Active Directory バックアップのベストプラクティス
Active Directoryは、Windowsベースの環境における一元管理とユーザー認証を行う、広く知られたサービスです。管理者はドメインに追加されたコンピュータを一元的に管理できるため、大規模で分散したインフラストラクチャにおいて、利便性が高く、時間の節約にもなります。通常、MS SQLやMS ExchangeではActive Directoryが必要です。Active Directoryドメインコントローラー(AD DC)が利用できなくなると、関連するユーザーはログインできなくなり、システムが正常に機能しなくなるため、環境内で問題が発生する可能性があります。 そのため、Active Directoryのバックアップは重要です。
このブログ記事では、その理由について解説します。 Active Directoryのバックアップ 効果的な手法やツールを含むベストプラクティス。
Active Directory の動作原理
Active Directory は、個々のオブジェクトやトランザクションログが格納されるデータベースで構成される管理システムです。このデータベースは、異なる種類の情報を格納するいくつかのセクションに分かれています。具体的には、スキーマパーティション(オブジェクトクラスやその属性など、AD データベースの設計を決定する)、構成パーティション(AD 構造に関する情報)、およびドメイン名コンテキスト(ユーザー、グループ、プリンターオブジェクト)です。Active Directory データベースは、階層的なツリー構造を持っています。 Ntds.dit ファイルは、ADデータベースを格納するために使用されます。
Active Directoryは、ネットワーク上での機能を実現するためにLDAPおよびKerberosプロトコルを使用します。LDAP(Lightweight Directory Access Protocol)は、ディレクトリ(Active Directoryなど)へのアクセスに使用されるオープンなクロスプラットフォームプロトコルであり、ユーザー名とパスワードを使用したディレクトリサービスの認証機能も備えています。Kerberosは、秘密鍵暗号を使用する、安全な認証およびシングルサインオンプロトコルです。 Kerberos認証サーバーによって検証されるユーザー名とパスワードは、LDAPディレクトリ(Active Directoryを使用する場合)に保存されます。
Active Directoryは、DNSサーバー、Windowsの保護されたシステムファイル、ドメインコントローラーのシステムレジストリ、Sysvolディレクトリ、COM+クラス登録データベース、およびクラスターサービス情報と緊密に統合されています。このような統合は、Active Directoryのバックアップ戦略に直接的な影響を与えます。
どのようなデータをバックアップすべきか?
前のセクションで説明したように、~だけでなく、~のコピーを作成する必要があります Ntds.dit、ただし、すべてのコンポーネントはActive Directoryと統合されています。ドメイン コントローラー システムを構成するすべてのコンポーネントの一覧は次のとおりです:
- Active Directory ドメイン サービス
- ドメイン コントローラーのシステム レジストリ
- Sysvol ディレクトリ
- COM+ クラス登録データベース
- Active Directoryと統合されたDNSゾーン情報
- システムファイルとブートファイル
- クラスタサービス情報
- 証明書サービスデータベース(ドメイン コントローラーが証明書サービス サーバーである場合)
- IIS メタフォルダ(ドメイン コントローラーに Microsoft Internet Information Services がインストールされている場合)
ADバックアップに関する一般的な推奨事項
Active Directoryのバックアップに関する一般的な推奨事項をいくつか見ていきましょう。
ドメイン内のドメイン コントローラーは、少なくとも 1 台はバックアップする必要があります
インフラストラクチャ内にドメイン コントローラーが 1 台しかない場合は、その DC をバックアップすべきであることは明らかです。ドメイン コントローラーが複数ある場合は、それらをバックアップする必要があります。 少なくとも そのうちの1つです。FSMO(Flexible Single Master Operation)ロールがインストールされているドメイン コントローラーのバックアップを作成しておく必要があります。すべてのドメイン コントローラーが失われた場合でも、プライマリ ドメイン コントローラー(FSMO ロールを含む)を復元し、新しいセカンダリ ドメイン コントローラーを展開することで、プライマリ DC からの変更をセカンダリ DC にレプリケートすることができます。
Active Directoryのバックアップを災害復旧計画に組み込んでください
想定される災害に備え、インフラストラクチャを復旧するための複数のシナリオを盛り込んだ災害復旧(DR)計画を策定してください。ベストプラクティスとしては、災害が発生する前に綿密なDR計画を作成しておくことです。復旧手順には細心の注意を払ってください。Active Directoryに関連するサービスを提供する他のマシンは、AD DCが機能しないと使用不能になる可能性があるため、これらを復旧させる前にドメインコントローラーを復旧させなければならない点に留意してください。実用的な 災害復旧計画 異なるマシン上で実行されている各サービスの依存関係を考慮したバックアップであれば、確実に復旧できます。ドメイン コントローラーは、ローカル サイト、リモート サイト、またはクラウドにバックアップできます。Active Directory のバックアップに関するベスト プラクティスの一つとして、以下の要件に従って、ドメイン コントローラーのコピーを複数用意することが挙げられます。 3-2-1バックアップルール.
