Active Directory Domain Controller の復旧体験談

1. 玉井 裕太郎
AD DC：Active Directory Domain Controller
2010年3月5日

2. お断り
 発表時と一部プレゼン内容を変更させて
いただきました。
 また、一部情報に公開すべきでない情報
がありましたので対処させていただきま
した。ご了承ください。
2

3. Who are you ?
 名前 玉井 裕太郎
 所属 工学系大学２年
兼 非常勤システム管理者
 サーバやネットワーク製品が好きという変な人
です！（特にセキュリティ）
 Hyper-V を用いてExchange や SharePoint や
System Center などの製品をテストしている
日々です。
 声をかけていただけるとうれしいです。
 ちなみに、AD とはちょうど10歳違いです。
3

4. トラブル原因＆目指すもの
 サブの DC（server2008）がHW障害でネット
ワークから隔離されていた。
 そのため残留オブジェクトなどの問題が発生。
 また、server2008 を他のサービス用にリソー
スを用いたかった。
 server2008 を DC から降格する。
DC : Domain Controller
Windows SharePoint Services 3.0用
4

5. ネットワーク概要図
server1 : Windows Small Business Server 2003
server2008 : Windows Server 2008 SE
server2000 : Windows 2000 Server
ドメイン名
5
HDD障害＆ダウン

6. DC を降格しようと思ったある日
server2008
server1
dcpromo /forceremoval により削除
（DC を強制降格する場合のコマンド）
6

7. しかし・・・
server2008
server1
7

8. 最初に行った復旧手順
 とりあえず定期的にバックアップしてあ
るのでそこからリストア
8

9. 最新のバックアップデータからリストア
SYSVOL などの System State も
9

10. リストア完了＆再起動
10

11. これで復旧完了
とはいかず・・・
終わり
11

12. 次の日に呼び出され・・・
 販売管理のソフトが動作しないんだけど・・・
（server2000 上で動作）
 マイドキュメントにファイルを保存
できないんだけど・・・
 まずはクライアントを見てみることに
12

13. クライアント PC にて
 「gpupdate /force」コマンドでグループ
ポリシーを更新
 あれ、いつもより早い・・・おかしいな。
 サーバではどうなっているんだろう。
GPO によりフォルダリダイレク
トなどを設定しているため
GPO・・・グループポリシーオブジェクト 13

14. グループポリシーエディタ
14
ドメイン名
ドメイン名

15. 通常時
15
ドメイン名

16. トラブル時の画面
設定している はず の項目が出ない・・・
なぜ？
16

17. グループポリシーの実データは？
トラブル時は共有されていませんでした。
17

18. SYSVOL ?
18
ドメイン名 ドメイン名

19. Machine コンピュータの構成
User ユーザーの構成
19

20. GPO は分かったけれども・・・
 GPO の構成は分かったけれども
server1 の SYSVOL や NETLOGON
は共有されず
 手動で共有にしても SYSVOL フォルダ
の中が再編成されてクライアントから
データを取得できない
 server 2008 から何か影響を受けている
のでは・・・
20

21. 結局
 server2008 を DC から強制降格させそ
の後に最初に行った方法で server1 に
バックアップデータからリストア。
 server1 から server2008 とのリプリ
ケーション構成を削除＆ DNS エント
リーの削除。
強制降格した際のメタデータの削除
http://support.microsoft.com/kb/216498/ja
21

22. DC の復旧には2種類の方法がある
 権限のない復元（非Authoritative Restore）
 復元するDC のデータよりも組織内にあるDC のデー
タを最新データとして扱いたい場合
 権限のある復元（ Authoritative Restore ）
 復元するDC のデータを組織内にあるDC にリプリ
ケートしたい場合
22

23. AD 復旧関連の情報
 TechNet Active Directory 障害回復
 http://technet.microsoft.com/ja-jp/library/cc985001.aspx
 TechNet Active Directory のリストア（ビデオ）
 http://technet.microsoft.com/ja-jp/ee676512.aspx
 ひと目でわかるMicrosoft Active Directory
Windows Server 2008版（書籍）
 第7章 バックアップと保守
○ 権限のない、権限のある復元方法について記載
23

24. まとめ
 どんなシステムでもバックアップを自動化
して定期的にバックアップ
 オペレーションミスを減らす <-私だけ
 AD の構成を理解しておく必要がある
 障害対策は急に発生するため事前の
ナレッジが必要！
 トラブルシューティングをするから分かる
情報もあると感じた
24

25. Thank you
ご清聴ありがとうございました。
25

26. Appendix
26

27. SBS 2003 の管理コンソール
27