転を引き起こす不正な方法

Active Directory におけるサイレント不整合の最も危険な原因の 1 つは、 USNロールバックこの状況は、サポートされていない手法を使用して AD データベースの内容をロールバックした際に、InvocationID が復元されず、レプリケーション パートナーにも通知されない場合に発生します。

典型的なシナリオは、DC をブートすることです。 ディスクイメージ または過去に取得された仮想マシンのスナップショット互換性のあるシステム復元を使用せずに、Ntds.dit ファイルを直接コピーするか、Ghost などのイメージング プログラムを使用するか、破損したディスク ミラーから起動するか、アレイ レベルでストレージ スナップショットを再適用します。

これらの場合、ドメインコントローラーは以前と同じ InvocationID を使い続けますが、 米海軍の現地カウンターが後退する他の DC は高い USN までの変更を受信したことを記憶しているため、リバートされた DC が既に認識されている USN を返そうとすると、 パートナーたちは自分たちが最新の情報を把握していると信じ、具体的な変化を受け入れなくなる。.

その結果、特定の修正（例えば、 ユーザー作成、パスワード変更、デバイス登録、グループメンバーシップ変更、新しいDNSレコードこれらのエラーは復旧したデータセンターからネットワーク全体には複製されませんが、監視ツールでは明確なエラーが表示されない場合があります。これは非常に危険なサイレント障害です。

これらの状況を検出するために、Windows Server 2003 SP1 以降のドライバーは、 ディレクトリサービスイベント2095 リモート DC が InvocationID を変更せずに既に確認済みの USN を送信していることが検出されると、システムは 影響を受けるドメインコントローラーを隔離し、Netlogonを一時停止し、それ以上の変更が発生しないようにします。 それは正しく再現できなかった。

追加の法医学的証拠として、 登録簿で参照される キー HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters と値 DSAは書き込み不可ですこの値が設定されている場合（例：0x4）、USN反転検出によってDCが書き込み禁止状態になったことを示します。 この値を手動で変更して「修正」することは、一切サポートされていません。 そして、データベースを恒久的に矛盾した状態にしてしまう。

ドメインコントローラーの破損または復帰が発生した場合の一般的な対策

破損した、または正しく復元されなかったドメインコントローラーに対処する際の手順は、いくつかの要因によって異なります。 ドメイン/フォレスト内のドメインコントローラの数、システム状態の有効なコピーの有無、その他の役割（FSMO、CA、グローバルカタログ）の存在、および問題の時間的範囲.

ドメイン内に他の健康な DC が存在し、 損傷したドメインコントローラには、固有の重要なデータはありません。最も迅速かつ確実な方法は、通常、そのドメインコントローラーを削除して再構築することです。ただし、それが唯一のドメインコントローラーである場合、または機密性の高い役割やデータをホストしている場合は、より慎重な復元（権限のある復元または権限のない復元）が必要になります。

一般的に、選択肢は以下のとおりです。

• 不正なドメインコントローラーを強制的に降格させ、ドメインから削除する続いてメタデータのクリーニングを行い、必要に応じて新規プロモーションを実施します。
• 有効なシステム状態バックアップから復元する権威的なモードであろうと非権威的なモードであろうと関係なく。
• IFM（インストールメディア）を使用して、別のドメインコントローラーから再構築します。最新のコピーがないが、他の正しいドメインコントローラーが存在する場合。
• 仮想ドメインコントローラーのVHDスナップショットを使用するバックアップから復元されたデータベースとしてマークするための追加手順を適用し（バックアップから復元されたデータベース = 1）、新しい InvocationID が生成されるようにします。

USNロールバックが明らかに疑われる場合（たとえば、ベストプラクティスに従わずにスナップショットからVMを復元した後など）、イベント2095が表示された場合、最も賢明な対処法は通常、 そのドメインコントローラーをサービスから外し、現場で「修理」しようとしないでください。ただし、ロールバック前に取得したサポート対象のシステム状態のバックアップに戻すことが可能であれば、この限りではありません。

強制降格とメタデータのクリーンアップ

ドメイン コントローラーが損傷しすぎて通常の方法で降格できない場合、または誤って復元され、問題の拡散を防ぎたい場合は、 強制降格.

