Active Directoryとは何ですか?
マイクロソフトのActive Directory(MS AD)は、世界で最も広く使用されているユーザー認証およびネットワークアクセス許可管理ツールの一つです。 これにより、企業ネットワーク全体でのフェデレーションログインと、複数のサービス間の単一のポイントからのユーザーロールと権限の管理が可能になります。
このサービスは、システム管理者がドメインに追加されたコンピュータを集中的に管理する方が効率的であるため、より大規模で発展したビジネス構 Microsoft ExchangeやMicrosoft SQL Serverなどのサービスも、正常に動作するためにActive Directoryが必要です。 すべてのユーザーがログインできず、システム全体が一般的に正常に動作できないため、Active Directoryドメインコントローラのインスタンスがオフラインになる
企業がクラウドやSaaSに移行しても、既存の広告インフラストラクチャとの統合は、プロジェクトの成功のための要件とみなされることがよくあ このように、Active Directoryの複雑さとほぼ完璧な稼働時間で維持できる能力は、実行可能なActive Directoryバックアップと災害復旧ソリューションが絶対に必要であるこ
: これらの計画には、最も古い墓石の前に戻る方法が含まれている必要があるため、adディザスタリカバリ(DR)は行われるべきではありません。 同様に、単一項目の粒度ディレクトリサーバーのデータ復元は、DRと混同してはなりません。
Active Directoryはどのように動作しますか?
管理システムとしてのActive Directoryの中核は、トランザクションログと個々のオブジェクトの両方を保持するデータベースです。 このデータベースは複数の部分に分割されており、各部分にはドメイン名のコンテキスト(ユーザーのグループまたは個々のグループ)または構成/スキーマパーティション(それぞれAD構造情報とADデザイン情報)のいずれかの異なるタイプの情報が保持されています。 Active Directoryデータベースの構造は階層的であり、その形状はツリーのように見えます。 Active Directoryデータベースストレージに使用されるメインファイルはNtdsです。ディット
Active Directoryは、動作するネットワークのセキュリティを確保するために、いくつかのプロトコルを介して動作します。 これらのプロトコルは次のとおりです:
- LDAPプロトコル(Lightweight Directory Access Protocol)は、ディレクトリアクセス(Active Directoryなど)およびユーザー名とパスワードの両方を介したディレクトリ認証サービスに使用されます。
- Kerberosプロトコルは、シングルサインオンおよび安全な認証操作に使用される暗号化ベースのプロトコルであり、LDAPディレクトリ内に保存する前にユーザー名とパスワードをチェックします。
Active Directoryは、Windowsで保護されたシステムファイル、DNSサーバー、COM+クラス登録データベース、Sysvolディレクトリ、クラスタサービス情報などと深く統合されています。 このような統合量は、Active Directoryのバックアップ戦略全体にも直接影響します。
Active Directoryバックアップの推奨事項
次に、Active Directoryサーバーをバックアップする際の一般的な使用に関する推奨事項について説明します。
Active Directoryを定期的にバックアップする
Active Directoryの推奨バックアップ頻度は60日以内です。 この理由は、Active Directoryデータベース管理–AD tombstoneオブジェクトの詳細の1つです。
ディレクトリ内のオブジェクトが削除されると(オブジェクトの属性の大部分、またはそれらのすべてが削除されることを意味します)–それはtombstone 複数のドメインコントローラーが同時に動作していて、Active Directoryレプリケーション機能が有効になっている場合は、これらのすべてのtombstoneファイルが各コントロー また、今日60日以上前に作成されたドメインコントローラバックアップを復元する場合、ドメインコントローラのいずれかが存在しなくなったオブジェク
“60日以下”マークのもう一つの理由は、最後のバックアップの後にインストールされたソフトウェアまたはドライバは、データ復元の場合、レジストリに上記のドライバまたはソフトウェアに関する情報がないため、まったく動作しないということです。
データが十分に頻繁にバックアップされていないために発生する可能性のある潜在的な問題がはるかに多くあります。 最も安全な推奨事項は、Active Directoryのバックアップを日常的に行うことです。
少なくとも一つのドメインコントローラをバックアップしておく
このアドバイスは、主にインフラストラクチャに複数のドメインコントローラを持っている大企業向けです。 いくつかのハードウェアまたはソフトウェアの障害が発生した場合に、少なくとも部分的なデータ復旧を確実にするために、ドメインコントローラの また、コントローラの1つにFSMO(Flexible Single Master Operation)の役割がインストールされている場合は、最初にバックアップを優先する必要があります。 その後、別のコントローラを展開すると、基本的に”プライマリ”ドメインコントローラから”セカンダリ”ドメインコントローラにすべての変更をコピーできます。
