仮想化ドメイン コントローラーのバックアップと復元に関する考慮事項

更新日: 2011年4月

適用対象: Windows Server 2008, Windows Server 2008 R2, Windows Virtualization

ドメイン コントローラーのバックアップはどのような環境においても重要な要件です。バックアップによって、ドメイン コントローラーの障害や管理上のエラーが発生した場合にデータの消失から保護されます。こうした問題が発生した場合、ドメイン コントローラーのシステム状態を、障害やエラーが発生する前の時点にロールバックする必要があります。ドメイン コントローラーを正常な状態に復元する方法として、Active Directory と互換性のあるバックアップ アプリケーション (Windows Server バックアップなど) を使用し、ドメイン コントローラーの現在のインストールから作成したシステム状態のバックアップを復元する方法がサポートされています。Active Directory ドメイン サービス (AD DS) での Windows Server バックアップの使用の詳細については、「ステップ バイ ステップ ガイド - AD DS のバックアップと回復」(http://go.microsoft.com/fwlink/?LinkId=138501) を参照してください。

仮想マシン テクノロジを使用する場合、Active Directory の復元操作における特定の要件が別の意味を持ちます。たとえば、仮想ハード ディスク (VHD) ファイルのコピーを使用してドメイン コントローラーを復元した場合、復元完了後にドメイン コントローラーのデータベース バージョンを更新するという重要なステップを省略することになります。適切でない追跡番号によってレプリケーションが実行される結果、ドメイン コントローラーのレプリカ間でデータベースの一貫性がなくなります。ほとんどの場合、ドメイン コントローラー間で不整合があるにもかかわらず、この問題はレプリケーション システムによって検出されないままとなり、エラーも報告されません。

仮想化ドメイン コントローラーのバックアップと復元を実行する方法として次の 2 つがサポートされています。

  1. ゲスト オペレーティング システムで Windows Server バックアップを実行します。

  2. ホストで Windows Server バックアップを実行します。この操作ではゲストのボリューム シャドウ コピー サービス (VSS) ライターが呼び出され、バックアップが正常に実行されることが確認されます。

バックアップと復元で避けるべき事項

既に説明したように、仮想マシンで実行されるドメイン コントローラーには、物理マシンで実行されるドメイン コントローラーには適用されない制限事項があります。仮想ドメイン コントローラーをバックアップまたは復元する場合、仮想化ソフトウェアの機能や手段のうち、使用すべきでないものがあります。

  • 定期的なバックアップを実行せずにドメイン コントローラーの VHD ファイルをコピーまたは複製することは避けてください。VHD ファイルをコピーまたは複製した場合、その VHD ファイルは古いものになります。その後、VHD を通常モードで起動した場合、フォレスト内でレプリケーション データの相違が生じることがあります。Windows Server バックアップ機能を使用するなど、Active Directory ドメイン サービス (AD DS) でサポートされている適切なバックアップ操作を実行してください。

  • スナップショット機能をバックアップとして使用し、ドメイン コントローラーとして構成された仮想マシンを復元することは避けてください。仮想マシンを以前の状態に戻したときにレプリケーションに関する問題が発生します。詳細については、「付録 A: 仮想化ドメイン コントローラーとレプリケーションに関する問題」を参照してください。スナップショットを使用して読み取り専用ドメイン コントローラー (RODC) を復元しても、レプリケーションの問題は起こりませんが、それでもこの復元方法はお勧めしません。
仮想ドメイン コントローラーの復元

ドメイン コントローラーで障害が発生した場合にドメイン コントローラーを復元できるようにするには、システム状態を定期的にバックアップしておく必要があります。システム状態には、Active Directory のデータ ファイルとログ ファイル、レジストリ、システム ボリューム (SYSVOL フォルダー)、および各種のオペレーティング システム要素が含まれます。この要件は、仮想マシンで実行されているドメイン コントローラーの場合でも、本来のハードウェアで実行されているドメイン コントローラーの場合でも、違いはまったくありません。Active Directory と互換性のあるバックアップ アプリケーションによって実行されるシステム状態の復元手順は、復元処理後に Active Directory のローカル データベースとレプリケートされたデータベースの一貫性を確保することを目的としています。これには、呼び出し ID のリセットをレプリケーション パートナーに通知する処理も含まれています。ただし、仮想ホスティング環境と、ディスクまたはオペレーティング システムのイメージング アプリケーションを使用することによって、管理者は、ドメイン コントローラーのシステム状態を復元する場合に通常実行される確認や検証を省くことができます。

