60日前の Active Directory バックアップがリストアできません
先日NTドメインからActiveDirectoryへの移行作業をしてきました。
ユーザー数が数百名規模だったため、ADのメタデータの複製に1時間程度かかりましたが何とか移行に成功しました。
その後ユーザよりADのバックアップ&リストアについて話が出ました。
そこで以前見たGoogleの記事に「60日か90日前ぐらいのバックアップからADを復元するとDCと通信できなくなる」という情報があった事を思い出したので、親切心から忠告しておきました。
ところが逆にその事につっこまれてしまい、その期限を解除する方法を調べて報告するように言われてしまいました。。。
そこで久々にGoogle先生と真剣に語り合ってみました。
すると・・・やはりありました。
Active Directory上から削除したユーザー情報をバックアップから復元できない
↓
60日を経過したDCは使わない
Active Directoryデータベースのオブジェクトを削除した場合,「Tombstone」(削除標識,破棄状態の意味)と呼ぶマークを付けてオブジェクトを無効にすると同時に,削除されるまでの期間を「Tombstone Lifetime」として設定しています。このTombstone Lifetimeは標準設定では60日となっています。
60日でダメというのは再認識したのですが、これを引き延ばす事は可能なのでしょうか???
とりあえず語り合う用語が二つ「Tombstone Lifetime , 60日」に増えたのでもう少し調べてみました。
すると・・・変更する方法が見つかりました。
質問:tombstone の期間 (life time)を変更するには
↓
回答: tombstone の期間 (life time)を変更するには以下の手順に従います。
(1)regsvr32 adsiedit.dll を実行して adsiedit.dllを登録します。
(2)adsiedit.msc を実行します。ADSI editが起動します。
(3)[Configuration][CN=Configuration,DC=][CN=Services][CN=Windows NT]で
[CN=Directory Service]を右クリックして[プロパティ]を選択します。
(4)[Attribute] = tombstoneLifetimeの値を変更して[OK]をクリックします。ADSI editを終了します。
(5)必要ならadsiedit.dllを解除します。
regsvr32 -u adsiedit.dll
GPOで変更できないかと考えましたが、そんな簡単なものではないようです。
逆に簡単に「Tombstone Lifetime」が変更できてしまうと、簡単にADのメタデータが破損してしまう恐れがあると思います。
MicrosoftもADSIeditやregeditを利用しての変更はノンサポートと明言しているので、あえて危険を冒してまで60日のハードルを越える必要性は無いでしょう。
しかしどうもしっくり来ないのでさらに調べてみると・・・
複製関係にあるDCをイメージソフトでリストアするのはタブーですが、
(→@IT会議室「Windows Server 2003の丸ごとバックアップについて」)
今回のように単一PDCのみの場合だと複製関係にないため、60日のハードルは関係ないみたいです。
(→IBM「Active DirectoryのバックアップにはVSSを! 」)
・・・という事は杞憂だったのかもしれませんが、MicrosoftがADの復元にイメージソフトを使う事をサポートしていないので何とも言えない結末ですね。
今回のように単一PDCのみの場合だと複製関係にないため、60日のハードルは関係ないみたいです。
度々訂正して申し訳ありませんが、どうもこの結論は間違っているという状況に遭遇しました。
というのも、先日VMware上のWindowsNT4.0の単一PDCのイメージが破損したため、5ヶ月前のイメージからリストアしました。
ところが、いざリストアしてクライアントからログオンしようとすると、「システムのプライマリ ドメインにコンピュータアカウントがないかアカウントのパスワードが正しくいないため、このドメインにログオンできません。」と怒られてしまい、DCとのセキュア・チャネルが正常に確立できないというトラブルに遭遇しました。
クライアントの[ネットワークID]ウィザードからコンピュータアカウントを再度追加する手順を踏んでから、クライアントをドメインに再参加をさせた所、セキュア・チャネルは正常に確立されました。
という事は今回の原因は「Tombstone Lifetime」の影響ではなく、別の制限事項に起因しているのではないかと思って調査してみると、核心に触れる記事がありました。
@IT「復元したドメイン・コントローラでセキュア・チャネルのエラーが出る」
↓
Q.
