COD2012 九州会場 Active Directory 障害対策

3,936 views

Published on

Published in: Technology
0 Comments
6 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
3,936
On SlideShare
0
From Embeds
0
Number of Embeds
46
Actions
Shares
0
Downloads
57
Comments
0
Likes
6
Embeds 0
No embeds

No notes for slide

COD2012 九州会場 Active Directory 障害対策

  1. 1. Active Directory 障害対策 Win.tech.q 知北直宏 Community Open Day 2012Ustreamの録画はこちら: http://www.ustream.tv/channel/wintechq20120609
  2. 2. 自己紹介知北直宏(ちきたなおひろ)の自己紹介です。• ITPro系コミュニティ・Win.tech.q代表• アイティデザイン株式会社代表取締役社長• MCT、MCSE、MCITP、MCTS• Microsoft MVP(Directory Services Jan2011 - Dec2011)• Active Directory は最初の Windows 2000 からすべてのバージョ ンの設計、構築、移行など行っています。• 2010年に書籍「標準テキスト Windows Server 2008 R2 構築・運 用・管理パーフェクトガイド」を執筆・発売しました。 (2012年3月に第7版発売、通算13000部発行)
  3. 3. アジェンダ今日はこんなことをお話しします。• Active Directory とは• Active Directory の障害のタイプと原因• Active Directory の障害の予防策• Active Directory の障害の復旧策• まとめ
  4. 4. 注意事項ご注意ください。• 本セッションの内容は、2012年6月現在のカレントバージョンであ る Windows Server 2008 R2 をベースとしております。• 本セッションでは「AD DS(Active Directory Domain Service)」 を「Active Directory」としております。• 本セッションで紹介する内容以外にも、障害の例、障害の復旧例は あります。あくまでも参考としてご覧ください。• 実際に障害対策、障害復旧作業などを行う際には、マイクロソフト の技術文書なども参照しながら進めることをお勧めします。• 本セッション、および本資料によって発生した問題には一切の責任 を負いません。
  5. 5. Active Directory とは
  6. 6. Active Directory の概要、導入目的Active Directory ってナニ?なぜみんな使うの?• Windows 標準の「ディレクトリーサービス」です。• ユーザーやコンピューターなどの「アカウント」を一元管理するこ とができます。• IDの集中管理、認証の統合などが実現できます。• 「グループポリシー」を使って、アカウントの一括管理が可能です。• ユーザーや Winodws コンピューターが数十、数百を超えた環境で は、なくてはならないシステムです。• WSFC(Windows Server Failover Cluster)や、Windows HPC Server など高度なシステム環境の構築にも必須です。
  7. 7. Active Directoryで重度な障害が発生したときの影響重度な障害が起こるとどうなるの?• 重度な障害によって、例えばすべてのドメインコントローラーが使 用不可になると、大きな問題が発生します。• ログオンができなくなります。• Active Directory によって認証されている各種システム(ファイル サーバー、グループウェア、メールサーバー、社内ポータル。。。 その他いろいろ)が利用できなくなります。• 実質的に、業務が続行不可になる可能性があります。
  8. 8. Active Directory の 障害のタイプと原因
  9. 9. Active Directory の障害のタイプの例どんな障害がありえるの?• オブジェクト損失• ドメインコントローラー停止• データベース破損• その他
  10. 10. Active Directory の障害の原因の例どうして障害が発生するの?• ハードウェアやソフトウェアの不具合• 人的要因• その他突発的な事故など
  11. 11. Active Directory の 障害の予防策
  12. 12. Active Directory の障害の予防策の例どうやって障害の予防をするの?• 障害に遭いにくいシステムにする• 障害に備えたシステムにする
  13. 13. 障害に遭いにくいシステムにするには?できるだけ障害に遭いにくいシステムにしたい!• サーバーとして当たり前の障害対策• ドメインコントローラーの冗長化• オペレーションミスを減らす• アンチウイルスの除外設定• ディスクのライトキャッシュ無効化
  14. 14. アンチウイルスの除外設定を行うアンチウイルスで検知させないほうがいいファイルなどがあります。• ドメインコントローラーであっても、アンチウイルスソフトウェア をインストールすることは重要です。• しかし、いくつかのフォルダーやファイルは検知対象から除外する ことが推奨されています。 例)「 C:¥Windows¥Ntds 」フォルダーなど。• 参考情報 http://technet.microsoft.com/en-us/library/cc816917(v=ws.10).aspx http://support.microsoft.com/kb/815263/ja http://blogs.technet.com/b/jpepscrt/archive/2010/04/28/3328757.aspx
