Active Directoryバックアップのベストプラクティス

アクティブディレクトリは、Windowsベースの環境での集中管理とユーザー認証のための広く知られたサービスです。管理者は、ドメインに追加されたコンピューターを中央で管理でき、大規模かつ分散したインフラストラクチャーにとって便利で時間の節約になります。通常、MS SQLとMS Exchangeはアクティブディレクトリが必要です。アクティブディレクトリドメインコントローラー（AD DC）が利用できなくなると、関連するユーザーはログインできず、システムが正常に機能しなくなる可能性があり、環境にトラブルが発生する可能性があります。そのため、アクティブディレクトリのバックアップを取ることが重要です。

このブログ投稿では、効果的な方法やツールを含むアクティブディレクトリバックアップのベストプラクティスについて説明します。

アクティブディレクトリの動作原理

アクティブディレクトリは、個々のオブジェクトやトランザクションログが格納されているデータベースからなる管理システムです。データベースは、さまざまな種類の情報を含む複数のセクションに分かれています。スキーマパーティション（オブジェクトクラスとその属性を含むADデータベースの設計を決定する）、構成パーティション（AD構造に関する情報）、およびドメイン名コンテキスト（ユーザー、グループ、プリンターオブジェクト）が含まれます。アクティブディレクトリデータベースには階層的な木構造があります。 Ntds.ditファイルは、ADデータベースを格納するために使用されます。

Active Directoryは、ネットワーク上での機能にLDAPとKerberosプロトコルを使用しています。LDAP（Lightweight Directory Access Protocol）は、ディレクトリ（Active Directoryなど）へのアクセスに使用されるオープンなクロスプラットフォームプロトコルであり、ユーザー名とパスワードを使用したディレクトリサービス認証へのアクセスも可能です。Kerberosは、秘密鍵暗号を使用する安全な認証およびシングルサインオンプロトコルです。Kerberos認証サーバーによってチェックされるユーザー名とパスワードは、LDAPディレクトリに格納されます（Active Directoryを使用する場合）。

Active Directoryは、DNSサーバー、Windows保護システムファイル、ドメインコントローラーのシステムレジストリ、Sysvolディレクトリ、COM+クラス登録データベース、およびクラスターサービス情報と密接に統合されています。このような統合は、Active Directoryのバックアップ戦略に直接的な影響を与えます。

どのデータをバックアップする必要がありますか？

前のセクションによれば、Ntds.ditだけでなく、Active Directoryと統合されたすべてのコンポーネントのコピーを作成する必要があります。ドメインコントローラーシステムの重要な部分であるすべてのコンポーネントのリストは以下の通りです：

• Active Directoryドメインサービス
• ドメインコントローラーシステムレジストリ
• Sysvolディレクトリ
• COM+クラス登録データベース
• Active Directoryと統合されたDNSゾーン情報
• システムファイルとブートファイル
• クラスターサービス情報
• 証明書サービスデータベース（ドメインコントローラーが証明書サービスサーバーである場合）
• IISのメタフォルダー（Microsoft Internet Information Servicesがドメインコントローラーにインストールされている場合）

一般的なADバックアップの推奨事項

Active Directoryバックアップの一般的な推奨事項を見てみましょう。

ドメイン内の少なくとも1つのドメインコントローラーをバックアップする必要があります

インフラストラクチャーに1つのドメインコントローラーしかない場合は明らかですが、このDCをバックアップする必要があります。複数のドメインコントローラーがある場合は、そのうちの1つをバックアップする必要があります。FSMO（柔軟な単一マスター操作）ロールがインストールされているドメインコントローラーをバックアップする必要があります。すべてのドメインコントローラーを失った場合、プライマリドメインコントローラー（FSMOロールを含む）を回復し、新しいセカンダリドメインコントローラーを展開し、プライマリDCからセカンダリDCに変更をレプリケートできます。

