1日目: ドメイン コントローラー (DC1) は 1 つだけ存在します。DC1 には、システム状態を保存するための Windows Server バックアップが構成されています。AD から重要なユーザーを削除します。
2日目: 追加のドメイン コントローラー (DC2) を昇格します。
3日目: DC1 を DSRM で起動し、システム状態の回復 (非権限) を介して 1 日目に戻します。ntdsutil (権限) を介して復元する重要なユーザーをマークします。DC1 を再起動します。
DC1 は DC2 と同期せず、DC2 は DC1 の Active Directory ユーザーとコンピューターに表示されません。Active Directory サイトとサービスには DC2 の NTDS オブジェクト (フォレスト内の他のドメインから DC1 に同期されていると思われます) が表示されますが、コンピューター オブジェクトが見つからないため、メタデータのクリーンアップを実行できません。この時点では、DC1 は他のドメイン コントローラーと同期していないため、重要なユーザーを復元するだけでなく、AD 全体が 1 日目に戻されました。
この状況から回復できますか? これは想定された動作ですか、それとも環境に前提条件が欠けていましたか?
答え1
結果は人によって異なるかもしれませんが、私の意見では、Active Directory では単一オブジェクトの復元を実行する合理的な方法はありません。物事は相互接続されており、オブジェクトは常に変化しています (これがおそらく Active Directory の「アクティブ」な部分です)。
今回遭遇したようなケースでは、Active Directory のごみ箱を有効にすることをお勧めします。
システム状態の回復は、ほとんどの場合、災害復旧 (つまり、すべての DC を失った場合) の場合にのみ実行可能です。ただし、このような場合は、おそらくそれ以上のものが失われているため、最初からやり直す方がよい場合があります。
答え2
問題は、バックアップ(1日目)に2番目のDCがなかったことです。あなたが取った方法は通常は機能し、1つのオブジェクトだけを復元できます。もしDC1 でバックアップを実行したとき、DC2 はドメインの一部でした。
鶏が先か卵が先かという状況です。DC1 を復元すると (正しく指摘されているように)、DC2 を認識しないため、DC2 を信頼しません (レプリケーション用)。また、同じ理由で DC2 は DC1 に対して権限を持つことができません。そのため、DC が相互に信頼していないため、AD の 2 つのバージョンが別々になってしまいます。これを修正することはできません。2 番目の DC をオンラインにする前に重要なオブジェクトを削除してしまったという不運があっただけです。
答え3
バックアップが Active Directory フォレストの tombstoneLifetime (180 日) より古くない限り、任意の時点への権限のある復元がサポートされています。ドメインにドメイン コントローラーを追加して、ドメイン コントローラーが 1 つしか存在しなかったときに作成されたバックアップを復元することもできます。
注意する必要があるのは、新しく昇格されたドメイン コントローラーが Active Directory と完全に同期され、初期の SYSVOL 同期が完了していることだけです。Authorative Restore によるオブジェクトの回復を実行する前に、ドメイン内のすべてのドメイン コントローラーに NETLOGON および SYSVOL 共有が存在することを確認してください。
net share
Share name Resource Remark
-------------------------------------------------------------------------------
C$ C:\ Default share
IPC$ Remote IPC
ADMIN$ C:\Windows Remote Admin
NETLOGON C:\Windows\SYSVOL\sysvol\domain.local\SCRIPTS
Logon server share
SYSVOL C:\Windows\SYSVOL\sysvol Logon server share
The command completed successfully.
2 つのドメイン コントローラーを使用した私のシナリオでは、DC2 は完全には複製されておらず、初期 SYSVOL 同期を待機していました。その後、DC1 が復元され、再起動後も初期 SYSVOL 同期と同じ状態になりました。これにより、両方のドメイン コントローラーは複製されなくなり、この時点から実質的に両方に Active Directory の独自のコピーが存在するようになりました。