Windows 2000のドメイン・コントローラをバックアップからリストアしたら,そのマシンでセキュア・チャネルに関するエラーが出るようになりました。どう対処すべきでしょうか。
A.
リストアしたドメイン・コントローラ(DC)とPDCエミュレータとなるDCとの間で情報の不整合が起きたためです。セキュア・チャネル(安全なチャネル)が確立できずに「Schannel」をソースとするエラー・イベントが出力されます。原因としては,バックアップ・データが古くセキュア・チャネルのパスワード更新期間を過ぎている場合などが考えられます。
Windows 2000のセキュア・チャネルのパスワード更新間隔は初期設定で30日になっています(Windows NTでは7日でした)。30日より前のバックアップ・データでDCを復元したときに起こり得る現象です。
この記事から伺えるのは、DCのリストアなどによりコンピュータアカウントのパスワード更新期限×2(※2回分のパスワード情報が保存されるため)を過ぎてセキュア・チャネルが確立できなくなった場合は、コンピュータアカウントをまずリセットしなさいという事のようです。複製関係にあるDCの場合は別手順のようですが。。。
コンピュータアカウントのパスワード更新期限を変更する手順はGPOにもあったと記憶しています。
【手順】
・レジストリで変更する場合(ex.WindowsNT)
→文書番号:154501「自動的なコンピュータアカウントパスワード変更を無効にする方法」
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
[DisablePasswordChange]→[1]
・ローカルセキュリティポリシー及びGPOで変更する場合
→SEの雑記「クライアントのコンピュータアカウントのパスワード格納場所」
[コンピュータの構成]-[ポリシー]-[Windowsの設定]-[セキュリティの設定]-[ローカル ポリシー]-[セキュリティオプション] の中の[ドメインメンバ:コンピュータアカウント パスワード: 定期的な変更を無効にする]
今までの調査結果をまとめると、複製関係にあるDCをリストアする時に「Tombstone Lifetime」を超えているとメタデータに不整合が生じ、DCをリストアする時にコンピュータアカウントの更新期限に不整合が生じるとセキュア・チャネルが確立できなくなるという事です。
DCの運用では、まず複製関係を構築してからバックアップやリストアを設計するのが筋だという理由も良く分かりました。
今後は十分気を付けたいと思います。
【参考】
@IT「長期出張から戻るとドメインにログオンできない」
ユーザー数が数百名規模だったため、ADのメタデータの複製に1時間程度かかりましたが何とか移行に成功しました。
その後ユーザよりADのバックアップ&リストアについて話が出ました。
そこで以前見たGoogleの記事に「60日か90日前ぐらいのバックアップからADを復元するとDCと通信できなくなる」という情報があった事を思い出したので、親切心から忠告しておきました。
ところが逆にその事につっこまれてしまい、その期限を解除する方法を調べて報告するように言われてしまいました。。。
そこで久々にGoogle先生と真剣に語り合ってみました。
すると・・・やはりありました。
Active Directory上から削除したユーザー情報をバックアップから復元できない
↓
60日を経過したDCは使わない
Active Directoryデータベースのオブジェクトを削除した場合,「Tombstone」(削除標識,破棄状態の意味)と呼ぶマークを付けてオブジェクトを無効にすると同時に,削除されるまでの期間を「Tombstone Lifetime」として設定しています。このTombstone Lifetimeは標準設定では60日となっています。
60日でダメというのは再認識したのですが、これを引き延ばす事は可能なのでしょうか???
