Active Directory 障害対策

Community Open Day 2012

Win.tech.q 知北直宏

Ustreamの録画はこちら： http://www.ustream.tv/channel/wintechq20120609

自己紹介

• ITPro系コミュニティ・Win.tech.q代表

• アイティデザイン株式会社代表取締役社長

• MCT、MCSE、MCITP、MCTS

• Microsoft MVP(Directory Services Jan2011 - Dec2011)

• Active Directory は最初の Windows 2000 からすべてのバージョンの設計、構築、移行など行っています。

• 2010年に書籍「標準テキスト Windows Server 2008 R2 構築・運用・管理パーフェクトガイド」を執筆・発売しました。 （2012年3月に第7版発売、通算13000部発行）

知北直宏（ちきたなおひろ）の自己紹介です。

アジェンダ

• Active Directory とは

• Active Directory の障害のタイプと原因

• Active Directory の障害の予防策

• Active Directory の障害の復旧策

• まとめ

今日はこんなことをお話しします。

注意事項

• 本セッションの内容は、2012年6月現在のカレントバージョンである Windows Server 2008 R2 をベースとしております。

• 本セッションでは「AD DS（Active Directory Domain Service）」を「Active Directory」としております。

• 本セッションで紹介する内容以外にも、障害の例、障害の復旧例はあります。あくまでも参考としてご覧ください。

• 実際に障害対策、障害復旧作業などを行う際には、マイクロソフトの技術文書なども参照しながら進めることをお勧めします。

• 本セッション、および本資料によって発生した問題には一切の責任を負いません。

ご注意ください。

Active Directory とは

Active Directory の概要、導入目的

• Windows 標準の「ディレクトリーサービス」です。

• ユーザーやコンピューターなどの「アカウント」を一元管理することができます。

• IDの集中管理、認証の統合などが実現できます。

• 「グループポリシー」を使って、アカウントの一括管理が可能です。

• ユーザーや Winodws コンピューターが数十、数百を超えた環境では、なくてはならないシステムです。

• WSFC（Windows Server Failover Cluster）や、Windows HPC Server など高度なシステム環境の構築にも必須です。

Active Directory ってナニ？なぜみんな使うの？

Active Directoryで重度な障害が発生したときの影響

• 重度な障害によって、例えばすべてのドメインコントローラーが使用不可になると、大きな問題が発生します。

• ログオンができなくなります。

• Active Directory によって認証されている各種システム（ファイルサーバー、グループウェア、メールサーバー、社内ポータル。。。その他いろいろ）が利用できなくなります。

• 実質的に、業務が続行不可になる可能性があります。

重度な障害が起こるとどうなるの？

Active Directory の 障害のタイプと原因

Active Directory の障害のタイプの例

• オブジェクト損失

• ドメインコントローラー停止

• データベース破損

• その他

どんな障害がありえるの？

Active Directory の障害の原因の例

• ハードウェアやソフトウェアの不具合

• 人的要因

• その他突発的な事故など

どうして障害が発生するの？

Active Directory の 障害の予防策

Active Directory の障害の予防策の例

• 障害に遭いにくいシステムにする

• 障害に備えたシステムにする

どうやって障害の予防をするの？

障害に遭いにくいシステムにするには？

• サーバーとして当たり前の障害対策

• ドメインコントローラーの冗長化

• オペレーションミスを減らす

• アンチウイルスの除外設定

• ディスクのライトキャッシュ無効化

できるだけ障害に遭いにくいシステムにしたい！

アンチウイルスの除外設定を行う

• ドメインコントローラーであっても、アンチウイルスソフトウェアをインストールすることは重要です。

• しかし、いくつかのフォルダーやファイルは検知対象から除外することが推奨されています。 例）「 C:¥Windows¥Ntds 」フォルダーなど。

• 参考情報 http://technet.microsoft.com/en-us/library/cc816917(v=ws.10).aspx http://support.microsoft.com/kb/815263/ja http://blogs.technet.com/b/jpepscrt/archive/2010/04/28/3328757.aspx

アンチウイルスで検知させないほうがいいファイルなどがあります。

SCEPの除外設定

• SCEP（System Center 2012 Endpoint Protection）には、サーバーの役割などに合わせたテンプレートが付属しています。

• ドメインコントローラー用のテンプレートでは次のような除外設定がされています。

マイクロソフトのアンチウイルスソフトの除外設定例

ファイルとフォルダーの除外設定 プロセスの除外設定

ディスクのライトキャッシュとは？

• ディスクのライトキャッシュ、つまり書込みキャッシュを有効にすると、OSのパフォーマンスが向上する場合があります。

• ただし、ドメインコントローラーでディスクのライトキャッシュが有効になっていて、正しくシャットダウンできなかった場合に Active Directory データベースが破損する可能性があります。