以前のバージョンでは、この操作は次のように実行されました。 dcpromo /forceremoval、 何 フォレスト全体に変更を複製しようとせずに、AD DS ロールを削除します。現代の環境ではウィザードの機能は変更されていますが、基本的な考え方は同じです。つまり、問題のあるドメインコントローラーを、それ以降のレプリケーションに参加させることなく、ADトポロジから削除することです。

強制的にダウングレードした後は、正常なドメインコントローラーからコマンドを実行することが必須です。 メタデータクリーニング ツールを使用する Ntdsutilこのプロセスでは、削除された DC へのすべての参照 (NTDS 設定オブジェクト、DNS 参照など) が AD データベースから削除されるため、 複製を混乱させるような「ゴースト」残骸は残っていない.

劣化したコントローラに FSMO ロール (PDC エミュレータ、RID マスター、スキーマ マスターなど) があった場合、 それらの役割を移転または奪取する 状況に応じて、降格前または降格後に別のドメインコントローラーに移行します。その後、そのサーバーにオペレーティングシステムを再インストールし、クリーンなドメインコントローラーに昇格させることができます。

Active Directoryにおける非権限復元と権限復元

有効なシステム状態のコピーが利用可能な場合、ADの復旧は次の2つの方法で行うことができます。 非権威的および権威的その違いを理解することが、最近の変更点を見逃したり、古いデータを複製したりしないための鍵となります。

1で 非公式な修復DCは前の地点に戻りますが、一度開始すると、 他のドメインコントローラは参照とみなされるつまり、起動後、復元された DC は受信レプリケーションを要求し、他の DC からの不足している変更をデータベースに反映させます。このオプションは、次のような場合に最適です。 他にも正常な制御装置は存在するので、修復された制御装置がそれらに追いつくことを望んでいます。.

1で 権威主義体制の復活しかし、明確に述べられているのは 復元されたデータが優先されるべきである。 他の DC よりも高いバージョン番号を持つ。つまり、復元後、復元されたオブジェクトにはより高いバージョン番号が付与され、その DC からドメインの残りの部分に複製されるように強制されます。これは、次のような場合に適切な選択です。 誤ってオブジェクトやOUを削除してしまった場合、またはSYSVOLとGPOの内容を以前の状態に戻し、それを複製したい場合。.

重要な点は、権威ある復元は必ずしもデータベース全体を対象とする必要はないということです。 Ntdsutil 個々のオブジェクト、サブツリー（OU など）、またはドメイン全体を権威のあるものとしてマークできます。これにより、たとえば、 ユーザー、グループ、OU、またはサブツリーdc=mycompany,dc=localのみを取得します.

データセンターにおけるシステム状態の復元に関する一般的な手順

互換性のあるツールを使用してデータセンター（物理データセンターか仮想データセンターかを問わず）のシステム状態を復元するための基本的な手順は、常に同様です。 ディレクトリサービス復元モード（DSRM）で起動し、バックアップツールを使用して復元し、再起動します。.

要約すると、仮想ドメインコントローラーの一般的な手順は次のとおりです。

1. Windowsブートマネージャーで仮想マシンを起動します。 （通常は起動時にF5/F8キーを押すことで可能です）。仮想マシンがハイパーバイザーによって管理されている場合は、キーストロークを取得するためにマシンを一時停止する必要がある場合があります。
2. 詳細ブートオプションで、 ディレクトリサービス復元モード （ディレクトリサービス復元モード）このモードでは、Active Directoryデータベースを正常にマウントせずにサーバーを起動します。
3. DSRM管理者アカウントでログインしてください DC の最初の昇格時に定義されたもの（標準のドメイン管理者アカウントによるものではない）。
4. バックアップツールを実行します （Windows Server Backup、NAKIVO、またはその他の互換性のあるツール）を使用し、システムの状態を目的のバックアップ時点に復元することを選択します。
5. 復元ウィザードを完了して DCを通常モードで再起動します非権限復元の場合、サーバーは他のドメインコントローラーとの同期を取るためにレプリケーションを開始します。

