~Windows Server 2008 R2 Beta版 移行・導入・運用の豆情報~
ADのオブジェクトを誤って削除してしまった際に、同一名のオブジェクトを新規に作成してもセキュリティ識別子(SID)が変わってしまうため、OSからは別オブジェクトとして認識されてしまいます。そのため、削除したオブジェクト自体を復元する方法が必要となります。
削除したオブジェクトを復元するにはAuthoritative Restoreという復元方法を用いますが(1)、ディレクトリサービスを停止しなければならない上に、非常に時間を要する作業です。Windows Server 2008 R2の新機能AD Recycle Binは、誤削除オブジェクト復元の運用を大きく改善する機能です。
(1)Windows Server 2003以降では、削除済みオブジェクト(Tombstone)を元に戻す、AD Recycle Binに似た機能がありますが、ユーザオブジェクトが持つ所属グループ情報など、多くのオブジェクト属性値が復元できないという制約がありました。
AD Recycle Binは既定では無効となっており、利用前に有効化する必要があります。
オブジェクトを削除すると内部的にはオブジェクトにいくつかの変更を加えた上で、一旦「Deleted Objects」コンテナへ移動します(図1)。
図1 オブジェクト削除時の内部動作
AD Recycle Binが有効になっていると、オブジェクトは2段階の状態遷移を経てデータベースから削除されます(図2)。
「削除されたオブジェクトの有効期間」は既定で180日となっており、この期間内であれば、ユーザは削除したオブジェクトを完全に復元することができます。
「削除されたオブジェクトの有効期間」が終了すると、オブジェクトが持つ属性の多くを削除した上で、Tombstoneオブジェクトとして一定期間(既定で180日)保持します。「削除されたオブジェクトの有効期間」および「Tombstoneの有効期間」はカスタマイズ可能ですが、以下のような要件がある場合以外は、既定値のままで問題ないと考えます。
図2 Windows Server 2008 R2のActive Directoryオブジェクトライフサイクル
AD Recycle Binでのオブジェクトの復元は、オブジェクト削除時の変更(図1)を元に戻すことで実現できます。手段は以下の2通りあります。
AD Recycle Binという名称から、削除したファイルをエクスプローラでゴミ箱から元に戻す操作を連想させますが、実際に使用してみるとどちらの手段でも、やや敷居が高い印象を受けるかもしれません。
以下、GUIで動作イメージが分かりやすいLDAPユーティリティを例に復元方法の概要を示します。
LDAPユーティリティの左ペインで復元対象オブジェクトをダブルクリックすると、右ペインにオブジェクトの属性値が表示されます。その中の「msDS-LastKnownRDN」属性と「lastKnownParent」属性の値から削除前のDNを知ることができます。
ここでは、例としてLDAPユーティリティによる復元方法を紹介しましたが、OU配下の複数オブジェクトをまとめて復元する場合はWindows PowerShellが便利です。
AD Recycle Binの有効化手順、Windows PowerShellを用いる手順など、手順の詳細については、以下のサイトを参照してください。
図3にLDAPユーティリティを用いたAD Recycle Binのリカバリ手順と、従来のリカバリ手順(Authoritative Restore)との違いを示します。AD Recycle Binによるリカバリは、Active Directoryサービスを止めずに迅速にオブジェクトのリカバリが出来るという点で、優位性があります。
AD Recycle Bin | Authoritative Restore | |
---|---|---|
再起動 | 不要 | 2回必要 |
ディレクトリサービスの停止 | 不要 | 必要 |
バックアップデータのリストア | 不要 | 必要 |
図3 リカバリ手順の違い
なお、AD Recycle Binはフォレスト機能レベルが「Windows Server 2008 R2」の環境で有効にできる機能です。 従って、Windows Server 2008 R2のドメインであっても旧OSのドメインコントローラが混在している状況では、誤削除オブジェクトの復元にAuthoritative Restoreを使用することになります。
万一のオブジェクト誤削除の際の復元手段として、AD Recycle Binは以下のメリットがあります。
AD Recycle BinはActive Directoryの運用管理を効率化する有効な新機能であり、Windows Server 2008 R2への移行メリットのひとつと言えます。
富士通では、PRIMERGYを用いたWindowsシステムを、お客様に安心して使用して頂けるよう Windows Server 2008 R2の先行評価を進めています。
【ご注意】
動作確認したWindows Server 2008 R2は開発段階にあるため仕様変更の可能性があります。