とりあえず語り合う用語が二つ「Tombstone Lifetime , 60日」に増えたのでもう少し調べてみました。
すると・・・変更する方法が見つかりました。
質問:tombstone の期間 (life time)を変更するには
↓
回答: tombstone の期間 (life time)を変更するには以下の手順に従います。
(1)regsvr32 adsiedit.dll を実行して adsiedit.dllを登録します。
(2)adsiedit.msc を実行します。ADSI editが起動します。
(3)[Configuration][CN=Configuration,DC=
[CN=Directory Service]を右クリックして[プロパティ]を選択します。
(4)[Attribute] = tombstoneLifetimeの値を変更して[OK]をクリックします。ADSI editを終了します。
(5)必要ならadsiedit.dllを解除します。
regsvr32 -u adsiedit.dll
GPOで変更できないかと考えましたが、そんな簡単なものではないようです。
逆に簡単に「Tombstone Lifetime」が変更できてしまうと、簡単にADのメタデータが破損してしまう恐れがあると思います。
MicrosoftもADSIeditやregeditを利用しての変更はノンサポートと明言しているので、あえて危険を冒してまで60日のハードルを越える必要性は無いでしょう。
しかしどうもしっくり来ないのでさらに調べてみると・・・
複製関係にあるDCをイメージソフトでリストアするのはタブーですが、
(→@IT会議室「Windows Server 2003の丸ごとバックアップについて」)
(→IBM「Active DirectoryのバックアップにはVSSを! 」)
・・・という事は杞憂だったのかもしれませんが、MicrosoftがADの復元にイメージソフトを使う事をサポートしていないので何とも言えない結末ですね。
度々訂正して申し訳ありませんが、どうもこの結論は間違っているという状況に遭遇しました。
というのも、先日VMware上のWindowsNT4.0の単一PDCのイメージが破損したため、5ヶ月前のイメージからリストアしました。
ところが、いざリストアしてクライアントからログオンしようとすると、「システムのプライマリ ドメインにコンピュータアカウントがないかアカウントのパスワードが正しくいないため、このドメインにログオンできません。」と怒られてしまい、DCとのセキュア・チャネルが正常に確立できないというトラブルに遭遇しました。
クライアントの[ネットワークID]ウィザードからコンピュータアカウントを再度追加する手順を踏んでから、クライアントをドメインに再参加をさせた所、セキュア・チャネルは正常に確立されました。
という事は今回の原因は「Tombstone Lifetime」の影響ではなく、別の制限事項に起因しているのではないかと思って調査してみると、核心に触れる記事がありました。
@IT「復元したドメイン・コントローラでセキュア・チャネルのエラーが出る」
↓
Q.
Windows 2000のドメイン・コントローラをバックアップからリストアしたら,そのマシンでセキュア・チャネルに関するエラーが出るようになりました。どう対処すべきでしょうか。
A.
リストアしたドメイン・コントローラ(DC)とPDCエミュレータとなるDCとの間で情報の不整合が起きたためです。セキュア・チャネル(安全なチャネル)が確立できずに「Schannel」をソースとするエラー・イベントが出力されます。原因としては,バックアップ・データが古くセキュア・チャネルのパスワード更新期間を過ぎている場合などが考えられます。
Windows 2000のセキュア・チャネルのパスワード更新間隔は初期設定で30日になっています(Windows NTでは7日でした)。30日より前のバックアップ・データでDCを復元したときに起こり得る現象です。
この記事から伺えるのは、DCのリストアなどによりコンピュータアカウントのパスワード更新期限×2(※2回分のパスワード情報が保存されるため)を過ぎてセキュア・チャネルが確立できなくなった場合は、コンピュータアカウントをまずリセットしなさいという事のようです。複製関係にあるDCの場合は別手順のようですが。。。
コンピュータアカウントのパスワード更新期限を変更する手順はGPOにもあったと記憶しています。
【手順】
・レジストリで変更する場合(ex.WindowsNT)
→文書番号:154501「自動的なコンピュータアカウントパスワード変更を無効にする方法」
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
[DisablePasswordChange]→[1]
・ローカルセキュリティポリシー及びGPOで変更する場合
→SEの雑記「クライアントのコンピュータアカウントのパスワード格納場所」
[コンピュータの構成]-[ポリシー]-[Windowsの設定]-[セキュリティの設定]-[ローカル ポリシー]-[セキュリティオプション] の中の[ドメインメンバ:コンピュータアカウント パスワード: 定期的な変更を無効にする]
今までの調査結果をまとめると、複製関係にあるDCをリストアする時に「Tombstone Lifetime」を超えているとメタデータに不整合が生じ、DCをリストアする時にコンピュータアカウントの更新期限に不整合が生じるとセキュア・チャネルが確立できなくなるという事です。
DCの運用では、まず複製関係を構築してからバックアップやリストアを設計するのが筋だという理由も良く分かりました。
今後は十分気を付けたいと思います。
【参考】
@IT「長期出張から戻るとドメインにログオンできない」