ドメイン コントローラーの仮想マシンで障害が発生し、更新シーケンス番号 (USN) のロールバックが発生しなかった場合に、仮想マシンを復元する条件として次の 2 つがサポートされています。

  • 障害前の有効なシステム状態のデータ バックアップが存在する場合は、バックアップの作成に使用したバックアップ ユーティリティの復元オプションを使用して、システム状態を復元できます。システム状態データ バックアップは、Active Directory と互換性のあるバックアップ ユーティリティを使用して、廃棄期限内に作成したものである必要があります。既定では、廃棄期限は 180 日以内です。ドメイン コントローラーのバックアップは、少なくとも廃棄期限の半分ごとに行ってください。フォレストの具体的な廃棄期限を決める方法の詳細については、「Determine the Tombstone Lifetime for the Forest (フォレストの廃棄期限を決める方法に関するページ)」(http://go.microsoft.com/fwlink/?LinkID=137177) を参照してください。

  • VHD ファイルの作業用コピーが使用できるものの、システム状態のバックアップが使用できない場合は、既存の仮想マシンを復元できます。VHD の以前のコピーを使用して既存の仮想マシンを復元しますが、以降で説明するように、必ずディレクトリ サービス復元モード (DSRM) で起動し、レジストリを正しく構成してください。そして、ドメイン コントローラーを通常モードで再起動してください。

次の図の手順を使用して、仮想化ドメイン コントローラーを復元する最善の方法を決めてください。

Hyper-V での書き込み可能なドメイン コントローラの復元

RODC の場合、復元の手順や決定はより簡単になります。

Hyper-V での読み取り専用ドメイン コントローラの復元
仮想ドメイン コントローラーのシステム状態のバックアップの復元

ドメイン コントローラーの仮想マシンの有効なシステム状態のバックアップがある場合は、VHD ファイルのバックアップに使用したバックアップ ツールで規定されている復元手順を実行して、バックアップを安全に復元できます。

Important重要
ドメイン コントローラーを正しく復元するには、ドメイン コントローラーを DSRM で起動する必要があります。通常モードによるドメイン コントローラーの起動はしないでください。システムの起動中に DSRM に入れなかった場合は、ドメイン コントローラーの仮想マシンをオフにしてください。その後、通常モードで完全に起動することができます。ドメイン コントローラーを通常モードで起動すると、ドメイン コントローラーがネットワークから切断されていても、ドメイン コントローラーの USN が 1 増えます。したがって、ドメイン コントローラーを DSRM で起動することが重要です。USN ロールバックの詳細については、「付録 A: 仮想化ドメイン コントローラーとレプリケーションに関する問題」を参照してください。

仮想ドメイン コントローラーのシステム状態のバックアップを復元するには

  1. ドメイン コントローラーの仮想マシンを起動し、F5 キーを押して Windows ブート マネージャーにアクセスします。接続の資格情報の入力を求められた場合は、仮想マシンですぐに [一時停止] ボタンをクリックして起動を止めます。次に、接続の資格情報を入力し、仮想マシンで [再生] ボタンをクリックします。仮想マシン ウィンドウ内をクリックし、 F5 キーを押します。

    Windows ブート マネージャーの画面が表示されず、ドメイン コントローラーが通常モードで起動し始めた場合は、起動が完了しないように仮想マシンをオフにします。Windows ブート マネージャーにアクセスできるまで、必要な回数だけこの手順を繰り返してください。Windows エラー回復処理のメニューから DSRM にアクセスすることはできません。したがって、Windows エラー回復処理のメニューが表示された場合は、仮想マシンをオフにしてやり直してください。

  2. Windows ブート マネージャーの画面で、 F8 キーを押して詳細ブート オプションにアクセスします。

  3. [詳細ブート オプション] 画面で、[ディレクトリ サービス復元モード] を選択し、 Enter キーを押します。これで、ドメイン コントローラーが DSRM で起動します。

  4. システム状態のバックアップの作成に使用したツールによる適切な復元手順を実行します。Windows Server バックアップを使用した場合は、「AD DS の権限のない復元の実行」(http://go.microsoft.com/fwlink/?LinkID=132637) を参照してください。
システム状態データの適切なバックアップが使用できない場合の仮想ドメイン コントローラーの復元