アクティブディレクトリのバックアップを災害復旧計画に含める

災害復旧計画を作成し、仮想的な災害に備えてインフラの回復シナリオを複数考えます。災害が発生する前に、徹底した災害復旧計画を作成することがベストプラクティスです。回復手順に注意を払います。ドメインコントローラーは、Active Directoryに関連するサービスを提供する他のマシンを回復する前に回復する必要があります。それらは、AD DCなしでは役立たずになる可能性があるためです。異なるマシンで実行されているさまざまなサービスの依存関係を考慮した災害復旧計画を作成することで、成功した回復が保証されます。ドメインコントローラーをローカルサイト、リモートサイト、またはクラウドにバックアップすることができます。Active Directoryバックアップのベストプラクティスの一つは、3-2-1バックアップルールに従い、ドメインコントローラーのコピーを複数持つことです。

Active Directoryを定期的にバックアップします

Active Directoryを60日を超えない間隔で定期的にバックアップする必要があります。ADサービスは、Active Directoryバックアップの寿命がデフォルトである60日のADトゥームストーンオブジェクトの寿命を超えていないことを前提としています。これは、オブジェクトが削除される必要がある場合にトゥームストーンオブジェクトをActive Directoryが使用するためです。ADオブジェクトが削除されると（オブジェクトの大部分の属性が削除されると）、それはトゥームストーンオブジェクトとしてマークされ、トゥームストーンの寿命期間が切れるまで物理的に削除されません。

インフラストラクチャに複数のドメインコントローラがあり、Active Directoryレプリケーションが有効になっている場合、トゥームストーンオブジェクトは、トゥームストーンの寿命が切れるまで、各ドメインコントローラにコピーされます。トゥームストーンの寿命よりも古いバックアップからドメインコントローラを復元すると、Active Directoryドメインコントローラ間で一貫性のない情報が発生します。復旧したドメインコントローラには、この場合にはもはや存在しないオブジェクトに関する情報が含まれています。これにより、エラーが発生する可能性があります。

バックアップ後にドメインコントローラにドライバやアプリケーションをインストールした場合、そのバックアップから復旧した後は機能しなくなります。システムの状態（レジストリを含む）が以前の状態に復元されるためです。これは、Active Directoryを60日に1回以上の頻度でバックアップする理由の1つです。弊社では、Active Directoryドメインコントローラを毎晩バックアップすることを強くお勧めします。

データの一貫性を保証するソフトウェアを使用してください

Active Directoryデータベースは、他のどのデータベースと同様に、データベースの一貫性が保たれるようにバックアップする必要があります。一貫性は、サーバーの電源を切った状態でAD DCデータをバックアップするか、実行中のマシンでMicrosoft Volume Shadow Copy Service（VSS）を使用することで最も保たれます。サーバーが24時間365日稼働している場合、電源を切った状態でActive Directoryサーバーをバックアップすることは良いアイデアではありません。

Active Directory のバックアップのベストプラクティスでは、Active Directory を実行しているサーバーのバックアップに VSS 互換のバックアップアプリケーションを使用することを推奨しています。VSS ライターは、バックアップが完了するまでシステムの状態を凍結するスナップショットを作成し、バックアッププロセス中に Active Directory が使用するアクティブファイルの変更を防ぎます。

グラニュラー回復を提供するバックアップソリューションを使用します

Active Directory を復元する場合、Active Directory とそのすべてのオブジェクトを含むサーバー全体を復元することができます。完全な復元を実行すると、AD データベースがかなり大きい場合は特に、かなりの時間がかかる可能性があります。一部の Active Directory オブジェクトが誤って削除された場合、それらのオブジェクトだけを復元したい場合があります。Active Directory のバックアップのベストプラクティスでは、バックアップメソッドとアプリケーションを使用し、バックアップから特定の Active Directory オブジェクトのみを復元できるようにします。これにより、復元にかかる時間を制限できます。

ネイティブ Active Directory バックアップ方法

Microsoft は、Windows サーバーのバックアップ用にネイティブツールのシリーズを開発しており、Active Directory ドメインコントローラーを実行しているサーバーも含まれます。