  15. 15. SCEPの除外設定マイクロソフトのアンチウイルスソフトの除外設定例• SCEP(System Center 2012 Endpoint Protection)には、サー バーの役割などに合わせたテンプレートが付属しています。• ドメインコントローラー用のテンプレートでは次のような除外設定 がされています。 ファイルとフォルダーの除外設定 プロセスの除外設定
  16. 16. ディスクのライトキャッシュとは?実はドメインコントローラーをセットアップするとディスク設定が変わるんです。• ディスクのライトキャッシュ、つまり書込みキャッシュを有効にす ると、OSのパフォーマンスが向上する場合があります。• ただし、ドメインコントローラーでディスクのライトキャッシュが 有効になっていて、正しくシャットダウンできなかった場合に Active Directory データベースが破損する可能性があります。• そこで、ドメインコントローラーのセットアップ時には自動的に ディスクのライトキャッシュが無効になります。• しかし、ハードウェアによってはライトキャッシュが無効化されな い場合があるため、その際は手作業で設定変更することを推奨しま す。
  17. 17. ディスクのライトキャッシュの確認ライトキャッシュが無効になっているかはどこで確認するの?• ディスクのプロパティの「ハードウェア」タブで、 デバイスのプロパティを開き、「ポリシー」タブで確認や変更がで きます。 (ハードウェアによってはここで変更できないものもあります) ライトキャッシュ有効なメンバーサーバーの例 ライトキャッシュ無効なドメインコントローラーの例
  18. 18. 障害に備えたシステムにするには?障害は避けられないかも。だったら。。。• Active Directory のごみ箱の有効化• バックアップ• 障害を早期に見つける• 障害復旧手順の明確化
  19. 19. Active Directory のごみ箱とは?まちがってアカウントを削除しても安心!• 以前は、削除したアカウントを元に戻すことは容易ではありませんでし た。(ドメインコントローラーを再起動したり、バックアップからリス トアしたり。。。)• Windows Server 2008 R2 以降では、「Active Directory のごみ箱」 機能を有効化しておくことにより、削除したアカウントを容易に元に戻 すことが可能です。• ただし、フォレストの機能レベルが「 Windows Server 2008 R2」で あること、あらかじめ手作業で有効化しておく必要がある、などいくつ かの注意点があります。• 参考 http://technet.microsoft.com/ja-jp/library/dd392261(v=ws.10).aspx
  20. 20. Windows Server 2012 では?Active Directory のごみ箱がついにGUI化!• Windows Server 2008 R2 の新 機能であった Active Directory のごみ箱は、コマンド (Windows PowerShell)で有効 化や、実際の復元操作を行う必要 がありました。• Windows Server 2012 では 「 Active Directory 管理セン ター」での GUI 操作が可能にな るようです。 Windows Server 2012 RC の Active Directory 管理センター
  21. 21. バックアップ「そのバックアップはいざというとき使えますか?」• 日々取得しているバックアップが Active Directory のリストアに使 えるかを確認することは重要です。• サードパーティのバックアップソフトを利用しているなどの理由で リストアに不安が残る場合は、 OS 標準のバックアップを併用する ことを検討するといいでしょう。• Active Directory のバックアップには「 Tombstone Lifetime」と 呼ばれる、一種の有効期限があります。有効期限切れのバックアッ プデータはリストアに使用できません。
  22. 22. Tombstone Lifetime とは?Active Directory バックアップの賞味期限のようなもの• Active Directory データベースからオブジェクト(ユーザーアカウ ントなど)が削除されると、「 Tombstone 」と呼ばれるフラグが 立てられて「 Deleted Objects 」という領域に移されます。• 「 Tombstone Lifetime 」という期間が過ぎると、完全に削除され ます。• この「 Tombstone Lifetime 」を超えるバックアップデータからリ ストアすると不整合が発生するためサポートされません。• 「 Tombstone Lifetime 」は最近構築した Active Directory では 「180日」ですが、古いものから移行している場合は「 60日 」の可 能性があります。• 参考情報 http://support.microsoft.com/kb/216993/ja
  23. 23. 2つのリストアモードActive Directory データベースのリストアには2つのモードがあります• 権限のない復元(Non-Authoritative Restore) 破損したドメインコントローラーを復元する際などに使うリストア方法 です。 バックアップデータをリストアした後、他のドメインコントローラーか らのレプリケーションによってデータベースを最新にします。• 権限のある復元(Authoritative Restore) 損失したオブジェクトを復元する際などに使うリストア方法です。 「権限のない復元」と同様のリストアを行った後、追加の操作を行うこ とにより、目的のオブジェクトが他のドメインコントローラーからのレ プリケーションによって削除されないようにすることができます。• 参考情報 http://technet.microsoft.com/ja-jp/library/cc732238(v=ws.10)
