この記事では、Azure Backup を使用して、Azure 仮想マシン (VM) またはオンプレミス サーバーで実行されている Active Directory ドメイン コントローラーをバックアップおよび復元する方法について説明します。 推奨される手順を使用して、Active Directory 環境を保護し、破損、侵害、または障害時にドメイン コントローラーを回復できます。 ニーズに合った適切な復元シナリオの選択に関するガイダンスについては、 Active Directory フォレストの回復ガイドを参照してください。
Note
この記事では、 Microsoft Entra ID からアイテムを復元する方法については説明しません。 Microsoft Entra ユーザーの復元については、こちらの記事を参照してください。
ベスト プラクティス
Active Directory の保護を開始する前に、次のベスト プラクティスを確認します。
少なくとも 1 つのドメイン コントローラーが確実にバックアップされるようにします。
Active Directory を頻繁にバックアップします。 TSL より古いオブジェクトは廃棄され、有効と見なされなくなったため、バックアップ期間は廃棄 石 の有効期間 (TSL) より古くすることはできません。
既定の TSL は、Windows Server 2003 SP2 以降でビルドされたドメインの場合、180 日です。
構成された TSL を確認するには、次の PowerShell スクリプトを使用します。
(Get-ADObject $('CN=Directory Service,CN=Windows NT,CN=Services,{0}' -f (Get-ADRootDSE).configurationNamingContext) -Properties tombstoneLifetime).tombstoneLifetime
ドメイン コントローラーを復元する方法に関する手順を含む、明確なディザスター リカバリー計画を用意します。 Active Directory フォレストの復元を準備する場合は、「Active Directory フォレストの復旧ガイド」を参照してください。
ドメイン コントローラーを復元する必要があり、ドメイン内に機能するドメイン コントローラーが残っている場合は、バックアップから復元する代わりに新しいサーバーを作成できます。 Active Directory Domain Services サーバー ロールを新しいサーバーに追加して、それを既存のドメインのドメイン コントローラーにします。 その後、Active Directory データが新しいサーバーにレプリケートされます。 以前のドメイン コントローラーを Active Directory から削除するには、こちらの記事の手順に従って、メタデータのクリーンアップを実行します。
Note
Azure Backup には、Active Directory の項目レベルの復元は含まれません。 削除されたオブジェクトを復元して、ドメイン コントローラーにアクセスできるようにするには、Active Directory ごみ箱を使用します。 この方法を使用できない場合は、ドメイン コントローラーのバックアップを使用して、ここで説明するように、ntdsutil.exe ツールを使用して削除されたオブジェクトを復元できます。
SYSVOL の権限のある復元を実行する方法については、こちらの記事を参照してください。
ドメイン コントローラーのバックアップ
Azure Backup を使用してドメイン コントローラーをバックアップできます。 この操作により、Active Directory 環境を保護し、潜在的な問題から確実に復旧できます。
ドメイン コントローラー環境を選択します。
ドメイン コントローラーが Azure VM の場合は、Azure VM バックアップを使用してサーバーをバックアップできます。
Azure VM ドメイン コントローラーのバックアップ (および将来の復元) が正常に行われるようにするには、「仮想化ドメイン コントローラーの運用上の考慮事項」を参照してください。
Active Directory の復元
Active Directory データを復元する場合は、次のいずれかのモードを選択できます。
- 権限のある復元: 復元されたデータは、フォレスト内の他のすべてのドメイン コントローラー上のデータを置き換えます。 削除されたオブジェクトを回復し、環境全体にレプリケートされるようにする必要がある場合は、このモードを使用します。
- 非認証復元: 復元されたドメイン コントローラーは、復旧後に他のドメイン コントローラーから更新プログラムを受け取ります。 これは、既存のドメインでドメイン コントローラーを再構築する場合に推奨される方法です。
ドメイン コントローラーの再構築など、ほとんどのシナリオでは、 認証されていない復元を実行する必要があります。
復元中、サーバーはディレクトリ サービス復元モード (DSRM) で開始されます。 ディレクトリ サービス復元モードの管理者パスワードを指定する必要があります。
Note
DSRM パスワードを忘れた場合は、 リセットします。
復元するドメイン コントローラー環境を選択します。
Azure VM ドメイン コントローラーを復元する場合は、「ドメイン コントローラー VM を復元する」を参照してください。
単一ドメイン内の 1 つのドメイン コントローラー VM または複数のドメイン コントローラー VM を復元する場合は、他の VM と同じように復元します。 ディレクトリ サービス復元モード (DSRM) も利用できるので、Active Directory の復元シナリオはすべて実行可能です。
1 つのドメイン コントローラー VM をマルチ ドメイン構成で復元する必要がある場合は、PowerShell を使用してディスクを復元し、VM を作成します。
ドメイン内の最後に残っているドメイン コントローラーを復元する場合や、1 つのフォレスト内の複数のドメインを復元する場合は、フォレストの復旧をお勧めします。
Note
Windows 2012 以降の仮想化ドメイン コントローラーでは、仮想化ベースのセーフガードが使用されます。 これらのセーフガードを使用すると、復元された VM がドメイン コントローラーであるかどうかが Active Directory によって認識され、Active Directory データを復元するために必要な手順が実行されます。