More Related Content Similar to ドラフト版 COD2012 九州会場 Active Directory 障害対策 Similar to ドラフト版 COD2012 九州会場 Active Directory 障害対策 (20) ドラフト版 COD2012 九州会場 Active Directory 障害対策2. 自己紹介
知北直宏(ちきたなおひろ)の自己紹介です。
• ITPro系コミュニティ・Win.tech.q代表
• アイティデザイン株式会社代表取締役社長
• MCT、MCSE、MCITP、MCTS
• Microsoft MVP(Directory Services Jan2011 - Dec2011)
• Active Directory は最初の Windows 2000 からすべてのバージョ
ンの設計、構築、移行など行っています。
• 2010年に書籍「標準テキスト Windows Server 2008 R2 構築・運
用・管理パーフェクトガイド」を執筆・発売しました。
(2012年3月に第7版発売、通算13000部発行)
3. アジェンダ
今日はこんなことをお話しします。
• Active Directory とは
• Active Directory の障害のタイプと原因
• Active Directory の障害の予防策
• Active Directory の障害の復旧策
• まとめ
4. 注意事項
ご注意ください。
• 本セッションの内容は、2012年6月現在のカレントバージョンであ
る Windows Server 2008 R2 をベースとしております。
• 本セッションでは「AD DS(Active Directory Domain Service)」
を「Active Directory」としております。
• 本セッションで紹介する内容以外にも、障害の例、障害の復旧例は
あります。あくまでも参考としてご覧ください。
• 実際に障害対策、障害復旧作業などを行う際には、マイクロソフト
の技術文書なども参照しながら進めることをお勧めします。
• 本セッション、および本資料によって発生した問題には一切の責任
を負いません。
6. Active Directory の概要、導入目的
Active Directory ってナニ?なぜみんな使うの?
• Windows 標準の「ディレクトリーサービス」です。
• ユーザーやコンピューターなどの「アカウント」を一元管理するこ
とができます。
• IDの集中管理、認証の統合などが実現できます。
• 「グループポリシー」を使って、アカウントの一括管理が可能です。
• ユーザーや Winodws コンピューターが数十、数百を超えた環境で
は、なくてはならないシステムです。
• WSFC(Windows Server Failover Cluster)や、Windows HPC
Server など高度なシステム環境の構築にも必須です。
14. アンチウイルスの除外設定を行う
アンチウイルスで検知させないほうがいいファイルなどがあります。
• ドメインコントローラーであっても、アンチウイルスソフトウェア
をインストールすることは重要です。
• しかし、いくつかのフォルダーやファイルは検知対象から除外する
ことが推奨されています。
例)「 C:¥Windows¥Ntds 」フォルダーなど。
• 参考情報
http://technet.microsoft.com/en-us/library/cc816917(v=ws.10).aspx
http://support.microsoft.com/kb/815263/ja
http://blogs.technet.com/b/jpepscrt/archive/2010/04/28/3328757.aspx
15. SCEPの除外設定
マイクロソフトのアンチウイルスソフトの除外設定例
• SCEP(System Center 2012 Endpoint Protection)には、サー
バーの役割などに合わせたテンプレートが付属しています。
• ドメインコントローラー用のテンプレートでは次のような除外設定
がされています。
ファイルとフォルダーの除外設定 プロセスの除外設定
16. ディスクのライトキャッシュとは?
実はドメインコントローラーをセットアップするとディスク設定が変わるんです。
• ディスクのライトキャッシュ、つまり書込みキャッシュを有効にす
ると、OSのパフォーマンスが向上する場合があります。
• ただし、ドメインコントローラーでディスクのライトキャッシュが
有効になっていて、正しくシャットダウンできなかった場合に
Active Directory データベースが破損する可能性があります。
• そこで、ドメインコントローラーのセットアップ時には自動的に
ディスクのライトキャッシュが無効になります。
• しかし、ハードウェアによってはライトキャッシュが無効化されな
い場合があるため、その際は手作業で設定変更することを推奨しま
す。
19. Active Directory のごみ箱とは?
まちがってアカウントを削除しても安心!
• 以前は、削除したアカウントを元に戻すことは容易ではありませんでし
た。(ドメインコントローラーを再起動したり、バックアップからリス
トアしたり。。。)
• Windows Server 2008 R2 以降では、「Active Directory のごみ箱」
機能を有効化しておくことにより、削除したアカウントを容易に元に戻
すことが可能です。
• ただし、フォレストの機能レベルが「 Windows Server 2008 R2」で
あること、あらかじめ手作業で有効化しておく必要がある、などいくつ
かの注意点があります。
• 参考
http://technet.microsoft.com/ja-jp/library/dd392261(v=ws.10).aspx
20. Windows Server 2012 では?
Active Directory のごみ箱がついにGUI化!