  24. 24. 障害を早期に見つけるには?1台のドメインコントローラーの不具合が他に伝播するかも。。。• 1台のドメインコントローラーで発生して いたデータベース不具合などが、放置し ていると、他のドメインコントローラー 定番 に悪影響を及ぼす可能性があります。• OS イベントログの監視が特に重要です。• 「システム」や「アプリケーション」だ けでなく、「ディレクトリサービス」や 重要! 「DNSサーバー」のログの監視が重要で す。 イベントビューワー の左ペイン
  25. 25. Active Directory の 障害の復旧策
  26. 26. Active Directory の障害の復旧策の例障害が発生してしまった。。。どんな復旧策があるの?• オブジェクト損失からの復旧例• ドメインコントローラー停止からの復旧例• データベース破損からの復旧例
  27. 27. オブジェクト損失からの復旧例誤ってユーザーアカウントを削除してしまった。。。ときの復旧例• 例1・「権限のある復元(Authoritative Restore)」を行う。基本中 の基本。• バックアップデータがあること。• 復元時にドメインコントローラーの再起動など必要。• 例2・「Active Directory のごみ箱」を使って復元する。• 復元時にドメインコントローラーの再起動は不要。• バックアップデータがなくても可能。• 条件を満たす環境で、あらかじめ有効化しておく必要あり。
  28. 28. ドメインコントローラー停止からの復旧例ドメインコントローラーが動かなくなった。。。ときの復旧例• 例1・「権限のない復元(Non-Authoritative Restore)」を行う。• 「正常な」バックアップデータがあること。• 例2・「ドメインコントローラーの再昇格」を行う。• ドメインコントローラー機能の入れなおしを行います。• 他に「正常な」ドメインコントローラーが存在していること。
  29. 29. ドメインコントローラーの再昇格再昇格ってどうやるの?• 故障したドメインコントローラーの OS が起動できる場合には、例えば 次のような手順で再昇格を行います。1. (必要であれば)正常なドメインコントローラーにFSMOを強制移動 します。2. 故障したドメインコントローラーで「 dcpromo /forceremoval 」を 実行して強制降格を行います。3. 正常なドメインコントローラーで「 metadata cleanup 」を行います。4. 故障したドメインコントローラーで「 dcpromo 」を再実行して、再 昇格します。• 参考情報 http://support.microsoft.com/kb/216498 http://technet.microsoft.com/ja-jp/library/cc732714(v=ws.10).aspx http://technet.microsoft.com/ja-jp/ad_5mins05.aspx
  30. 30. データベース破損からの復旧例Active Directory データベースがぶっ壊れた。。。ときの復旧例• 例1・「権限のない復元(Non-Authoritative Restore)」を行う。• 「正常な」バックアップデータがあること。• 例2・「ドメインコントローラーの再昇格」を行う。• ドメインコントローラー機能の入れなおしを行います。• 他に「正常な」ドメインコントローラーが存在していること。• 例3・「コマンドで破損の修復」を試してみる。• 「 ntdsutil 」や「 esentutl 」で破損の修復ができるかも。• ただし、あとあと再発する可能性あり。
  31. 31. コマンドによる修復「 ntdsutil 」や「 esentutl 」をどう使うの?• 修復できない場合があるだけでなく、さらにデータが失われる可能性も あるため、他の復旧策が無い場合のみ実行することをお勧めします。• インデックスエラーの場合は修復に成功する可能性が高いようです。• Active Directory の管理にはなくてはならない「 ntdsutil 」の、 「 files 」コマンドの「 integrity 」や「 recover 」で、破損した Active Directory データベースの修復ができることがあります。• 「 esentutl 」の「 /r 」や「 /p 」で修復できることもあります。• 参考情報 http://technet.microsoft.com/en-us/library/cc753900(v=ws.10).aspx http://support.microsoft.com/kb/816120 http://technet.microsoft.com/ja-jp/query/cc755915(v=ws.10).aspx http://blogs.technet.com/b/junichia/archive/2010/08/24/3351595.aspx
  32. 32. まとめ
  33. 33. Active Directory 障害対策のまとめ障害に遭いにくい、障害に備えた Active Directory 環境を作りましょう!• Active Directory に重度な障害が発生すると、業務が継続できなく なるなど、大きな問題に発展する可能性が高いといえます。• 常日頃から、障害に遭いにくいシステム作りや、いざ障害が発生し た際に容易に復旧できるようなシステムにしておくことは重要です。• Active Directory の障害予防策、障害復旧策の一例として、本セッ ションがお役にたてば幸いです。

×