• そこで、ドメインコントローラーのセットアップ時には自動的にディスクのライトキャッシュが無効になります。

• しかし、ハードウェアによってはライトキャッシュが無効化されない場合があるため、その際は手作業で設定変更することを推奨します。

実はドメインコントローラーをセットアップするとディスク設定が変わるんです。

ディスクのライトキャッシュの確認

• ディスクのプロパティの「ハードウェア」タブで、 デバイスのプロパティを開き、「ポリシー」タブで確認や変更ができます。 （ハードウェアによってはここで変更できないものもあります）

ライトキャッシュが無効になっているかはどこで確認するの？

ライトキャッシュ有効なメンバーサーバーの例 ライトキャッシュ無効なドメインコントローラーの例

障害に備えたシステムにするには？

• Active Directory のごみ箱の有効化

• バックアップ

• 障害を早期に見つける

• 障害復旧手順の明確化

障害は避けられないかも。だったら。。。

Active Directory のごみ箱とは？

• 以前は、削除したアカウントを元に戻すことは容易ではありませんでした。（ドメインコントローラーを再起動したり、バックアップからリストアしたり。。。）

• Windows Server 2008 R2 以降では、「Active Directory のごみ箱」機能を有効化しておくことにより、削除したアカウントを容易に元に戻すことが可能です。

• ただし、フォレストの機能レベルが「 Windows Server 2008 R2」であること、あらかじめ手作業で有効化しておく必要がある、などいくつかの注意点があります。

• 参考 http://technet.microsoft.com/ja-jp/library/dd392261(v=ws.10).aspx

まちがってアカウントを削除しても安心！

Windows Server 2012 では？

• Windows Server 2008 R2 の新機能であった Active Directory のごみ箱は、コマンド（Windows PowerShell）で有効化や、実際の復元操作を行う必要がありました。

• Windows Server 2012 では「 Active Directory 管理センター」での GUI 操作が可能になるようです。

Active Directory のごみ箱がついにGUI化！

Windows Server 2012 RC の Active Directory 管理センター

バックアップ

• 日々取得しているバックアップが Active Directory のリストアに使えるかを確認することは重要です。

• サードパーティのバックアップソフトを利用しているなどの理由でリストアに不安が残る場合は、 OS 標準のバックアップを併用することを検討するといいでしょう。

• Active Directory のバックアップには「 Tombstone Lifetime」と呼ばれる、一種の有効期限があります。有効期限切れのバックアップデータはリストアに使用できません。

「そのバックアップはいざというとき使えますか？」

Tombstone Lifetime とは？

• Active Directory データベースからオブジェクト（ユーザーアカウントなど）が削除されると、「 Tombstone 」と呼ばれるフラグが立てられて「 Deleted Objects 」という領域に移されます。

• 「 Tombstone Lifetime 」という期間が過ぎると、完全に削除されます。

• この「 Tombstone Lifetime 」を超えるバックアップデータからリストアすると不整合が発生するためサポートされません。

• 「 Tombstone Lifetime 」は最近構築した Active Directory では「180日」ですが、古いものから移行している場合は「 60日 」の可能性があります。

• 参考情報 http://support.microsoft.com/kb/216993/ja

Active Directory バックアップの賞味期限のようなもの

2つのリストアモード

• 権限のない復元（Non-Authoritative Restore） 破損したドメインコントローラーを復元する際などに使うリストア方法です。 バックアップデータをリストアした後、他のドメインコントローラーからのレプリケーションによってデータベースを最新にします。

• 権限のある復元（Authoritative Restore） 損失したオブジェクトを復元する際などに使うリストア方法です。 「権限のない復元」と同様のリストアを行った後、追加の操作を行うことにより、目的のオブジェクトが他のドメインコントローラーからのレプリケーションによって削除されないようにすることができます。

• 参考情報 http://technet.microsoft.com/ja-jp/library/cc732238(v=ws.10)