Active Directory を定期的にバックアップしてください
Active Directory は、60 日を超えない間隔で定期的にバックアップする必要があります。AD サービスは、Active Directory のバックアップの経過期間が AD トゥームストーン オブジェクトの有効期間(デフォルトでは 60 日)を超えないことを前提としています。これは、Active Directory がオブジェクトを削除する際にトゥームストーン オブジェクトを使用するためです。 AD オブジェクトが削除されると(そのオブジェクトの属性の大部分が削除されると)、そのオブジェクトはトゥームストーン オブジェクトとしてマークされ、トゥームストーンの有効期間が満了するまで物理的には削除されません。
インフラストラクチャに複数のドメイン コントローラーがあり、Active Directory のレプリケーションが有効になっている場合、トゥームストーン オブジェクトは、その有効期間が満了するまで各ドメイン コントローラーにコピーされます。 バックアップからドメイン コントローラーを復元する際、そのバックアップの作成日時がトゥームストーンの有効期間より古い場合、Active Directory ドメイン コントローラー間で情報の不整合が発生します。この場合、復元されたドメイン コントローラーには、もはや存在しないオブジェクトに関する情報が保持されたままになります。これにより、それに応じたエラーが発生する可能性があります。
バックアップ作成後にドメイン コントローラーにドライバーやアプリケーションをインストールした場合、システムの状態(レジストリを含む)が以前の状態に復元されるため、そのバックアップからの復元後は機能しなくなります。これは、Active Directory を 60 日に 1 回以上の頻度でバックアップすべきもう 1 つの理由です。Active Directory ドメイン コントローラーは毎晩バックアップすることを強く推奨します。
データの整合性を確保できるソフトウェアを使用する
他のデータベースと同様、Active Directory データベースも、データベースの一貫性が維持されるようにバックアップする必要があります。一貫性を最も確実に維持するには、サーバーの電源がオフの状態、または Microsoft が ボリューム シャドウ コピー サービス (VSS) は、稼働中のマシンで使用されます。サーバーが24時間365日稼働している場合、電源を切った状態でActive Directoryサーバーのバックアップを行うことは推奨されません。
のActive Directoryバックアップのベストプラクティスでは、Active Directoryを実行しているサーバーのバックアップには、VSS対応のバックアップアプリケーションを使用することを推奨しています。VSSライターはスナップショットを作成し、バックアップが完了するまでシステムの状態を固定することで、バックアップ処理中にActive Directoryが使用するアクティブなファイルが変更されるのを防ぎます。
きめ細かな復元機能を備えたバックアップソリューションを活用する
Active Directory の復元に関しては、Active Directory およびそのすべてのオブジェクトを含むサーバー全体を復元することができます。完全な復元を実行すると、特に AD データベースのサイズが大きい場合、かなりの時間がかかる可能性があります。Active Directory オブジェクトの一部が誤って削除されてしまった場合、それらのオブジェクトのみを復元し、それ以外は復元しないようにしたい場合もあるでしょう。 Active Directoryのバックアップに関するベストプラクティスでは、バックアップから特定のActive Directoryオブジェクトのみを復元できる、いわゆる"粒度の高い復元"が可能なバックアップ手法やアプリケーションを使用することが推奨されています。これにより、復元に要する時間を最小限に抑えることができます。
Active Directory のネイティブバックアップ方法
マイクロソフトは、Active Directory ドメイン コントローラーを実行しているサーバーを含む、Windows Server のバックアップ用の一連のネイティブ ツールを開発しました。
Windows Server バックアップ
Windows Server バックアップ これは、MicrosoftがWindows Server 2008およびそれ以降のWindows Serverバージョンで提供しているユーティリティであり、 NTBackup Windows Server 2003に組み込まれているユーティリティです。これを利用するには、[ 役割と機能の追加 メニュー。Windows Server Backup には新しい GUI(グラフィカル・ユーザー・インターフェイス)が搭載されており、VSS を使用して増分バックアップを作成できます。バックアップされたデータは、Microsoft Hyper-V でも使用されているのと同じファイル形式である VHD ファイルに保存されます。このような VHD ディスクを仮想マシンまたは物理マシンにマウントして、バックアップされたデータにアクセスすることができます。MVMC で作成された VHD とは異なり、Microsoft 仮想マシン コンバーター)、この場合、VHD イメージは起動できません。以下の方法を使用することで、ボリューム全体またはシステム状態のみをバックアップできます。 wbadmin start systemstatebackup コマンド。例:
