オラクる。

oracle専門ブログにしてみようかな~っと

2013年08月

Active Directoryは以下のようなデータを保持しています。
Active Directoryをバックアップしたい場合はこれらのデータをバックアップ対象に含める必要があります。

・Active Directoryデータベース
・SYSVOLフォルダー

Windows Server 2008以降では標準のバックアップツールとして「Windows Server バックアップ」というのが提供されています。
Windows Server 2008ではActiveDirectoryをバックアップしたい場合はボリューム単位(例えばCドライブ)でバックアップそ取得する必要がありました。
しかし、Windows Server 2008R2から「システム状態」のみを個別にバックアップすることが可能になりました。
Active Directoryをバックアップしたい場合は「システム状態」をバックアップすることで事足ります。

Windows Serverバックアップのコマンドラインツールである、Wbadminでシステム状態のバックアップを取得してみました。

Microsoft Windows [Version 6.1.7601]
Copyright (c) 2009 Microsoft Corporation.  All rights reserved.

C:\Users\Administrator.AD1.001>wbadmin
wbadmin 1.0 - バックアップ コマンド ライン ツール
(C) Copyright 2004 Microsoft Corp.

エラー - コマンドが不完全です。次のリストを参照してください。
このコマンドのヘルプを参照するには、「WBADMIN <コマンド> /?」と入力します。

---- サポートされるコマンド ----

ENABLE BACKUP             -- 毎日のバックアップ スケジュールを作成または変更
                             します。
DISABLE BACKUP            -- スケジュールされたバックアップを無効にします。
START BACKUP              -- 1 回限りのバックアップを実行します。
STOP JOB                  -- 現在実行中のバックアップまたは回復操作を
                             停止します。
GET VERSIONS              -- 指定した場所から回復可能なバックアップの詳細を
                             一覧にします。
GET ITEMS                 -- バックアップに含まれる項目の一覧を表示します。
START RECOVERY            -- 回復を実行します。
GET STATUS                -- 現在実行中の操作の状態を報告します。
GET DISKS                 -- 現在オンラインのディスクを一覧表示します。
START SYSTEMSTATERECOVERY -- システム状態の回復を実行します。
START SYSTEMSTATEBACKUP   -- システム状態のバックアップを実行します。
DELETE SYSTEMSTATEBACKUP  -- 1 つ以上のシステム状態のバックアップを削除します。

C:\Users\Administrator.AD1.001>wbadmin start systemstatebackup -backuptarget:d:
wbadmin 1.0 - バックアップ コマンド ライン ツール
(C) Copyright 2004 Microsoft Corp.

システム状態のバックアップを開始しています [2013/08/20 23:28]...
ボリューム情報を取得しています...
ボリューム システムで予約済み (100.00 MB),ローカル ディスク(C:) から d: にシステ
ム状態をバックアップします。
バックアップ処理を開始しますか?
[Y] はい [N] いいえ y

バックアップに指定されたボリュームのシャドウ コピーを作成しています...
(0) 個のファイルが見つかりました。
(107) 個のファイルが見つかりました。
(10533) 個のファイルが見つかりました。
(13777) 個のファイルが見つかりました。
(26672) 個のファイルが見つかりました。
(32813) 個のファイルが見つかりました。
(37199) 個のファイルが見つかりました。
(45387) 個のファイルが見つかりました。
(53107) 個のファイルが見つかりました。
(69469) 個のファイルが見つかりました。
(76186) 個のファイルが見つかりました。
(76230) 個のファイルが見つかりました。
システム状態ファイルの検索が完了しました。
ファイルのバックアップを開始します...
'Task Scheduler Writer' によって報告されたファイルのバックアップが完了しました。

'VSS Metadata Store Writer' によって報告されたファイルのバックアップが完了しまし
た。
'Performance Counters Writer' によって報告されたファイルのバックアップが完了しま
した。
'COM+ REGDB Writer' によって報告されたファイルのバックアップが完了しました。
進行状況: 2%
'System Writer' によって報告されたファイルを現在バックアップ中です...
進行状況: 6%
'System Writer' によって報告されたファイルを現在バックアップ中です...
進行状況: 12%
'System Writer' によって報告されたファイルを現在バックアップ中です...
進行状況: 19%

(中略)

'System Writer' によって報告されたファイルを現在バックアップ中です...
進行状況: 92%
'System Writer' によって報告されたファイルを現在バックアップ中です...
進行状況: 95%
'System Writer' によって報告されたファイルを現在バックアップ中です...
進行状況: 97%
'System Writer' によって報告されたファイルを現在バックアップ中です...
バックアップ操作の概要:
-----------------------

システム状態のバックアップが正常に完了しました [2013/08/20 23:35]。
正常にバックアップされたファイルのログ:
C:\Windows\Logs\WindowsServerBackup\Backup-20-08-2013_23-28-12.log