仮想マシンの障害が発生する前のシステム状態データがない場合は、以前の VHD ファイルを使用して、仮想マシンで実行されているドメイン コントローラーを復元できます。可能であれば、手順の実行中に問題が発生したり手順を飛ばしたりした場合にコピーした VHD で再実行できるように、VHD のコピーを作成してください。

Important重要
  • 以下の手順を、定期的に計画およびスケジューリングされるバックアップの代わりとして使用しないでください。

  • 以下の手順による復元は、Microsoft によってサポートされません。他に手段がない場合にのみ、この手順を実行してください。

  • 復元しようとしている VHD のコピーがいずれかの仮想マシンで通常モードで既に起動されている場合は、この手順を実行しないでください。

システム状態のデータ バックアップがない場合に仮想ドメイン コントローラーの以前のバージョンの VHD を復元するには

  1. 前述の手順に従い、以前の VHD を使用して、仮想ドメイン コントローラーを DSRM で起動します。通常モードによるドメイン コントローラーの起動はしないでください。Windows ブート マネージャーの画面が表示されず、ドメイン コントローラーが通常モードで起動し始めた場合は、起動が完了しないように仮想マシンをオフにします。DSRM に入るための詳しい手順については、前述の手順を参照してください。

  2. レジストリ エディターを開きます。レジストリ エディターを開くには、[スタート] ボタン、[ファイル名を指定して実行] の順にクリックし、「regedit」と入力して、[OK] をクリックします。[ユーザー アカウント制御] ダイアログ ボックスが表示された場合は、表示されている操作が目的の操作であることを確認して、[はい] をクリックします。レジストリ エディターで、パス HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters を展開します。[DSA Previous Restore Count] という名前の値を探します。この値が存在する場合は、設定をメモしておきます。この値が存在しない場合、設定は既定値の 0 に等しくなります。設定が表示されない場合でも、値を追加しないでください。

  3. [Parameters] キーを右クリックし、[新規] をクリックして、[DWORD (32 ビット) 値] をクリックします。

  4. 新しい名前「Database restored from backup」を入力し、 Enter キーを押します。

  5. 作成した値をダブルクリックして [DWORD (32 ビット) 値の編集] ダイアログ ボックスを開き、[値のデータ] ボックスに「1」と入力します。「Database restored from backup」入力オプションは、Windows 2000 Server Service Pack 4 (SP4)、マイクロソフト サポート技術情報の記事 875495 (http://go.microsoft.com/fwlink/?LinkId=137182) に含まれている更新プログラムをインストールした Windows Server 2003、および Windows Server 2008 を実行しているドメイン コントローラーで使用できます。

  6. ドメイン コントローラーを通常モードで再起動します。

  7. ドメイン コントローラーが再起動したら、イベント ビューアーを開きます。イベント ビューアーを開くには、[スタート] ボタン、[コントロール パネル] の順にクリックし、[管理ツール]、[イベント ビューアー] の順にダブルクリックします。

  8. [アプリケーションとサービス ログ] を展開し、[ディレクトリ サービス] ログをクリックします。イベントが詳細ウィンドウに表示されることを確認します。

  9. [ディレクトリ サービス] ログを右クリックし、[検索] をクリックします。[検索する文字列] に「1109」と入力し、[次を検索] をクリックします。

  10. 少なくともイベント ID 1109 のエントリが表示されるはずです。このエントリが表示されない場合は、次の手順に進んでください。エントリが表示された場合は、エントリをダブルクリックし、InvocationID に対する更新が実行されたことを確認するテキストを確認します。

    Active Directory has been restored from backup media, or has been configured to host an application partition. 
The invocationID attribute for this directory server has been changed. 
The highest update sequence number at the time the backup was created is <時間>

InvocationID attribute (old value):<以前の InvocationID の値>
InvocationID attribute (new value):<新しい InvocationID の値>
Update sequence number:<USN>

The InvocationID is changed when a directory server is restored from backup media or is configured to host a writeable application directory partition.

  11. イベント ビューアーを閉じます。

  12. レジストリ エディターで、[DSA Previous Restore Count] が以前の値に 1 を加えた値に等しいことを確認します。この値が正しくなく、イベント ID 1109 のエントリがイベント ビューアーで見つからない場合は、ドメイン コントローラーのサービス パックが最新であることを確認してください。この手順を同じ VHD に対して再試行することはできません。通常モードで起動されていない、そのVHD のコピーまたは別の VHD に対しては再試行できます。その場合は、手順 1. からもう一度やり直してください。

  13. レジストリ エディターを閉じます。

関連項目

タグ :


Page view tracker