wbadmin start systemstatebackup --backuptarget:E:
バックアップの保存先は、データをバックアップするボリュームとは異なる場所、かつリモート共有フォルダではない場所を選択してください。
復元を行う際は、ドメイン コントローラーを ディレクトリサービスの復元モード (DSRM)を押して F8 (セーフモードに入る時と同じように)詳細ブートオプションを開きます。その後、 wbadmin get versions -backupTarget:path_to_backup machine:name_of_server コマンドを使用して適切なバックアップを選択し、必要なデータの復元を開始します。また、 NTDSutil リカバリ中にコマンドラインから特定の Active Directory オブジェクトを管理するため。
Active Directory のバックアップに Windows Server バックアップを使用する利点は、コスト効率の良さ、VSS 機能、およびシステム全体または Active Directory コンポーネントのみをバックアップできる点です。
欠点としては、バックアップおよびリカバリのプロセスを設定するために、適切なスキルと知識が必要となる点が挙げられます。
System Center Data Protection Manager
マイクロソフトでは、以下の使用を推奨しています。 System Center Data Protection Manager (SC DPM) は、Windows ベースのインフラストラクチャにおける Active Directory を含むデータのバックアップに使用されます。SC DPM は、System Center Suite の一部を構成する集中型のエンタープライズグレードのバックアップおよびリカバリソリューションであり、Active Directory などのサービスを含む Windows Server を保護するために使用できます。Windows に標準搭載されている無料の"Windows Server Backup"とは異なり、SC DPM は有料ソフトウェアであり、複雑なソリューションとして別途導入する必要があります。 Windows Server Backupと比較すると、インストールは多少難しく感じるかもしれません。実際、マシンを完全に保護するためには、バックアップエージェントをインストールする必要があります。
Active Directoryのバックアップに関連するSystem Center Data Protection Managerの主な機能は以下の通りです:
- VSSのサポート
- 増分バックアップ
- Microsoft Azure クラウドへのバックアップ
- Active Directory では、オブジェクト単位の復元は行われません
SC DPMは、MS ExchangeやMS SWLサーバーを含む多数のWindowsマシンを保護する必要がある場合に、最も実用的です。
仮想ドメイン コントローラーのバックアップ
記載されているActive Directoryのネイティブバックアップ方法は、物理サーバーおよび仮想マシン上に展開されたActive Directoryサーバーのバックアップに使用できます。ドメインコントローラーを仮想マシン上で実行することには、ホストレベルのバックアップや、別の物理サーバー上で動作する仮想マシンとして復元できるといった、仮想マシン特有の利点がいくつかあります。Active Directoryのバックアップに関するベストプラクティスでは、仮想マシン上で動作するActive Directoryドメインコントローラーのバックアップを行う際は、ハイパーバイザーレベルでホストレベルのバックアップソリューションを使用することが推奨されています。
結論
Active Directoryは、障害が発生するとユーザーやサービスの停止を招く恐れがある、ビジネス上最も重要なアプリケーションの一つに分類されます。本日のブログ記事では、Active Directoryの障害からインフラストラクチャを保護するためのバックアップのベストプラクティスについて解説しました。この場合、適切なバックアップソリューションを選択することが重要なポイントです。
NAKIVO Backup & Replication ホストレベルのものであり VMware用バックアップソフトウェア およびActive Directoryドメインコントローラーを実行しているHyper-V仮想マシン。このソリューションにより、仮想マシンが稼働中であっても、以下の要件を満たしつつ、ドメインコントローラー仮想マシン全体をバックアップすることができます。 アプリケーションの認識 (VSSが使用されます)に加え、ADオブジェクトの即時復旧も可能です。エージェントは不要です。 NAKIVO Backup & Replication Active Directoryのきめ細かな復旧に対応しており、これにより、VM全体の復旧に要する時間を費やすことなく、特定のADオブジェクトやコンテナを復旧することができます。もちろん、ドメイン コントローラーVMの完全な復旧もサポートされています。