データの一貫性を提供するソフトウェアに優先順位を付ける
バックアップは、一貫性が維持されるようにする方法で行う必要があることは非常に一般的な知識です。 Active Directoryのバックアップについても同様です。 最適なオプションは、サーバーの電源がオフになっている間、または実行中のサーバーでVSSが使用されているときにデータをバックアップすることです。 逆に、24時間365日稼働しているサーバーからデータをバックアップしようとするのは最善の考えではありません。 そのため、Active Directoryバックアップのニーズに応じてVSS互換のサービスを使用することを強くお勧めします。 VSSはデータのスナップショットを作成し、バックアッププロセスが完了するまで基本的にシステムとその情報をフリーズします。 そうすれば、バックアップが作成された時点でサーバー上で自分自身を書き換えていたファイルを紛失したり破損したりすることはありません。
災害復旧計画にはADバックアップを含める必要があります
災害復旧計画を持つことは一般的に必須であり、予測したり防止したり準備したりすることができるシナリオが多ければ多いほど、何らかの災害の場合にはより良いものになります。 この場合のADバックアップは、基本的に、ADバックアップを復元する前にAD関連のサービスを復元すると、ad関連のサービスを使用できないため、重要です。 ドメインコントローラは、クラウド、ローカル、またはリモートサイトの複数の異なる保存場所にバッ Active Directoryのコピーを複数作成することも強くお勧めします。
可能であれば、詳細な回復オプションを探してください
すべてのActive Directoryデータを回復して書き換えるプロセスは、ほとんどの場合、良い考えですが、詳細な回復オプションを提供するサービスを探すこともできます。 そうすれば、バックアップから1つまたはいくつかのファイルのみを回復したい場合は、非常に簡単に回復できます。 これにより、特にActive Directoryが平均的なものよりも大きい場合、全体的なデータ復元時間も短縮されます。
ネイティブActive Directoryバックアップツールとサービス
Active Directoryドメインコントローラを実行しているものを含む、WindowsサーバーをバックアップするためにMicrosoftが作成したActive Directory
Windows Server Backup
Windows Server Backupは、Windows Server2008以降のバージョンでNTBackupに取って代わったプログラムです。 WSBには、新しいインターフェイスと、vss(Microsoft Volume Shadow Copy Service)を使用して増分バックアップを作成する機能が付属しています。 バックアップされたデータはVHD形式で保存されます。 バックアップ後、このようなVHDディスクを仮想マシンと物理マシンの両方にマウントして、バックアップしたデータにアクセスすることができます。 このVHDとMVMC(Microsoft Virtual Machine Converter)を使用して作成されたVHDの違いは、このVHDが起動できないことです。 ボリューム全体またはシステム状態をバックアップするためのコマンドは、次のとおりです。wbadmin start systemstatebackup。
Active Directoryバックアップのこのバックアップ方法の主な利点は次のとおりです: それは手頃な価格です、それはVSSで動作することができます、そしてあなたはシステム全体をバックアップするか、またはActive Directoryファイルだけをバッ 主な欠点は、WSBを使用するには、バックアップとリカバリの両方のプロセスに関してプログラムの可能性を最大限に発揮するために、多くの事前知識
System Center Data Protection Manager
Microsoftによって作成された他のバックアップサービスは、System Center Data Protection Management(SC DPM)です。 通常のデータバックアップとActive Directoryバックアップの両方を作成することは、プログラムの機能の範囲内です。 SC DPMは、Windows Serverデータ保護(Active Directoryバックアップを含む)に使用できるエンタープライズレベルのバックアップ/回復サービスです。 WSBとSC DPMの違いは、前者は無料で、後者は個別にインストールされ、基本的なMicrosoftシステムパッケージに含まれていない有料ソフトウェアであることです。 また、WSBと比較して設定するのもやや困難です。 しかし、それはまだ強くお使いのデバイスの完全な保護を確保するためにそれを使用することをお勧めします。 SC DPMの機能の一覧には、vssサポート、増分バックアップサポート、Microsoft Azureクラウドバックアップサポート、バックアップされたActive Directoryから単一のファイルを回復できないことが含まれています。 SC DPMの最も実用的な使用法は、多数のMicrosoft Exchange/Microsoft SQL serverおよびその他のWindowsベースのデバイスを保護することです。
サードパーティのActive Directoryバックアップ方法