C:\Users\Administrator.AD1.001>

backup

きちんとバックアップが取得されました。
次回はこれを使ってリストアでもしてみましょう。 

「ディレクトリサービスの復元モード」というのでOSを起動すると、ADサーバが停止した状態で起動してきます。
 例えば、バックアップしたADのデータを復元した場合に利用する起動モードです。

 unet_000183

サーバ起動時にF8キーを押下すると、起動モードを選択できる画面が表示されます。
「ディレクトリサービス復元モード」を選択して起動します。

起動後にログイン画面が表示されますが、ここではAdministratorアカウントにADのインストール時に指定した、復元モードのパスワードを指定します。

AD_000139

この画面を思い出しましたか?

unet_000181
 
起動後の画面
真っ黒で、隅っこに「セーフモード」って書いてあります。

unet_000180

ADのサービスも停止してあります。

↓参考までに復元モード時のパスワード変更手順です
ntdsutilを利用しています。

C:\Users\Administrator.AD1.001>ntdsutil
ntdsutil: Set Dsrm Password
Reset DSRM Administrator Password: Reset Password On Server Null
DS 復元モードの管理者アカウントのパスワードを入力してください: ********
新しいパスワードの確認入力をしてください: ********
パスワードは正しく設定されました。
 

Windows Server 2008よりActive Directoryは独立したサービスとして提供されるようになりました。
例えば、ADサーバを停止したい場合・・・
Windows Server 2003以前ではサーバ全体をシャットダウンして、「ディレクトリサービスの復元モード」というので再起動する必要がありました 
そのため、サーバのサービス全体は停止し、ADサーバと同居している他のサービスも停止する必要がありました。

一方、 Windows Server2008以降はADのサービスが独立したので、ADサーバを停止したい場合、ADサービスを停止するだけで対応出来ます。
ADサーバと同居している他のサービスを停止する必要がありません。

 AD_000252

サービスの一覧にActive Directory Domain Serviceというサービスがありますが、これがAD本体のサービスです。

AD_000253

ADサービスを停止しようとすると、DNSサービスやDFS-Rサービスも停止するとメッセージが出力されます。
「はい」をクリックすると、これらのサービスも停止します。
逆に、これ以外のサービス(DHCPなど)は停止する必要がありません。

AD_000254
 
net stop ntdsで停止することも可能です。
同じように、DNSやDFS-Rサービスも停止します。

AD_000255
 
起動はnet start ntdsです。
一緒に停止したDNSなどのサービスも自動的に起動してくれるようです。 

GPOのバックアップと復元を検証してみました。

 AD_000240

グループポリシー管理エディタからバックアップを実行することができます。
「グループポリシーオブジェクト」から右クリックすると全てのGPOをバックアップ

AD_000241
 
各GPOを右クリックして、個別のGPOをバックアップすることも出来ます。

AD_000243
 
「すべてのバックアップ」を選択した後の画面
バックアップの保存場所を選択します。 
バックアップボタンをクリックすることでバックアップ開始

AD_000244
AD_000245
 
バックアップが完了しました。

AD_000246
 
バックアップフォルダには各GPOのフォルダがあります。
GID?なので、どのGPOがどのフォルダなのかはわかりませんが・・・

AD_000247
 
復元はグループポリシーオブジェクトから右クリックして、バックアップの管理を選択

AD_000248
 
復元したいGPOを選択して、「復元」ボタンをクリックします。

AD_000249
 
OKを押して、復元を開始

AD_000250
 
復元が成功しました。 

Windows Server 2008より監査ポリシーの1つである「ディレクトリサービスのアクセス監査」がより細かく設定できるようになりました。
この監査ポリシーを利用することによってユーザーのADへのアクセスを記録することができます。
さらに「ディレクトリサービスのアクセス監査」は4つのサブカテゴリに分かれ、イベントログには変更前と変更後の値が記載されます。
例えばサブカテゴリの1つである「ディレクトリサービスの変更」ではADオブジェクトの作成、変更、削除、移動を記録することができます。

では、能書きはこれぐらいにして手順を

AD_000228

 Default Domain Policyを編集します。

AD_000229
 
コンピューターの構成→ポリシー→Windowsの設定→セキュリティの設定→ローカルポリシー→監査ポリシーを選択
ディレクトリサービスのアクセスの監査をクリックします。

AD_000230
 
「これらのポリシーの設定を定義する」をチェックしたら、記録したい監査をチェックします。成功の監査を有効にしたい場合は成功をチェック、失敗の監査を記録したい場合は失敗をチェックします。

AD_000231
 
監査したOUのプロパティを開きます。

AD_000232

セキュリティタブで詳細設定ボタンをクリックします。

AD_000234

監査したいユーザーを選択します。
Everyoneを選択することも可能です。

AD_000235
 
監査したいアクセスを選択します。

AD_000236
 
auditpolコマンドを実行して、監査したいサブカテゴリを有効にします。

AD_000238
 
全てを設定後、ユーザーを監査対象のOUに移動した時の監査ログです。
ユーザ名、移動元OU、移動先OUが表示されています。 

このページのトップヘ