他のドメインコントローラが存在しない時点へのドメインコントローラの権限のある復元

Question 1

結果は人によって異なるかもしれませんが、私の意見では、Active Directory では単一オブジェクトの復元を実行する合理的な方法はありません。物事は相互接続されており、オブジェクトは常に変化しています (これがおそらく Active Directory の「アクティブ」な部分です)。

今回遭遇したようなケースでは、Active Directory のごみ箱を有効にすることをお勧めします。

システム状態の回復は、ほとんどの場合、災害復旧 (つまり、すべての DC を失った場合) の場合にのみ実行可能です。ただし、このような場合は、おそらくそれ以上のものが失われているため、最初からやり直す方がよい場合があります。

Answer

結果は人によって異なるかもしれませんが、私の意見では、Active Directory では単一オブジェクトの復元を実行する合理的な方法はありません。物事は相互接続されており、オブジェクトは常に変化しています (これがおそらく Active Directory の「アクティブ」な部分です)。

今回遭遇したようなケースでは、Active Directory のごみ箱を有効にすることをお勧めします。

システム状態の回復は、ほとんどの場合、災害復旧 (つまり、すべての DC を失った場合) の場合にのみ実行可能です。ただし、このような場合は、おそらくそれ以上のものが失われているため、最初からやり直す方がよい場合があります。

Question 2

問題は、バックアップ（1日目）に2番目のDCがなかったことです。あなたが取った方法は通常は機能し、1つのオブジェクトだけを復元できます。もしDC1 でバックアップを実行したとき、DC2 はドメインの一部でした。

鶏が先か卵が先かという状況です。DC1 を復元すると (正しく指摘されているように)、DC2 を認識しないため、DC2 を信頼しません (レプリケーション用)。また、同じ理由で DC2 は DC1 に対して権限を持つことができません。そのため、DC が相互に信頼していないため、AD の 2 つのバージョンが別々になってしまいます。これを修正することはできません。2 番目の DC をオンラインにする前に重要なオブジェクトを削除してしまったという不運があっただけです。

Answer

問題は、バックアップ（1日目）に2番目のDCがなかったことです。あなたが取った方法は通常は機能し、1つのオブジェクトだけを復元できます。もしDC1 でバックアップを実行したとき、DC2 はドメインの一部でした。

鶏が先か卵が先かという状況です。DC1 を復元すると (正しく指摘されているように)、DC2 を認識しないため、DC2 を信頼しません (レプリケーション用)。また、同じ理由で DC2 は DC1 に対して権限を持つことができません。そのため、DC が相互に信頼していないため、AD の 2 つのバージョンが別々になってしまいます。これを修正することはできません。2 番目の DC をオンラインにする前に重要なオブジェクトを削除してしまったという不運があっただけです。

Question 3

バックアップが Active Directory フォレストの tombstoneLifetime (180 日) より古くない限り、任意の時点への権限のある復元がサポートされています。ドメインにドメインコントローラーを追加して、ドメインコントローラーが 1 つしか存在しなかったときに作成されたバックアップを復元することもできます。

注意する必要があるのは、新しく昇格されたドメインコントローラーが Active Directory と完全に同期され、初期の SYSVOL 同期が完了していることだけです。Authorative Restore によるオブジェクトの回復を実行する前に、ドメイン内のすべてのドメインコントローラーに NETLOGON および SYSVOL 共有が存在することを確認してください。

net share

Share name   Resource                        Remark
-------------------------------------------------------------------------------
C$           C:\                             Default share
IPC$                                         Remote IPC
ADMIN$       C:\Windows                      Remote Admin
NETLOGON     C:\Windows\SYSVOL\sysvol\domain.local\SCRIPTS
                                             Logon server share
SYSVOL       C:\Windows\SYSVOL\sysvol        Logon server share

The command completed successfully.

2 つのドメインコントローラーを使用した私のシナリオでは、DC2 は完全には複製されておらず、初期 SYSVOL 同期を待機していました。その後、DC1 が復元され、再起動後も初期 SYSVOL 同期と同じ状態になりました。これにより、両方のドメインコントローラーは複製されなくなり、この時点から実質的に両方に Active Directory の独自のコピーが存在するようになりました。

Answer

バックアップが Active Directory フォレストの tombstoneLifetime (180 日) より古くない限り、任意の時点への権限のある復元がサポートされています。ドメインにドメインコントローラーを追加して、ドメインコントローラーが 1 つしか存在しなかったときに作成されたバックアップを復元することもできます。

注意する必要があるのは、新しく昇格されたドメインコントローラーが Active Directory と完全に同期され、初期の SYSVOL 同期が完了していることだけです。Authorative Restore によるオブジェクトの回復を実行する前に、ドメイン内のすべてのドメインコントローラーに NETLOGON および SYSVOL 共有が存在することを確認してください。

net share

Share name   Resource                        Remark
-------------------------------------------------------------------------------
C$           C:\                             Default share
IPC$                                         Remote IPC
ADMIN$       C:\Windows                      Remote Admin
NETLOGON     C:\Windows\SYSVOL\sysvol\domain.local\SCRIPTS
                                             Logon server share
SYSVOL       C:\Windows\SYSVOL\sysvol        Logon server share

The command completed successfully.

2 つのドメインコントローラーを使用した私のシナリオでは、DC2 は完全には複製されておらず、初期 SYSVOL 同期を待機していました。その後、DC1 が復元され、再起動後も初期 SYSVOL 同期と同じ状態になりました。これにより、両方のドメインコントローラーは複製されなくなり、この時点から実質的に両方に Active Directory の独自のコピーが存在するようになりました。

他のドメインコントローラが存在しない時点へのドメインコントローラの権限のある復元

答え1

答え2

答え3

関連情報