ドメイン コントローラーのバックアップとリストアについて

Last Update:
Active DirectoryPromotion and Demotion
feedback 共有

本記事はマイクロソフト社員によって公開されております。

こんにちは。Windows Commercial Support Directory Services チームです。

Windows Server 2012 / 2012 R2 のサポート終了が近付き、ドメイン コントローラーのバージョン アップ対応を検討されているお客様も多くいらっしゃると思います。
本記事では、そのようなバージョン アップ対応において、万が一作業に失敗した際に必要となる「ドメイン コントローラーのバックアップとリストア」の手順についてご案内します。
具体的には、Windows Server バックアップによるシステム状態のバックアップとリストアを扱います。

スナップショット機能についての注意事項

仮想環境で運用している場合、スナップショット機能をバックアップとして運用しても問題ないか、というお問い合わせをいただくことがございます。
結論といたしまして、以下の公開情報に記載の通り、弊社ではドメイン コントローラーを対象とした仮想マシン スナップショットによる復元はお勧めしておりません。

ドメイン コントローラーのバックアップに代わる手段として、仮想マシン スナップショットの適用によってドメイン コントローラーを復元するという方法はお勧めできません。 引き続き Windows Server バックアップまたは他の VSS ライター ベース バックアップ ソリューションを使用することをお勧めします。

Active Directory Domain Services (AD DS) の安全な仮想化 | Microsoft Learn
https://learn.microsoft.com/ja-jp/windows-server/identity/ad-ds/introduction-to-active-directory-domain-services-ad-ds-virtualization-level-100

Windows Server 2012 以降では、スナップショットからのドメイン コントローラーの復元時に VM-generation ID とよばれる識別番号を利用し、不整合が発生しないよう実装が変更されております。
そのため、VM-Generation ID が利用できる環境であれば、ドメイン コントローラーのスナップショットからのリストアはサポートされています。
しかしながら、スナップショットは Windows Server バックアップなどのようなバックアップ ソリューションとして設計されているものではないため、定期的にバックアップを取得する機能や、世代管理などの機能がありません。
つまり、お客様のバックアップ要件を満たすようにバックアップを取得するための機能が十分に提供されていないことから、スナップショットの利用はお勧めできないということになります。

また、ドメイン コントローラーをスナップショットから復元した場合、グループ ポリシーなどを共有している SYSVOL が初期複製の状態で起動されるため、1 台のみの復元であれば問題ございませんが、ドメイン内の全てのドメイン コントローラーをスナップショットから復元した場合、全てのドメイン コントローラーが SYSVOL の初期複製待ちの状態で起動され、SYSVOL の複製が正常に行われない、という事象が発生する場合もございます。

サードパーティ製のバックアップソリューションついての注意事項

サードパーティ製のバックアップ ソリューションを利用する場合は、ご利用予定のソリューションが VSS ライターに対応している必要があります。
VSS ライターに対応しているかにつきましては、ご利用予定のソリューションのサポート窓口まで、事前にご確認いただくようお願いいたします。

ドメイン コントローラーのバックアップを行う方法

Active Directory のデータベース、グループ ポリシーのための構成ファイルを格納した SYSVOL フォルダー配下など、 ドメイン コントローラー (DC) が必要とする情報はシステム状態に含まれます。
以下は、Windows Server バックアップを使用してシステム状態のバックアップ ファイルを作成する手順です。

事前準備: Windows Server バックアップのインストール

  1. バックアップを作成する DC に管理者権限を持つユーザーでサインインします。

  2. [サーバー マネージャー] を起動し、[管理] メニューの [役割と機能の追加] をクリックします。

  3. “開始する前に” の画面が表示された場合は、[次へ] をクリックします。

  4. [役割ベースまたは機能ベースのインストール] が選択されていることを確認し、[次へ] をクリックします。

  5. [サーバー プールからサーバーを選択] が選択されていることを確認し、[サーバー プール] でバックアップ取得対象の DC が選択されている状態で [次へ] をクリックします。

  6. [次へ] をクリックします。

  7. [Windows Server バックアップ] にチェックを入れ [次へ] をクリックします。

  8. [インストール] をクリックします。

  9. インストールが完了したら [閉じる] をクリックします。

バックアップ手順

  1. バックアップを作成する DC に管理者権限を持つユーザーでサインインします。

  2. [管理者として実行] からコマンド プロンプトを起動します。

  3. 次のコマンドを実行し、システム状態データをバックアップします。

    1
    2
    3
    4
    5
    6
    7
    wbadmin start systemstatebackup -backupTarget:<バックアップ保存先> -quiet
     
    // 例 1: D ドライブにバックアップを保存する場合  
    wbadmin start systemstatebackup -backupTarget:D: -quiet
     
    // 例 2: 共有フォルダーにバックアップを保存する場合  
    wbadmin start systemstatebackup -backupTarget:\\SERVER.contoso.com\Share -quiet

