このページの本文へ移動

新機能Active Directory Recycle BinでAD運用はどう変わる?

~Windows Server 2008 R2 Beta版 移行・導入・運用の豆情報~

Active Directory Recycle Bin(AD Recycle Bin)とは

ADのオブジェクトを誤って削除してしまった際に、同一名のオブジェクトを新規に作成してもセキュリティ識別子(SID)が変わってしまうため、OSからは別オブジェクトとして認識されてしまいます。そのため、削除したオブジェクト自体を復元する方法が必要となります。
削除したオブジェクトを復元するにはAuthoritative Restoreという復元方法を用いますが(注1)、ディレクトリサービスを停止しなければならない上に、非常に時間を要する作業です。Windows Server 2008 R2の新機能AD Recycle Binは、誤削除オブジェクト復元の運用を大きく改善する機能です。

注1)Windows Server 2003以降では、削除済みオブジェクト(Tombstone)を元に戻す、AD Recycle Binに似た機能がありますが、ユーザオブジェクトが持つ所属グループ情報など、多くのオブジェクト属性値が復元できないという制約がありました。

オブジェクト削除時の内部動作イメージ

AD Recycle Binは既定では無効となっており、利用前に有効化する必要があります。

オブジェクトを削除すると内部的にはオブジェクトにいくつかの変更を加えた上で、一旦「Deleted Objects」コンテナへ移動します(図1)。

図1 オブジェクト削除時の内部動作

AD Recycle Binが有効になっていると、オブジェクトは2段階の状態遷移を経てデータベースから削除されます(図2)。

「削除されたオブジェクトの有効期間」は既定で180日となっており、この期間内であれば、ユーザは削除したオブジェクトを完全に復元することができます。

「削除されたオブジェクトの有効期間」が終了すると、オブジェクトが持つ属性の多くを削除した上で、Tombstoneオブジェクトとして一定期間(既定で180日)保持します。「削除されたオブジェクトの有効期間」および「Tombstoneの有効期間」はカスタマイズ可能ですが、以下のような要件がある場合以外は、既定値のままで問題ないと考えます。

  • 削除オブジェクトの長期保存によるデータベースの容量圧迫を避けるため、有効期間を短くしたい
  • AD Recycle Binを利用したオブジェクト復元を、さらに長期間利用するため、有効期間を長くしたい

    図2 Windows Server 2008 R2のActive Directoryオブジェクトライフサイクル

AD Recycle Binでのオブジェクト復元イメージ

AD Recycle Binでのオブジェクトの復元は、オブジェクト削除時の変更(図1)を元に戻すことで実現できます。手段は以下の2通りあります。

  • LDAPユーティリティを用いる
  • Windows PowerShellを用いる

AD Recycle Binという名称から、削除したファイルをエクスプローラでゴミ箱から元に戻す操作を連想させますが、実際に使用してみるとどちらの手段でも、やや敷居が高い印象を受けるかもしれません。

以下、GUIで動作イメージが分かりやすいLDAPユーティリティを例に復元方法の概要を示します。

  1. LDAPユーティリティを起動し、ドメインコントローラに接続&バインド
    接続 & バインドが成功すると、ドメインオブジェクトをツリー状に閲覧できます。
  2. オブジェクトの属性値を編集
    復元したいオブジェクト上で右クリックし、「変更」の画面を起動します。ここで、オブジェクト削除時の変更を元に戻す処理を行います。

メモ : オブジェクト削除前のDNを知る方法

LDAPユーティリティの左ペインで復元対象オブジェクトをダブルクリックすると、右ペインにオブジェクトの属性値が表示されます。その中の「msDS-LastKnownRDN」属性と「lastKnownParent」属性の値から削除前のDNを知ることができます。

ここでは、例としてLDAPユーティリティによる復元方法を紹介しましたが、OU配下の複数オブジェクトをまとめて復元する場合はWindows PowerShellが便利です。

AD Recycle Binの有効化手順、Windows PowerShellを用いる手順など、手順の詳細については、以下のサイトを参照してください。

Authoritative Restoreとの違い

図3にLDAPユーティリティを用いたAD Recycle Binのリカバリ手順と、従来のリカバリ手順(Authoritative Restore)との違いを示します。AD Recycle Binによるリカバリは、Active Directoryサービスを止めずに迅速にオブジェクトのリカバリが出来るという点で、優位性があります。

 AD Recycle BinAuthoritative Restore

再起動

不要

2回必要

ディレクトリサービスの停止

不要

必要

バックアップデータのリストア

不要

必要

図3 リカバリ手順の違い

なお、AD Recycle Binはフォレスト機能レベルが「Windows Server 2008 R2」の環境で有効にできる機能です。 従って、Windows Server 2008 R2のドメインであっても旧OSのドメインコントローラが混在している状況では、誤削除オブジェクトの復元にAuthoritative Restoreを使用することになります。

まとめ

万一のオブジェクト誤削除の際の復元手段として、AD Recycle Binは以下のメリットがあります。

  • 復元中、ディレクトリサービスを停止する必要がない
  • 復元処理に時間を要さない

AD Recycle BinはActive Directoryの運用管理を効率化する有効な新機能であり、Windows Server 2008 R2への移行メリットのひとつと言えます。

富士通では、PRIMERGYを用いたWindowsシステムを、お客様に安心して使用して頂けるよう Windows Server 2008 R2の先行評価を進めています。

【ご注意】
動作確認したWindows Server 2008 R2は開発段階にあるため仕様変更の可能性があります。

PCサーバ PRIMERGYに関する資料請求・お見積もり・ご相談

Webでのお問い合わせ

入力フォーム

当社はセキュリティ保護の観点からSSL技術を使用しております。

お電話でのお問い合わせ

0120-933-200 富士通コンタクトライン(総合窓口)

受付時間 9時~17時30分
(土曜・日曜・祝日・当社指定の休業日を除く)