• Windows Server 2008 R2 の新
機能であった Active Directory
のごみ箱は、コマンド
(Windows PowerShell)で有効
化や、実際の復元操作を行う必要
がありました。
• Windows Server 2012 では
「 Active Directory 管理セン
ター」での GUI 操作が可能にな
るようです。
Windows Server 2012 RC の
Active Directory 管理センター
21. バックアップ
「そのバックアップはいざというとき使えますか?」
• 日々取得しているバックアップが Active Directory のリストアに使
えるかを確認することは重要です。
• サードパーティのバックアップソフトを利用しているなどの理由で
リストアに不安が残る場合は、 OS 標準のバックアップを併用する
ことを検討するといいでしょう。
• Active Directory のバックアップには「 Tombstone Lifetime」と
呼ばれる、一種の有効期限があります。有効期限切れのバックアッ
プデータはリストアに使用できません。
22. Tombstone Lifetime とは?
Active Directory バックアップの賞味期限のようなもの
• Active Directory データベースからオブジェクト(ユーザーアカウ
ントなど)が削除されると、「 Tombstone 」と呼ばれるフラグが
立てられて「 Deleted Objects 」という領域に移されます。
• 「 Tombstone Lifetime 」という期間が過ぎると、完全に削除され
ます。
• この「 Tombstone Lifetime 」を超えるバックアップデータからリ
ストアすると不整合が発生するためサポートされません。
• 「 Tombstone Lifetime 」は最近構築した Active Directory では
「180日」ですが、古いものから移行している場合は「 60日 」の可
能性があります。
• 参考情報
http://support.microsoft.com/kb/216993/ja
23. 2つのリストアモード
Active Directory データベースのリストアには2つのモードがあります
• 権限のない復元(Non-Authoritative Restore)
破損したドメインコントローラーを復元する際などに使うリストア方法
です。
バックアップデータをリストアした後、他のドメインコントローラーか
らのレプリケーションによってデータベースを最新にします。
• 権限のある復元(Authoritative Restore)
損失したオブジェクトを復元する際などに使うリストア方法です。
「権限のない復元」と同様のリストアを行った後、追加の操作を行うこ
とにより、目的のオブジェクトが他のドメインコントローラーからのレ
プリケーションによって削除されないようにすることができます。
• 参考情報
http://technet.microsoft.com/ja-jp/library/cc732238(v=ws.10)
24. 障害を早期に見つけるには?
1台のドメインコントローラーの不具合が他に伝播するかも。。。
• 1台のドメインコントローラーで発生して
いたデータベース不具合などが、放置し
ていると、他のドメインコントローラー
定番
に悪影響を及ぼす可能性があります。
• OS イベントログの監視が特に重要です。
• 「システム」や「アプリケーション」だ
けでなく、「ディレクトリサービス」や 重要!
「DNSサーバー」のログの監視が重要で
す。
イベントビューワー
の左ペイン
27. オブジェクト損失からの復旧例
誤ってユーザーアカウントを削除してしまった。。。ときの復旧例
• 例1・「権限のある復元(Authoritative Restore)」を行う。基本中
の基本。
• バックアップデータがあること。
• 復元時にドメインコントローラーの再起動など必要。
• 例2・「Active Directory のごみ箱」を使って復元する。
• 復元時にドメインコントローラーの再起動は不要。
• バックアップデータがなくても可能。
• 条件を満たす環境で、あらかじめ有効化しておく必要あり。
29. ドメインコントローラーの再昇格
再昇格ってどうやるの?
• 故障したドメインコントローラーの OS が起動できる場合には、例えば
次のような手順で再昇格を行います。
1. (必要であれば)正常なドメインコントローラーにFSMOを強制移動
します。
2. 故障したドメインコントローラーで「 dcpromo /forceremoval 」を
実行して強制降格を行います。
3. 正常なドメインコントローラーで「 metadata cleanup 」を行います。
4. 故障したドメインコントローラーで「 dcpromo 」を再実行して、再
昇格します。
• 参考情報
http://support.microsoft.com/kb/216498
http://technet.microsoft.com/ja-jp/library/cc732714(v=ws.10).aspx
http://technet.microsoft.com/ja-jp/ad_5mins05.aspx
30. データベース破損からの復旧例
Active Directory データベースがぶっ壊れた。。。ときの復旧例
• 例1・「権限のない復元(Non-Authoritative Restore)」を行う。
• 「正常な」バックアップデータがあること。
• 例2・「ドメインコントローラーの再昇格」を行う。
• ドメインコントローラー機能の入れなおしを行います。
• 他に「正常な」ドメインコントローラーが存在していること。
• 例3・「コマンドで破損の修復」を試してみる。
• 「 ntdsutil 」や「 esentutl 」で破損の修復ができるかも。
• ただし、あとあと再発する可能性あり。
31. コマンドによる修復
「 ntdsutil 」や「 esentutl 」をどう使うの?
• 修復できない場合があるだけでなく、さらにデータが失われる可能性も
あるため、他の復旧策が無い場合のみ実行することをお勧めします。
• インデックスエラーの場合は修復に成功する可能性が高いようです。
• Active Directory の管理にはなくてはならない「 ntdsutil 」の、
「 files 」コマンドの「 integrity 」や「 recover 」で、破損した
Active Directory データベースの修復ができることがあります。
• 「 esentutl 」の「 /r 」や「 /p 」で修復できることもあります。
• 参考情報
http://technet.microsoft.com/en-us/library/cc753900(v=ws.10).aspx
http://support.microsoft.com/kb/816120
http://technet.microsoft.com/ja-jp/query/cc755915(v=ws.10).aspx
http://blogs.technet.com/b/junichia/archive/2010/08/24/3351595.aspx
33. Active Directory 障害対策のまとめ
障害に遭いにくい、障害に備えた Active Directory 環境を作りましょう!
• Active Directory に重度な障害が発生すると、業務が継続できなく
なるなど、大きな問題に発展する可能性が高いといえます。
• 常日頃から、障害に遭いにくいシステム作りや、いざ障害が発生し
た際に容易に復旧できるようなシステムにしておくことは重要です。
• Active Directory の障害予防策、障害復旧策の一例として、本セッ
ションがお役にたてば幸いです。