Authoritative Restore で Active Directory を復元した場合の信頼関係とコンピュータ アカウントへの影響

文書翻訳 文書翻訳
文書番号: 216243 - 対象製品
この記事は、以前は次の ID で公開されていました: JP216243
すべて展開する | すべて折りたたむ

目次

概要

Authoritative Restore 機能を使用すれば、管理者は Active Directory データベースのアーカイブから特定のオブジェクトやオブジェクトのサブツリーを選択してドメイン コントローラに復元することができます。ただし、この機能を実行すると Active Directory の複製機能により、ドメイン内の全ドメイン コントローラ上に現在あるコピーが復元された状態に上書きされるので注意が必要です。復元されたオブジェクトには、それまで最新だったドメイン オブジェクトのセットよりも大きな USN が割り当てられます。

Authoritative Restore 機能の詳細な実行手順については、Windows バックアップに関するヘルプで "Authoritative Restore" というトピックを参照してください。

詳細

信頼関係とコンピュータ アカウント パスワードは指定の実行間隔でネゴシエートされます (デフォルトでは 7 日おきですが、コンピュータ アカウントについては管理者が無効にすることができます)。

ドメイン コントローラ上の Active Directory で Authoritative Restore 機能を実行すると、信頼関係とコンピュータ アカウントを保持している Active Directory 内のオブジェクトに対して、古いパスワードが復元される可能性があります。これによって、信頼関係の場合は他のドメインにあるドメイン コントローラと通信できなくなる可能性があります。また、コンピュータ アカウントの場合は、同じドメイン内のメンバ ワークステーションやメンバ サーバー、ドメイン コントローラと通信できなくなる可能性があります。

また、Windows 2000 は、信頼関係を構成するドメインのうち、信頼される側のドメインのコンポーネントに対する 2 つのパスワードの履歴を使用するので注意が必要です。詳細については、以下の「サポート技術情報」 (Microsoft Knowledge Base) を参照してください。
154501 How to Disable Automatic Machine Account Password Changes

ドメイン コントローラの非 Authoritative Restore

ドメイン コントローラのハードウェアが障害を起こしているか、交換が必要な場合、他のドメイン コントローラ上のデータに問題がないとわかっていれば、必要なのはドメイン コントローラの最新バックアップから復元を行うことだけです。

復元作業が完了すると、Active Directory 複製が起動し、他のドメイン コントローラでバップアップ作成後に行われた変更があれば、その変更を自動的に復元したドメイン コントローラに反映します。

ドメイン コントローラの Authoritative Restore

他のドメイン コントローラが存在する環境でデータの復旧が必要な場合、ドメイン名前付けコンテキスト内のデータに対して Authoritative Restore を実行する際は十分な注意が必要です。ドメイン名前付けコンテキストには、フォレスト内の Windows 2000 ドメインに対する親子関係を定義した信頼関係データだけでなく、他の下位レベル ドメインや Windows 2000 ドメインに対する NTLM/Kerberos 信頼を定義した信頼関係データも含まれているからです。

データ復元がどうしても必要な場合は、名前付けコンテキストの一部のみを Authoritative Restore で復元してください。名前付けコンテキスト全体を復元すると、コンピュータ パスワードと信頼関係パスワードの値がすべてバックアップ時の状態に戻りますが、パスワードはバックアップ後に再度ネゴシエートされている可能性が高いので、そうした場合は元のパスワードは無効となります。信頼関係とコンピュータ アカウントのどちらの場合でも、無効になったパスワードは同期されないため、リセットする必要があります。

Windows 2000 ドメインまたは下位レベルのドメインとの NTLM 信頼をリセットするには、古い信頼関係を削除し、新しい信頼関係を作成する必要があります。複数のドメインで信頼関係のリセットが必要な場合は、Windows 2000 リソース キットに収録されている Netdom ユーティリティを使用すれば、バッチ処理でリセット作業を実行できます。

他のドメイン コントローラが存在する環境で Authoritative Restore を実行すると、バックアップ後に名前付けコンテキストに作成されたオブジェクト (次の例では、ドメイン名前付けコンテキスト) は、そのまま Active Directory 上に残ります。
次に例を示します。
  • 1 日目、管理者がシステムのバックアップを作成します。
  • 2 日目、管理者が "User Two" という名前のユーザー アカウントを作成すると、そのデータがドメイン内の他のドメイン コントローラに複製されます。
  • 3 日目、"User One" という名前のユーザー アカウントが誤って削除されます。
  • 4 日目、1 日目に作成したバックアップを基に、ドメイン コントローラの Authoritative Restore を実行します。
復元の結果、ドメイン内に "User One" と "User Two" という 2 つのユーザー アカウントが存在します。

他のドメイン コントローラが存在しない環境でのドメイン コントローラの Authoritative Restore

復元後のシステムに最新のシステム状態を複製する他のドメイン コントローラが存在しない場合、または Authoritative Restore を実行してドメイン コントローラを既知の状態に戻す場合は、名前付けコンテキスト全体の Authoritative Restore の実行が必要です。

復元の結果、上述したものと同じ現象が発生します。復元により元の信頼関係やコンピュータ アカウント パスワードが無効になった場合は、それらをリセットする必要があります。

関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 216243 (最終更新日 2000-10-21) をもとに作成したものです。

プロパティ

文書番号: 216243 - 最終更新日: 2004年5月7日 - リビジョン: 3.0
この資料は以下の製品について記述したものです。
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
キーワード:?
kbinfo kbtool KB216243
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com