WSBとSC DPMの両方がActive Directoryをバックアップするためのネイティブソリューションですが、これには他にも多くの 実際、ほとんどすべてのエンタープライズレベルのバックアップサービスは、ほとんど問題なくActive Directoryをバックアップできます。 その場合のすべてのサービスの違いは、Active Directoryのバックアップと復元の両方を処理しながら、それらの一部がより多くの機能を提供する方法です。
バックアップの主なポイントは、一般的にActive Directoryと同様に機能します。 ほとんどのサードパーティのバックアップサービスでは、VSSを使用してコピーされたデータのスナップショットを作成し、バックアップ処理の途中でデータが変更されないようにします。 Active Directoryのバックアップが物理ディスクに書き込まれている場合–作成されたスナップショットが書き込み操作に使用されますが、それがライブActive Directoryデー
各バックアッププロバイダは、上記の問題に対処するための独自の特定の方法を持っており、他のものよりも効果的です。
さらに、一部のサードパーティのバックアップサービスでは、Active Directoryバックアップに対して非常に特殊なオブジェクトの復元を提供できます。 その例の1つは、データベース全体ではなく、個々のユーザーアカウントを復元する機能です。 しかし、これらの製品のすべてがそれを行うことができるわけではなく、それらのほとんどはActive Directoryバックアップ用の完全バックアップと復元サー
Active Directory Backup with Bacula Enterprise Edition
Active Directoryは設計上非常に冗長なアーキテクチャで実行され、ディレクトリ全体の損失は通常、主要なサイト障害を表します。 この場合のリカバリは、多くの場合、バックアップからの完全な再構築またはベアメタルリカバリであり、多くの場合、データベースとADコンポーネ Bacula Enterprise EditionのVSSプラグインは、このような状況に対応するDRレベルのバックアップおよび回復ツールを提供し、Bare Metal Recoveryプラグインを使用すると、ADサービスを回復できる実行中のシステムの回復を可能にします。 ただし、ディザスタリカバリバックアップは素晴らしいものですが、ディレクトリ構造の一部に重大な問題を引き起こす誤った変更や破損の場合には役に立ちませんが、ディレクトリ全体の復元を必要とするべきではありません。 たとえば、不注意な(または不満を抱いた)管理者が、組織のあらゆる問題を引き起こすOU全体のアクセス許可を変更する可能性があります。
このシナリオでは、解決策は、非常に時間がかかり、エラーが発生しやすい構造の手動再構築、またはバックアップからの復元に制限される可能性があ これは、Bacula Enterprise Directory Serverプラグインが役立つ場所です。 Active Directoryバックアッププラグインは、LDAPネットワークプロトコルを使用してActive DirectoryまたはLDAP環境と直接通信し、ディレクトリ構造を正しく抽出し、オブジェク オブジェクトは、ディレクトリツリー内の別の場所に復元することもできます。
これにより、個々のオブジェクトとディレクトリ全体を回復できます。 Vssプラグインの方法とは異なり、Directory Serverプラグインは、バックアップされたAD情報が復元される機能するADインフラストラクチャが再インストールされ あなたのニーズに合ったプラグインの詳細については、Bacula Systemsにお問い合わせください。
Directory Serverプラグインを使用したActive Directoryオブジェクトのリカバリは簡単です。 オブジェクトは復元時にファイルと同じように見え、同じオプションの多くは機能します。 次の画像は、bconsoleの復元ウィンドウの例を示しています:
あなたが見ることができるように、我々は回復のための単一のオブジェクトを選択することができ、この時点で多くの復元時のオプションにアクセ
たとえば、オブジェクトは元のサーバーとは異なるサーバーに復元できます。 既存のオブジェクトの上に復元することができ、復元するオブジェクトよりも新しい既存のオブジェクトを保持するか、古いオブジェクトを常に置 特に、何らかの理由で誤って削除されたオブジェクトを復元する場合に便利です。 もちろん、機能しているActive DirectoryまたはLDAPサーバーに回復するためのディレクトリ構造全体を選択することもできます。
結論
Active Directoryは基本的にビジネスの中心にあるため、少なくともビジネスが提供するユーザーとサービスの両方にダウンタイムを引き起こす可能性のある中断やメモリ損失を防ぐためのツールとサービスの配列です。 また、バックアップの方法やサービスをビジネスに適用する前に、適切に調査することも重要です。 すべてではないにしても、Active Directoryとそのデータに関する問題のほとんどを防ぐための鍵は、最適なバックアップソリューションを選択することです。
災害時にActive Directoryを回復する能力は、それに大きく依存している組織にとって、優れたリスク管理戦略にとって不可欠です。 Bacula Enterprise Editionは、総損失から回復するためのツールだけでなく、Active Directoryをバックアップし、問題が発生したときにインフラストラクチャの一部を回復するための貴重なツールも提供しています。