Windows Server バックアップ

Windows Server Backup は、Windows Server 2008 以降の Windows Server バージョンで提供されるユーティリティで、Windows Server 2003 に組み込まれていた NTBackup ユーティリティを置き換えます。それにアクセスするには、ロールと機能の追加 メニューで Windows Server Backup を有効にするだけです。Windows Server Backup には新しい GUI（グラフィカルユーザーインターフェイス）が備わっており、VSS を使用して増分バックアップを作成できます。バックアップされたデータは VHD ファイルに保存されます – Microsoft Hyper-V で使用されるファイルフォーマットと同じです。このように、MVMC (Microsoft Virtual Machine Converter) によって作成される VHD とは異なり、この場合は VHD イメージはブート可能ではありません。 wbadmin start systemstatebackup コマンドを使用して、全ボリュームまたはシステムの状態のみをバックアップできます。例：

wbadmin start systemstatebackup –backuptarget:E:

データのバックアップ元とは異なるバックアップ先を選択し、リモート共有フォルダではないものを選択する必要があります。

復旧の際は、ディレクトリサービスの復元モード（DSRM）に F8 を押して高度な起動オプションを開く（セーフモードに入るときと同様）ことでドメインコントローラーを起動する必要があります。次に、wbadmin get versions -backupTarget:path_to_backup machine:name_of_server コマンドを使用して適切なバックアップを選択し、必要なデータの復元を開始します。また、リカバリ中にコマンドラインで特定のActive Directoryオブジェクトを管理するためにNTDSutilを使用することもできます。

Windows Serverバックアップを使用したActive Directoryバックアップの利点は、手頃な価格、VSS機能、システム全体またはActive Directoryコンポーネントのみをバックアップできることです。

欠点は、バックアップとリカバリプロセスを構成するために適切なスキルと知識ベースを持っている必要があることです。

System Center Data Protection Manager

Microsoftは、WindowsベースのインフラでActive Directoryを含むデータのバックアップにSystem Center Data Protection Manager（SC DPM）の使用を推奨しています。SC DPMは、System Center Suiteの一部であり、Windows Server Backupなどのサービスを含むWindows Serverを保護するために使用できる中央集権型の企業向けバックアップおよびリカバリソリューションです。無料の組み込みWindows Server Backupとは異なり、SC DPMは個別に展開する必要のある有料ソフトウェアです。Windows Server Backupと比較して、インストールはやや挑戦的に感じるかもしれません。実際、マシンを完全に保護するためには、バックアップエージェントをインストールする必要があります。

システムセンターデータプロテクションマネージャーに関連する主な機能は、次のとおりです：

• VSSサポート
• 増分バックアップ
• Microsoft Azureクラウドへのバックアップ
• Active Directoryのグラニュラオブジェクトの復元はありません

SC DPMを使用するのは、MS ExchangeおよびMS SQLサーバーを含む多数のWindowsマシンを保護する必要がある場合に最も実用的です。

仮想ドメインコントローラのバックアップ

リストされたネイティブActive Directoryバックアップメソッドは、物理サーバーおよび仮想マシンに展開されたActive Directoryサーバーのバックアップに使用できます。 仮想マシンでドメインコントローラーを実行することにより、VMなどのVM用の特典が提供されます。ホストレベルのバックアップ、異なる物理サーバーで実行されているVMとして復元できる能力など。 Active Directoryのバックアップのベストプラクティスでは、仮想マシンで実行されているActive Directoryドメインコントローラーのバックアップを行う場合は、ハイパーバイザーレベルでホストレベルのバックアップソリューションを使用することをお勧めします。

結論

Active Directoryは、ユーザーやサービスの停止を引き起こす可能性のある最もビジネスクリティカルなアプリケーションの1つとして分類されています。 今日のブログ記事では、Active Directoryのバックアップのベストプラクティスを説明し、ADの障害に対するインフラストラクチャの保護を支援します。 正しいバックアップソリューションを選択することがこの場合の重要なポイントです。

NAKIVO Backup＆Replicationは、Active Directoryドメインコントローラーを実行しているVMwareおよびHyper-V VM向けのホストレベルのバックアップソフトウェアです。このソリューションを使用すると、実行中の状態であっても、ドメインコントローラーVM全体のバックアップが可能です。また、アプリケーションの認識（VSSが使用されています）を尊重し、インスタントADオブジェクトの回復も提供します。エージェントは必要ありません。 NAKIVO Backup＆Replicationは、特定のADオブジェクトやコンテナを回復するための細かいActive Directoryの回復をサポートしており、完全なVM回復にかかる時間を節約できます。もちろん、ドメインコントローラーVMの完全な回復もサポートされています。