サードパーティのバックアップ製品について話すとき、 NAKIVO バックアップ & レプリケーションその「アプリ認識」モードは、復旧中のマシンがDCであることを認識でき、 ADの一貫性を維持するためにプロセスを自動的に調整します複数のコントローラーが存在するほとんどのシナリオでは、非権限モードでの完全な復旧で十分です。

Ntdsutilによる信頼性の高い復元

復元されたドメインコントローラー上の変更を他の変更よりも優先させたい場合は、非権限復元後に次の手順を追加する必要があります。 Ntdsutilを使用してオブジェクトを権威あるものとしてマークします.

簡略化した流れは以下のとおりです。

1. 標準的な方法でシステムの状態を復元し、サーバーはそのままにしておきます。 DSRMモード （まだ通常モードで再起動しないでください。）
2. 開く 管理者権限でコマンドプロンプトを実行 実行します ntdsutil.
3. ADインスタンスをアクティブ化するには、 インスタンスntdsをアクティブ化する.
4. 権威ある修復の文脈に入ると 権威ある復元.
5. 次のようなコマンドを使用します restore object <DN_objeto> o restore subtree <DN_subarbol>ここで、DNは、権威的に復元されるオブジェクトまたはサブツリーの識別名です。
6. 取引を確認し、完了したら、 DCを通常モードで再起動します これにより、マークされたオブジェクトはドメインの残りの部分よりも優先的に複製されます。

この種の修復作業には、細心の注意が必要である。 ドメイン全体が権限的に復元され、バックアップが古い場合バックアップ後に行われた正当な変更（例えば、ユーザーの作成、パスワードの変更、グループの変更など）が失われるリスクがあります。そのため、権限のある復元は、必要最低限​​のオブジェクトまたはツリーのみに限定するのが一般的です。

SYSVOLの復元と復旧（FRSとDFSRの比較）

SYSVOLはドメインコントローラの重要な構成要素です。 起動スクリプト、グループポリシー、セキュリティテンプレート、その他重要な共有リソースを保存します。アクセス許可の不具合、ファイルの破損、またはレプリケーションの問題が発生すると、GPOが使用できなくなったり、クライアントで予期しない動作が発生したりする可能性があります。

Windows Server のバージョンと移行状況によっては、SYSVOL は以下のように複製される可能性があります。 FRS（ファイルレプリケーションサービス） 理由 DFSR（分散ファイルシステムレプリケーション）SYSVOLの正式な復元手順は、どちらのシステムを使用しているかによって異なります。

これを確認するには、レジストリ内のキーを確認してください。 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DFSR\Parameters\SysVols\Migrating Sysvols\LocalStateこのサブキーが存在し、その値が3（削除済み）であれば、DFSRが使用されています。存在しない場合、または値が異なる場合は、FRSを使用している環境です。

FRS 環境における SYSVOL の権限回復では、通常、値を調整する必要があります。 バーフラッグス en HKLM\System\CurrentControlSet\Services\NtFrs\Parameters\Backup/Restore\Process この DC が権威ある情報源であることを示すために、特定の値 (例: 10 進数の 212 / 16 進数の 0xD4) を指定します。

SYSVOLがDFSRによって複製される場合、そのプロセスはやや複雑になります。 ADSIEdit SYSVOL サブスクリプション オブジェクト (属性) を変更する msDFSR 有効 y msDFSRオプション) 権限のある DC とその他の DC で AD レプリケーションを強制実行し、 dfsrdiag pollad イベントログに以下の表示を確認する イベント4114、4602、4614、4604 SYSVOLが正しく初期化され、複製されたことを証明する。

VHD から仮想ドメインコントローラーを復元する

仮想化環境では、 ドメインコントローラーのVHD/VHDXファイルシステム状態のバックアップがない場合でも、正常に動作する「古い」VHDがあれば、そのディスクから新しいDCをマウントできます。ただし、USNロールバックを引き起こさないように、非常に慎重に行う必要があります。

