Authoritative Restore で Active Directory を復元した場合の信頼関係とコンピュータ アカウントへの影響

この記事は、以前は次の ID で公開されていました: JP216243
この資料は、アーカイブされました。これは "現状のまま" で提供され、更新されることはありません。
概要
Authoritative Restore 機能を使用すれば、管理者は Active Directory データベースのアーカイブから特定のオブジェクトやオブジェクトのサブツリーを選択してドメイン コントローラに復元することができます。ただし、この機能を実行すると Active Directory の複製機能により、ドメイン内の全ドメイン コントローラ上に現在あるコピーが復元された状態に上書きされるので注意が必要です。復元されたオブジェクトには、それまで最新だったドメイン オブジェクトのセットよりも大きな USN が割り当てられます。

Authoritative Restore 機能の詳細な実行手順については、Windows バックアップに関するヘルプで "Authoritative Restore" というトピックを参照してください。

詳細
信頼関係とコンピュータ アカウント パスワードは指定の実行間隔でネゴシエートされます (デフォルトでは 7 日おきですが、コンピュータ アカウントについては管理者が無効にすることができます)。

ドメイン コントローラ上の Active Directory で Authoritative Restore 機能を実行すると、信頼関係とコンピュータ アカウントを保持している Active Directory 内のオブジェクトに対して、古いパスワードが復元される可能性があります。これによって、信頼関係の場合は他のドメインにあるドメイン コントローラと通信できなくなる可能性があります。また、コンピュータ アカウントの場合は、同じドメイン内のメンバ ワークステーションやメンバ サーバー、ドメイン コントローラと通信できなくなる可能性があります。

また、Windows 2000 は、信頼関係を構成するドメインのうち、信頼される側のドメインのコンポーネントに対する 2 つのパスワードの履歴を使用するので注意が必要です。詳細については、以下の「サポート技術情報」 (Microsoft Knowledge Base) を参照してください。
154501 How to Disable Automatic Machine Account Password Changes

ドメイン コントローラの非 Authoritative Restore

ドメイン コントローラのハードウェアが障害を起こしているか、交換が必要な場合、他のドメイン コントローラ上のデータに問題がないとわかっていれば、必要なのはドメイン コントローラの最新バックアップから復元を行うことだけです。

復元作業が完了すると、Active Directory 複製が起動し、他のドメイン コントローラでバップアップ作成後に行われた変更があれば、その変更を自動的に復元したドメイン コントローラに反映します。

ドメイン コントローラの Authoritative Restore

他のドメイン コントローラが存在する環境でデータの復旧が必要な場合、ドメイン名前付けコンテキスト内のデータに対して Authoritative Restore を実行する際は十分な注意が必要です。ドメイン名前付けコンテキストには、フォレスト内の Windows 2000 ドメインに対する親子関係を定義した信頼関係データだけでなく、他の下位レベル ドメインや Windows 2000 ドメインに対する NTLM/Kerberos 信頼を定義した信頼関係データも含まれているからです。

データ復元がどうしても必要な場合は、名前付けコンテキストの一部のみを Authoritative Restore で復元してください。名前付けコンテキスト全体を復元すると、コンピュータ パスワードと信頼関係パスワードの値がすべてバックアップ時の状態に戻りますが、パスワードはバックアップ後に再度ネゴシエートされている可能性が高いので、そうした場合は元のパスワードは無効となります。信頼関係とコンピュータ アカウントのどちらの場合でも、無効になったパスワードは同期されないため、リセットする必要があります。

Windows 2000 ドメインまたは下位レベルのドメインとの NTLM 信頼をリセットするには、古い信頼関係を削除し、新しい信頼関係を作成する必要があります。複数のドメインで信頼関係のリセットが必要な場合は、Windows 2000 リソース キットに収録されている Netdom ユーティリティを使用すれば、バッチ処理でリセット作業を実行できます。

他のドメイン コントローラが存在する環境で Authoritative Restore を実行すると、バックアップ後に名前付けコンテキストに作成されたオブジェクト (次の例では、ドメイン名前付けコンテキスト) は、そのまま Active Directory 上に残ります。
次に例を示します。
  • 1 日目、管理者がシステムのバックアップを作成します。
  • 2 日目、管理者が "User Two" という名前のユーザー アカウントを作成すると、そのデータがドメイン内の他のドメイン コントローラに複製されます。
  • 3 日目、"User One" という名前のユーザー アカウントが誤って削除されます。
  • 4 日目、1 日目に作成したバックアップを基に、ドメイン コントローラの Authoritative Restore を実行します。
復元の結果、ドメイン内に "User One" と "User Two" という 2 つのユーザー アカウントが存在します。

他のドメイン コントローラが存在しない環境でのドメイン コントローラの Authoritative Restore

復元後のシステムに最新のシステム状態を複製する他のドメイン コントローラが存在しない場合、または Authoritative Restore を実行してドメイン コントローラを既知の状態に戻す場合は、名前付けコンテキスト全体の Authoritative Restore の実行が必要です。

復元の結果、上述したものと同じ現象が発生します。復元により元の信頼関係やコンピュータ アカウント パスワードが無効になった場合は、それらをリセットする必要があります。
関連情報
この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 216243 (最終更新日 2000-10-21) をもとに作成したものです。

プロパティ

文書番号:216243 - 最終更新日: 12/05/2015 12:44:00 - リビジョン: 3.0

Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server

  • kbnosurvey kbarchive kbinfo kbtool KB216243
フィードバック