ドメイン コントローラーのリストアを行う方法

Active Directory のデータベース、グループ ポリシーのための構成ファイルを格納した SYSVOL フォルダー配下など、 ドメイン コントローラー (DC) が必要とする情報はシステム状態に含まれます。
以下は、Windows Server バックアップを使用してシステム状態のリストアを行う手順です。
リストアの手順は、一部のドメイン コントローラーを復元する場合と、すべてのドメイン コントローラーを復元する場合で若干作業が異なりますので、どちらもご案内させていただきます。

復元手順 (一部のドメイン コントローラーを復元する場合)

  1. 復元を実施する DC に管理者権限を持つユーザーでサインインします。

  2. [ファイル名を指定して実行] から msconfig を実行します。

  3. [ブート] タブの [セーフ ブート] をオンにします。

  4. [Active Directory 修復] を選択し、[OK] をクリックします。

  5. [再起動] をクリックします。

  6. OS が起動してきたら、ディレクトリ サービス復元モードの Administrator でサインインします。

  7. コマンド プロンプトを起動します。

  8. 以下のコマンドを実行し、対象のバックアップの “バージョン識別子” を確認します。

    1
    wbadmin get versions

  9. 以下のコマンドを実行し、システム状態の復元を実施します。

    1
    wbadmin start systemstaterecovery -version:<バージョン識別子> -quiet

  10. 復元が完了したら、[ファイル名を指定して実行] から msconfig を実行します。

  11. [ブート] タブの [セーフ ブート] をオフにし、[OK] をクリックします。

  12. [再起動] をクリックします。

復元手順 (すべてのドメイン コントローラーを復元する場合)

1 台目に復元する DC での手順

  1. 復元を実施する DC に管理者権限を持つユーザーでサインインします。

  2. [ファイル名を指定して実行] から msconfig を実行します。

  3. [ブート] タブの [セーフ ブート] をオンにします。

  4. [Active Directory 修復] を選択し、[OK] をクリックします。

  5. [再起動] をクリックします。

  6. OS が起動してきたら、ディレクトリ サービス復元モードの Administrator でサインインします。

  7. コマンド プロンプトを起動します。

  8. 以下のコマンドを実行し、対象のバックアップの “バージョン識別子” を確認します。

    1
    wbadmin get versions

  9. 以下のコマンドを実行し、システム状態の復元を実施します。

    1
    wbadmin start systemstaterecovery -version:<バージョン識別子> -authsysvol -quiet

  10. 復元が完了したら、[ファイル名を指定して実行] から msconfig を実行します。

  11. [ブート] タブの [セーフ ブート] をオフにし、[OK] をクリックします。

  12. [再起動] をクリックします。

2 台目以降に復元する DC での手順

“1 台目に復元する DC での手順” の手順 9 のコマンドにおいて、-authsysvol オプションを付加せずに実行する点以外は、すべて同一の手順となります。
つまり、2 台目以降に復元する DC では、手順 9 にて下記のようなコマンドを実行し、システム状態を復元します。

wbadmin start systemstaterecovery -version:<バージョン識別子> -quiet

ベアメタルのバックアップ/リストアを行う方法について

上記の手順はシステム状態のバックアップ/リストアを行う手順となりますが、ベアメタルのバックアップ/リストアを行う場合は、以下の公開情報を参考にしていただければ幸いです。

Windows Server バックアップによるバックアップ手順 | Microsoft Japan Windows Technology Support Blog (jpwinsup.github.io)
https://jpwinsup.github.io/blog/2022/03/22/Storage/Backup/Windows-Server-Backup-Overview/

Windows Server バックアップによるベアメタル リストア手順 | Microsoft Japan Windows Technology Support Blog (jpwinsup.github.io)
https://jpwinsup.github.io/blog/2022/05/09/Storage/Backup/Restore/

その他よくあるお問い合わせ

Windows Server バックアップでドメイン コントローラーのシステム状態をバックアップした場合、どのくらいの容量となりますか?

Windows Server バックアップでは、差分をブロック単位で世代分保存するため、例えば 3世代保存する場合は、元のサイズ+3世代分の変更差分が必要になります。

また、以下の公開情報にもございます通り、システム状態のバックアップでは以下のような情報をバックアップいたします。

ドメイン コントローラ: Active Directory (NTDS)、ブート ファイル、COM+ クラス登録データベース、レジストリ、システム ボリューム (SYSVOL)

システム状態およびベア メタルのバックアップ
https://docs.microsoft.com/ja-jp/system-center/dpm/back-up-system-state-and-bare-metal?view=sc-dpm-2019

上記のデータはお客様の環境に依存するところが大きく、また変更の発生頻度もお客様環境により様々ですので、一概には申し上げることはできません。

そのため、実際にお客様環境で Windows Server バックアップを実施し、容量を計測するのが確実かと考えます。

変更履歴

2023/4/24: 本記事の公開

本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。