おすすめは その仮想マシンを通常モードで直接起動しないでください代わりに、以前のVHDから起動する必要があります。 DSRMレジストリ エディターを開き、次の場所に移動します。 HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parametersそこでは、値をチェックすることをお勧めします 過去のDSA修復の件数 （存在する場合）そして何よりも、新しい DWORD（32 ビット）値を作成します。 バックアップから復元されたデータベース 値は 1 です。

この値を選択すると、Active Directory にデータベースがバックアップから復元されたことが通知され、 通常モードで起動する際に新しいInvocationIDを生成するこのようにして、他のドメインコントローラーはそれを新しいインスタンスとして解釈し、レプリケーションのウォーターマークを正しく調整することで、USNのロールバックを防ぎます。

DCを通常モードで再起動した後、イベントビューアー、特にログを確認することをお勧めします。 ディレクトリサービス探しているのは イベント 1109このイベントは、サーバーの InvocationID 属性が変更されたことを確認し、古い値と新しい値の両方、およびバックアップ時の最高 USN を表示します。さらに、 過去のDSA修復の件数 1つ増やすべきだった。

これらのイベントが表示されない場合、またはカウントが増加しない場合は、オペレーティングシステムのバージョンとサービス パックを確認してください。 特定の修復動作は、特定のパッチに依存するいずれにしても、元のVHDのコピーを使って作業し、プロセスを繰り返す必要が生じた場合に備えて、元のVHDをそのままの状態で保管しておくことをお勧めします。

実践的なシナリオと追加の推奨事項

実際には、汚職や不適切な修復といった問題は、日常的な場面でしばしば発生する。 SYSVOL のアクセス許可の手動変更、ADMX/ADML テンプレートの更新試行、複製されない GPO の変更共有フォルダを手動で変更すると、比較的簡単に不整合が発生します。 SYSVOL\Policies 複製を考慮せずに。

プライマリ DC でレプリケーションが破損している場合 (AD データと SYSVOL の両方)、監視メッセージが次のタイプの場合データベースはサポートされていない手順を使用して復元されました。考えられる原因：USNロールバック賢明な行動は次のとおりです。

• 確認する dcdiag y 担当者 エラーの程度と、「永続オブジェクト」が存在するかどうか。
• イベント2095と値を確認してください DSAは書き込み不可です レジストリ内。
• 可能かどうか評価する そのDCを取り外して再構築する （他に健康な乳児が3人以上いる場合は、通常これが最良の選択肢となります。）
• それが唯一のDCまたは批評家であれば、 システム状態の復元 互換性のあるバックアップ（理想的には最近作成されたもので、かつ削除期限内のもの）から取得してください。

複数のコントローラーが存在するドメインでは、データセンターはできる限り「純粋」な構成にすることが強く推奨されます。 追加のロールやローカルユーザーデータなしでこのようにすれば、いずれかのドメインコントローラーが故障したり破損したりした場合でも、別のドメインコントローラーに基づいて、あるいはIFM（統合フィールド管理）を通じて、新しいドメインコントローラーをフォーマットして昇格させることができ、復旧の複雑さを大幅に軽減できます。

さらに、次のような制限事項を覚えておく価値があります。 システム状態のコピーは、トゥームストーン期間中のみ有効です。 （構成に応じて 60、90、180 日）削除されたオブジェクトの復元を避けるため、また NTLM マシン キーが 7 日ごとに変更されるようにします。非常に古いリストアでは、 チームアカウントをリセットする 「Active Directoryユーザーとコンピューター」に関する問題、あるいはそれらを削除してドメインに再参加させることさえも。

システムの状態を定期的にバックアップするための手順を整備し、 FSMOの役割、グローバルカタログ、およびレプリケーショントポロジーを明確に文書化するまた、ラボ環境で復元手順をテストすることは、ドメインコントローラーが破損したり、誰かが考えなしにスナップショットを適用したりした際に、多くの面倒な問題を回避できる時間の投資となります。