Active Directory データベースのリストアには2つのモードがあります

イベントビューワー の左ペイン

障害を早期に見つけるには？

• 1台のドメインコントローラーで発生していたデータベース不具合などが、放置していると、他のドメインコントローラーに悪影響を及ぼす可能性があります。

• OS イベントログの監視が特に重要です。

• 「システム」や「アプリケーション」だけでなく、「ディレクトリサービス」や「DNSサーバー」のログの監視が重要です。

1台のドメインコントローラーの不具合が他に伝播するかも。。。

定番

重要！

Active Directory の 障害の復旧策

Active Directory の障害の復旧策の例

• オブジェクト損失からの復旧例

• ドメインコントローラー停止からの復旧例

• データベース破損からの復旧例

障害が発生してしまった。。。どんな復旧策があるの？

オブジェクト損失からの復旧例

• 例1・「権限のある復元（Authoritative Restore）」を行う。基本中の基本。

• バックアップデータがあること。

• 復元時にドメインコントローラーの再起動など必要。

• 例2・「Active Directory のごみ箱」を使って復元する。

• 復元時にドメインコントローラーの再起動は不要。

• バックアップデータがなくても可能。

• 条件を満たす環境で、あらかじめ有効化しておく必要あり。

誤ってユーザーアカウントを削除してしまった。。。ときの復旧例

ドメインコントローラー停止からの復旧例

• 例1・「権限のない復元（Non-Authoritative Restore）」を行う。

• 「正常な」バックアップデータがあること。

• 例2・「ドメインコントローラーの再昇格」を行う。

• ドメインコントローラー機能の入れなおしを行います。

• 他に「正常な」ドメインコントローラーが存在していること。

ドメインコントローラーが動かなくなった。。。ときの復旧例

ドメインコントローラーの再昇格

• 故障したドメインコントローラーの OS が起動できる場合には、例えば次のような手順で再昇格を行います。

1. （必要であれば）正常なドメインコントローラーにFSMOを強制移動します。

2. 故障したドメインコントローラーで「 dcpromo /forceremoval 」を実行して強制降格を行います。

3. 正常なドメインコントローラーで「 metadata cleanup 」を行います。

4. 故障したドメインコントローラーで「 dcpromo 」を再実行して、再昇格します。

• 参考情報 http://support.microsoft.com/kb/216498 http://technet.microsoft.com/ja-jp/library/cc732714(v=ws.10).aspx http://technet.microsoft.com/ja-jp/ad_5mins05.aspx

再昇格ってどうやるの？

データベース破損からの復旧例

• 例1・「権限のない復元（Non-Authoritative Restore）」を行う。

• 「正常な」バックアップデータがあること。

• 例2・「ドメインコントローラーの再昇格」を行う。

• ドメインコントローラー機能の入れなおしを行います。

• 他に「正常な」ドメインコントローラーが存在していること。

• 例3・「コマンドで破損の修復」を試してみる。

• 「 ntdsutil 」や「 esentutl 」で破損の修復ができるかも。

• ただし、あとあと再発する可能性あり。

Active Directory データベースがぶっ壊れた。。。ときの復旧例

コマンドによる修復

• 修復できない場合があるだけでなく、さらにデータが失われる可能性もあるため、他の復旧策が無い場合のみ実行することをお勧めします。

• インデックスエラーの場合は修復に成功する可能性が高いようです。

• Active Directory の管理にはなくてはならない「 ntdsutil 」の、「 files 」コマンドの「 integrity 」や「 recover 」で、破損した Active Directory データベースの修復ができることがあります。

• 「 esentutl 」の「 /r 」や「 /p 」で修復できることもあります。

• 参考情報 http://technet.microsoft.com/en-us/library/cc753900(v=ws.10).aspx http://support.microsoft.com/kb/816120 http://technet.microsoft.com/ja-jp/query/cc755915(v=ws.10).aspx http://blogs.technet.com/b/junichia/archive/2010/08/24/3351595.aspx

「 ntdsutil 」や「 esentutl 」をどう使うの？

まとめ

Active Directory 障害対策のまとめ

• Active Directory に重度な障害が発生すると、業務が継続できなくなるなど、大きな問題に発展する可能性が高いといえます。

• 常日頃から、障害に遭いにくいシステム作りや、いざ障害が発生した際に容易に復旧できるようなシステムにしておくことは重要です。

• Active Directory の障害予防策、障害復旧策の一例として、本セッションがお役にたてば幸いです。

障害に遭いにくい、障害に備えた Active Directory 環境を作りましょう！